Gerenciar permissões e blocos na Lista de Permissões/Blocos do Locatário

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Importante

Para permitir URLs de phishing que fazem parte do treinamento de simulação de ataque de terceiros, use a configuração de entrega avançada para especificar as URLs. Não use a Lista de Permissões/Blocos do Locatário.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, você pode discordar do EOP ou Microsoft Defender para Office 365 veredicto de filtragem. Por exemplo, uma boa mensagem pode ser marcada como ruim (um falso positivo) ou uma mensagem ruim pode ser permitida por meio (um falso negativo).

A Lista de Permissões/Blocos do Locatário no portal Microsoft Defender oferece uma maneira de substituir manualmente os veredictos de filtragem de Defender para Office 365 ou EOP. A lista é usada durante o fluxo de email para mensagens de entrada de remetentes externos.

A Lista de Permissões/Blocos do Locatário não se aplica a mensagens internas dentro da organização. No entanto, as entradas de bloco para domínios e endereços de email impedem que os usuários da organização enviem email para esses domínios e endereços bloqueados.

A lista Permissão/Bloqueio do Locatário está disponível no portal Microsoft Defender em https://security.microsoft.com>Políticas & regras>Permissão/Bloquear Listas dePolíticas> de Ameaças na seção Regras. Para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

Para obter instruções de uso e configuração, consulte os seguintes artigos:

Esses artigos contêm procedimentos no portal Microsoft Defender e no PowerShell.

Bloquear entradas na Lista de Permissões/Blocos do Locatário

Observação

Na Lista de Permissões/Blocos do Locatário, as entradas de bloco têm precedência sobre as entradas de permissão.

Use a página Envios (também conhecida como envio de administrador) para https://security.microsoft.com/reportsubmission criar entradas de bloco para os seguintes tipos de itens à medida que você os relata como falsos negativos para a Microsoft:

  • Domínios e endereços de email:

    • Email mensagens desses remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
    • Os usuários da organização não podem enviar email para esses domínios e endereços bloqueados. Eles recebem o seguinte relatório de não entrega (também conhecido como NDR ou mensagem de retorno): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de email ou domínio do destinatário seja definido em uma entrada de bloco.

    Dica

    Para bloquear apenas o spam de um remetente específico, adicione o endereço de email ou o domínio à lista de blocos em políticas anti-spam. Para bloquear todos os emails do remetente, use Domínios e endereços de email na Lista de Permissões/Blocos do Locatário.

  • Arquivos: Email mensagens que contêm esses arquivos bloqueados são bloqueadas como malware. As mensagens que contêm os arquivos bloqueados são colocadas em quarentena.

  • URLs: Email mensagens que contêm essas URLs bloqueadas são bloqueadas como phishing de alta confiança. As mensagens que contêm as URLs bloqueadas são colocadas em quarentena.

Na Lista de Permissões/Blocos do Locatário, você também pode criar diretamente entradas de bloco para os seguintes tipos de itens:

  • Domínios e endereços de email, arquivos e URLs.

  • Remetentes falsificados: se você substituir manualmente um veredicto de permissão existente da inteligência falsa, o remetente falsificado bloqueado se tornará uma entrada de bloco manual que aparece apenas na guia Remetentes Falsificados na Lista de Permissões/Blocos do Locatário.

Por padrão, as entradas de bloco para domínios e endereços de email, arquivos e URLs expiram após 30 dias, mas você pode configurá-las para expirar 90 dias ou nunca expirar. As entradas de bloco para remetentes falsificados nunca expiram.

Permitir entradas na Lista de Permissões/Blocos do Locatário

Na maioria dos casos, você não pode criar diretamente entradas de permissão na Lista de Permissões/Blocos do Locatário:

  • Domínios e endereços de email, arquivos e URLs: você não pode criar entradas de permissão diretamente na Lista de Permissões/Blocos do Locatário. Em vez disso, você usa a página Envios em https://security.microsoft.com/reportsubmission para relatar o email, o anexo de email ou a URL para a Microsoft como Não deveria ter sido bloqueado (False positive).

  • Remetentes falsificados:

    • Se a inteligência falsa já bloqueou a mensagem como falsificação, use a página https://security.microsoft.com/reportsubmissionEnvios em para relatar o email à Microsoft como Não deveria ter sido bloqueado (False positive).
    • Você pode criar proativamente uma entrada de permissão para um remetente falsificado na guia Remetente Falsificado na Lista de Permissões/Blocos de Locatário antes que a inteligência falsa identifique e bloqueie a mensagem como falsificação.

A lista a seguir descreve o que acontece na Lista de Permissões/Blocos de Locatários quando você relata algo à Microsoft como um falso positivo na página Envios :

  • Email anexos e URLs: uma entrada de permissão é criada e a entrada é exibida na guia Arquivos ou URLs na Lista de Permissões/Blocos do Locatário, respectivamente.

    Para URLs relatadas como falsos positivos, permitiremos mensagens subsequentes que contêm variações da URL original. Por exemplo, você usa a página Envios para relatar a URL www.contoso.com/abcbloqueada incorretamente . Se sua organização receber posteriormente uma mensagem que contenha a URL (por exemplo, mas não se limitando a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), a mensagem não será bloqueada com base na URL. Em outras palavras, você não precisa relatar várias variações da mesma URL que boa para a Microsoft.

  • Email: se uma mensagem foi bloqueada pela pilha de filtragem EOP ou Defender para Office 365, uma entrada de permissão poderá ser criada na Lista de Permissões/Blocos do Locatário:

    • Se a mensagem foi bloqueada pela inteligência falsa, uma entrada de permissão para o remetente será criada e a entrada será exibida na guia Remetentes Falsificados na Lista de Permissões/Blocos do Locatário.
    • Se a mensagem foi bloqueada pela proteção de representação do usuário (ou grafo) no Defender para Office 365, uma entrada de permissão não será criada na Lista de Permissões/Blocos do Locatário. Em vez disso, o domínio ou remetente é adicionado à seção Remetentes confiáveis e domínios na política anti-phishing que detectou a mensagem.
    • Se a mensagem foi bloqueada devido a filtros baseados em arquivo, uma entrada de permissão para o arquivo será criada e a entrada será exibida na guia Arquivos na Lista de Permissão/Bloco do Locatário.
    • Se a mensagem foi bloqueada devido a filtros baseados em URL, uma entrada de permissão para a URL será criada e a entrada será exibida na guia URL na Lista de Permissões/Blocos do Locatário.
    • Se a mensagem foi bloqueada por qualquer outro motivo, uma entrada de permissão para o endereço de email ou domínio do remetente será criada e a entrada será exibida na guia Domínios & endereços na Lista de Permissões/Blocos do Locatário.
    • Se a mensagem não foi bloqueada devido à filtragem, nenhuma entrada de permissão será criada em qualquer lugar.

Por padrão, permitir entradas para domínios e endereços de email, arquivos e URLs existem por 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e as remove ou as estende automaticamente. Depois que a Microsoft aprender com as entradas de permissão removidas, as mensagens que contêm essas entidades serão entregues, a menos que outra coisa na mensagem seja detectada como mal-intencionada. Por padrão, permitir entradas para remetentes falsificados nunca expiram.

Importante

A Microsoft não permite que você crie entradas de permissão diretamente. As entradas de permissão desnecessárias expõem sua organização a emails mal-intencionados que poderiam ter sido filtrados pelo sistema.

A Microsoft gerencia a criação de entradas de permissão na página Envios em https://security.microsoft.com/reportsubmission. As entradas de permissão são adicionadas durante o fluxo de email com base nos filtros que determinaram que a mensagem era mal-intencionada. Por exemplo, se o endereço de email do remetente e uma URL na mensagem foram determinados como ruins, uma entrada de permissão será criada para o remetente (endereço de email ou domínio) e a URL.

Quando a entidade é encontrada novamente (durante o fluxo de email ou hora do clique), todos os filtros associados a essa entidade são ignorados.

Durante o fluxo de email, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens serão entregues. Por exemplo, se uma mensagem passar verificações de autenticação de email, filtragem de URL e filtragem de arquivos, uma mensagem de um endereço de email do remetente permitido será entregue.

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão na página Envios ou uma entrada de bloco na Lista de Permissões/Blocos do Locatário, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).

Se a Microsoft tiver aprendido com a entrada de permissão, a entrada será removida. Você receberá um alerta sobre a remoção da entrada de permissão agora desnecessária da política de alerta interna chamada Removeu uma entrada na Lista de Permissões/Blocos de Locatários.