Разрешить или заблокировать электронную почту с помощью списка разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков администраторы могут создавать записи для доменов и адресов электронной почты (включая подделанных отправителей) и управлять ими в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для отправителей электронной почты на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Ограничения входа для доменов и адресов электронной почты:

  • Exchange Online Protection. Максимальное число разрешенных записей — 500, а максимальное количество блок-записей — 500 (всего 1000 записей доменов и адресов электронной почты).
  • Defender для Office 365 план 1. Максимальное число разрешенных записей — 1000, а максимальное число блок-записей — 1000 (всего 2000 записей доменов и адресов электронной почты).
  • Defender для Office 365 план 2. Максимальное число разрешенных записей — 5000, а максимальное количество блок-записей — 10 000 (всего 15 000 записей доменов и адресов электронной почты).

• Для подделанных отправителей максимальное число разрешенных записей и блок-записей составляет 1024 (1024 разрешенных записей и нет блокировок, 512 разрешенных записей и 512 блок-записей и т. д.).

• Записи для поддельных отправителей не имеют срока действия.

• Дополнительные сведения о синтаксисе подделанных записей отправителя см. в разделе Синтаксис пары доменов для подделанных записей отправителя далее в этой статье.

• Запись должна быть активна в течение 5 минут.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единого управления доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
  • разрешения Exchange Online:
    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Управление организацией или администратор безопасности (роль администратора безопасности).
      • Оператор безопасности (клиент AllowBlockList Manager).
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Глобальное средство чтения
      • Читатель сведений о безопасности
      • Конфигурация только для чтения
      • View-Only Organization Management
  • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Домены и адреса электронной почты в списке разрешенных и заблокированных клиентов

Create разрешить записи для доменов и адресов электронной почты

Нельзя создавать разрешенные записи для доменов и адресов электронной почты непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

Вместо этого вы используете вкладку Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. При отправке сообщения о блокировке в поле Должно быть заблокировано (ложноположительный результат) на вкладку Домены & адреса электронной почты на странице Списки разрешения или блокировки клиента добавляется запись разрешения для отправителя. Инструкции см. в разделе Отправка хорошей электронной почты в Корпорацию Майкрософт.

Примечание.

Разрешенные записи добавляются на основе фильтров, которые определили, что сообщение было вредоносным во время потока обработки почты. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При повторном обнаружении сущности в записи разрешения (во время потока обработки почты или при щелчке), все фильтры, связанные с этой сущностью, переопределяются.

По умолчанию разрешенные записи для доменов и адресов электронной почты существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти сущности, доставляются, если только что-то другое в сообщении не будет обнаружено как вредоносное.

Если во время потока обработки почты сообщения, содержащие разрешенную сущность, проходят другие проверки в стеке фильтрации, сообщения будут доставлены. Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение доставляется, если оно также от разрешенного отправителя.

Create блокируют записи для доменов и адресов электронной почты

Чтобы создать блочные записи для доменов и адресов электронной почты, используйте один из следующих методов:

• На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. При отправке сообщения в поле Должно быть заблокировано (ложноотрицательный) можно выбрать Блокировать все сообщения электронной почты от этого отправителя или домена, чтобы добавить запись блока на вкладку Домены & адреса электронной почты на странице Разрешения и блокировки Списки клиента. Инструкции см. в статье Сообщение о сомнительной электронной почте в Корпорацию Майкрософт.

• На вкладке Домены & адреса на странице Разрешения и блокировки Списки клиента или в PowerShell, как описано в этом разделе.

Сведения о создании записей блокировки для подделанных отправителей см. в этом разделе далее в этой статье.

Email от этих заблокированных отправителей помечается как фишинг с высокой достоверностью и помещается в карантин.

Примечание.

В настоящее время поддомены указанного домена не блокируются. Например, если вы создаете запись блокировки для электронной почты из contoso.com, почта из marketing.contoso.com также не блокируется. Необходимо создать отдельную запись блока для marketing.contoso.com.

Пользователи в организации также не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Сообщение возвращается в следующем отчете о недоставке (также известном как сообщение о недоставке или отказе). 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

Использование портала Microsoft Defender для создания записей блокировки для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. На странице Разрешения и блокировки клиента Списки убедитесь, что выбрана вкладка Домены & адреса.

3. На вкладке Домены & адреса выберите Блокировать.

4. В открывавшемся всплывающем окне Блокировать домены & адреса настройте следующие параметры:

   • Домены & адреса. Введите один адрес электронной почты или домен в каждой строке, не более 20.

   • Удалить запись блока после. Выберите из следующих значений:

     • 1 день
     • 7 дней
     • 30 дней (по умолчанию)
     • Срок действия не истекает
     • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

   • Необязательное примечание. Введите описательный текст, зачем вы блокируете адреса электронной почты или домены.

5. По завершении во всплывающем окне Блокировать домены & адреса нажмите кнопку Добавить.

На вкладке Домены & адреса электронной почты отображается запись.

Использование PowerShell для создания записей блоков для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись блока для указанного адреса электронной почты, срок действия которого истекает в определенную дату.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для просмотра записей о доменах и адресах электронной почты в списке разрешенных и заблокированных клиентов.

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Убедитесь, что выбрана вкладка Домены & адреса .

На вкладке Домены & адреса можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Значение: домен или адрес электронной почты.
• Действие: значение Allow или Block.
• Изменено
• Последнее обновление
• Дата последнего использования: дата последнего использования записи в системе фильтрации для переопределения вердикта.
• Удалить в: дата окончания срока действия.
• Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Действие: значения Allow и Block.
• Срок действия не истекает: или
• Последнее обновление: выберите От и К датам .
• Дата последнего использования: выберите От и До даты.
• Удалить в: выберите От и К датам.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей о доменах и адресах электронной почты в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные записи для доменов и адресов электронной почты.

Get-TenantAllowBlockListItems -ListType Sender

В этом примере результаты фильтруется по записям блоков для доменов и адресов электронной почты.

Get-TenantAllowBlockListItems -ListType Sender -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для изменения записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов.

В существующих записях домена и адреса электронной почты можно изменить дату окончания срока действия и примечание.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Убедитесь, что выбрана вкладка Домены & адреса .

3. На вкладке Домены & адреса выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить.

4. Во всплывающем окне Изменение доменов & адреса доступны следующие параметры:

   • Блокировочные записи:
     • Удалить запись блока после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
     • Необязательное примечание
   • Разрешить записи:
     • Удалить разрешить запись после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Необязательное примечание

   По завершении во всплывающем окне Изменение доменов & адресов нажмите кнопку Сохранить.

Совет

Во всплывающем элементе сведений на вкладке Домены & адреса используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.

Использование PowerShell для изменения записей для доменов и адресов электронной почты в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется дата окончания срока действия указанной записи блока для адреса электронной почты отправителя.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для удаления записей для доменов и адресов электронной почты из списка разрешенных и заблокированных клиентов.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Убедитесь, что выбрана вкладка Домены & адреса .

3. На вкладке Домены & адреса выполните одно из следующих действий.

   • Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

   • Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

     Совет

     • Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
     • Можно выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком столбца Значение.

4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке Домены & адреса запись больше не отображается.

Использование PowerShell для удаления записей для доменов и адресов электронной почты из списка разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

В этом примере из списка разрешенных и заблокированных клиентов удаляется указанная запись для доменов и адресов электронной почты.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.

Поддельные отправители в списке разрешенных и заблокированных клиентов

При переопределении вердикта в аналитике спуфинга, спуфинг-отправитель становится записью разрешения или блокировки вручную, которая отображается только на вкладке Спуфинг отправителей на странице Разрешения или блокировки клиента Списки.

Create разрешить записи для подделанных отправителей

Чтобы создать разрешенные записи для подделанных отправителей, используйте любой из следующих методов:

• На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Инструкции см. в разделе Отправка хорошей электронной почты в Корпорацию Майкрософт.
  • При отправке сообщения, которое было обнаружено и заблокировано спуфингом, на вкладку Спуфинированные отправители в списке разрешенных и заблокированных клиентов добавляется запись разрешения для подделанного отправителя.
  • Если отправитель не был обнаружен и заблокирован спуфингом, при отправке сообщения в Корпорацию Майкрософт не создается запись разрешения для отправителя в списке разрешенных и заблокированных клиентов.
• На странице Аналитика спуфингапо адресу, https://security.microsoft.com/spoofintelligence если отправитель был обнаружен и заблокирован спуфингом. Инструкции см. в разделе Переопределение вердикта спуфинга разведки.
  • При переопределении вердикта в аналитике спуфинга, спуфинг-отправитель становится записью вручную, которая отображается только на вкладке Спуфинг отправителей на странице Разрешения и блокировки клиента Списки.
• На вкладке Спуфинированные отправители на странице Разрешения или блокировки клиента Списки или в PowerShell, как описано в этом разделе.

Примечание.

Разрешить записи для подделанных отправителей для подделаной учетной записи для спуфингов внутри организации, между организациями и DMARC.

Подделать допускается только сочетание спуфинированного пользователя и инфраструктуры отправки, определенной в паре доменов .

Срок действия разрешенных записей для подделанных отправителей никогда не истекает.

Используйте портал Microsoft Defender для создания разрешенных записей для подделанных отправителей в списке разрешений и блокировок клиента.

В списке разрешенных и заблокированных клиентов можно создать записи разрешений для спуфинированных отправителей, прежде чем они будут обнаружены и заблокированы спуфингом.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. На странице Разрешения и блокировки клиента Списки выберите вкладку Спуфинированные отправители.

3. На вкладке Подделанные отправители нажмите кнопку Добавить.

4. Во всплывающем окне Добавление новых пар доменов настройте следующие параметры:

   • Добавление пар доменов с подстановочными знаками. Введите пару доменов на строку до 20. Дополнительные сведения о синтаксисе подделанных записей отправителя см. в разделе Синтаксис пары доменов для подделанных записей отправителя далее в этой статье.

   • Тип подделки. Выберите одно из следующих значений:

     • Внутренний. Подделанный отправитель находится в домене, принадлежавом вашей организации ( принятом домене).
     • Внешний: подделанный отправитель находится во внешнем домене.

   • Действие: выберите Разрешить или Заблокировать.

   По завершении во всплывающем окне Добавление новых пар доменов нажмите кнопку Добавить.

На вкладке Спуфинированные отправители отображается запись.

Использование PowerShell для создания разрешенных записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

В этом примере создается допустимая запись для отправителя bob@contoso.com из исходного contoso.com.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListSpoofItems.

Create блокируют записи для подделанных отправителей

Чтобы создать блочные записи для подделанных отправителей, используйте любой из следующих методов:

• На вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Инструкции см. в статье Сообщение о сомнительной электронной почте в Корпорацию Майкрософт.
• На странице Аналитика спуфингапо адресуhttps://security.microsoft.com/spoofintelligence, если отправитель был обнаружен и разрешен спуфингом. Инструкции см. в разделе Переопределение вердикта спуфинга разведки.
  • При переопределении вердикта в аналитике спуфинга, спуфинг-отправитель становится записью вручную, которая отображается только на вкладке Спуфинг отправителей на странице Разрешения и блокировки клиента Списки.
• На вкладке Спуфинированные отправители на странице Разрешения или блокировки клиента Списки или в PowerShell, как описано в этом разделе.

Примечание.

Только сочетание подделаного пользователя и инфраструктуры отправки, определенной в паре доменов, блокируется подделывание.

Email от этих отправителей помечается как фишинг. Что происходит с сообщениями, определяется политикой защиты от нежелательной почты , которая обнаружила сообщение для получателя. Дополнительные сведения см. в разделе Действие обнаружения фишинга в параметрах политики защиты от нежелательной почты EOP.

При настройке записи блока для пары доменов подделанный отправитель становится записью блока вручную, которая отображается только на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов.

Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Использование портала Microsoft Defender для создания записей блокировки для подделанных отправителей в списке разрешений и блокировок клиента

Действия практически идентичны созданию записей разрешения для подделанных отправителей, как описано ранее в этой статье.

Единственное отличие заключается в том, что для значения Действия на шаге 4 выберите Блокировать , а не Разрешить.

Использование PowerShell для создания записей блокировки для подделанных отправителей в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

В этом примере создается запись блока для отправителя laura@adatum.com из источника 172.17.17.17/24.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListSpoofItems.

Использование портала Microsoft Defender для просмотра записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Убедитесь, что выбрана вкладка Спуфинированные отправители .

На вкладке Спуфинированные отправители можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Подделанный пользователь
• Инфраструктура отправки
• Тип подделки. Доступные значения: Internal или External.
• Действие: доступные значения : Блокировать или Разрешить.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Действие. Доступные значения : Разрешить и Блокировать.
• Тип спуфингов. Доступные значения: Internal и External.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Действие
• Тип спуфинга

Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

В этом примере возвращаются все спуфинированные записи отправителя в списке разрешенных и заблокированных клиентов.

Get-TenantAllowBlockListSpoofItems

В этом примере возвращаются все разрешенные спуфинированные записи отправителя, которые являются внутренними.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

В этом примере возвращаются все заблокированные спуфинированные записи отправителя, которые являются внешними.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListSpoofItems.

Использование портала Microsoft Defender для изменения записей для подделанных отправителей в списке разрешенных и заблокированных клиентов

При изменении записи разрешения или блокировки для подделанных отправителей в списке разрешенных и заблокированных клиентов можно изменить только запись с "Разрешить" на "Блокировать" или наоборот.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку Подделанные отправители .

3. Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить, которое появится.

4. Во всплывающем окне Изменение спуфинированного отправителя выберите Разрешить или Заблокировать, а затем нажмите кнопку Сохранить.

Использование PowerShell для изменения записей для поддельных отправителей в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

В этом примере указанная подделаная запись отправителя изменяется с разрешенной записи на запись блока.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListSpoofItems.

Используйте портал Microsoft Defender для удаления записей для подделанных отправителей из списка разрешенных и заблокированных клиентов.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку Подделанные отправители .

3. На вкладке Подделанные отправители выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить.

   Совет

   Вы можете выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком подделанный столбец пользователя.

4. В открывшемся диалоговом окне предупреждения выберите Удалить.

Использование PowerShell для удаления записей для подделанных отправителей из списка разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

В этом примере удаляется указанный поддельный отправитель. Значение параметра Ids возвращается из свойства Identity в выходных данных команды Get-TenantAllowBlockListSpoofItems.

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListSpoofItems.

Синтаксис пары доменов для подделанных записей отправителя

Пара доменов для спуфинированного отправителя в списке разрешенных и заблокированных клиентов использует следующий синтаксис: <Spoofed user>, <Sending infrastructure>.

• Подделанный пользователь. Это значение включает адрес электронной почты подделаного пользователя, который отображается в поле From в почтовых клиентах. Этот адрес также называется адресом 5322.From отправителя или P2. Допустимыми являются следующие значения:

  • Отдельный адрес электронной почты (например, chris@contoso.com).
  • Домен электронной почты (например, contoso.com).
  • Подстановочный знак (*).

• Инфраструктура отправки. Это значение указывает источник сообщений от подделаного пользователя. Допустимыми являются следующие значения:

  • Домен, найденный в обратном поиске DNS (запись PTR) IP-адреса исходного почтового сервера (например, fabrikam.com).
  • Если исходный IP-адрес не имеет записи PTR, отправляющая инфраструктура идентифицируется как <исходный IP-адрес> /24 (например, 192.168.100.100/24).
  • Проверенный домен DKIM.
  • Подстановочный знак (*).

Ниже приведены некоторые примеры допустимых пар доменов для идентификации подделанных отправителей.

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

Примечание.

Можно указать подстановочные знаки в инфраструктуре отправки или в подделавленном пользователе, но не в обоих одновременно. Например, *, * запрещено.

Если вы используете домен вместо IP-адреса или диапазона IP-адресов в инфраструктуре отправки, домен должен соответствовать записи PTR для подключающегося IP-адреса в заголовке Authentication-Results . Вы можете определить PTR, выполнив команду : ping -a <IP address>. Мы также рекомендуем использовать домен организации PTR в качестве значения домена. Например, если PTR разрешается в "smtp.inbound.contoso.com", следует использовать "contoso.com" в качестве инфраструктуры отправки.

Добавление пары доменов разрешает или блокирует сочетание подделаного пользователя и инфраструктуры отправки. Например, вы добавляете запись allow для следующей пары доменов:

• Домен: gmail.com
• Инфраструктура отправки: tms.mx.com

Подделать можно только сообщения из этого домена и пары отправляющей инфраструктуры. Другие отправители, пытающиеся подделать gmail.com, не допускаются. Сообщения от отправителей в других доменах, исходящие из tms.mx.com, проверяются с помощью спуфинга.

Сведения о олицетворенных доменах или отправителях

Нельзя создавать записи разрешения в списке разрешенных и заблокированных клиентов для сообщений, которые были обнаружены как олицетворенные пользователи или олицетворенные домены политиками защиты от фишинга в Defender для Office 365.

Отправка сообщения, которое было неправильно заблокировано в качестве олицетворения на вкладке Emails на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email , не добавляет отправителя или домена в качестве разрешенной записи в список разрешенных и заблокированных клиентов.

Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.

Инструкции по отправке ложноположительных срабатываний олицетворения см. в статье Отчет о хорошем сообщении электронной почты в Корпорацию Майкрософт.

Примечание.

В настоящее время олицетворение пользователя (или графа) не выполняется отсюда.

Связанные статьи

• Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
• Отчет о ложноположительных и ложноотрицательных результатах
• Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать файлы в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать URL-адреса в списке разрешенных и заблокированных клиентов