Zulassen oder Blockieren von E-Mails mithilfe der Mandanten-Zulassungs-/Sperrliste

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection EOP-Organisationen (EOP) ohne Exchange Online Postfächer können Administratoren Einträge für Domänen und E-Mail-Adressen (einschließlich gefälschter Absender) in der Zulassungs-/Sperrliste für Mandanten erstellen und verwalten. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.

In diesem Artikel wird beschrieben, wie Administratoren Einträge für E-Mail-Absender im Microsoft Defender-Portal und in Exchange Online PowerShell verwalten können.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Eingabegrenzwerte für Domänen und E-Mail-Adressen:

    • Exchange Online Protection: Die maximale Anzahl zulässiger Einträge beträgt 500, und die maximale Anzahl von Blockeinträgen beträgt 500 (insgesamt 1000 Domänen- und E-Mail-Adresseinträge).
    • Defender for Office 365 Plan 1: Die maximale Anzahl zulässiger Einträge beträgt 1000, und die maximale Anzahl von Blockeinträgen beträgt 1000 (insgesamt 2000 Domänen- und E-Mail-Adresseinträge).
    • Defender for Office 365 Plan 2: Die maximale Anzahl zulässiger Einträge beträgt 5000, und die maximale Anzahl von Blockeinträgen beträgt 10000 (insgesamt 15.000 Domänen- und E-Mail-Adresseinträge).
  • Bei gefälschten Absendern beträgt die maximale Anzahl zulässiger Einträge und Blockeinträge 1024 (1024 Zulassen von Einträgen und keine Blockeinträge, 512 zulässige Einträge und 512 Blockeinträge usw.).

  • Einträge für gefälschte Absender laufen niemals ab.

  • Um ein- und ausgehende E-Mails von einer Domäne, allen Unterdomänen in dieser Domäne und allen E-Mail-Adressen in dieser Domäne zu blockieren, erstellen Sie den Blockeintrag mit der Syntax: *.TLD. TLD Dabei kann es sich um eine beliebige Domäne der obersten Ebene, interne Domäne oder E-Mail-Adressdomäne handeln.

  • Um ein- und ausgehende E-Mails von einer sudomain in einer Domäne und allen E-Mail-Adressen in dieser Unterdomäne zu blockieren, erstellen Sie den Blockeintrag mit der Syntax : *.SD1.TLD, *.SD2.SD1.TLD, *.SD3.SD2.SD1.TLDusw. für interne Domänen und E-Mail-Adressdomänen.

  • Ausführliche Informationen zur Syntax für gefälschte Absendereinträge finden Sie im Abschnitt Domänenpaarsyntax für gefälschte Absendereinträge weiter unten in diesem Artikel.

  • Ein Eintrag sollte innerhalb von 5 Minuten aktiv sein.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Erkennungsoptimierung (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Exchange Online Berechtigungen:

      • Hinzufügen und Entfernen von Einträgen aus der Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
        • Organisationsverwaltung oder Sicherheitsadministrator (Rolle "Sicherheitsadministrator").
        • Sicherheitsoperator (Mandanten-AllowBlockList-Manager).
      • Schreibgeschützter Zugriff auf die Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
        • Globaler Reader
        • Sicherheitsleseberechtigter
        • Schreibgeschützte Konfiguration
        • View-Only Organization Management
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten

Erstellen von Zulassungseinträgen für Domänen und E-Mail-Adressen

Sie können keine Zulassungseinträge für Domänen und E-Mail-Adressen direkt in der Zulassungs-/Sperrliste für Mandanten erstellen. Unnötige Zulassungseinträge machen Ihre organization für schädliche E-Mails verfügbar, die vom System gefiltert worden wären.

Stattdessen verwenden Sie die Registerkarte E-Mails auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=email. Wenn Sie eine blockierte Nachricht übermitteln, da ich bestätigt habe, dass sie sauber ist, und dann diese Nachricht zulassen auswählen, wird der Registerkarte Domänen & E-Mail-Adressen auf der Seite Mandanten zulassen/blockieren Listen ein Eintrag für den Absender hinzugefügt. Anweisungen finden Sie unter Übermitteln von guten E-Mails an Microsoft.

Tipp

Zulassen von Einträgen aus Übermittlungen werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als bösartig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als bösartig eingestuft werden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.

Wenn Nachrichten, die die Entitäten in den Zulassungseinträgen enthalten, während des Nachrichtenflusses oder der Klickzeit andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten übermittelt (alle Filter, die den zulässigen Entitäten zugeordnet sind, werden übersprungen). Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen, URL-Filterung und Dateifilterung besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt, wenn sie ebenfalls von einem zulässigen Absender stammt.

Standardmäßig werden Zulassungseinträge für Domänen und E-Mail-Adressen, Dateien und URLs 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen. Zulassen, dass Einträge für gefälschte Absender nie ablaufen .

Erstellen von Blockeinträgen für Domänen und E-Mail-Adressen

Verwenden Sie eine der folgenden Methoden, um Blockeinträge für Domänen und E-Mail-Adressen zu erstellen:

  • Auf der Registerkarte E-Mails auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=email. Wenn Sie eine Nachricht übermitteln, da ich bestätigt habe, dass es sich um eine Bedrohung handelt, können Sie alle E-Mails von diesem Absender oder dieser Domäne blockieren auswählen, um der Registerkarte Domänen & E-Mail-Adressen auf der Seite Mandanten zulassen/blockieren Listen einen Blockeintrag hinzuzufügen. Anweisungen finden Sie unter Melden fragwürdiger E-Mails an Microsoft.

  • Auf der Registerkarte Domänen & Adressen auf der Seite Mandanten zulassen/blockieren Listen oder in PowerShell, wie in diesem Abschnitt beschrieben.

Informationen zum Erstellen von Blockeinträgen für gefälschte Absender finden Sie in diesem Abschnitt weiter unten in diesem Artikel.

Email von diesen blockierten Absendern wird als Phishing mit hoher Zuverlässigkeit gekennzeichnet und unter Quarantäne gesetzt.

Hinweis

Derzeit sind Unterdomänen der angegebenen Domäne nicht blockiert. Wenn Sie beispielsweise einen Blockeintrag für E-Mails aus contoso.com erstellen, werden E-Mails aus marketing.contoso.com nicht ebenfalls blockiert. Sie müssen einen separaten Blockeintrag für marketing.contoso.com erstellen.

Benutzer im organization können auch keine E-Mails an diese blockierten Domänen und Adressen senden. Die Nachricht wird im folgenden Nichtzustellbarkeitsbericht (auch als NDR oder Unzustellbarkeitsnachricht bezeichnet) zurückgegeben: 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

Verwenden Sie das Microsoft Defender-Portal, um Blockeinträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten zu erstellen.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Überprüfen Sie auf der Seite Mandanten zulassen/blockieren Listen, ob die Registerkarte Domänen & Adressen ausgewählt ist.

  3. Wählen Sie auf der Registerkarte Domänen & Adressendie Option Blockieren aus.

  4. Konfigurieren Sie im flyout Domänen & Adressen blockieren, das geöffnet wird, die folgenden Einstellungen:

    • Domänen & Adressen: Geben Sie eine E-Mail-Adresse oder Domäne pro Zeile ein, bis zu maximal 20.

    • Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:

      • 1 Tag
      • 7 Tage
      • 30 Tage (Standard)
      • Läuft nie ab
      • Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.
    • Optionaler Hinweis: Geben Sie beschreibenden Text ein, warum Sie die E-Mail-Adressen oder Domänen blockieren.

  5. Wenn Sie im Flyout Domänen & Adressen blockieren fertig sind, wählen Sie Hinzufügen aus.

Auf der Registerkarte Domänen & E-Mail-Adressen wird der Eintrag aufgeführt.

Verwenden von PowerShell zum Erstellen von Blockeinträgen für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In diesem Beispiel wird ein Blockeintrag für die angegebene E-Mail-Adresse hinzugefügt, die an einem bestimmten Datum abläuft.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-TenantAllowBlockListItems.

Verwenden Sie das Microsoft Defender-Portal, um Einträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten anzuzeigen.

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>Bedrohungsrichtlinien>Mandanten zulassen/Listen blockieren im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

Vergewissern Sie sich, dass die Registerkarte Domänen & Adressen ausgewählt ist.

Auf der Registerkarte Domänen & Adressen können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

  • Wert: Die Domäne oder E-Mail-Adresse.
  • Aktion: Der Wert Zulassen oder Blockieren.
  • Geändert von
  • Zuletzt aktualisiert
  • Datum der letzten Verwendung: Das Datum, an dem der Eintrag zuletzt im Filtersystem verwendet wurde, um das Urteil zu überschreiben.
  • Entfernen am: Das Ablaufdatum.
  • Hinweise

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

  • Aktion: Die Werte sind Zulassen und Blockieren.
  • Läuft nie ab: oder
  • Zuletzt aktualisiert: Wählen Sie Datumsangaben von und bis aus.
  • Datum der letzten Verwendung: Wählen Sie Datumsangaben von und bis aus.
  • Entfernen am: Wählen Sie Datumsangaben von und bis aus.

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann Aktion aus. Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.

Anzeigen von Einträgen für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten mithilfe von PowerShell

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

In diesem Beispiel werden alle Zulassungs- und Blockeinträge für Domänen und E-Mail-Adressen zurückgegeben.

Get-TenantAllowBlockListItems -ListType Sender

In diesem Beispiel werden die Ergebnisse für Blockeinträge für Domänen und E-Mail-Adressen gefiltert.

Get-TenantAllowBlockListItems -ListType Sender -Block

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListItems.

Verwenden Sie das Microsoft Defender-Portal, um Einträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten zu ändern.

In vorhandenen Domänen- und E-Mail-Adresseinträgen können Sie das Ablaufdatum und die Notiz ändern.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Vergewissern Sie sich, dass die Registerkarte Domänen & Adressen ausgewählt ist.

  3. Wählen Sie auf der Registerkarte Domänen & Adressen den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Bearbeiten aus.

  4. Im flyout Domänen & Adressen bearbeiten, das geöffnet wird, sind die folgenden Einstellungen verfügbar:

    • Blockieren von Einträgen:
      • Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:
        • 1 Tag
        • 7 Tage
        • 30 Tage
        • Läuft nie ab
        • Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.
      • Optionaler Hinweis
    • Einträge zulassen:
      • Eintrag zulassen nach entfernen: Wählen Sie aus den folgenden Werten aus:
        • 1 Tag
        • 7 Tage
        • 30 Tage
        • 45 Tage nach dem letzten Nutzungsdatum
        • Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
      • Optionaler Hinweis

    Wenn Sie im Flyout Domänen & Adressen bearbeiten fertig sind, wählen Sie Speichern aus.

Tipp

Verwenden Sie im Details-Flyout eines Eintrags auf der Registerkarte Domänen & Adressen die Option Übermittlung anzeigen oben im Flyout, um zu den Details des entsprechenden Eintrags auf der Seite Übermittlungen zu wechseln. Diese Aktion ist verfügbar, wenn eine Übermittlung für die Erstellung des Eintrags in der Zulassungs-/Sperrliste des Mandanten verantwortlich war.

Verwenden von PowerShell zum Ändern von Einträgen für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In diesem Beispiel wird das Ablaufdatum des angegebenen Blockeintrags für die Absender-E-Mail-Adresse geändert.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TenantAllowBlockListItems.

Verwenden Sie das Microsoft Defender-Portal, um Einträge für Domänen und E-Mail-Adressen aus der Zulassungs-/Sperrliste für Mandanten zu entfernen.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Vergewissern Sie sich, dass die Registerkarte Domänen & Adressen ausgewählt ist.

  3. Führen Sie auf der Registerkarte Domänen & Adressen einen der folgenden Schritte aus:

    • Wählen Sie den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Löschen aus.

    • Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist. Wählen Sie im daraufhin geöffneten Details-Flyout oben im Flyout löschen aus.

      Tipp

      • Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
      • Sie können mehrere Einträge auswählen, indem Sie jedes Kontrollkästchen aktivieren, oder alle Einträge auswählen, indem Sie das Kontrollkästchen neben der Spaltenüberschrift Wert aktivieren.
  4. Wählen Sie im daraufhin geöffneten Warnungsdialogfeld Die Option Löschen aus.

Auf der Registerkarte Domänen & Adressen wird der Eintrag nicht mehr aufgeführt.

Verwenden von PowerShell zum Entfernen von Einträgen für Domänen und E-Mail-Adressen aus der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

In diesem Beispiel wird der angegebene Eintrag für Domänen und E-Mail-Adressen aus der Zulassungs-/Sperrliste des Mandanten entfernt.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-TenantAllowBlockListItems.

Spoofte Absender in der Zulassungs-/Sperrliste des Mandanten

Wenn Sie das Urteil in der Erkenntnisse zur Spoofintelligenz außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Sperreintrag, der nur auf der Registerkarte Spoofed senders auf der Seite Mandanten zulassen/blockieren Listen angezeigt wird.

Erstellen von Zulassungseinträgen für gefälschte Absender

Verwenden Sie eine der folgenden Methoden, um Zulassungseinträge für gefälschte Absender zu erstellen:

  • Auf der Registerkarte E-Mails auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=email. Anweisungen finden Sie unter Übermitteln von guten E-Mails an Microsoft.
    • Wenn Sie eine Nachricht übermitteln, die durch Spoofintelligenz erkannt und blockiert wurde, wird der Registerkarte Spoofed Sender in der Zulassungs -/Sperrliste des Mandanten ein Zulassungseintrag für den gefälschten Absender hinzugefügt.
    • Wenn der Absender nicht erkannt und durch Spoofintelligenz blockiert wurde, wird beim Senden der Nachricht an Microsoft kein Zulassungseintrag für den Absender in der Mandanten-Zulassungs-/Sperrliste erstellt.
  • Auf der Seite "Spoof intelligence insight" (Spoofintelligenz ) wird angezeigt https://security.microsoft.com/spoofintelligence, ob der Absender durch Spoofintelligenz erkannt und blockiert wurde. Anweisungen finden Sie unter Außerkraftsetzen des Spoofintelligenz-Urteils.
    • Wenn Sie das Urteil in der Erkenntnisse zur Spoofintelligenz außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Eintrag, der nur auf der Registerkarte Spoofed senders auf der Seite Mandanten zulassen/blockieren Listen angezeigt wird.
  • Auf der Registerkarte Gefälschte Absender auf der Seite Mandanten zulassen/blockieren Listen oder in PowerShell, wie in diesem Abschnitt beschrieben.

Hinweis

Zulassen von Einträgen für spoofte Absender für organisationsinternes, organisationsübergreifendes und DMARC-Spoofing.

Nur die Kombination aus dem gefälschten Benutzer und der sendenden Infrastruktur, wie im Domänenpaar definiert, darf spooft werden.

Zulassen, dass Einträge für gefälschte Absender nie ablaufen.

Verwenden Des Microsoft Defender-Portals zum Erstellen von Zulassungseinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste

In der Mandanten-Zulassungs-/Sperrliste können Sie Zulassungseinträge für gefälschte Absender erstellen, bevor sie erkannt und durch Spoofintelligenz blockiert werden.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie auf der Seite Mandanten zulassen/blockieren Listen die Registerkarte Gefälschte Absender aus.

  3. Wählen Sie auf der Registerkarte Gefälschte Absenderdie Option Hinzufügen aus.

  4. Konfigurieren Sie im flyout Neue Domänenpaare hinzufügen , das geöffnet wird, die folgenden Einstellungen:

    • Hinzufügen von Domänenpaaren mit Wildcards: Geben Sie ein Domänenpaar pro Zeile ein, bis zu maximal 20. Ausführliche Informationen zur Syntax für gefälschte Absendereinträge finden Sie im Abschnitt Domänenpaarsyntax für gefälschte Absendereinträge weiter unten in diesem Artikel.

    • Spooftyp: Wählen Sie einen der folgenden Werte aus:

      • Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrem organization gehört (eine akzeptierte Domäne).
      • Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
    • Aktion: Wählen Sie Zulassen oder Blockieren aus.

    Wenn Sie mit dem Flyout Neue Domänenpaare hinzufügen fertig sind, wählen Sie Hinzufügen aus.

Zurück auf der Registerkarte Spoofed senders (Spoofed senders ) wird der Eintrag aufgelistet.

Verwenden von PowerShell zum Erstellen von Zulassungseinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In diesem Beispiel wird ein Zulassungseintrag für den Absender bob@contoso.com aus dem Quell-contoso.com erstellt.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

Ausführliche Syntax- und Parameterinformationen finden Sie unter New-TenantAllowBlockListSpoofItems.

Erstellen von Blockeinträgen für gefälschte Absender

Verwenden Sie eine der folgenden Methoden, um Blockeinträge für gefälschte Absender zu erstellen:

Hinweis

Nur die Kombination aus dem gefälschten Benutzer und der sendeinfrastruktur, die im Domänenpaar definiert ist, wird für Spoofing blockiert.

Email von diesen Absendern wird als Phishing gekennzeichnet. Was mit den Nachrichten geschieht, wird durch die Antispamrichtlinie bestimmt, die die Nachricht für den Empfänger erkannt hat. Weitere Informationen finden Sie unter der Phishingerkennungsaktion in den EOP-Antispamrichtlinieneinstellungen.

Wenn Sie einen Blockeintrag für ein Domänenpaar konfigurieren, wird der gefälschte Absender zu einem manuellen Blockeintrag, der nur auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt wird.

Blockieren von Einträgen für gefälschte Absender läuft nie ab.

Verwenden des Microsoft Defender-Portals zum Erstellen von Blockeinträgen für spoofte Absender in der Zulassungs-/Sperrliste für Mandanten

Die Schritte sind nahezu identisch mit dem Erstellen von Zulassungseinträgen für gefälschte Absender , wie zuvor in diesem Artikel beschrieben.

Der einzige Unterschied besteht darin: Wählen Sie für den Aktionswert in Schritt 4 Blockieren anstelle von Zulassen aus.

Verwenden von PowerShell zum Erstellen von Blockeinträgen für gefälschte Absender in der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

In diesem Beispiel wird ein Blockeintrag für den Absender laura@adatum.com aus der Quelle 172.17.17.17/24 erstellt.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

Ausführliche Syntax- und Parameterinformationen finden Sie unter New-TenantAllowBlockListSpoofItems.

Verwenden des Microsoft Defender-Portals zum Anzeigen von Einträgen für gefälschte Absender in der Zulassungs-/Sperrliste für Mandanten

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>Bedrohungsrichtlinien>Mandanten zulassen/Listen blockieren im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

Vergewissern Sie sich, dass die Registerkarte Spoofed senders (Spoofed senders) ausgewählt ist.

Auf der Registerkarte Spoofed senders können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

  • Spoofter Benutzer
  • Senden der Infrastruktur
  • Spooftyp: Die verfügbaren Werte sind Intern oder Extern.
  • Aktion: Die verfügbaren Werte sind Blockieren oder Zulassen.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

  • Aktion: Die verfügbaren Werte sind Zulassen und Blockieren.
  • Spooftyp: Die verfügbaren Werte sind Intern und Extern.

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:

  • Aktion
  • Spoof-Typ

Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.

Verwenden von PowerShell zum Anzeigen von Einträgen für gefälschte Absender in der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

In diesem Beispiel werden alle gefälschten Absendereinträge in der Zulassungs-/Sperrliste des Mandanten zurückgegeben.

Get-TenantAllowBlockListSpoofItems

In diesem Beispiel werden alle internen gefälschten Absendereinträge zurückgegeben.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

In diesem Beispiel werden alle blockierten gefälschten Absendereinträge zurückgegeben, die extern sind.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListSpoofItems.

Verwenden des Microsoft Defender-Portals zum Ändern von Einträgen für gefälschte Absender in der Zulassungs-/Sperrliste für Mandanten

Wenn Sie einen Zulassungs- oder Blockeintrag für gefälschte Absender in der Mandantenliste Zulassen/Blockieren ändern, können Sie den Eintrag nur von Zulassen in Blockieren ändern oder umgekehrt.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.

  3. Wählen Sie den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Bearbeiten aus.

  4. Wählen Sie im geöffneten Flyout Edit spoofed sender (Spoofed Sender bearbeiten ) die Option Zulassen oder Blockieren aus, und wählen Sie dann Speichern aus.

Verwenden von PowerShell zum Ändern von Einträgen für gefälschte Absender in der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

In diesem Beispiel wird der angegebene gefälschte Absendereintrag von einem Allow-Eintrag in einen Blockeintrag geändert.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TenantAllowBlockListSpoofItems.

Verwenden Sie das Microsoft Defender-Portal, um Einträge für gefälschte Absender aus der Zulassungs-/Sperrliste des Mandanten zu entfernen.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.

  3. Wählen Sie auf der Registerkarte Spoofed senders (Spoofed senders ) den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Löschen aus.

    Tipp

    Sie können mehrere Einträge auswählen, indem Sie jedes Kontrollkästchen aktivieren, oder alle Einträge auswählen, indem Sie das Kontrollkästchen neben der Spaltenüberschrift "Spoofed user " aktivieren.

  4. Wählen Sie im daraufhin geöffneten Warnungsdialogfeld Die Option Löschen aus.

Verwenden von PowerShell zum Entfernen von Einträgen für gefälschte Absender aus der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

In diesem Beispiel wird der angegebene gefälschte Absender entfernt. Sie erhalten den Ids-Parameterwert aus der Identity-Eigenschaft in der Ausgabe Get-TenantAllowBlockListSpoofItems Befehls.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-TenantAllowBlockListSpoofItems.

Domänenpaarsyntax für gefälschte Absendereinträge

Ein Domänenpaar für einen gefälschten Absender in der Mandanten-Zulassungs-/Sperrliste verwendet die folgende Syntax: <Spoofed user>, <Sending infrastructure>.

  • Gefälschter Benutzer: Dieser Wert umfasst die E-Mail-Adresse des gefälschten Benutzers, die in E-Mail-Clients im Feld Von angezeigt wird. Diese Adresse wird auch als 5322.From oder P2-Absenderadresse bezeichnet. Gültige Werte sind:

    • Eine einzelne E-Mail-Adresse (z. B chris@contoso.com. ).
    • Eine E-Mail-Domäne (z. B. contoso.com).
    • Das Platzhalterzeichen (*).
  • Sendende Infrastruktur: Dieser Wert gibt die Quelle der Nachrichten des gefälschten Benutzers an. Gültige Werte sind:

    • Die Domäne, die in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers gefunden wurde (z. B. fabrikam.com).
    • Wenn die Quell-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <Quell-IP-Adresse>/24 identifiziert (z. B. 192.168.100.100/24).
    • Eine überprüfte DKIM-Domäne
    • Das Platzhalterzeichen (*).

Hier sind einige Beispiele für gültige Domänenpaare, um gefälschte Absender zu identifizieren:

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

Hinweis

Sie können In der sendenden Infrastruktur oder im gefälschten Benutzer, aber nicht in beiden Gleichzeitigen, Dies ist möglich. Ist beispielsweise *, * nicht zulässig.

Wenn Sie eine Domäne anstelle der IP-Adresse oder des IP-Adressbereichs in der sendenden Infrastruktur verwenden, muss die Domäne mit dem PTR-Eintrag für die ip-Adresse, die eine Verbindung herstellt, im Header Authentication-Results übereinstimmen. Sie können die PTR ermitteln, indem Sie den Befehl ausführen: ping -a <IP address>. Es wird auch empfohlen, die PTR-Organisationsdomäne als Domänenwert zu verwenden. Wenn die PTR beispielsweise in "smtp.inbound.contoso.com" aufgelöst wird, sollten Sie "contoso.com" als sendende Infrastruktur verwenden.

Das Hinzufügen eines Domänenpaars ermöglicht oder blockiert nur die Kombination aus dem gefälschten Benutzer und der sendenden Infrastruktur. Beispielsweise fügen Sie einen Zulassungseintrag für das folgende Domänenpaar hinzu:

  • Domäne: gmail.com
  • Senden der Infrastruktur: tms.mx.com

Nur Nachrichten aus dieser Domäne und dem sendenden Infrastrukturpaar dürfen spooft werden. Andere Absender, die versuchen, gmail.com zu spoofen, sind nicht zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden durch Spoofintelligenz überprüft.

Informationen zu Identitätswechseldomänen oder Absendern

Sie können keine Zulassungseinträge in der Zulassungs-/Sperrliste für Mandanten für Nachrichten erstellen, die von Antiphishingrichtlinien in Defender for Office 365 als angenommene Benutzer oder Identitätsidentitätsdomänen erkannt wurden.

Das Senden einer Nachricht, die fälschlicherweise als Identitätswechsel auf der Registerkarte E-Mails der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=email blockiert wurde, fügt den Absender oder die Domäne nicht als Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten hinzu.

Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.

Anweisungen zur Übermittlung von Identitätswechseln mit falsch positiven Ergebnissen finden Sie unter Melden einer guten E-Mail an Microsoft.

Hinweis

Derzeit wird der Identitätswechsel von Benutzern (oder Graphen) hier nicht übernommen.