Разрешить или заблокировать электронную почту с помощью списка разрешенных и заблокированных клиентов

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Во всех организациях с облачными почтовыми ящиками администраторы могут создавать записи для доменов и адресов электронной почты (включая подделанных отправителей) и управлять ими в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для отправителей электронной почты на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

Перед управлением записями в списке разрешений и блокировок клиента проверьте следующие необходимые условия, сведения о подключении, ограничения на количество записей и разрешения.

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Ограничения входа для доменов и адресов электронной почты:

    • Организации Microsoft 365 без Defender для Office 365: максимум 1000 записей доменов и адресов электронной почты в общей сложности:
      • Максимум записей: 500.
      • Блок записей: максимум 500.
    • Организации Microsoft 365 с Defender для Office 365 (план 1), включённым в подписку или доступным в качестве надстройки: всего не более 2000 записей доменов и адресов электронной почты:
      • Допустимое количество записей: не более 1000.
      • Блок записей: максимум 1000.
    • Организации Microsoft 365 с Defender для Office 365, план 2 (включённым в подписку или приобретённым как надстройка): не более 15 000 записей доменов и адресов электронной почты в общей сложности:
      • Разрешено записей: не более 5000.
      • Блок записей: не более 10 000.
  • Для подделанных отправителей максимальное число разрешенных записей и блок-записей составляет 1024 (1024 разрешенных записей и нет блокировок, 512 разрешенных записей и 512 блок-записей и т. д.).

  • Срок действия записей для подменённых отправителей никогда не истекает.

  • Для блокировки входящих и исходящих сообщений электронной почты из домена, всех поддоменов в этом домене и любых адресов электронной почты в этом домене создайте запись блока, используя синтаксис : *.TLD, где TLD может быть любым доменом верхнего уровня, внутренним доменом или доменом адреса электронной почты.

  • Для блокировки входящих и исходящих сообщений электронной почты из поддомена в домене и любых адресов электронной почты в этом поддомене создайте запись блока, используя синтаксис : *.SD1.TLD, *.SD2.SD1.TLD, *.SD3.SD2.SD1.TLDи т. д. для внутренних доменов и доменов адресов электронной почты.

  • Дополнительные сведения о синтаксисе подделанных записей отправителя см. в разделе Синтаксис пары доменов для подделанных записей отправителя далее в этой статье.

  • Запись должна быть активна в течение 5 минут.

  • Прежде чем выполнять процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR Унифицированное управление доступом на основе ролей (RBAC) (если Электронная почта и совместная работа>Defender для Office 365 и Электронная почта и совместная работа>разрешения Exchange Online оба имеют статус Активно. Влияет только на портал Defender, а не на PowerShell):

      • Добавление и удаление записей из списка разрешений и блокировок арендатора: членство, назначенное со следующими разрешениями:
        • Авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление)
      • Доступ только для чтения к списку разрешенных и заблокированных клиентов:
        • Авторизация и параметры/Параметры безопасности/Только для чтения.
        • Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
    • разрешения Exchange Online:

      • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Управление организацией или администратор безопасности (роль администратора безопасности).
        • Оператор безопасности (роль «Диспетчер Tenant Allow/Block List»): это разрешение действует только если оно назначено напрямую в центре администрирования Exchange в разделе https://admin.exchange.microsoft.com>Роли>Роли администратора.
      • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Глобальный ридер
        • Читатель сведений о безопасности
        • Конфигурация только для чтения
        • Управление организацией только для просмотра
    • Разрешения Microsoft Entra: Членство в ролях Глобальный администратор*, Администратор безопасности, Глобальный читатель или Читатель безопасности предоставляет пользователям необходимые разрешения, а также разрешения для использования других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Домены и адреса электронной почты в списке разрешений и блокировок арендатора

Примечание.

Записи с адресами электронной почты, содержащими особые символы (например, пробелы, кавычки или другие знаки), должны использовать шестнадцатеричное URL-кодирование в UTF-8 для этих символов. В противном случае при попытке добавить записи могут возникнуть ошибки.

Например, чтобы заблокировать адрес "bad+ attacker"@fourthcoffee.comэлектронной почты, используйте значение %22bad%2B%20attacker%22@fourthcoffee.com:

  • %22 представляет двойные кавычки (").
  • %2B представляет знак "плюс" (+).
  • %20 представляет пространство ( ).

Создайте разрешающие записи для доменов и адресов электронной почты

Ненужные разрешающие записи могут открыть доступ в вашу организацию вредоносным письмам, которые в противном случае были бы отфильтрованы системой, поэтому существуют ограничения на создание разрешающих записей непосредственно в списке разрешений/блокировок клиента (Tenant Allow/Block List).

Чтобы создать разрешенные записи для доменов и адресов электронной почты, используйте один из следующих методов:

  • На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Когда вы отправляете заблокированное сообщение, так как я подтвердил, что оно чистое , а затем выберите Разрешить это сообщение, на вкладку Домены & адреса электронной почты на странице Списки разрешенных и заблокированных клиентов будет добавлена запись разрешения для отправителя. Инструкции см. в разделе Отправка хорошей электронной почты в Корпорацию Майкрософт.

    Этот метод необходим для переопределения вредоносных программ и фишинговых вердиктов с высокой степенью достоверности.

  • На вкладке Домены & адреса на странице Списки разрешенных и заблокированных клиентов или в PowerShell, как описано в этом разделе.

    Этот метод доступен для переопределения только следующих вердиктов:

    • Массовая рассылка
    • Спам
    • Спам с высокой степенью достоверности
    • Фишинг (не с высокой вероятностью)

Совет

Записи списка разрешений из отправленных на проверку сообщений добавляются при обработке почтового потока на основе фильтров, которые определили, что сообщение является вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При обработке почты или в момент щелчка, если сообщения, содержащие объекты, указанные в списке разрешений, проходят остальные проверки в стеке фильтрации, эти сообщения доставляются (все фильтры, связанные с разрешенными объектами, не применяются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно настроить истечение срока действия разрешённых записей не позднее чем через 30 дней после их создания. Разрешить, чтобы записи для подделанных отправителей никогда не истекали.

Использование портала Microsoft Defender для создания разрешенных записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

Чтобы создать запись разрешения для домена или адреса электронной почты непосредственно в списке разрешений или блокировок клиента, выполните следующие действия.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице Списки разрешенных и заблокированных клиентов убедитесь, что выбрана вкладка Домены & адреса .

  3. На вкладке Домены & адреса нажмите кнопку Добавить, а затем выберите Разрешить.

  4. В открывшемся всплывающем окне Разрешить домены & адреса настройте следующие параметры:

    • Домены & адреса. Введите один адрес электронной почты или домен в каждой строке, не более 20.

    • Удалить запись разрешения после: Выберите одно из следующих значений:

      • 45 дней после последней даты использования (по умолчанию)
      • 1 день
      • 7 дней
      • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
    • Необязательное примечание. Введите описательный текст, чтобы указать, почему вы разрешаете адреса электронной почты или домены.

  5. Когда закончите работу во всплывающей панели Блокировать домены & адреса, выберите Добавить.

Вернувшись на вкладку Домены и адреса электронной почты, вы увидите запись в списке.

Использование PowerShell для создания разрешенных записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

Чтобы создать разрешённые записи для доменов отправителей и адресов электронной почты в списке разрешённых и заблокированных объектов клиента, выполните следующую команду в Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" [-RemoveAfter 45] [-Notes <String>]

В этом примере добавляется запись разрешения для указанных адресов электронной почты. Так как мы не использовали параметры ExpirationDate или RemoverAfter, срок действия записи истекает через 45 дней с даты последнего использования.

New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "test@gooddomain.com","test2@gooddomain.com"

Подробные сведения о синтаксисе и параметрах см. в статье New-TenantAllowBlockListItems.

Создать записи блокировки для доменов и адресов электронной почты

Чтобы создать блочные записи для доменов и адресов электронной почты, используйте один из следующих методов:

  • На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Когда вы отправляете сообщение, поскольку я убедилась, что это угроза, вы можете выбрать Блокировать все сообщения электронной почты от этого отправителя или домена , чтобы добавить запись блока на вкладку Домены & адреса электронной почты на странице Списки разрешений и блокировок клиента . Инструкции см. в статье Сообщение о сомнительной электронной почте в Корпорацию Майкрософт.

  • На вкладке Домены & адреса на странице Списки разрешенных и заблокированных клиентов или в PowerShell, как описано в этом разделе.

Чтобы создать записи блокировки для поддельных отправителей, см. раздел Создание записей блокировки для поддельных отправителей.

Email от этих заблокированных отправителей помечается как фишинг с высокой достоверностью и помещается в карантин.

Примечание.

В настоящее время, если в записи блока не используется синтаксис *.TLD, поддомены указанного домена не блокируются. Например, если вы создадите запись блокировки для contoso.com, почта из marketing.contoso.com также не будет автоматически блокироваться. Необходимо создать отдельную запись блока для marketing.contoso.com или использовать *.TLD синтаксис, где TLD может быть любым доменом верхнего уровня, внутренним доменом или доменом адреса электронной почты.

Пользователи в организации также не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Это сообщение возвращается в следующем отчете о недоставке (также известном как NDR или сообщение о возврате): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Сообщение целиком блокируется для всех внутренних и внешних получателей, даже если в записи блокировки указан только один адрес электронной почты или домен получателя.

Использование портала Microsoft Defender для создания записей блокировки для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

Чтобы создать запись блока для домена или адреса электронной почты непосредственно в списке разрешений или блокировок клиента, выполните следующие действия.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице Списки разрешенных и заблокированных клиентов убедитесь, что выбрана вкладка Домены & адреса .

  3. На вкладке Домены & адреса выберите Добавить, а затем — Блокировать.

  4. В открывавшемся всплывающем окне Блокировать домены & адреса настройте следующие параметры:

    • Домены & адреса. Введите один адрес электронной почты или домен в каждой строке, не более 20.

    • Удалить запись о блокировке по истечении: Выберите одно из следующих значений:

      • 1 день
      • 7 дней
      • 30 дней (по умолчанию)
      • Срок действия не истекает
      • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
    • Необязательное примечание. Введите описательный текст, зачем вы блокируете адреса электронной почты или домены.

  5. Когда закончите работу во всплывающей панели Блокировать домены & адреса, выберите Добавить.

Вернувшись на вкладку Домены и адреса электронной почты, вы увидите запись в списке.

Использование PowerShell для создания записей блоков для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

Чтобы создать записи блокировок для доменов отправителей и адресов электронной почты в списке разрешений и блокировок клиента, выполните следующую команду в Exchange Online PowerShell. Можно указать дату окончания срока действия или нет:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись в список блокировки для указанного адреса электронной почты, срок действия которой истекает в указанную дату.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Подробные сведения о синтаксисе и параметрах см. в статье New-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для просмотра записей о доменах и адресах электронной почты в списке разрешенных и заблокированных клиентов.

На портале Microsoft Defender по адресу https://security.microsoft.com, перейдите к Электронная почта & совместная работа>Политики & правила>Политики угроз>Списки разрешения/блокировки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Убедитесь, что выбрана вкладка Домены & адреса .

На вкладке Домены & адреса можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

  • Значение: домен или адрес электронной почты.
  • Действие: значение Allow или Block.
  • Переопределение вердиктов: доступны следующие значения:
    • До вредоносных программ для записей блокировки.
    • До обычного уровня достоверности фишинга для разрешающих записей, созданных непосредственно в списке Tenant Allow/Block List.
    • Фишинг с высокой достоверностью для разрешенных записей, созданных с помощью отправки. Разрешить автоматическое обновление разрешающих записей, созданных напрямую, записями, созданными через отправку.
  • Изменено
  • Последнее обновление
  • Дата последнего использования: дата последнего использования записи в системе фильтрации для переопределения вердикта.
  • Удалить: дата истечения срока действия.
  • Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Действие: значения Allow и Block.
  • Срок действия не истекает: или
  • Последнее обновление: выберите даты От и До.
  • Дата последнего использования: выберите От и До даты.
  • Удалить по: выберите даты с и по.
  • Изменено: укажите неполный или полный адрес электронной почты для поиска по нему.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей о доменах и адресах электронной почты в списке разрешенных и заблокированных клиентов

Чтобы получить существующие записи о разрешённых и заблокированных отправителях из списка разрешённых и заблокированных объектов клиента, при необходимости с фильтрацией по типу действия, значению записи или дате истечения срока действия, выполните следующую команду в Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные записи для доменов и адресов электронной почты.

Get-TenantAllowBlockListItems -ListType Sender

В этом примере результаты фильтруются так, чтобы отображались записи блокировки для доменов и адресов электронной почты.

Get-TenantAllowBlockListItems -ListType Sender -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для изменения записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов.

В существующих записях домена и адреса электронной почты можно изменить дату окончания срока действия и примечание.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Убедитесь, что выбрана вкладка Домены & адреса .

  3. На вкладке Домены и адреса выберите запись в списке, установив флажок рядом с первым столбцом, а затем выберите действие Изменить, которое появится.

  4. Во всплывающем окне Изменение доменов & адреса доступны следующие параметры:

    • Заблокированные записи:
      • Удалить запись о блокировке после: Выберите одно из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
      • Необязательное примечание
    • Разрешить записи:
      • Удалить разрешение на вход после: Выберите одно из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • 45 дней после последней даты использования
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Необязательное примечание

    По завершении во всплывающем окне Изменение доменов & адресов нажмите кнопку Сохранить.

Совет

Во всплывающем элементе сведений на вкладке Домены & адреса используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если на основании этой отправки была создана запись в списке разрешений и блокировок арендатора.

Использование PowerShell для изменения записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

Чтобы обновить существующий список разрешений или блокировок отправителя в списке разрешений или блокировок клиента (например, чтобы изменить дату окончания срока действия или заметки), выполните следующую команду в Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется срок действия указанной записи в списке блокировки для адреса электронной почты отправителя.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для удаления записей для доменов и адресов электронной почты из списка разрешенных и заблокированных клиентов.

Чтобы удалить записи домена или адреса электронной почты из списка разрешений или блоков клиента, выполните следующие действия.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Убедитесь, что выбрана вкладка Домены & адреса .

  3. На вкладке Домены & адреса выполните одно из следующих действий.

    • Выберите запись из списка, установив флажок рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

    • Выберите элемент из списка, щелкнув в любом месте строки, кроме флажка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

      Совет

      • Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
      • Можно выбрать несколько записей, установив каждый флажок, или выбрать все записи, установив флажок в заголовке столбца Значение.
  4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке Домены & адреса запись больше не отображается.

Используйте PowerShell для удаления записей о доменах и адресах электронной почты из списка разрешений и блокировок арендатора

Чтобы удалить существующие записи отправителя из списка разрешений и блокировки клиента по идентификатору или значению записи, выполните следующую команду в Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

В этом примере из списка разрешенных и заблокированных клиентов удаляется указанная запись для доменов и адресов электронной почты.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-TenantAllowBlockListItems.

Поддельные отправители в списке разрешенных и заблокированных клиентов

При переопределении вердикта в сведениях об анализе спуфинга поддельный отправитель становится записью, вручную добавленной в список разрешений или блокировок, которая отображается только на вкладке Поддельные отправители на странице Списки разрешений и блокировок организации.

Создание разрешенных записей для подделанных отправителей

Чтобы создать разрешенные записи для подделанных отправителей, используйте любой из следующих методов:

  • На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Инструкции см. в разделе Отправка хорошей электронной почты в Корпорацию Майкрософт.
    • Когда вы отправляете сообщение, которое было обнаружено и заблокировано аналитикой спуфинга, на вкладку Подменённые отправители в списке разрешённых и заблокированных адресов клиента добавляется разрешающая запись для подменённого отправителя.
    • Если аналитика спуфинга не обнаружила и не заблокировала отправителя, отправка сообщения в Microsoft не создает запись о разрешении для отправителя в списке разрешенных и заблокированных элементов клиента.
  • На странице Сведения Spoof intelligencehttps://security.microsoft.com/spoofintelligenceесли отправитель был обнаружен и заблокирован системой Spoof intelligence. Инструкции см. в разделе Переопределение вердикта анализа подмены.
    • При переопределении вердикта в сведениях анализа спуфинга подменённый отправитель становится записью, добавленной вручную, которая отображается только на вкладке Подменённые отправители на странице Списки разрешённых и заблокированных адресов клиента.
  • На вкладке Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов или в PowerShell, как описано в этом разделе.

Примечание.

Разрешить записи для подменённых отправителей для случаев спуфинга внутри организации, между организациями и спуфинга DMARC.

Только сочетанию подменяемого пользователя и инфраструктуры отправителя, определённых в паре доменов, допускается подмена.

Разрешить, чтобы срок действия записей для поддельных отправителей никогда не истекал.

Используйте портал Microsoft Defender для создания разрешенных записей для подделанных отправителей в списке разрешений и блокировок клиента.

В списке разрешений и блокировок клиента можно создавать разрешающие записи для поддельных отправителей до того, как аналитика спуфинга обнаружит и заблокирует их.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице Списки разрешенных и заблокированных клиентов выберите вкладку Подделанные отправители .

  3. На вкладке Подделанные отправители нажмите кнопку Добавить.

  4. Во всплывающем окне Добавление новых пар доменов настройте следующие параметры:

    • Добавьте пары доменов с подстановочными знаками: вводите по одной паре доменов в строке, не более 20. Дополнительные сведения о синтаксисе спуфинированных записей отправителя см. в разделе синтаксис пары доменов для спуфинированных записей отправителя.

    • Тип подделки. Выберите одно из следующих значений:

      • Внутренний. Подделанный отправитель находится в домене, принадлежавом вашей организации ( принятом домене).
      • Внешний: подделанный отправитель находится во внешнем домене.
    • Действие: выберите Разрешить или Заблокировать.

    По завершении во всплывающем окне Добавление новых пар доменов нажмите кнопку Добавить.

Вернувшись на вкладку Поддельные отправители, вы увидите эту запись в списке.

Использование PowerShell для создания разрешенных записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

Чтобы создать запись разрешения для спуфинированного отправителя путем связывания спуфинированного пользователя с утвержденной инфраструктурой отправки, выполните следующую команду в Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

В этом примере создается разрешающая запись для отправителя bob@contoso.com из домена contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListSpoofItems.

Создайте записи блокировки для поддельных отправителей

Чтобы создать блочные записи для подделанных отправителей, используйте любой из следующих методов:

Примечание.

Только сочетание поддельного пользователя и инфраструктуры отправки, определённой в паре доменов, блокируется для спуфинга.

Email от этих отправителей помечается как фишинг. Политика защиты от нежелательной почты, которая обнаружила сообщение для получателя, определяет, что происходит с сообщениями. Дополнительные сведения см. в разделе Действие обнаружения фишинга в параметрах политики защиты от нежелательной почты.

При настройке записи блокировки для пары доменов отправитель с поддельным адресом становится записью блокировки, созданной вручную, которая отображается только на вкладке Поддельные отправители в списке разрешений и блокировок клиента.

Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Использование портала Microsoft Defender для создания записей блокировки для подделанных отправителей в списке разрешений и блокировок клиента

Порядок действий практически идентичен созданию разрешающих записей для поддельных отправителей.

Единственное отличие заключается в том, что для значения Действия на шаге 4 выберите Блокировать , а не Разрешить.

Используйте PowerShell, чтобы создать записи о блокировке для подменённых отправителей в списке разрешений и блокировок клиента

Чтобы создать запись о блокировке для пары доменов поддельного отправителя в списке разрешений и блокировок клиента (Tenant Allow/Block List), выполните следующую команду в Exchange Online PowerShell:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

В этом примере создаётся запись о блокировке для отправителя laura@adatum.com с исходным адресом 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListSpoofItems.

Использование портала Microsoft Defender для просмотра записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.com, перейдите к Электронная почта & совместная работа>Политики & правила>Политики угроз>Списки разрешения/блокировки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Убедитесь, что выбрана вкладка Поддельные отправители.

На вкладке Поддельные отправители можно сортировать записи, щелкнув по любому доступному заголовку столбца. Доступны следующие столбцы:

  • Подделанный пользователь
  • Инфраструктура отправки
  • Тип спуфинга: Доступные значения: Внутренний или Внешний.
  • Действие: доступные значения : Блокировать или Разрешить.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Действие. Доступные значения : Разрешить и Блокировать.
  • Тип подмены: Допустимые значения: Internal и External.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Действие
  • Тип спуфинга

Чтобы разгруппировать записи, выберите Нет.

Используйте PowerShell для просмотра записей о поддельных отправителях в списке Tenant Allow/Block List

Чтобы получить записи разрешений и блокировок для поддельных отправителей из списка разрешений и блокировок клиента, при необходимости отфильтрованные по действию или типу подмены, выполните следующую команду в Exchange Online PowerShell:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Этот пример возвращает все записи отправителей с подменой адреса в списке разрешений и блокировок клиента.

Get-TenantAllowBlockListSpoofItems

В этом примере возвращаются все записи о разрешённых подменённых отправителях, относящиеся к внутренним.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

В этом примере возвращаются все заблокированные записи о поддельных отправителях, относящихся к внешним.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListSpoofItems.

Использование портала Microsoft Defender для изменения записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

При изменении записи о разрешении или блокировке для поддельных отправителей в списке разрешений и блокировок организации можно изменить запись только с Разрешить на Блокировать или наоборот.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Перейдите на вкладку Подделанные отправители .

  3. Выберите запись в списке, установив флажок рядом с первым столбцом, а затем выберите действие Изменить, которое появится.

  4. Во всплывающем окне Изменение спуфинированного отправителя выберите Разрешить или Заблокировать, а затем нажмите кнопку Сохранить.

Использование PowerShell для изменения записей для поддельных отправителей в списке разрешенных и заблокированных клиентов

Чтобы изменить действие для существующей записи подмененного отправителя с Разрешить на Блокировать или наоборот, выполните следующую команду в среде Exchange Online PowerShell:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

В этом примере указанная запись о поддельном отправителе изменяется с разрешённой записи на запись в списке блокировки.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListSpoofItems.

Используйте портал Microsoft Defender для удаления записей для подделанных отправителей из списка разрешенных и заблокированных клиентов.

Чтобы удалить записи о подмененных отправителях из списка разрешений и блокировок клиента, выполните следующие действия.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Перейдите на вкладку Подделанные отправители .

  3. На вкладке Подменные отправители выберите запись в списке, установив флажок рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

    Совет

    Вы можете выбрать несколько записей, установив соответствующие флажки, или выбрать все записи, установив флажок рядом с заголовком столбца Подменённый пользователь.

  4. В открывшемся диалоговом окне предупреждения выберите Удалить.

Использование PowerShell для удаления записей для подделанных отправителей из списка разрешенных и заблокированных клиентов

Чтобы удалить существующие поддельные записи разрешений или блокировок отправителей из списка разрешений и блокировок арендатора по имени и идентификатору, выполните следующую команду в Exchange Online PowerShell:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

В этом примере удаляется указанный поддельный отправитель. Значение параметра Ids получают из свойства Identity в выводе команды Get-TenantAllowBlockListSpoofItems.

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListSpoofItems.

Синтаксис пары доменов для подделанных записей отправителя

Пара доменов для спуфинированного отправителя в списке разрешенных и заблокированных клиентов использует следующий синтаксис: <Spoofed user>, <Sending infrastructure>.

  • Подделанный пользователь. Это значение включает адрес электронной почты подделаного пользователя, отображаемый в поле From в почтовых клиентах. Этот адрес также называется адресом 5322.From отправителя или P2. Допустимыми являются следующие значения:

    • Отдельный адрес электронной почты (например, chris@contoso.com).
    • Домен электронной почты (например, contoso.com).
    • Подстановочный знак (*).
  • Инфраструктура отправки. Это значение указывает источник сообщений от подделаного пользователя. Допустимыми являются следующие значения:

    • Домен, найденный при обратном DNS-запросе (запись PTR) по IP-адресу почтового сервера-источника (например, fabrikam.com).
    • Если исходный IP-адрес не имеет записи PTR, отправляющая инфраструктура идентифицируется как <исходный IP-адрес> /24 (например, 192.168.100.100/24).
    • Проверенный домен DKIM.
    • Подстановочный знак (*).

    Совет

    Поддельные записи с адресом отправителя, использующие домены PTR-записей в инфраструктуре отправки, не работают, если не удаётся разрешить PTR-записи для домена. Для этих доменов используйте IP-адрес в качестве инфраструктуры отправки (например, 192.168.100.100/24).

Ниже приведены некоторые примеры допустимых пар доменов для идентификации подделанных отправителей.

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Примечание.

Можно указать подстановочные знаки в инфраструктуре отправки или в подделавленном пользователе, но не в обоих одновременно. Например, *, * запрещено.

Если вы используете домен вместо IP-адреса или диапазона IP-адресов в инфраструктуре отправки, домен должен соответствовать записи PTR для подключающегося IP-адреса в заголовке Authentication-Results . Вы можете определить PTR, выполнив команду : ping -a <IP address>. Мы также рекомендуем использовать домен организации PTR в качестве значения домена. Например, если PTR указывает на smtp.inbound.contoso.com, следует использовать contoso.com в качестве инфраструктуры для отправки.

Добавление пары доменов разрешает или блокирует только сочетание поддельного пользователя и инфраструктуры отправителя . Например, вы добавляете запись allow для следующей пары доменов:

  • Домен: gmail.com
  • Инфраструктура отправки: tms.mx.com

Подделать можно только сообщения из этого домена и пары отправляющей инфраструктуры. Другие отправители, пытающиеся подделать gmail.com, не допускаются. Система анализа спуфинга проверяет сообщения от отправителей из других доменов, поступающие с tms.mx.com.

Сведения о олицетворенных доменах или отправителях

Вы не можете создавать записи о разрешении в списке разрешений и блокировок клиента для сообщений, которые были определены как поддельные пользователи или поддельные домены политиками защиты от фишинга в Defender для Office 365.

Отправка сообщения, которое было ошибочно заблокировано как подмена, на вкладке Emails на странице Submissions по адресу https://security.microsoft.com/reportsubmission?viewid=email не добавляет отправителя или домен в качестве разрешающей записи в список разрешений и блокировок клиента (Tenant Allow/Block List).

Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.

Инструкции по отправке сведений о ложноположительных результатах для имитации см. в разделе Сообщить в Microsoft о безопасном сообщении электронной почты.

Примечание.

В настоящее время олицетворение пользователя (или графа) не выполняется отсюда.