Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

Иногда вы можете не согласиться с решением о фильтрации майкрософт для сообщений электронной почты, сообщений Microsoft Teams или приложений Office. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), неправильное сообщение может быть разрешено через (ложноотрицательный), или URL-адрес может быть заблокирован, если он не должен иметь.

Список разрешенных и заблокированных клиентов на портале Microsoft Defender позволяет вручную переопределить фильтрацию вердиктов. Список используется во время потока обработки почты (для электронной почты) или во время щелчка (для электронной почты, Teams или приложений Office).

Список разрешенных и заблокированных клиентов доступен на портале Microsoft Defender по адресу https://security.microsoft.comEmail & политики совместной работы>& правила>Политики> угрозв разделе>Списки разрешенных и заблокированных клиентов. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Инструкции по использованию и настройке см. в следующих статьях:

• Домены и адреса электронной почты и подделанные отправители: разрешить или заблокировать сообщения электронной почты с помощью списка разрешенных и заблокированных клиентов
  • Записи применяются к адресу From (также известному 5322.From как адрес или отправитель P2), а не к адресу MAIL FROM (также известному 5321.MailFrom как адрес, отправитель P1 или отправитель конверта). Дополнительные сведения об этих адресах см. в разделе Почему электронная почта Интернета нуждается в проверке подлинности.
  • Записи применяются к сообщениям от внутренних и внешних отправителей. Специальная обработка применяется к сценариям внутреннего спуфингов.
  • Записи блокировки для доменов и адресов электронной почты также не позволяют пользователям в организации отправлять сообщения электронной почты на эти заблокированные домены и адреса.
• Файлы: разрешить или заблокировать файлы с помощью списка разрешенных и заблокированных клиентов
• URL-адреса: разрешить или заблокировать URL-адреса с помощью списка разрешенных и заблокированных клиентов.
  • Чтобы разрешить фишинговые URL-адреса из обучения имитации атак сторонних специалистов, не используйте записи разрешения URL-адресов в списке разрешенных и заблокированных клиентов. Используйте расширенную политику доставки , чтобы указать URL-адреса.
• IP-адреса: разрешить или заблокировать IPv6-адреса с помощью списка разрешенных и заблокированных клиентов.
• Домены и адреса электронной почты Teams: блокировать домены и адреса в Microsoft Teams с помощью списка разрешенных и заблокированных клиентов.

Эти статьи содержат процедуры на портале Microsoft Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission для создания блок-записей для следующих типов элементов при их отправке в корпорацию Майкрософт в виде ложных отрицательных результатов:

• Домены и адреса электронной почты:

  • Email сообщения от этих отправителей помечаются как фишинговые с высоким уровнем достоверности, а затем перемещаются в карантин.
  • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получают следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

  Совет

  Блокировка определенного отправителя или домена в списке разрешенных и заблокированных клиентов обрабатывает эти сообщения как фишинг с высокой степенью достоверности. Чтобы обрабатывать эти сообщения как спам, добавьте отправителя в список заблокированных отправителей или заблокированных доменов в политиках защиты от нежелательной почты.

• Файлы: Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

• URL-адреса: Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

• Домены и адреса электронной почты, файлы и URL-адреса.

• Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из подделавной аналитики, заблокированный спуфинг становится блокированной записью вручную, которая отображается только на вкладке Подделанные отправители в списке разрешений и блокировок клиента.

• IP-адреса. Если вы вручную создаете запись блока, все входящие сообщения электронной почты с этого IP-адреса удаляются на границе службы.

• Домены и адреса Teams. Если вы вручную создадите запись блокировки, все входящие сообщения через Teams из этого домена и адреса электронной почты будут заблокированы, а существующие сообщения будут удалены.

По умолчанию срок действия следующих типов записей блока истекает через 30 дней, но вы можете задать для них срок действия до 90 дней или никогда:

• Домены и адреса электронной почты
• Файлы
• URL-адреса.

Срок действия следующих типов записей блоков не истекает:

• Подделанные отправители
• IP-адреса.
• Домены и адреса Teams.

Разрешить записи в списке разрешенных и заблокированных клиентов

Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые система будет фильтровать в противном случае, поэтому существуют ограничения на создание разрешенных записей непосредственно в списке разрешенных и заблокированных клиентов:

• Домены, адреса электронной почты и URL-адреса. Вы можете создавать записи, разрешать непосредственно в списке разрешенных и заблокированных клиентов, чтобы переопределить следующие вердикты:

  • Массовая рассылка
  • Спам
  • Нежелательная почта с высокой вероятностью
  • Фишинг (не с высокой вероятностью)

  Для вредоносных программ и фишинга с высокой достоверностью нельзя создавать записи разрешения непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы отправить сообщение электронной почты или URL-адрес в корпорацию Майкрософт. После нажатия кнопки Я подтвердил, что она чиста, можно выбрать Разрешить это сообщение или Разрешить этот URL-адрес , чтобы создать запись разрешения для доменов, адресов электронной почты или URL-адресов.

• Файлы. Вы не можете создавать записи разрешений непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы отправить вложение электронной почты в корпорацию Майкрософт. После нажатия кнопки Я подтвердил, что она чиста, можно выбрать Разрешить этот файл , чтобы создать запись разрешения для файлов.

• Подделанные отправители:

  • Если спуфинговая аналитика уже заблокировала сообщение как подделывание, используйте страницу Отправки по адресу https://security.microsoft.com/reportsubmission , чтобы сообщить об этом сообщении корпорации Майкрософт , как я подтвердил, что оно чистое, а затем выберите Разрешить это сообщение.
  • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем спуфинга аналитика определит и заблокирует сообщение как спуфингом.

• IP-адреса. Вы можете заранее создать запись разрешения для IP-адреса на вкладке IP-адреса в списке разрешенных и заблокированных клиентов, чтобы переопределить ФИЛЬТРЫ IP-адресов для входящих сообщений.

  • Разрешенная запись IP-адреса обходит проверки фильтрации на основе IP-адресов (например, фильтрацию подключений или проверку репутации IP-адресов).
  • Разрешенная запись IP-адреса не изменяет поведение регулирования сообщений.
  • Запись блока IP-адресов отклоняет сообщения на границе службы.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов при отправке чего-либо в Корпорацию Майкрософт в виде ложного срабатывания на странице Отправки .

• Email вложения и URL-адреса. Создается запись разрешения, и эта запись отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов соответственно.

  Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc, www.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5или www.contoso.com/abc/whatever), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

• Email. Если Microsoft 365 заблокировало сообщение, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

  • Если сообщение было заблокировано спуфингом, создается допустимая запись для отправителя, и эта запись отображается на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов.
  • Если защита олицетворения пользователя или почтового ящика в Defender для Office 365 заблокировала сообщение, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
  • Если сообщение было заблокировано из-за файловых фильтров, создается запись разрешения для файла, а запись отображается на вкладке Файлы в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано из-за фильтров на основе URL-адресов, создается запись разрешения для URL-адреса, а запись отображается на вкладке URL-адрес в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, а запись отображается на вкладке Домены & адреса в списке разрешенных и заблокированных клиентов.
  • Если сообщение не было заблокировано из-за фильтрации, нигде не создаются разрешенные записи.

Чего ожидать после добавления записи разрешения или блокировки

После добавления разрешенной записи на странице Отправки или записи блока в списке разрешенных и заблокированных клиентов запись должна начать работу немедленно (в течение 5 минут).

Если корпорация Майкрософт узнала из записи разрешения, встроенная политика генерации оповещенийс именем Удалена запись в списке разрешенных или заблокированных клиентов создает оповещение при удалении (теперь ненужной) записи разрешения.