Verwalten der Zulassungs-/Sperrliste des Mandanten

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer stimmen Sie der EOP-Filterbewertung möglicherweise nicht zu. Eine gute Nachricht kann z. B. als "schlecht" (falsch positiv) markiert werden, oder eine schlechte Nachricht wird möglicherweise durchgelassen (falsch negativ).

Mit der Mandanten-Zulassungs-/Sperrliste im Microsoft 365 Defender-Portal können Sie die Microsoft 365 Filterbewertungen manuell überschreiben. Die Zulassungs-/Sperrliste des Mandanten wird während des Nachrichtenflusses für eingehende Nachrichten (gilt nicht für organisationsinterne Nachrichten) und zum Zeitpunkt der Benutzerklicks verwendet. Sie können die folgenden Arten von Außerkraftsetzungen angeben:

  • Zu blockierenden URLs.
  • Zu blockierenden Dateien.
  • Zu blockierenden Absender-E-Mails oder Domänen.
  • Spoofed senders to allow or block. Wenn Sie die Zulassungs- oder Blockbewertung im Einblick in die Spoofintelligenz außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Blockeintrag, der nur auf der Registerkarte Spoof in der Zulassungs-/Sperrliste des Mandanten angezeigt wird. Sie können auch hier manuell Zulassungs- oder Blockeinträge für gefälschte Absender erstellen, bevor sie von spoofinter Intelligenz erkannt werden.
  • Zuzulassenden URLs.
  • Zuzulassenden Dateien.
  • Zuzulassenden E-Mails oder Domänen des Absenders.

In diesem Artikel wird beschrieben, wie Sie Einträge in der Mandanten-Zulassungs-/Sperrliste im Microsoft 365 Defender-Portal oder in PowerShell konfigurieren (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite " Mandanten-Zulassungs-/Sperrlisten " zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList.

  • Sie geben Dateien mithilfe des SHA256-Hashwerts der Datei an. Um den SHA256-Hashwert einer Datei in Windows zu finden, führen Sie den folgenden Befehl in einer Eingabeaufforderung aus:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    Ein Beispielwert ist 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perceptual Hash (pHash)-Werte werden nicht unterstützt.

  • Die verfügbaren URL-Werte werden in der URL-Syntax für den Abschnitt "Mandanten-Zulassungs-/Sperrliste " weiter unten in diesem Artikel beschrieben.

  • Die Zulassungs-/Sperrliste des Mandanten ermöglicht maximal 500 Einträge für Absender, 500 Einträge für URLs, 500 Einträge für Dateihashes und 1024 Einträge für Spoofing (gefälschte Absender).

  • Die maximale Anzahl von Zeichen für jeden Eintrag ist:

    • Dateihashes = 64
    • URL = 250
  • Ein Eintrag sollte innerhalb von 30 Minuten aktiv sein.

  • Standardmäßig laufen Einträge in der Mandanten-Zulassungs-/Sperrliste nach 30 Tagen ab. Sie können ein Datum angeben oder festlegen, dass es nie abläuft.

  • Informationen zum Herstellen einer Verbindung zu Exchange Online PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung zu einer eigenständigen EOP-PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online Protection-PowerShell.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Zum Hinzufügen und Entfernen von Einträgen aus der Mandanten-Zulassungs-/Sperrliste müssen Sie Mitglied einer der folgenden Rollengruppen sein:

      • Organisationsverwaltung (die Rolle des Sicherheitsadministrators ).
      • Sicherheitsadministrator (Die Rolle des Sicherheitsadministrators ).
      • Sicherheitsoperator (die Rolle " Tenant AllowBlockList Manager ").
    • Für den schreibgeschützten Zugriff auf die Zulassungs-/Sperrliste des Mandanten müssen Sie Mitglied einer der folgenden Rollengruppen sein:

      • Globale Rollengruppe "Leser ".
      • Rollengruppe "Sicherheitsleser ".
      • Rollengruppe "Nur-Ansichtskonfiguration" .

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweis

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.

Konfigurieren der Mandanten-Zulassungs-/Sperrliste

Das Microsoft 365 Defender-Portal verwenden

Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln > Bedrohungsrichtlinien>- Mandanten-Zulassungs-/Blocklisten im Abschnitt "Regeln". Um direkt zur Seite " Mandanten-Zulassungs-/Sperrlisten " zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList.

Informationen zum Hinzufügen aller Blöcke finden Sie unter Hinzufügen von Blöcken in der Mandanten-Zulassungs-/Blockliste.

Informationen zum Hinzufügen aller Zulässigen finden Sie unter "Zulassungen hinzufügen" in der Zulassungs-/Sperrliste des Mandanten.

Informationen zum Ändern und Entfernen aller Blöcke und Berechtigungen finden Sie unter "Ändern und Entfernen von Einträgen in der Mandanten-Zulassungs-/Blockliste".

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell

Informationen zum Verwalten aller Zulässigen und Blöcke finden Sie unter Hinzufügen von Blöcken in der Zulassungs-/Sperrliste des Mandanten, Hinzufügen von Berechtigungen in der Zulassungs-/Blockliste des Mandanten sowie Ändern und Entfernen von Einträgen in der Zulassungs-/Sperrliste des Mandanten.

Anzeigen von Einträgen in der Zulassungs-/Sperrliste des Mandanten

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln > Bedrohungsrichtlinien>- Mandanten-Zulassungs-/Blocklisten im Abschnitt "Regeln". Oder verwenden Sie https://security.microsoft.com/tenantAllowBlockList, um direkt zur Seite "Mandanten-Zulassungs-/Sperrlisten" zu wechseln.

  2. Wählen Sie die gewünschte Registerkarte aus. Die verfügbaren Spalten hängen von der ausgewählten Registerkarte ab:

    • Absender:
      • Wert: Die Absenderdomäne oder E-Mail-Adresse.
      • Aktion: Der Wert "Zulassen" oder "Blockieren".
      • Geändert von
      • Zuletzt aktualisiert
      • Entfernen am
      • Notizen
    • Spoofing
      • Gefälschter Benutzer
      • Senden der Infrastruktur
      • Spoof-Typ: Der Wert "Intern" oder " Extern".
      • Aktion: Der Wert "Blockieren " oder " Zulassen".
    • URLs:
      • Wert: Die URL.
      • Aktion: Der Wert "Zulassen" oder "Blockieren".
      • Geändert von
      • Zuletzt aktualisiert
      • Entfernen am
      • Notizen
    • Files
      • Wert: Der Dateihash.
      • Aktion: Der Wert "Zulassen" oder "Blockieren".
      • Geändert von
      • Zuletzt aktualisiert
      • Entfernen am
      • Notizen

    Sie können auf eine Spaltenüberschrift klicken, um in aufsteigender oder absteigender Reihenfolge zu sortieren.

    Sie können auf "Gruppieren" klicken, um die Ergebnisse zu gruppieren. Die verfügbaren Werte hängen von der ausgewählten Registerkarte ab:

    • Absender: Sie können die Ergebnisse nach Aktion gruppieren.
    • Spoofing: Sie können die Ergebnisse nach Aktions****- oder Spoofingtyp gruppieren.
    • URLs: Sie können die Ergebnisse nach Aktion gruppieren.
    • Dateien: Sie können die Ergebnisse nach Aktion gruppieren.

    Klicken Sie auf "Suchen", geben Sie einen Wert ganz oder teilweise ein, und drücken Sie dann die EINGABETASTE, um einen bestimmten Wert zu finden. Wenn Sie fertig sind, klicken Sie auf das Symbol "Suche löschen". Suche löschen.

    Klicken Sie auf "Filtern ", um die Ergebnisse zu filtern. Die Werte, die im angezeigten Filter-Flyout verfügbar sind, hängen von der ausgewählten Registerkarte ab:

    • Absender
      • Aktion
      • Nie ablaufen
      • Datum der letzten Aktualisierung
      • Entfernen am
    • Spoofing
      • Aktion
      • Spoof-Typ
    • Urls
      • Aktion
      • Nie ablaufen
      • Datum der letzten Aktualisierung
      • Entfernen am
    • Files
      • Aktion
      • Nie ablaufen
      • Zuletzt aktualisiert
      • Entfernen am

    Wenn Sie fertig sind, klicken Sie auf Anwenden. Klicken Sie zum Löschen vorhandener Filter auf "Filtern", und klicken Sie dann im angezeigten Filter-Flyout auf "Filter löschen".

  3. Klicken Sie nach Abschluss des Vorgangs auf Hinzufügen.

Anzeigen von Absender-, Datei- oder URL-Einträgen in der Mandanten-Zulassungs-/Sperrliste

Verwenden Sie zum Anzeigen von Einträgen für blockierte Absender, Dateien oder URLs in der Mandanten-Zulassungs-/Sperrliste die folgende Syntax:

Get-TenantAllowBlockListItems -ListType <Sender | FileHash | URL> [-Entry <SenderValue | FileHashValue | URLValue>] [<-ExpirationDate Date | -NoExpiration>]

In diesem Beispiel werden Informationen für den angegebenen Dateihashwert zurückgegeben.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

In diesem Beispiel werden alle blockierten URLs zurückgegeben.

Get-TenantAllowBlockListItems -ListType Url -Block

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListItems.

Anzeigen von gefälschten Absendereinträgen

Verwenden Sie die folgende Syntax, um gefälschte Absendereinträge in der Mandanten-Zulassungs-/Sperrliste anzuzeigen:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

In diesem Beispiel werden alle gefälschten Absendereinträge in der Mandanten-Zulassungs-/Sperrliste zurückgegeben.

Get-TenantAllowBlockListSpoofItems

In diesem Beispiel werden alle zulässigen einträge von gefälschten Absendern zurückgegeben, die intern sind.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

In diesem Beispiel werden alle blockierten spoofierten Absendereinträge zurückgegeben, die extern sind.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListSpoofItems.

URL-Syntax für die Mandanten-Zulassungs-/Sperrliste

  • IPv4- und IPv6-Adressen sind zulässig, TCP/UDP-Ports jedoch nicht.

  • Dateinamenerweiterungen sind nicht zulässig (z. B. test.pdf).

  • Unicode wird nicht unterstützt, Punycode jedoch.

  • Hostnamen sind zulässig, wenn alle folgenden Anweisungen zutreffen:

    • Der Hostname enthält einen Punkt.
    • Links neben dem Punkt befindet sich mindestens ein Zeichen.
    • Es gibt mindestens zwei Zeichen rechts neben dem Punkt.

    Ist z. t.co B. zulässig .com oder contoso. nicht zulässig.

  • Unterpfade werden nicht für Zulässige impliziert.

    Enthält z. B contoso.com . keine contoso.com/a.

  • Platzhalter (*) sind in den folgenden Szenarien zulässig:

    • Auf einen linken Platzhalter muss ein Punkt folgen, um eine Unterdomäne anzugeben. (gilt nur für Blöcke)

      Ist z. B. zulässig; *.contoso.com *contoso.com ist nicht zulässig.

    • Ein rechter Platzhalter muss einem Schrägstrich (/) folgen, um einen Pfad anzugeben.

      Ist z. contoso.com/* B. zulässig contoso.com* oder contoso.com/ab* nicht zulässig.

    • *.com* ist ungültig (keine auflösbare Domäne, und der rechte Platzhalter folgt keinem Schrägstrich).

    • Platzhalter sind in IP-Adressen nicht zulässig.

  • Das Tildezeichen (~) ist in den folgenden Szenarien verfügbar:

    • Eine linke Tilde impliziert eine Domäne und alle Unterdomänen.

      Beispiel ~contoso.com : includes contoso.com und *.contoso.com.

  • Ein Benutzername oder Kennwort wird nicht unterstützt oder ist nicht erforderlich.

  • Anführungszeichen (' oder ") sind ungültige Zeichen.

  • Eine URL sollte nach Möglichkeit alle Umleitungen enthalten.

URL-Eintragsszenarien

Gültige URL-Einträge und deren Ergebnisse werden in den folgenden Abschnitten beschrieben.

Szenario: Keine Platzhalter

Eintrag: contoso.com

Szenario: Linker Platzhalter (Subdomäne)

Hinweis

Dieses Szenario gilt nur für Blöcke.

Eintrag: *.contoso.com

Szenario: Rechter Platzhalter am Anfang des Pfads

Eintrag: contoso.com/a/*

  • Übereinstimmung zulassen und Übereinstimmung blockieren:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com
  • Nicht übereinstimmend zulassen und Block nicht übereinstimmen:

Szenario: Linke Tilde

Eintrag: ~contoso.com

  • Übereinstimmung zulassen und Übereinstimmung blockieren:

  • Nicht übereinstimmend zulassen und Block nicht übereinstimmen:

Szenario: Rechtes Platzhaltersuffix

Eintrag: contoso.com/*

  • Übereinstimmung zulassen und Übereinstimmung blockieren:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba
  • Nicht übereinstimmend zulassen und Block nicht übereinstimmen: contoso.com

Szenario: Linke Platzhalterunterdomäne und rechtes Platzhaltersuffix

Hinweis

Dieses Szenario gilt nur für Blöcke.

Eintrag: *.contoso.com/*

Szenario: Linke und rechte Tilde

Eintrag: ~contoso.com~

  • Übereinstimmung zulassen und Übereinstimmung blockieren:

  • Nicht übereinstimmend zulassen und Block nicht übereinstimmen:

    • 123contoso.com
    • contoso.org

Szenario: IP-Adresse

Eintrag: 1.2.3.4

  • Übereinstimmung zulassen und Übereinstimmung blockieren: 1.2.3.4

  • Nicht übereinstimmend zulassen und Block nicht übereinstimmen:

    • 1.2.3.4/a
    • 11.2.3.4/a

IP-Adresse mit rechtem Platzhalter

Eintrag: 1.2.3.4/*

  • Übereinstimmung zulassen und Übereinstimmung blockieren:

    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Beispiele für ungültige Einträge

Die folgenden Einträge sind ungültig:

  • Fehlende oder ungültige Domänenwerte:

    • Contoso
    • *.contoso.*
    • *.com
    • *.PDF
  • Platzhalter für Text oder ohne Leerzeichen:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*
  • IP-Adressen mit Ports:

    • contoso.com:443
    • abc.contoso.com:25
  • Nicht beschreibende Platzhalter:

    • *
    • *.*
  • Platzhalter für die Mitte:

    • conto*so.com
    • conto~so.com
  • Doppelte Platzhalter

    • contoso.com/**
    • contoso.com/*/*

Domänenpaarsyntax für gefälschte Absendereinträge in der Mandanten-Zulassungs-/Sperrliste

Ein Domänenpaar für einen gefälschten Absender in der Mandanten-Zulassungs-/Sperrliste verwendet die folgende Syntax: <Spoofed user>, <Sending infrastructure>.

  • Gefälschter Benutzer: Dieser Wert bezieht sich auf die E-Mail-Adresse des gefälschten Benutzers, der in E-Mail-Clients im Feld " Von " angezeigt wird. Diese Adresse wird auch als 5322.From Adresse bezeichnet. Gültige Werte sind:

    • Eine einzelne E-Mail-Adresse (z. B. chris@contoso.com).
    • Eine E-Mail-Domäne (z. B. contoso.com).
    • Das Platzhalterzeichen (z. B *. ).
  • Sendende Infrastruktur: Dieser Wert gibt die Quelle von Nachrichten des gefälschten Benutzers an. Gültige Werte sind:

    • Die Domäne, die in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers gefunden wurde (z. B. fabrikam.com).
    • Wenn die QUELL-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <source IP>/24 identifiziert (z. B. 192.168.100.100/24).

Hier sind einige Beispiele für gültige Domänenpaare zum Identifizieren von gefälschten Absendern:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Die maximale Anzahl von gefälschten Absendereinträgen beträgt 1000.

Das Hinzufügen eines Domänenpaars ermöglicht oder blockiert nur die Kombination des gefälschten Benutzers und der sendenden Infrastruktur. Es lässt weder E-Mails vom gefälschten Benutzer aus einer Quelle noch E-Mails aus der sendenden Infrastrukturquelle für Spoofed-Benutzer zu.

Sie fügen beispielsweise einen Zulassungseintrag für das folgende Domänenpaar hinzu:

  • Domäne: gmail.com
  • Infrastruktur: tms.mx.com

Nur Nachrichten aus dieser Domäne und das sendende Infrastrukturpaar dürfen spoofieren. Andere Absender, die versuchen, gmail.com zu spoofieren, sind nicht zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden durch Spoofintelligenz überprüft.

Was Sie erwarten können, nachdem Sie einen Zulassungs- oder Blockeintrag hinzugefügt haben

Nachdem Sie einen Zulassungseintrag über das Übermittlungsportal oder einen Blockeintrag in der Mandanten-Zulassungs-/Blockliste hinzugefügt haben, sollte der Eintrag sofort funktionieren.

Es wird empfohlen, Einträge nach 30 Tagen automatisch ablaufen zu lassen, um festzustellen, ob das System über das Zulassen oder Blockieren informiert ist. Wenn nicht, sollten Sie einen weiteren Eintrag machen, um dem System weitere 30 Tage zum Lernen zu geben.