Permitir ou bloquear email usando a Lista de Permissões/Blocos do Locatário

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, os administradores podem criar e gerenciar entradas para domínios e endereços de email (incluindo remetentes falsificados) na Lista de Permissões/Blocos de Locatário. Para obter mais informações sobre a Lista de Permissões/Blocos do Locatário, consulte Gerenciar permissões e blocos na Lista de Permissões/Blocos do Locatário.

Este artigo descreve como os administradores podem gerenciar entradas para remetentes de email no portal do Microsoft Defender e no Exchange Online PowerShell.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList. Para ir diretamente para a página Envios , use https://security.microsoft.com/reportsubmission.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

• Limites de entrada para domínios e endereços de email:

  • Proteção do Exchange Online: o número máximo de entradas de permissão é 500 e o número máximo de entradas de bloco é 500 (1000 entradas de endereço de email e domínio no total).
  • Defender para Office 365 Plano 1: o número máximo de entradas de permissão é 1000 e o número máximo de entradas de bloco é 1000 (2000 entradas de endereço de email e domínio no total).
  • Defender para Office 365 Plano 2: o número máximo de entradas de permissão é 5000 e o número máximo de entradas de bloco é 10000 (15.000 entradas de endereço de email e domínio no total).

• Para remetentes falsificados, o número máximo de entradas de permissão e entradas de bloco é 1024 (1024 permitem entradas e nenhuma entrada de bloco, 512 permitem entradas e 512 entradas de bloco, etc.).

• As entradas para remetentes falsificados nunca expiram.

• Para obter detalhes sobre a sintaxe para entradas de remetente falsificadas, consulte a sintaxe de par de domínio para entradas de remetente falsificadas mais tarde neste artigo.

• Uma entrada deve estar ativa dentro de 5 minutos.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): Configurações e configurações/Configurações de segurança/Ajuste de detecção (gerenciar) ou Configurações e configurações de autorização/Configurações de segurança/Configurações de segurança principais (leitura).
  • Exchange Online permissões:
    • Adicionar e remover entradas da Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
      • Gerenciamento de organização ou administrador de segurança (função de administrador de segurança).
      • Operador de segurança (Gerenciador AllowBlockList do Locatário).
    • Acesso somente leitura à Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
      • Leitor Global
      • Leitor de Segurança
      • Configuração Somente para Exibição
      • View-Only Organization Management
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

Domínios e endereços de email na Lista de Permissões/Blocos do Locatário

Create permitir entradas para domínios e endereços de email

Você não pode criar entradas de permissão para domínios e endereços de email diretamente na Lista de Permissões/Blocos do Locatário. Entradas de permissão desnecessárias expõem sua organização a emails mal-intencionados que teriam sido filtrados pelo sistema.

Em vez disso, você usa a guia Emails na página Envios em https://security.microsoft.com/reportsubmission?viewid=email. Quando você envia uma mensagem bloqueada como Não deveria ter sido bloqueada (False positive),uma entrada de permissão para o remetente é adicionada à guia Domínios & endereços de email na página Permitir/Bloquear Listas do Locatário. Para obter instruções, consulte Enviar um bom email para a Microsoft.

Observação

As entradas de permissão são adicionadas com base nos filtros que determinaram que a mensagem foi mal-intencionada durante o fluxo de email. Por exemplo, se o endereço de email do remetente e uma URL na mensagem foram determinados como ruins, uma entrada de permissão será criada para o remetente (endereço de email ou domínio) e a URL.

Quando a entidade na entrada de permissão é encontrada novamente (durante o fluxo de email ou no momento do clique), todos os filtros associados a essa entidade são substituídos.

Por padrão, permitir entradas para domínios e endereços de email existem por 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e as remove ou as estende automaticamente. Depois que a Microsoft aprender com as entradas de permissão removidas, as mensagens que contêm essas entidades serão entregues, a menos que outra coisa na mensagem seja detectada como mal-intencionada.

Durante o fluxo de email, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens serão entregues. Por exemplo, se uma mensagem passar verificações de autenticação de email, filtragem de URL e filtragem de arquivos, a mensagem será entregue se ela também for de um remetente permitido.

Create bloquear entradas para domínios e endereços de email

Para criar entradas de bloco para domínios e endereços de email, use um dos seguintes métodos:

• Na guia Emails na página Envios em https://security.microsoft.com/reportsubmission?viewid=email. Ao enviar uma mensagem como Deveria ter sido bloqueada (False negative), você pode selecionar Bloquear todos os emails desse remetente ou domínio para adicionar uma entrada de bloco à guia Domínios & endereços de email na página Permitir/Bloquear Listas de Locatário. Para obter instruções, consulte Relatar email questionável para a Microsoft.

• Na guia Domínios & endereços na página Permitir/Bloquear Listas do Locatário ou no PowerShell, conforme descrito nesta seção.

Para criar entradas de bloco para remetentes falsificados, consulte esta seção mais adiante neste artigo.

Email desses remetentes bloqueados é marcado como phishing de alta confiança e em quarentena.

Observação

Atualmente, os subdomínios do domínio especificado não estão bloqueados. Por exemplo, se você criar uma entrada de bloco para email de contoso.com, o email de marketing.contoso.com também não será bloqueado. Você precisa criar uma entrada de bloco separada para marketing.contoso.com.

Os usuários da organização também não podem enviar email para esses domínios e endereços bloqueados. A mensagem é retornada no seguinte relatório de não entrega (também conhecido como NDR ou mensagem de retorno): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de email ou domínio do destinatário seja definido em uma entrada de bloco.

Use o portal Microsoft Defender para criar entradas de bloco para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Na página Permitir/Bloquear Listas de Locatário, verifique se a guia Domínios & endereços está selecionada.

3. Na guia Domínios & endereços , selecione Bloquear.

4. Nos domínios bloquear & endereços que é aberto, configure as seguintes configurações:

   • Domínios & endereços: insira um endereço de email ou domínio por linha, até um máximo de 20.

   • Remover a entrada do bloco após: Selecione nos seguintes valores:

     • 1 dia
     • 7 dias
     • 30 dias (padrão)
     • Nunca expirar
     • Data específica: o valor máximo é de 90 dias a partir de hoje.

   • Observação opcional: insira texto descritivo para saber por que você está bloqueando os endereços de email ou domínios.

5. Quando terminar os domínios bloquear & endereços , selecione Adicionar.

De volta à guia Domínios & endereços de email , a entrada está listada.

Usar o PowerShell para criar entradas de bloco para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Este exemplo adiciona uma entrada de bloco para o endereço de email especificado que expira em uma data específica.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListItems.

Use o portal Microsoft Defender para exibir entradas para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

No portal do Microsoft Defender em https://security.microsoft.com, acesse Políticas & regras>Permissão/Bloqueio dePolíticas> de Ameaças Listas na seção Regras. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

Verifique se a guia Domínios & endereços está selecionada.

Na guia Domínios & endereços , você pode classificar as entradas clicando em um cabeçalho de coluna disponível. As seguintes colunas estão disponíveis:

• Valor: o domínio ou o endereço de email.
• Ação: o valor Permitir ou Bloquear.
• Modificado por
• Última atualização
• Data usada pela última vez: a data em que a entrada foi usada pela última vez no sistema de filtragem para substituir o veredicto.
• Remova em: a data de validade.
• Observações

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtro que é aberto:

• Ação: os valores são Permitir e Bloquear.
• Nunca expire: ou
• Última atualização: Selecione De e para datas.
• Data usada pela última vez: Selecione Entre e Para datas.
• Remova em: Selecione De e para datas.

Quando terminar no flyout filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para encontrar entradas específicas.

Para agrupar as entradas, selecione Grupo e, em seguida, selecione Ação. Para desagrupar as entradas, selecione Nenhum.

Usar o PowerShell para exibir entradas para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

Este exemplo retorna todas as entradas de permissão e bloqueio para domínios e endereços de email.

Get-TenantAllowBlockListItems -ListType Sender

Este exemplo filtra os resultados de entradas de bloco para domínios e endereços de email.

Get-TenantAllowBlockListItems -ListType Sender -Block

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListItems.

Use o portal Microsoft Defender para modificar entradas para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

Em entradas de endereço de email e domínio existentes, você pode alterar a data de validade e a observação.

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Verifique se a guia Domínios & endereços está selecionada.

3. Na guia Domínios & endereços, selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Editar exibida.

4. No flyout Editar domínios & endereços abertos, as seguintes configurações estão disponíveis:

   • Bloquear entradas:
     • Remover a entrada do bloco após: Selecione nos seguintes valores:
       • 1 dia
       • 7 dias
       • 30 dias
       • Nunca expirar
       • Data específica: o valor máximo é de 90 dias a partir de hoje.
     • Observação opcional
   • Permitir entradas:
     • Remova a entrada de permissão após: Selecione nos seguintes valores:
       • 1 dia
       • 7 dias
       • 30 dias
       • Data específica: o valor máximo é de 30 dias a partir de hoje.
     • Observação opcional

   Quando terminar no flyout Editar domínios & endereços , selecione Salvar.

Dica

No flyout de detalhes de uma entrada na guia Domínios & endereços , use Exibir envio na parte superior do flyout para acessar os detalhes da entrada correspondente na página Envios . Essa ação estará disponível se um envio for responsável pela criação da entrada na Lista de Permissões/Blocos do Locatário.

Usar o PowerShell para modificar entradas para domínios e endereços de email na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Este exemplo altera a data de validade da entrada de bloco especificada para o endereço de email do remetente.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-TenantAllowBlockListItems.

Use o portal Microsoft Defender para remover entradas para domínios e endereços de email da Lista de Permissões/Blocos do Locatário

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Verifique se a guia Domínios & endereços está selecionada.

3. Na guia Domínios & endereços , siga uma das seguintes etapas:

   • Selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Excluir exibida.

   • Selecione a entrada na lista clicando em qualquer lugar da linha que não seja a caixa marcar. No flyout de detalhes que é aberto, selecione Excluir na parte superior do flyout.

     Dica

     • Para ver detalhes sobre outras entradas sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.
     • Você pode selecionar várias entradas selecionando cada caixa marcar ou selecionar todas as entradas selecionando a caixa marcar ao lado do cabeçalho da coluna Valor.

4. Na caixa de diálogo de aviso que é aberta, selecione Excluir.

De volta à guia Domínios & endereços , a entrada não está mais listada.

Usar o PowerShell para remover entradas para domínios e endereços de email da Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

Este exemplo remove a entrada especificada para domínios e endereços de email da Lista de Permissões/Blocos do Locatário.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-TenantAllowBlockListItems.

Remetentes falsificados na lista Permitir/Bloquear locatário

Quando você substitui o veredicto no insight de inteligência falsa, o remetente falsificado se torna uma entrada manual de permissão ou bloqueio que aparece apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário.

Create permitir entradas para remetentes falsificados

Para criar entradas de permissão para remetentes falsificados, use qualquer um dos seguintes métodos:

• Na guia Emails na página Envios em https://security.microsoft.com/reportsubmission?viewid=email. Para obter instruções, consulte Enviar um bom email para a Microsoft.
  • Quando você envia uma mensagem detectada e bloqueada pela inteligência falsa, uma entrada de permissão para o remetente falsificado é adicionada à guia Remetentes Falsificados na Lista de Permissões/Blocos do Locatário.
  • Se o remetente não foi detectado e bloqueado pela inteligência falsa, enviar a mensagem para a Microsoft não criará uma entrada de permissão para o remetente na Lista de Permissões/Blocos do Locatário.
• Na página de insights de inteligência spoof em https://security.microsoft.com/spoofintelligencese o remetente foi detectado e bloqueado pela inteligência falsa. Para obter instruções, consulte Substituir o veredicto de inteligência falsa.
  • Quando você substitui o veredicto no insight de inteligência falsa, o remetente falsificado se torna uma entrada manual que aparece apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário.
• Na guia Remetentes falsificados na página Permitir/Bloquear Listas do Locatário ou no PowerShell, conforme descrito nesta seção.

Observação

Permitir entradas para a conta de remetentes falsificados para falsificação intra-org, entre organizações e DMARC.

Somente a combinação do usuário falsificado e a infraestrutura de envio conforme definido no par de domínios tem permissão para falsificar.

Permitir entradas para remetentes falsificados nunca expiram.

Use o portal Microsoft Defender para criar entradas de permissão para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Na Lista De Permissão/Bloqueio do Locatário, você pode criar entradas de permissão para remetentes falsificados antes de serem detectadas e bloqueadas pela inteligência falsa.

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Na página Permitir/Bloquear Listas de Locatário, selecione a guia Remetentes falsificados.

3. Na guia Remetentes falsificados , selecione Adicionar.

4. No flyout Adicionar novos pares de domínio que é aberto, configure as seguintes configurações:

   • Adicionar pares de domínio com curingas: insira par de domínio por linha, até um máximo de 20. Para obter detalhes sobre a sintaxe para entradas de remetente falsificadas, consulte a sintaxe de par de domínio para entradas de remetente falsificadas mais tarde neste artigo.

   • Tipo de falsificação: selecione um dos seguintes valores:

     • Interno: o remetente falsificado está em um domínio que pertence à sua organização (um domínio aceito).
     • Externo: o remetente falsificado está em um domínio externo.

   • Ação: selecione Permitir ou Bloquear.

   Quando terminar no flyout Adicionar novos pares de domínio , selecione Adicionar.

De volta à guia Remetentes Falsificados , a entrada está listada.

Usar o PowerShell para criar entradas de permissão para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Este exemplo cria uma entrada de permissão para o remetente bob@contoso.com do contoso.com de origem.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListSpoofItems.

Create bloquear entradas para remetentes falsificados

Para criar entradas de bloco para remetentes falsificados, use qualquer um dos seguintes métodos:

• Na guia Emails na página Envios em https://security.microsoft.com/reportsubmission?viewid=email. Para obter instruções, consulte Relatar email questionável para a Microsoft.
• Na página de insights de inteligência spoof em https://security.microsoft.com/spoofintelligencese o remetente foi detectado e permitido por inteligência falsa. Para obter instruções, consulte Substituir o veredicto de inteligência falsa.
  • Quando você substitui o veredicto no insight de inteligência falsa, o remetente falsificado se torna uma entrada manual que aparece apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário.
• Na guia Remetentes falsificados na página Permitir/Bloquear Listas do Locatário ou no PowerShell, conforme descrito nesta seção.

Observação

Somente a combinação do usuário falsificado e a infraestrutura de envio definida no par de domínios está impedida de falsificar.

Email desses remetentes é marcado como phishing. O que acontece com as mensagens é determinado pela política anti-spam que detectou a mensagem para o destinatário. Para obter mais informações, consulte a ação de detecção de phishing nas configurações de política anti-spam do EOP.

Quando você configura uma entrada de bloco para um par de domínio, o remetente falsificado se torna uma entrada de bloco manual que aparece apenas na guia Remetentes Falsificados na Lista de Permissões/Blocos do Locatário.

As entradas de bloco para remetentes falsificados nunca expiram.

Use o portal Microsoft Defender para criar entradas de bloco para remetentes falsificados na Lista de Permissões/Blocos do Locatário

As etapas são quase idênticas à criação de entradas de permissão para remetentes falsificados , conforme descrito anteriormente neste artigo.

A única diferença é: para o valor Ação na Etapa 4, selecione Bloquear em vez de Permitir.

Usar o PowerShell para criar entradas de bloco para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

Este exemplo cria uma entrada de bloco para o remetente laura@adatum.com da origem 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListSpoofItems.

Use o portal Microsoft Defender para exibir entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário

No portal do Microsoft Defender em https://security.microsoft.com, acesse Políticas & regras>Permissão/Bloqueio dePolíticas> de Ameaças Listas na seção Regras. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

Verifique se a guia Remetentes falsificados está selecionada.

Na guia Remetentes falsificados , você pode classificar as entradas clicando em um cabeçalho de coluna disponível. As seguintes colunas estão disponíveis:

• Usuário falsificado
• Enviar infraestrutura
• Tipo de falsificação: os valores disponíveis são internos ou externos.
• Ação: os valores disponíveis são Bloquear ou Permitir.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtro que é aberto:

• Ação: os valores disponíveis são Permitir e Bloquear.
• Tipo de falsificação: os valores disponíveis são Internos e Externos.

Quando terminar no flyout filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para encontrar entradas específicas.

Para agrupar as entradas, selecione Grupo e selecione um dos seguintes valores:

• Action
• Tipo de falsificação

Para desagrupar as entradas, selecione Nenhum.

Usar o PowerShell para exibir entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

Este exemplo retorna todas as entradas de remetente falsificadas na Lista de Permissões/Blocos do Locatário.

Get-TenantAllowBlockListSpoofItems

Este exemplo retorna todas as entradas de remetente falsificadas que são internas.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

Este exemplo retorna todas as entradas de remetente falsificadas bloqueadas que são externas.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListSpoofItems.

Use o portal Microsoft Defender para modificar entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Quando você modifica uma entrada de permissão ou bloqueio para remetentes falsificados na lista Permitir/Bloquear locatário, você só pode alterar a entrada de Permitirpara Bloquear ou vice-versa.

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Selecione a guia Remetentes falsificados .

3. Selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Editar exibida.

4. No flyout Editar remetente falsificado que é aberto, selecione Permitir ou Bloquear e, em seguida, selecione Salvar.

Usar o PowerShell para modificar entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

Este exemplo altera a entrada de remetente falsificada especificada de uma entrada de permissão para uma entrada de bloco.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-TenantAllowBlockListSpoofItems.

Use o portal Microsoft Defender para remover entradas de remetentes falsificados da Lista de Permissões/Blocos do Locatário

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

2. Selecione a guia Remetentes falsificados .

3. Na guia Remetentes falsificados, selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Excluir exibida.

   Dica

   Você pode selecionar várias entradas selecionando cada caixa marcar ou selecionar todas as entradas selecionando a caixa marcar ao lado do cabeçalho da coluna do usuário Falsificado.

4. Na caixa de diálogo de aviso que é aberta, selecione Excluir.

Usar o PowerShell para remover entradas para remetentes falsificados da Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

Este exemplo remove o remetente falsificado especificado. Você obtém o valor do parâmetro Ids da propriedade Identity na saída do comando Get-TenantAllowBlockListSpoofItems.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-TenantAllowBlockListSpoofItems.

Sintaxe de par de domínio para entradas de remetente falsificadas

Um par de domínio para um remetente falsificado na Lista de Permissões/Blocos de Locatário usa a seguinte sintaxe: <Spoofed user>, <Sending infrastructure>.

• Usuário falsificado: esse valor envolve o endereço de email do usuário falsificado exibido na caixa De em clientes de email. Esse endereço também é conhecido como o endereço do 5322.From remetente P2 ou P2. Os valores válidos incluem:

  • Um endereço de email individual (por exemplo, chris@contoso.com).
  • Um domínio de email (por exemplo, contoso.com).
  • O caractere curinga (*).

• Infraestrutura de envio: esse valor indica a origem das mensagens do usuário falsificado. Os valores válidos incluem:

  • O domínio encontrado em uma pesquisa DNS reversa (registro PTR) do endereço IP do servidor de email de origem (por exemplo, fabrikam.com).
  • Se o endereço IP de origem não tiver nenhum registro PTR, a infraestrutura de envio será identificada como< IP de origem>/24 (por exemplo, 192.168.100.100/24).
  • Um domínio DKIM verificado.
  • O caractere curinga (*).

Aqui estão alguns exemplos de pares de domínio válidos para identificar remetentes falsificados:

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

Observação

Você pode especificar curingas na infraestrutura de envio ou no usuário falsificado, mas não em ambos ao mesmo tempo. Por exemplo, *, * não é permitido.

Se você estiver usando um domínio em vez do endereço IP ou intervalo de endereços IP na infraestrutura de envio, o domínio precisará corresponder ao registro PTR para o IP de conexão no cabeçalho Autenticação-Resultados . Você pode determinar o PTR executando o comando: ping -a <IP address>. Também recomendamos usar o Domínio da Organização PTR como o valor de domínio. Por exemplo, se o PTR resolver para "smtp.inbound.contoso.com", você deverá usar "contoso.com" como a infraestrutura de envio.

A adição de um par de domínios permite ou bloqueia a combinação do usuário falsificado esomente a infraestrutura de envio. Por exemplo, você adiciona uma entrada de permissão para o seguinte par de domínios:

• Domínio: gmail.com
• Enviando infraestrutura: tms.mx.com

Somente mensagens desse domínio e do par de infraestrutura de envio têm permissão para falsificar. Outros remetentes que tentam falsificar gmail.com não são permitidos. As mensagens de remetentes em outros domínios provenientes de tms.mx.com são verificadas por inteligência falsa.

Sobre domínios ou remetentes representados

Você não pode criar entradas de permissão na Lista de Permissões/Blocos do Locatário para mensagens detectadas como usuários representados ou domínios representados por políticas anti-phishing em Defender para Office 365.

Enviar uma mensagem que foi incorretamente bloqueada como representação na guia Emails da página https://security.microsoft.com/reportsubmission?viewid=emailEnvios em não adiciona o remetente ou domínio como uma entrada de permissão na Lista de Permissões/Blocos do Locatário.

Em vez disso, o domínio ou remetente é adicionado à seção Remetentes confiáveis e domínios na política anti-phishing que detectou a mensagem.

Para obter instruções de envio de falsos positivos de representação, consulte Relatar um bom email para a Microsoft.

Observação

Atualmente, a representação de usuário (ou grafo) não é cuidada daqui.

Artigos relacionados

• Use a página Envios para enviar spam, phish, URLs, email legítimo sendo bloqueado e anexos de email para a Microsoft
• Relatar falsos positivos e falsos negativos
• Gerenciar permissões e blocos na Lista de Permissões/Blocos do Locatário
• Permitir ou bloquear arquivos na Lista de Permissões/Blocos do Locatário
• Permitir ou bloquear URLs na Lista de Permissões/Blocos do Locatário