ניהול של מאפשרים וחסימה ברשימת החסימה/התרת הדיירים

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

חשוב

כדי לאפשר כתובות URL של דיוג שהם חלק מהדרכה להדמיית תקיפה של ספקים חיצוניים, השתמש בתצורה המתקדמות למסירה כדי לציין את כתובות ה- URL. אל תשתמש ברשימת התרה/חסימה של דייר.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, ייתכן שלא תסכים עם EOP או Microsoft Defender עבור Office 365 את גזר הדין. לדוגמה, הודעה טובה עשויה להיות מסומנת כהודעה שגויה (חיובית מוטעית), או שהודעה שגויה עשויה להיות מותרת (שלילית מוטעית).

רשימת הרשיות/חסימות הדיירים בפורטל Microsoft Defender מספקת לך דרך לעקוף באופן ידני את קביעת Defender עבור Office 365 או EOP. הרשימה משמשת במהלך זרימת דואר עבור הודעות נכנסות משולחים חיצוניים.

רשימת התרה/חסימה של דייר אינה חלה על הודעות פנימיות בתוך הארגון. עם זאת, חסום ערכים עבור תחומים וכתובות דואר אלקטרוני מנע ממשתמשים בארגון לשלוח דואר אלקטרוני לתחום ולכתובות חסומים אלה.

הרשימה 'התרה/חסימה של דייר' זמינה בפורטל Microsoft Defender https://security.microsoft.com> של מדיניות &>> כללי מדיניות איומים של דיירים אפשר/חסימהשל דיירים רשימות במקטע כללים. כדי לעבור ישירות אל הדף 'אפשר/חסום רשימות דייר', השתמש ב- https://security.microsoft.com/tenantAllowBlockList.

לקבלת הוראות שימוש ותצורה, עיין במאמרים הבאים:

• תחומים וכתובות דואר אלקטרוני ושולחיםהתחזים: אפשר או חסום הודעות דואר אלקטרוני באמצעות רשימת הדיירים המותרים/החסומים
• קבצים: אפשר או חסום קבצים באמצעות רשימת התרה/חסימה של דייר
• כתובות URL: אפשר או חסום כתובות URL באמצעות רשימת התרה/חסימה של דייר.

מאמרים אלה מכילים הליכים בפורטל Microsoft Defender וב- PowerShell.

חסימת ערכים ברשימת החסימה/התרה/חסימה של דייר

הערה

ברשימת התרה/חסימה של דייר, ערכי חסימה מקבלים קדימות על-פני ערכי התרה.

השתמש בדף 'שליחות ' (המכונה גם שליחת מנהל מערכת) ב https://security.microsoft.com/reportsubmission - כדי ליצור ערכי חסימה עבור סוגי הפריטים הבאים כאשר אתה מדווח עליהם כפריטים שליליים מוטעים ל- Microsoft:

• תחומים וכתובות דואר אלקטרוני:

  • הודעות דואר אלקטרוני משולחים אלה מסומנות כהודעת דיוג ברמת מהימנות גבוהה ולאחר מכן מועברות להסגר.
  • משתמשים בארגון אינם יכולים לשלוח דואר אלקטרוני לקבוצות מחשבים וכתובות חסומות אלה. הם מקבלים את דוח אי-המסירה הבא (המכונה גם הודעת NDR או הודעת החזרה): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. ההודעה כולה חסומה עבור כל הנמענים הפנימיים וההחיצונית של ההודעה, גם אם רק כתובת דואר אלקטרוני או תחום אחד של נמען מוגדרים בערך בלוק.

  עצה

  כדי לחסום רק דואר זבל משולח מסוים, הוסף את כתובת הדואר האלקטרוני או התחום לרשימת החסומים במדיניות למניעת דואר זבל. כדי לחסום את כל הדואר האלקטרוני מהשולח, השתמש ב'תחומים' ובכתובות דואר אלקטרוני ברשימת הדיירים המותרים/החסומים.

• קבצים: הודעות דואר אלקטרוני המכילות קבצים חסומים אלה נחסמות כתוכנות זדוניות. הודעות המכילות את הקבצים החסומים נמצאות בהסגר.

• כתובות URL: הודעות דואר אלקטרוני המכילות כתובות URL חסומות אלה נחסמות כהודעת דיוג ברמת מהימנות גבוהה. הודעות המכילות את כתובות ה- URL החסומים נמצאות בהסגר.

ברשימת התרה/חסימה של דייר, באפשרותך גם ליצור ערכי חסימה ישירות עבור סוגי הפריטים הבאים:

• תחומים וכתובות דואר אלקטרוני, קבציםוכתובות URL.

• שולחים התחזות: אם אתה עוקף באופן ידני קביעת דין קיימת המאפשרת קביעת דין של בינת התחזות, השולח התחזות החסומים הופך לערך חסימה ידני שמופיע רק בכרטיסיה שולחים התחזים ברשימת התרה/חסימה של דייר.

כברירת מחדל, התוקף של ערכים עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL פג לאחר 30 יום, אך באפשרותך להגדיר שתוקפן יפוג 90 יום או לא לפוג אף פעם. התוקף של חסימת ערכים עבור שולחים התחזים לעולם לא יפוג.

אפשר ערכים ברשימת התרה/חסימה של דייר

ברוב המקרים, לא ניתן ליצור באופן ישיר ערכי הרשאה ברשימת ההתקנים/חסימות הדיירים:

• תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL: לא ניתן ליצור ערכי התרה ישירות ברשימת התרה/חסימה של דייר. במקום זאת, אתה משתמש בדף 'שליחות' של כדי https://security.microsoft.com/reportsubmission לדווח על הדואר האלקטרוני, הקובץ המצורף לדואר האלקטרוני או כתובת ה- URL ל- Microsoft, כפי שלא היה אמור להיחסם (חיובית מוטעית).

• שולחים התחזים:

  • אם בינת התחזות כבר חסמה את ההודעה כהתזות, https://security.microsoft.com/reportsubmission השתמש בדף 'הגשות' ב- כדי לדווח ל- Microsoft על הדואר האלקטרוני כפי שלא היה אמור להיחסם (חיובי באופן מוטעה).
  • באפשרותך ליצור באופן יזום ערך אפשר עבור שולח התחזות בכרטיסיה שולח התחזות ברשימת התר/חסימת דיירים לפני שבינת התחזות מזהה וחוסם את ההודעה כהתזה.

הרשימה הבאה מתארת מה קורה ברשימת 'אפשר/חסימות דיירים' כאשר אתה מדווח ל- Microsoft על משהו כתוצאה חיובית מוטעית בדף 'שליחות ':

• קבצים מצורפים לדואראלקטרוני וכתובות URL: נוצר ערך אפשר והערך מופיע בכרטיסיה קבצים או כתובות URL ברשימת התרה/חסימה של דיירים בהתאמה.

  עבור כתובות URL שדווחו כתוצאה חיובית מוטעית, נאפשר הודעות עוקבות המכילות וריאציות של כתובת ה- URL המקורית. לדוגמה, השתמש בדף 'שליחה ' כדי לדווח על כתובת ה- URL החסומים באופן שגוי www.contoso.com/abc. אם הארגון שלך יקבל מאוחר יותר הודעה המכילה את כתובת ה- URL (לדוגמה, אך לא מוגבלת ל: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5או www.contoso.com/abc/whatever), ההודעה לא תיחסם בהתבסס על כתובת ה- URL. במילים אחרות, אין צורך לדווח על וריאציות מרובות של אותה כתובת URL כמו טובה ל- Microsoft.

• דואר אלקטרוני: אם הודעה נחסמה על-ידי EOP או Defender עבור Office 365 סינון, ייתכן שייווצר ערך אפשר ברשימת התרה/חסימה של דייר:

  • אם ההודעה נחסמה על-ידי בינת התחזות, נוצר ערך אפשר עבור השולח והערך מופיע בכרטיסיה שולחים התחזים ברשימת הדיירים המותרים/החסומים.
  • אם ההודעה נחסמה על-ידי הגנת התחזות של המשתמש (או הגרף) ב- Defender עבור Office 365, ערך אפשר אינו נוצר ברשימת התחזות/חסימה של הדייר. במקום זאת, התחום או השולח נוסף למקטע שולחים ותחום מהימנים במדיניות למניעת דיוג שזיהתה את ההודעה.
  • אם ההודעה נחסמה עקב מסננים מבוססי-קובץ, נוצר ערך אפשר עבור הקובץ והערך מופיע בכרטיסיה קבצים ברשימת התרה/חסימה של דייר.
  • אם ההודעה נחסמה עקב מסננים מבוססי-URL, נוצר ערך אפשר עבור כתובת ה- URL, והערך מופיע בכרטיסיה כתובת URL ברשימת הדיירים אפשר/חסום.
  • אם ההודעה נחסמה מסיבה אחרת, נוצר ערך אפשר עבור כתובת הדואר האלקטרוני או התחום של השולח, והערך מופיע בכרטיסיה תחומים וכתובות & ב'רשימת התרה/חסימה של דייר'.
  • אם ההודעה לא נחסמה עקב סינון, לא ייווצרו ערכי התרה במקום כלשהו.

כברירת מחדל, אפשר ערכים עבור תחומים וכתובות דואר אלקטרוני, קבצים וכתובות URL קיימים במשך 30 יום. במהלך 30 יום אלה, Microsoft לומדת מתוך ערכי 'אפשר' ומסירה אותם או מררחבת אותם באופן אוטומטי. לאחר ש- Microsoft לומדת מהערכים שהוסרו, הודעות המכילות ישויות אלה יישלחו, אלא אם כן משהו אחר בהודעה זוהה כברירת זדונית. כברירת מחדל, תוקף התרת ערכים עבור שולחים התחזים לעולם לא יפוג.

חשוב

Microsoft אינה מאפשרת לך ליצור ערכים מותרים ישירות. ערכים שאינם נחוצים מאפשרים לחשוף את הארגון שלך לדואר אלקטרוני זדוני שמערכת יכולה לסנן.

Microsoft מנהלת את היצירה של ערכי התרה מהדף 'שליחות ' בכתובת https://security.microsoft.com/reportsubmission. הערכים 'אפשר' מתווספים במהלך זרימת דואר בהתבסס על המסננים שקבעו שההודעה היתה זדונית. לדוגמה, אם כתובת הדואר האלקטרוני של השולח וכתובת URL בהודעה נקבעו כהודעות שגויות, נוצר ערך היתר עבור השולח (כתובת הדואר האלקטרוני או התחום) וכתובת ה- URL.

כאשר הישות תיתקל שוב (במהלך זרימת דואר או בזמן לחיצה), המערכת תדלג על כל המסננים המשויכים לישות זו.

במהלך זרימת דואר, אם הודעות המכילות את הישות המותרת מעבירות את ההבדקות האחרות במחסנית הסינון, ההודעות יישלחו. לדוגמה, אם הודעה עוברת בדיקות אימות דואר אלקטרוני, סינון כתובות URL וסינון קבצים, תועבר הודעה מכתובת דואר אלקטרוני מותרת של השולח.

למה לצפות לאחר הוספת ערך אפשר או בלוק

לאחר הוספת ערך אפשר בדף 'הגשות' או ערך בלוק ברשימת 'אפשר/חסימת דיירים', הערך אמור להתחיל לעבוד באופן מיידי (תוך 5 דקות).

אם Microsoft למדה מערך אפשר, הערך יוסר. תקבל התראה על הסרת הערך 'אפשר כעת' מיותר ממדיניות ההתראה המוכללת בשם 'הוסר ערך ברשימת התרה/חסימה של דייר'.