E-mail toestaan of blokkeren met behulp van de lijst met toestaan/blokkeren van tenants

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, kunnen beheerders vermeldingen maken en beheren voor domeinen en e-mailadressen (inclusief vervalste afzenders) in de lijst Tenant toestaan/blokkeren. Zie Toestaan en blokkeren beheren in de lijst Tenant toestaan/blokkeren voor meer informatie over de lijst Met toestaan/blokkeren van tenants.

In dit artikel wordt beschreven hoe beheerders vermeldingen voor afzenders van e-mail kunnen beheren in de Microsoft Defender-portal en in Exchange Online PowerShell.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten wilt gaan, gebruikt u https://security.microsoft.com/tenantAllowBlockList. Als u rechtstreeks naar de pagina Inzendingen wilt gaan, gebruikt u https://security.microsoft.com/reportsubmission.

  • Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

  • Invoerlimieten voor domeinen en e-mailadressen:

    • Exchange Online Protection: Het maximum aantal toegestane vermeldingen is 500 en het maximum aantal blokvermeldingen is 500 (in totaal 1000 domein- en e-mailadresvermeldingen).
    • Defender voor Office 365 Abonnement 1: Het maximum aantal toegestane vermeldingen is 1000 en het maximum aantal blokvermeldingen is 1000 (in totaal 2000 domein- en e-mailadresvermeldingen).
    • Defender voor Office 365 Abonnement 2: Het maximum aantal toegestane vermeldingen is 5000 en het maximum aantal blokvermeldingen is 10000 (in totaal 15000 domein- en e-mailadresvermeldingen).

  • Voor vervalste afzenders is het maximum aantal toegestane vermeldingen en blokvermeldingen 1024 (1024 vermeldingen toestaan en geen blokvermeldingen, 512 vermeldingen toestaan en 512 blokvermeldingen, enzovoort).

  • Vermeldingen voor vervalste afzenders verlopen nooit.

  • Zie de sectie Domain pair syntax for spoofed sender entries verderop in dit artikel voor meer informatie over de syntaxis voor vervalste afzender vermeldingen.

  • Een vermelding moet binnen 5 minuten actief zijn.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell): Autorisatie en instellingen/Beveiligingsinstellingen/Beveiligingsinstellingen/Detectie afstemmen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
    • Exchange Online machtigingen:
      • Vermeldingen toevoegen en verwijderen uit de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rolgroepen:
        • Organisatiebeheer of Beveiligingsbeheerder (rol beveiligingsbeheerder).
        • Beveiligingsoperator (Tenant AllowBlockList Manager).
      • Alleen-lezentoegang tot de lijst Tenant toestaan/blokkeren: Lidmaatschap in een van de volgende rollengroepen:
        • Globale lezer
        • Beveiligingslezer
        • Configuratie alleen weergeven
        • Organisatiebeheer alleen weergeven
    • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

Domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren

Creatie vermeldingen voor domeinen en e-mailadressen toestaan

U kunt geen toegestane vermeldingen maken voor domeinen en e-mailadressen rechtstreeks in de lijst Tenant toestaan/blokkeren. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem zou zijn gefilterd.

In plaats daarvan gebruikt u het tabblad E-mailberichten op de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=email. Wanneer u een geblokkeerd bericht indient als Moet niet zijn geblokkeerd (fout-positief), wordt een vermelding voor toestaan voor de afzender toegevoegd aan het tabblad Domeinen & e-mailadressen op de pagina Tenant toestaan/blokkeren Lijsten. Zie Goede e-mail verzenden naar Microsoft voor instructies.

Opmerking

Vermeldingen toestaan worden toegevoegd op basis van de filters die hebben vastgesteld dat het bericht schadelijk was tijdens de e-mailstroom. Als bijvoorbeeld het e-mailadres van de afzender en een URL in het bericht als ongeldig zijn vastgesteld, wordt een toegestane vermelding gemaakt voor de afzender (e-mailadres of domein) en de URL.

Wanneer de entiteit in de vermelding Toestaan opnieuw wordt aangetroffen (tijdens de e-mailstroom of tijdens het klikken), worden alle filters die aan die entiteit zijn gekoppeld, overschreven.

Standaard bestaan toegestane vermeldingen voor domeinen en e-mailadressen gedurende 30 dagen. Gedurende deze 30 dagen leert Microsoft van de toegestane vermeldingen en verwijdert ze of breidt ze automatisch uit. Nadat Microsoft kennis heeft genomen van de verwijderde toegestane vermeldingen, worden berichten die deze entiteiten bevatten bezorgd, tenzij iets anders in het bericht wordt gedetecteerd als schadelijk.

Als tijdens de e-mailstroom berichten met de toegestane entiteit door andere controles in de filterstack komen, worden de berichten bezorgd. Als een bericht bijvoorbeeld slaagt voor e-mailverificatie, URL-filtering en bestandsfiltering, wordt het bericht bezorgd als het ook afkomstig is van een toegestane afzender.

Creatie vermeldingen voor domeinen en e-mailadressen blokkeren

Gebruik een van de volgende methoden om blokvermeldingen voor domeinen en e-mailadressen te maken:

  • Ga naar het tabblad E-mailberichten op de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=email. Wanneer u een bericht verzendt als Moet zijn geblokkeerd (fout-negatief), kunt u Alle e-mailberichten van deze afzender of dit domein blokkeren selecteren om een blokvermelding toe te voegen aan het tabblad Domeinen & e-mailadressen op de pagina Tenant toestaan/blokkeren Lijsten. Zie Twijfelachtige e-mail rapporteren aan Microsoft voor instructies.

  • Ga naar het tabblad Domeinen & adressen op de pagina Tenant toestaan/blokkeren Lijsten of in PowerShell, zoals beschreven in deze sectie.

Als u blokvermeldingen wilt maken voor vervalste afzenders, raadpleegtu deze sectie verderop in dit artikel.

Email van deze geblokkeerde afzenders wordt gemarkeerd als phishing met hoge betrouwbaarheid en in quarantaine geplaatst.

Opmerking

Momenteel worden subdomeinen van het opgegeven domein niet geblokkeerd. Als u bijvoorbeeld een blokkeringsvermelding maakt voor e-mail van contoso.com, wordt e-mail van marketing.contoso.com niet ook geblokkeerd. U moet een afzonderlijke blokvermelding maken voor marketing.contoso.com.

Gebruikers in de organisatie kunnen ook geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Het bericht wordt geretourneerd in het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.

Gebruik de Microsoft Defender-portal om blokvermeldingen te maken voor domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Controleer op de pagina Tenant toestaan/blokkeren Lijsten of het tabblad Domeinen & adressen is geselecteerd.

  3. Selecteer op het tabblad Domeinen & adressen de optie Blokkeren.

  4. Configureer in de flyout Domeinen blokkeren & adressen die wordt geopend de volgende instellingen:

    • Domeinen & adressen: voer één e-mailadres of domein per regel in, maximaal 20.

    • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:

      • 1 dag
      • 7 dagen
      • 30 dagen (standaard)
      • Nooit verlopen
      • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.

    • Optionele opmerking: voer beschrijvende tekst in waarom u de e-mailadressen of domeinen blokkeert.

  5. Wanneer u klaar bent in de flyout Domeinen blokkeren & adressen , selecteert u Toevoegen.

Terug op het tabblad Domeinen & e-mailadressen wordt de vermelding weergegeven.

PowerShell gebruiken om blokvermeldingen te maken voor domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In dit voorbeeld wordt een blokvermelding toegevoegd voor het opgegeven e-mailadres dat op een specifieke datum verloopt.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Zie New-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor domeinen en e-mailadressen weer te geven in de lijst Tenant toestaan/blokkeren

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Beleidsregels & regels>Bedreigingsbeleid>Tenant toestaan/blokkeren Lijsten in de sectie Regels. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

Controleer of het tabblad Domeinen & adressen is geselecteerd.

Op het tabblad Domeinen & adressen kunt u de vermeldingen sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:

  • Waarde: het domein of e-mailadres.
  • Actie: de waarde Toestaan of Blokkeren.
  • Gewijzigd door
  • Laatst bijgewerkt
  • Verwijderen op: de vervaldatum.
  • Opmerkingen

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Actie: De waarden zijn Toestaan en Blokkeren.
  • Verloopt nooit: of
  • Laatst bijgewerkt: selecteer Datums Van en Tot .
  • Verwijderen op: selecteer datums Van en Tot .

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke vermeldingen te zoeken.

Als u de vermeldingen wilt groepeer, selecteert u Groep en vervolgens Actie. Als u de groepering van de vermeldingen wilt opheffen, selecteert u Geen.

PowerShell gebruiken om vermeldingen voor domeinen en e-mailadressen weer te geven in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

In dit voorbeeld worden alle toegestane en blokkeringsvermeldingen voor domeinen en e-mailadressen geretourneerd.

Get-TenantAllowBlockListItems -ListType Sender

In dit voorbeeld worden de resultaten gefilterd voor blokvermeldingen voor domeinen en e-mailadressen.

Get-TenantAllowBlockListItems -ListType Sender -Block

Zie Get-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren te wijzigen

In bestaande domein- en e-mailadresvermeldingen kunt u de vervaldatum en notitie wijzigen.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Controleer of het tabblad Domeinen & adressen is geselecteerd.

  3. Selecteer op het tabblad Domeinen & adressen de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en selecteer vervolgens de actie Bewerken die wordt weergegeven.

  4. In de flyout Domeinen & adressen bewerken die wordt geopend, zijn de volgende instellingen beschikbaar:

    • Vermeldingen blokkeren:
      • Blokvermelding verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • Nooit verlopen
        • Specifieke datum: De maximumwaarde is 90 dagen vanaf vandaag.
      • Optionele opmerking
    • Vermeldingen toestaan:
      • Vermelding toestaan verwijderen na: Selecteer uit de volgende waarden:
        • 1 dag
        • 7 dagen
        • 30 dagen
        • Specifieke datum: De maximumwaarde is 30 dagen vanaf vandaag.
      • Optionele opmerking

    Wanneer u klaar bent in de flyout Domeinen & adressen bewerken , selecteert u Opslaan.

Tip

In de flyout details van een item op het tabblad Domeinen & adressen gebruikt u Inzending weergeven boven aan de flyout om naar de details van het bijbehorende item op de pagina Inzendingen te gaan. Deze actie is beschikbaar als een inzending verantwoordelijk was voor het maken van de vermelding in de lijst Tenant toestaan/blokkeren.

PowerShell gebruiken om vermeldingen te wijzigen voor domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In dit voorbeeld wordt de vervaldatum van de opgegeven blokvermelding voor het e-mailadres van de afzender gewijzigd.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Zie Set-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender portal om vermeldingen voor domeinen en e-mailadressen te verwijderen uit de lijst Voor toestaan/blokkeren van tenants

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Controleer of het tabblad Domeinen & adressen is geselecteerd.

  3. Voer een van de volgende stappen uit op het tabblad Domeinen & adressen :

    • Selecteer de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en selecteer vervolgens de actie Verwijderen die wordt weergegeven.

    • Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken. Selecteer in de flyout details die wordt geopend de optie Verwijderen boven aan de flyout.

      Tip

      • Als u details over andere vermeldingen wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.
      • U kunt meerdere vermeldingen selecteren door elk selectievakje in te schakelen of alle vermeldingen te selecteren door het selectievakje naast de kolomkop Waarde in te schakelen.

  4. Selecteer Verwijderen in het waarschuwingsdialoogvenster dat wordt geopend.

Terug op het tabblad Domeinen &-adressen wordt de vermelding niet meer weergegeven.

PowerShell gebruiken om vermeldingen voor domeinen en e-mailadressen te verwijderen uit de lijst Voor toestaan/blokkeren van tenants

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

In dit voorbeeld wordt de opgegeven vermelding voor domeinen en e-mailadressen verwijderd uit de lijst Tenant toestaan/blokkeren.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Zie Remove-TenantAllowBlockListItems voor gedetailleerde syntaxis- en parameterinformatie.

Vervalste afzenders in de lijst Tenant toestaan/blokkeren

Wanneer u de uitspraak in het inzicht in spoof intelligence overschrijft, wordt de vervalste afzender een handmatige vermelding voor toestaan of blokkeren die alleen wordt weergegeven op het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten.

Creatie vermeldingen toestaan voor vervalste afzenders

Gebruik een van de volgende methoden om toegestane vermeldingen te maken voor vervalste afzenders:

Opmerking

Vermeldingen toestaan voor vervalste afzenders account voor spoofing binnen de organisatie, cross-org en DMARC spoofing.

Alleen de combinatie van de vervalste gebruiker en de verzendende infrastructuur zoals gedefinieerd in het domeinpaar is toegestaan tot adresvervalsing.

Vermeldingen toestaan voor vervalste afzenders verlopen nooit.

Gebruik de Microsoft Defender portal om toegestane vermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren

In de lijst Tenant toestaan/blokkeren kunt u toegestane vermeldingen maken voor vervalste afzenders voordat ze worden gedetecteerd en geblokkeerd door spoof intelligence.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer op de pagina Tenant toestaan/blokkeren Lijsten het tabblad Vervalste afzenders.

  3. Selecteer op het tabblad Vervalste afzenders de optie Toevoegen.

  4. Configureer in de flyout Nieuwe domeinparen toevoegen die wordt geopend de volgende instellingen:

    • Domeinparen met jokertekens toevoegen: voer domeinpaar per regel in, maximaal 20. Zie de sectie Domain pair syntax for spoofed sender entries verderop in dit artikel voor meer informatie over de syntaxis voor vervalste afzender vermeldingen.

    • Type adresvervalsing: selecteer een van de volgende waarden:

      • Intern: de vervalste afzender bevindt zich in een domein dat deel uitmaakt van uw organisatie (een geaccepteerd domein).
      • Extern: de vervalste afzender bevindt zich in een extern domein.

    • Actie: selecteer Toestaan of Blokkeren.

    Wanneer u klaar bent in de flyout Nieuwe domeinparen toevoegen , selecteert u Toevoegen.

Terug op het tabblad Vervalste afzenders wordt de vermelding weergegeven.

PowerShell gebruiken om toegestane vermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In dit voorbeeld maakt u een vermelding toestaan voor de afzender bob@contoso.com uit de bron contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Zie New-TenantAllowBlockListSpoofItems voor gedetailleerde syntaxis- en parameterinformatie.

Creatie vermeldingen blokkeren voor vervalste afzenders

Gebruik een van de volgende methoden om blokvermeldingen te maken voor vervalste afzenders:

Opmerking

Alleen de combinatie van de vervalste gebruiker en de verzendende infrastructuur die is gedefinieerd in het domeinpaar , wordt geblokkeerd voor adresvervalsing.

Email van deze afzenders wordt gemarkeerd als phishing. Wat er met de berichten gebeurt, wordt bepaald door het antispambeleid dat het bericht voor de geadresseerde heeft gedetecteerd. Zie de actie Phishingdetectie in EOP-instellingen voor antispambeleid voor meer informatie.

Wanneer u een blokkeringsvermelding configureert voor een domeinpaar, wordt de vervalste afzender een handmatige blokvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.

Vermeldingen blokkeren voor vervalste afzenders verlopen nooit.

Gebruik de Microsoft Defender portal om blokvermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren

De stappen zijn bijna identiek aan het maken van toegestane vermeldingen voor vervalste afzenders , zoals eerder beschreven in dit artikel.

Het enige verschil is: voor de waarde Actie in stap 4 selecteert u Blokkeren in plaats van Toestaan.

PowerShell gebruiken om blokvermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In dit voorbeeld wordt een blokvermelding gemaakt voor de afzender laura@adatum.com uit de bron 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Zie New-TenantAllowBlockListSpoofItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor vervalste afzenders weer te geven in de lijst Tenant toestaan/blokkeren

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Beleidsregels & regels>Bedreigingsbeleid>Tenant toestaan/blokkeren Lijsten in de sectie Regels. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

Controleer of het tabblad Vervalste afzenders is geselecteerd.

Op het tabblad Vervalste afzenders kunt u de vermeldingen sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:

  • Vervalste gebruiker
  • Infrastructuur verzenden
  • Type adresvervalsing: de beschikbare waarden zijn Intern of Extern.
  • Actie: De beschikbare waarden zijn Blokkeren of Toestaan.

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Actie: De beschikbare waarden zijn Toestaan en Blokkeren.
  • Type adresvervalsing: de beschikbare waarden zijn Intern en Extern.

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke vermeldingen te zoeken.

Als u de vermeldingen wilt groepeer, selecteert u Groep en selecteert u vervolgens een van de volgende waarden:

  • Actie
  • Type adresvervalsing

Als u de groepering van de vermeldingen wilt opheffen, selecteert u Geen.

PowerShell gebruiken om vermeldingen voor vervalste afzenders weer te geven in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

In dit voorbeeld worden alle vervalste afzendervermeldingen geretourneerd in de lijst Tenant toestaan/blokkeren.

Get-TenantAllowBlockListSpoofItems

In dit voorbeeld worden alle toegestane vervalste afzendervermeldingen geretourneerd die intern zijn.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

In dit voorbeeld worden alle geblokkeerde vervalste afzendervermeldingen geretourneerd die extern zijn.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Zie Get-TenantAllowBlockListSpoofItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender-portal om vermeldingen voor vervalste afzenders in de tenantlijst toestaan/blokkeren te wijzigen

Wanneer u een vermelding voor vervalste afzenders in de lijst Toestaan/Blokkeren van tenants wijzigt, kunt u de vermelding alleen wijzigen van Toestaan in Blokkeren of omgekeerd.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Vervalste afzenders .

  3. Selecteer de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en vervolgens de actie Bewerken te selecteren die wordt weergegeven.

  4. Selecteer in de flyout Vervalste afzender bewerken die wordt geopend de optie Toestaan of Blokkeren en selecteer vervolgens Opslaan.

PowerShell gebruiken om vermeldingen te wijzigen voor vervalste afzenders in de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

In dit voorbeeld wordt de opgegeven vermelding van vervalste afzender gewijzigd van een toegestane vermelding in een blokvermelding.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Zie Set-TenantAllowBlockListSpoofItems voor gedetailleerde syntaxis- en parameterinformatie.

Gebruik de Microsoft Defender portal om vermeldingen voor vervalste afzenders te verwijderen uit de lijst Tenant toestaan/blokkeren

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de sectie >Beleidsregels & regels>Bedreigingsbeleid>RegelsVoor tenant toestaan/blokkeren Lijsten. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

  2. Selecteer het tabblad Vervalste afzenders .

  3. Selecteer op het tabblad Vervalste afzenders de vermelding in de lijst door het selectievakje naast de eerste kolom in te schakelen en selecteer vervolgens de actie Verwijderen die wordt weergegeven.

    Tip

    U kunt meerdere vermeldingen selecteren door elk selectievakje in te schakelen of alle vermeldingen selecteren door het selectievakje naast de kolomkop Van vervalste gebruiker in te schakelen.

  4. Selecteer Verwijderen in het waarschuwingsdialoogvenster dat wordt geopend.

PowerShell gebruiken om vermeldingen voor vervalste afzenders te verwijderen uit de lijst Tenant toestaan/blokkeren

Gebruik in Exchange Online PowerShell de volgende syntaxis:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

In dit voorbeeld wordt de opgegeven vervalste afzender verwijderd. U krijgt de parameterwaarde Ids van de eigenschap Identity in de uitvoer van Get-TenantAllowBlockListSpoofItems opdracht.

Zie Remove-TenantAllowBlockListSpoofItems voor gedetailleerde syntaxis- en parameterinformatie.

Syntaxis van domeinpaar voor vervalste afzendervermeldingen

Een domeinpaar voor een vervalste afzender in de lijst Tenant toestaan/blokkeren gebruikt de volgende syntaxis: <Spoofed user>, <Sending infrastructure>.

  • Vervalste gebruiker: deze waarde betreft het e-mailadres van de vervalste gebruiker die wordt weergegeven in het vak Van in e-mailclients. Dit adres wordt ook wel het 5322.From afzenderadres of P2 genoemd. Geldige waarden zijn onder andere:

    • Een afzonderlijk e-mailadres (bijvoorbeeld chris@contoso.com).
    • Een e-maildomein (bijvoorbeeld contoso.com).
    • Het jokerteken (*).

  • Infrastructuur verzenden: deze waarde geeft de bron aan van berichten van de vervalste gebruiker. Geldige waarden zijn onder andere:

    • Het domein dat is gevonden in een OMGEKEERDE DNS-zoekopdracht (PTR-record) van het IP-adres van de bron-e-mailserver (bijvoorbeeld fabrikam.com).
    • Als het bron-IP-adres geen PTR-record heeft, wordt de verzendende infrastructuur geïdentificeerd als <bron-IP>/24 (bijvoorbeeld 192.168.100.100/24).
    • Een geverifieerd DKIM-domein.
    • Het jokerteken (*).

Hier volgen enkele voorbeelden van geldige domeinparen om vervalste afzenders te identificeren:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Opmerking

U kunt jokertekens opgeven in de verzendende infrastructuur of in de vervalste gebruiker, maar niet in beide tegelijk. Is bijvoorbeeld *, * niet toegestaan.

Als u een domein gebruikt in plaats van het IP-adres of IP-adresbereik in de verzendende infrastructuur, moet het domein overeenkomen met de PTR-record voor het verbindende IP-adres in de header Authentication-Results . U kunt de PTR bepalen door de opdracht uit te voeren: ping -a <IP address>. We raden u ook aan het PTR-organisatiedomein als domeinwaarde te gebruiken. Als de PTR bijvoorbeeld wordt omgezet in 'smtp.inbound.contoso.com', moet u 'contoso.com' gebruiken als de verzendende infrastructuur.

Als u een domeinpaar toevoegt, wordt alleen de combinatie van de vervalste gebruiker en de verzendende infrastructuur toegestaan of geblokkeerd. U voegt bijvoorbeeld een vermelding toestaan toe voor het volgende domeinpaar:

  • Domein: gmail.com
  • Infrastructuur verzenden: tms.mx.com

Alleen berichten van dat domein en het verzenden van infrastructuurpaar mogen spoof gebruiken. Andere afzenders die gmail.com proberen te vervalsen, zijn niet toegestaan. Berichten van afzenders in andere domeinen die afkomstig zijn van tms.mx.com worden gecontroleerd door spoof intelligence.

Over geïmiteerde domeinen of afzenders

U kunt geen toegestane vermeldingen maken in de lijst voor toestaan/blokkeren van tenants voor berichten die zijn gedetecteerd als geïmiteerde gebruikers of domeinen die zijn geïmiteerd door antiphishingbeleid in Defender voor Office 365.

Als u een bericht indient dat ten onrechte is geblokkeerd als imitatie op het tabblad E-mailberichten van de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=email , wordt de afzender of het domein niet toegevoegd als een toegestane vermelding in de lijst Tenant toestaan/blokkeren.

In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid waarmee het bericht is gedetecteerd.

Zie Goede e-mail rapporteren aan Microsoft voor inzendingsinstructies voor fout-positieven voor imitatie.

Opmerking

Op dit moment wordt de imitatie van de gebruiker (of grafiek) vanaf hier niet geregeld.