Управление разрешениями и блокировками в списке разрешений и блокировок клиента

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Иногда вы можете не согласиться с решением о фильтрации майкрософт для сообщений электронной почты, сообщений Microsoft Teams или приложений Office. Например, хорошее сообщение может быть помечено как плохое (ложноположительный результат), плохое сообщение может быть пропущено (ложноотрицательный результат), или URL-адрес может быть заблокирован, хотя этого не должно происходить.

Список разрешенных и заблокированных клиентов на портале Microsoft Defender позволяет вручную переопределить фильтрацию вердиктов. Список используется во время потока обработки почты (для электронной почты) или во время щелчка (для электронной почты, Teams или приложений Office).

Список разрешений и блокировок организации доступен на портале Microsoft Defender: https://security.microsoft.comЭлектронная почта и совместная работа>Политики и правила>Политики угроз>Правила, раздел >Списки разрешений и блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Инструкции по использованию и настройке см. в следующих статьях:

Статьи о настройке списка разрешений и блокировок арендатора, ссылки на которые приведены в этом разделе, содержат инструкции для портала Microsoft Defender и PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Важно!

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Блочные записи напрямую управляют доставкой сообщений. Если сообщение электронной почты содержит URL-адрес или домен, заблокированный в списке разрешенных и заблокированных клиентов, сообщение можно классифицировать как фишинг с высокой степенью достоверности и переместить в карантин, даже если отправитель является законным. Если легитимные сообщения помещаются в карантин как фишинг с высокой степенью уверенности, проверьте записи блокировки URL-адресов или доменов в списке разрешений/блокировок арендатора, которые включены в затронутые сообщения.

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission для создания блок-записей для следующих типов элементов при их отправке в корпорацию Майкрософт в виде ложных отрицательных результатов:

  • Домены и адреса электронной почты:

    • Сообщения электронной почты из заблокированных доменов и адресов электронной почты помечены как фишинг с высокой уверенностью , а затем перемещены в карантин.
    • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получают следующий отчёт о недоставке (также известный как NDR или сообщение о возврате): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Блокируется всё сообщение для всех внутренних и внешних получателей, даже если в записи блокировки указан только один адрес электронной почты или домен получателя.

    Совет

    Блокировка определенного отправителя или домена в списке разрешенных и заблокированных клиентов обрабатывает эти сообщения как фишинг с высокой степенью достоверности. Чтобы обрабатывать эти сообщения как спам, добавьте отправителя в список заблокированных отправителей или заблокированных доменов в политиках защиты от нежелательной почты.

  • Файлы: сообщения электронной почты, содержащие записи блока файлов, блокируются как вредоносные программы. Сообщения, содержащие заблокированные записи файлов, помещаются в карантин.

  • URL-адреса: сообщения электронной почты, содержащие записи блока URL-адресов, блокируются как фишинг с высоким уровнем достоверности. Сообщения, содержащие записи блока URL-адресов, помещаются в карантин.

В списке разрешений и блокировок клиента можно также напрямую создавать записи о блокировке для следующих типов объектов:

  • Домены и адреса электронной почты, Files и URL-адреса.

  • Поддельные отправители: Если вы вручную переопределите существующий вердикт разрешения от аналитики спуфинга, заблокированный поддельный отправитель станет записью о блокировке, созданной вручную, которая отображается только на вкладке Поддельные отправители в списке разрешений и блокировок клиента.

  • IP-адреса: Если вы вручную создаете запись блокировки, все входящие сообщения электронной почты с этого IP-адреса отклоняются на пограничном уровне службы.

  • Домены и адреса Teams. При создании записи блокировки вручную все входящие сообщения Teams из этого домена и адреса электронной почты блокируются, а существующие сообщения удаляются.

По умолчанию следующие типы записей блока истекают через 30 дней, но вы можете задать для них срок действия до 90 дней или никогда:

Следующие типы записей в списке блокировки не имеют срока действия:

Разрешить записи в списке разрешенных и заблокированных клиентов

Ненужные записи в списке разрешений подвергают вашу организацию риску получения вредоносных электронных писем, которые в противном случае были бы отфильтрованы системой, поэтому существуют ограничения на создание записей разрешения непосредственно в списке разрешений/блокировок клиента:

  • Домены, адреса электронной почты и URL-адреса: Вы можете создавать записи разрешения непосредственно в списке Tenant Allow/Block List, чтобы переопределить следующие решения:

    • Массовая рассылка
    • Спам
    • Спам с высокой степенью достоверности
    • Фишинг (не с высокой вероятностью)

    Для вредоносных программ и фишинга с высокой достоверностью нельзя создавать записи разрешения непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы отправить сообщение электронной почты или URL-адрес в корпорацию Майкрософт. После нажатия кнопки Я подтвердил, что она чиста, можно выбрать Разрешить это сообщение или Разрешить этот URL-адрес , чтобы создать запись разрешения для доменов, адресов электронной почты или URL-адресов.

  • Files: Нельзя создавать записи о разрешении непосредственно в списке разрешений и блокировок клиента. Вместо этого используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы отправить вложение электронной почты в корпорацию Майкрософт. После того как вы выберете Я подтвердил, что файл безопасен, можно выбрать Разрешить этот файл, чтобы создать разрешающую запись для этого файла.

  • Подделанные отправители:

  • IP-адреса: Вы можете заблаговременно создать разрешающую запись для IP-адреса на вкладке IP-адреса в списке разрешений и блокировок клиента, чтобы переопределить фильтры IP-адресов для входящих сообщений.

    • Разрешенная запись IP-адреса обходит проверки фильтрации на основе IP-адресов (например, фильтрацию подключений или проверку репутации IP-адресов).
    • Запись в списке разрешённых IP-адресов не изменяет поведение механизма ограничения частоты сообщений.
    • Запись о блокировке IP-адресов отклоняет сообщения на периметре службы.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов при отправке чего-либо в Корпорацию Майкрософт в виде ложного срабатывания на странице Отправки .

  • Вложения электронной почты и URL-адреса: создается запись в списке разрешений, и эта запись отображается на вкладке Файлы или URL-адреса в списке разрешений и блокировок организации соответственно.

    Для URL-адресов, ошибочно определённых как вредоносные, разрешаются последующие сообщения, содержащие изменённые варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc, www.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5или www.contoso.com/abc/whatever), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

  • Электронная почта: Если Microsoft 365 заблокировала сообщение, в списке разрешений и блокировок клиента может быть создана разрешающая запись:

    • Если сообщение было заблокировано функцией анализа спуфинга, для отправителя создается разрешающая запись, и эта запись отображается на вкладке Подмененные отправители в списке разрешений и блокировок клиента.
    • Если защита от выдачи себя за пользователя или почтовый ящик в Defender для Office 365 заблокировала сообщение, разрешающая запись не создается в списке разрешений и блокировок клиента. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
    • Если сообщение было заблокировано из-за фильтров на основе файлов, для файла создается разрешающая запись, и она отображается на вкладке Files в списке разрешений и блокировок клиента.
    • Если сообщение было заблокировано из-за фильтров на основе URL, для URL создается разрешающая запись, и эта запись появляется на вкладке URL в списке разрешений и блокировок клиента.
    • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, а запись отображается на вкладке Домены & адреса в списке разрешенных и заблокированных клиентов.
    • Если сообщение не было заблокировано из-за фильтрации, нигде не создаются разрешенные записи.

Совет

Записи списка разрешений из отправленных на проверку сообщений добавляются при обработке почтового потока на основе фильтров, которые определили, что сообщение является вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При обработке почты или в момент щелчка, если сообщения, содержащие объекты, указанные в списке разрешений, проходят остальные проверки в стеке фильтрации, эти сообщения доставляются (все фильтры, связанные с разрешенными объектами, не применяются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно настроить истечение срока действия разрешённых записей не позднее чем через 30 дней после их создания. Разрешить, чтобы записи для подделанных отправителей никогда не истекали.

Что ожидать после того, как вы добавите разрешающую или блокирующую запись

После того как вы добавите разрешающую запись на странице Submissions или блокирующую запись в списке разрешённых и заблокированных объектов клиента, эта запись начнёт действовать в течение 5 минут.

Если Microsoft определяет, что разрешающая запись в списке разрешений и блокировок арендатора больше не нужна, эта запись автоматически удаляется, а встроенная политика оповещений для управления угрозами с именем «Удалена запись из списка разрешений и блокировок арендатора» создает оповещение.