Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Важно!

Чтобы разрешить фишинговые URL-адреса, которые являются частью обучения симуляции атак сторонних разработчиков, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков, вы можете не согласиться с EOP или Microsoft Defender для Office 365 фильтрации вердикта. Например, хорошее сообщение может быть помечено как плохое (ложноположительное), или неправильное сообщение может быть разрешено через (ложноотрицательный).

Список разрешенных и заблокированных клиентов на портале Microsoft Defender позволяет вручную переопределить решения фильтрации Defender для Office 365 или EOP. Список используется во время потока обработки почты для входящих сообщений от внешних отправителей.

Список разрешенных и заблокированных клиентов не применяется к внутренним сообщениям в организации. Однако записи блокировки для доменов и адресов электронной почты не позволяют пользователям в организации отправлять сообщения электронной почты на эти заблокированные домены и адреса.

Список разрешенных и заблокированных клиентов доступен на портале Microsoft Defender в https://security.microsoft.com> разделе Политики & правила>Политики угроз Разрешено>или заблокировано Списки клиента в разделе Правила. Чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте .https://security.microsoft.com/tenantAllowBlockList

Инструкции по использованию и настройке см. в следующих статьях:

• Домены и адреса электронной почты и подделанные отправители: разрешить или заблокировать сообщения электронной почты с помощью списка разрешенных и заблокированных клиентов
• Файлы: разрешить или заблокировать файлы с помощью списка разрешенных и заблокированных клиентов
• URL-адреса: разрешить или заблокировать URL-адреса с помощью списка разрешенных и заблокированных клиентов.

Эти статьи содержат процедуры на портале Microsoft Defender и в PowerShell.

Блокируют записи в списке разрешенных и заблокированных клиентов

Примечание.

В списке разрешенных и заблокированных клиентов блок-записи имеют приоритет над разрешенным.

Используйте страницу Отправки (также называемую отправкой администратором) по адресу https://security.microsoft.com/reportsubmission , чтобы создавать блок-записи для следующих типов элементов, сообщая о них в майкрософт как ложные отрицательные данные:

• Домены и адреса электронной почты:

  • Email сообщения от этих отправителей помечаются как фишинговые с высоким уровнем достоверности, а затем перемещаются в карантин.
  • Пользователи в организации не могут отправлять сообщения электронной почты на эти заблокированные домены и адреса. Они получают следующий отчет о недоставке (также известное как сообщение о недоставке или отказе): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. все сообщение блокируется для всех внутренних и внешних получателей сообщения, даже если в записи блока определен только один адрес электронной почты или домен получателя.

  Совет

  Чтобы заблокировать только спам от определенного отправителя, добавьте адрес электронной почты или домен в список блокировок в политиках защиты от нежелательной почты. Чтобы заблокировать все сообщения электронной почты от отправителя, используйте домены и адреса электронной почты в списке разрешенных и заблокированных клиентов.

• Файлы: Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

• URL-адреса: Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

В списке разрешенных и заблокированных клиентов можно также напрямую создавать записи блоков для следующих типов элементов:

• Домены и адреса электронной почты, файлы и URL-адреса.

• Спуфинированные отправители. Если вручную переопределить существующий вердикт разрешения из подделавной аналитики, заблокированный спуфинг становится блокированной записью вручную, которая отображается только на вкладке Подделанные отправители в списке разрешений и блокировок клиента.

По умолчанию блокируются записи для доменов и адресов электронной почты, файлов и URL-адресов , срок действия которого истекает через 30 дней, но их срок действия истекает через 90 дней или никогда не истечет. Срок действия заблокированных записей для подделанных отправителей никогда не истекает.

Разрешить записи в списке разрешенных и заблокированных клиентов

В большинстве случаев нельзя напрямую создавать записи разрешений в списке разрешенных и заблокированных клиентов:

• Домены и адреса электронной почты, файлы и URL-адреса. Вы не можете создавать разрешенные записи непосредственно в списке разрешенных и заблокированных клиентов. Вместо этого вы используете страницу Отправки по адресуhttps://security.microsoft.com/reportsubmission, чтобы сообщить о сообщении электронной почты, вложении электронной почты или URL-адресе корпорации Майкрософт как не должно быть заблокировано (ложноположительный результат).

• Подделанные отправители:

  • Если спуфинговые средства аналитики уже заблокировали сообщение как спуфинга, используйте страницу Отправки по адресу, https://security.microsoft.com/reportsubmission чтобы сообщить о сообщении электронной почты в Корпорацию Майкрософт как не должно быть заблокировано (ложноположительный результат).
  • Вы можете заранее создать запись разрешения для подделаного отправителя на вкладке Spoofed sender в списке разрешенных и заблокированных клиентов, прежде чем спуфинга аналитика определит и заблокирует сообщение как спуфингом.

В следующем списке описано, что происходит в списке разрешенных и заблокированных клиентов, когда вы сообщаете о чем-либо корпорации Майкрософт в виде ложного срабатывания на странице Отправки .

• Email вложения и URL-адреса. Создается запись разрешения, и эта запись отображается на вкладке Файлы или URL-адреса в списке разрешенных и заблокированных клиентов соответственно.

  Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5, или www.contoso.com/abc/whatever), сообщение не будет заблокировано на основе URL-адреса. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

• Email. Если сообщение было заблокировано стеком фильтрации EOP или Defender для Office 365, в списке разрешенных и заблокированных клиентов может быть создана запись разрешения:

  • Если сообщение было заблокировано спуфингом, создается допустимая запись для отправителя, и эта запись отображается на вкладке Подделанные отправители в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано защитой олицетворения пользователя (или графа) в Defender для Office 365, запись разрешения не создается в списке разрешенных и заблокированных клиентов. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
  • Если сообщение было заблокировано из-за файловых фильтров, создается запись разрешения для файла, а запись отображается на вкладке Файлы в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано из-за фильтров на основе URL-адресов, создается запись разрешения для URL-адреса, а запись отображается на вкладке URL-адрес в списке разрешенных и заблокированных клиентов.
  • Если сообщение было заблокировано по какой-либо другой причине, создается запись разрешения для адреса электронной почты или домена отправителя, а запись отображается на вкладке Домены & адреса в списке разрешенных и заблокированных клиентов.
  • Если сообщение не было заблокировано из-за фильтрации, нигде не создаются разрешенные записи.

По умолчанию разрешены записи для доменов и адресов электронной почты, файлов и URL-адресов в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных разрешенных записей, сообщения, содержащие эти сущности, будут доставлены, если что-то другое в сообщении не будет обнаружено как вредоносное. По умолчанию срок действия записей для подделанных отправителей не истечет.

Важно!

Корпорация Майкрософт не разрешает создавать разрешенные записи напрямую. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые могли быть отфильтрованы системой.

Корпорация Майкрософт управляет созданием разрешенных записей на странице Отправки по адресу https://security.microsoft.com/reportsubmission. Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При повторном обнаружении сущности (во время потока обработки почты или во время щелчка), все фильтры, связанные с этой сущностью, пропускаются.

Если во время потока обработки почты сообщения, содержащие разрешенную сущность, проходят другие проверки в стеке фильтрации, сообщения будут доставлены. Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, будет доставлено сообщение с разрешенного адреса электронной почты отправителя.

Чего ожидать после добавления записи разрешения или блокировки

После добавления разрешенной записи на странице Отправки или записи блока в списке разрешенных и заблокированных клиентов запись должна начать работу немедленно (в течение 5 минут).

Если корпорация Майкрософт узнала о допустимой записи, запись удаляется. Вы получите оповещение об удалении теперь ненужной записи разрешения из встроенной политики оповещенийс именем Удалена запись в списке разрешенных и заблокированных клиентов.