Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wichtig

Um Phishing-URLs zuzulassen, die Teil des Angriffssimulationstrainings von Drittanbietern sind, verwenden Sie die erweiterte Übermittlungskonfiguration , um die URLs anzugeben. Verwenden Sie nicht die Zulassungs-/Sperrliste des Mandanten.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection-Organisationen (EOP) ohne Exchange Online Postfächer können Sie dem EOP oder Microsoft Defender for Office 365 Filterbewertung. Beispielsweise kann eine gute Nachricht als schlecht (falsch positiv) markiert werden, oder eine ungültige Nachricht kann durch zugelassen werden (falsch negativ).

Mit der Mandanten-Zulassungs-/Sperrliste im Microsoft Defender-Portal können Sie die Defender for Office 365- oder EOP-Filterbewertungen manuell überschreiben. Die Liste wird während des Nachrichtenflusses für eingehende Nachrichten von externen Absendern verwendet.

Die Mandanten-Zulassungs-/Sperrliste gilt nicht für interne Nachrichten innerhalb des organization. Blockieren von Einträgen für Domänen und E-Mail-Adressen verhindern jedoch, dass Benutzer im organization E-Mails an diese blockierten Domänen und Adressen senden.

Die Liste "Mandanten zulassen/blockieren" finden Sie im Microsoft Defender-Portal unter https://security.microsoft.com>Richtlinien & Regeln>Bedrohungsrichtlinien>Mandanten zulassen/blockieren Listen im Abschnitt Regeln. Um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList.

Anweisungen zur Verwendung und Konfiguration finden Sie in den folgenden Artikeln:

• Domänen und E-Mail-Adressen und gefälschte Absender: Zulassen oder Blockieren von E-Mails mithilfe der Mandanten-Zulassungs-/Sperrliste
• Dateien: Zulassen oder Blockieren von Dateien mithilfe der Mandanten-Zulassungs-/Sperrliste
• URLs: Zulassen oder Blockieren von URLs mithilfe der Mandanten-Zulassungs-/Sperrliste.

Diese Artikel enthalten Prozeduren im Microsoft Defender-Portal und in PowerShell.

Blockieren von Einträgen in der Zulassungs-/Sperrliste für Mandanten

Hinweis

In der Mandanten-Zulassungs-/Sperrliste haben Blockeinträge Vorrang vor Zulassungseinträgen.

Verwenden Sie die Seite Übermittlungen (auch als Administratorübermittlung bezeichnet), https://security.microsoft.com/reportsubmission um Blockeinträge für die folgenden Arten von Elementen zu erstellen, wenn Sie diese als falsch negative Werte an Microsoft melden:

• Domänen und E-Mail-Adressen:

  • Email Nachrichten von diesen Absendern werden als Phishing mit hoher Zuverlässigkeit gekennzeichnet und dann in Quarantäne verschoben.
  • Benutzer im organization können keine E-Mails an diese blockierten Domänen und Adressen senden. Sie erhalten den folgenden Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

  Tipp

  Um nur Spam von einem bestimmten Absender zu blockieren, fügen Sie die E-Mail-Adresse oder Domäne der Sperrliste in Antispamrichtlinien hinzu. Um alle E-Mails des Absenders zu blockieren, verwenden Sie Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten.

• Dateien: Email Nachrichten, die diese blockierten Dateien enthalten, werden als Schadsoftware blockiert. Nachrichten, die die blockierten Dateien enthalten, werden unter Quarantäne gesetzt.

• URLs: Email Nachrichten, die diese blockierten URLs enthalten, werden als Phishing mit hoher Zuverlässigkeit blockiert. Nachrichten, die die blockierten URLs enthalten, werden unter Quarantäne gesetzt.

In der Mandanten-Zulassungs-/Sperrliste können Sie auch direkt Blockeinträge für die folgenden Arten von Elementen erstellen:

• Domänen und E-Mail-Adressen, Dateien und URLs.

• Gefälschte Absender: Wenn Sie eine vorhandene Zulassungsbewertung von Spoofintelligenz manuell außer Kraft setzen, wird der blockierte spoofierte Absender zu einem manuellen Blockeintrag, der nur auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt wird.

Standardmäßig laufen Sperreinträge für Domänen und E-Mail-Adressen, Dateien und URLs nach 30 Tagen ab, aber Sie können festlegen, dass sie bis zu 90 Tage oder nie ablaufen. Blockieren von Einträgen für gefälschte Absender läuft nie ab.

Zulassungseinträge in der Zulassungs-/Sperrliste für Mandanten

In den meisten Fällen können Sie Zulassungseinträge nicht direkt in der Mandanten-Zulassungs-/Sperrliste erstellen:

• Domänen und E-Mail-Adressen, Dateien und URLs: Sie können zulassungsfähige Einträge nicht direkt in der Zulassungs-/Sperrliste des Mandanten erstellen. Verwenden Sie stattdessen die Seite Übermittlungen unter https://security.microsoft.com/reportsubmission , um die E-Mail, E-Mail-Anlage oder URL an Microsoft als Nicht blockiert (Falsch positiv) zu melden.

• Gefälschte Absender:

  • Wenn Die Spoofintelligenz die Nachricht bereits als Spoofing blockiert hat, verwenden Sie die Seite Übermittlungen unter https://security.microsoft.com/reportsubmission , um die E-Mail an Microsoft als Sollte nicht blockiert worden sein (Falsch positiv) zu melden.
  • Sie können proaktiv einen Zulassungseintrag für einen gefälschten Absender auf der Registerkarte Spoofed Sender in der Mandantenliste zulassen/blockieren erstellen, bevor spoof intelligence die Nachricht als Spoofing identifiziert und blockiert.

In der folgenden Liste wird beschrieben, was in der Zulassungs-/Sperrliste für Mandanten geschieht, wenn Sie Etwas an Microsoft auf der Seite Übermittlungen als falsch positiv melden:

• Email Anlagen und URLs: Ein Zulassungseintrag wird erstellt, und der Eintrag wird auf der Registerkarte Dateien oder URLs in der Zulassungs-/Sperrliste des Mandanten angezeigt.

  Für URLs, die als falsch positive Werte gemeldet werden, lassen wir nachfolgende Nachrichten zu, die Variationen der ursprünglichen URL enthalten. Beispielsweise verwenden Sie die Seite Übermittlungen , um die falsch blockierte URL www.contoso.com/abczu melden. Wenn Ihr organization später eine Nachricht empfängt, die die URL enthält (z. Bwww.contoso.com/abcwww.contoso.com/abc?id=1. , , www.contoso.com/abc/def/gty/uyt?id=5, oder www.contoso.com/abc/whatever), wird die Nachricht nicht basierend auf der URL blockiert. Anders ausgedrückt: Sie müssen microsoft nicht mehrere Varianten derselben URL melden.

• Email: Wenn eine Nachricht vom EOP- oder Defender for Office 365 Filterstapel blockiert wurde, kann ein Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten erstellt werden:

  • Wenn die Nachricht durch Spoofintelligenz blockiert wurde, wird ein Zulassungseintrag für den Absender erstellt, und der Eintrag wird auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt.
  • Wenn die Nachricht in Defender for Office 365 durch benutzer- oder graphischen Identitätswechsel blockiert wurde, wird in der Zulassungs-/Sperrliste des Mandanten kein Zulassungseintrag erstellt. Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.
  • Wenn die Nachricht aufgrund dateibasierter Filter blockiert wurde, wird ein Zulassungseintrag für die Datei erstellt, und der Eintrag wird auf der Registerkarte Dateien in der Mandanten-Zulassungs-/Sperrliste angezeigt.
  • Wenn die Nachricht aufgrund von URL-basierten Filtern blockiert wurde, wird ein Zulassungseintrag für die URL erstellt, und der Eintrag wird auf der Registerkarte URL in der Mandanten-Zulassungs-/Sperrliste angezeigt.
  • Wenn die Nachricht aus einem anderen Grund blockiert wurde, wird ein Zulassungseintrag für die Absender-E-Mail-Adresse oder Domäne erstellt, und der Eintrag wird auf der Registerkarte Domänen & Adressen in der Zulassungs-/Sperrliste des Mandanten angezeigt.
  • Wenn die Nachricht aufgrund von Filterung nicht blockiert wurde, werden keine Zulassungseinträge erstellt.

Standardmäßig sind Einträge für Domänen und E-Mail-Adressen, Dateien und URLs 30 Tage lang vorhanden. Während dieser 30 Tage lernt Microsoft aus den Zulassungseinträgen und entfernt sie oder erweitert sie automatisch. Nachdem Microsoft aus den entfernten Zulassungseinträgen gelernt hat, werden Nachrichten, die diese Entitäten enthalten, übermittelt, es sei denn, etwas anderes in der Nachricht wird als böswillig erkannt. Standardmäßig dürfen Einträge für gefälschte Absender nie ablaufen.

Wichtig

Microsoft erlaubt ihnen nicht, Zulassungseinträge direkt zu erstellen. Unnötige Zulassungseinträge machen Ihre organization schädlichen E-Mails aus, die vom System hätte gefiltert werden können.

Microsoft verwaltet die Erstellung von Zulassungseinträgen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission. Zulassungseinträge werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als böswillig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als ungültig ermittelt wurden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.

Wenn die Entität erneut gefunden wird (während des Nachrichtenflusses oder beim Klicken), werden alle filter, die dieser Entität zugeordnet sind, übersprungen.

Wenn Nachrichten, die die zulässige Entität enthalten, während des Nachrichtenflusses andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten übermittelt. Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen, URL-Filterung und Dateifilterung besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt.

Was Sie nach dem Hinzufügen eines Zulassungs- oder Sperreintrags erwarten können

Nachdem Sie einen Zulassungseintrag auf der Seite Übermittlungen oder einen Blockeintrag in der Mandanten-Zulassungs-/Sperrliste hinzugefügt haben, sollte der Eintrag sofort (innerhalb von 5 Minuten) funktionieren.

Wenn Microsoft aus dem Allow-Eintrag gelernt hat, wird der Eintrag entfernt. Sie erhalten eine Warnung über das Entfernen des eintrags jetzt nicht mehr benötigte Zulassung aus der integrierten Warnungsrichtlinie mit dem Namen Entfernen eines Eintrags in der Zulassungs-/Sperrliste für Mandanten.