Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Wichtig

Um Phishing-URLs zuzulassen, die Teil des Angriffssimulationstrainings von Drittanbietern sind, verwenden Sie die erweiterte Übermittlungskonfiguration , um die URLs anzugeben. Verwenden Sie nicht die Zulassungs-/Sperrliste des Mandanten.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection-Organisationen (EOP) ohne Exchange Online Postfächer können Sie dem EOP oder Microsoft Defender for Office 365 Filterbewertung. Beispielsweise kann eine gute Nachricht als schlecht (falsch positiv) markiert werden, oder eine ungültige Nachricht kann durch zugelassen werden (falsch negativ).

Mit der Mandanten-Zulassungs-/Sperrliste im Microsoft Defender-Portal können Sie die Defender for Office 365- oder EOP-Filterbewertungen manuell überschreiben. Die Liste wird während des Nachrichtenflusses oder der Klickzeit für eingehende Nachrichten von externen Absendern verwendet.

Einträge für Domänen und E-Mail-Adressen und gefälschte Absender gelten für interne Nachrichten, die innerhalb der organization gesendet werden. Blockieren von Einträgen für Domänen und E-Mail-Adressen verhindern außerdem, dass Benutzer im organization E-Mails an diese blockierten Domänen und Adressen senden.

Die Liste "Mandanten zulassen/blockieren" finden Sie im Microsoft Defender-Portal unter https://security.microsoft.com Email & Abschnitt Richtlinien für die Zusammenarbeit>& Regeln>für Bedrohungsrichtlinien>Regeln> für Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

Anweisungen zur Verwendung und Konfiguration finden Sie in den folgenden Artikeln:

Diese Artikel enthalten Prozeduren im Microsoft Defender-Portal und in PowerShell.

Blockieren von Einträgen in der Zulassungs-/Sperrliste für Mandanten

Tipp

In der Mandanten-Zulassungs-/Sperrliste haben Blockeinträge Vorrang vor Zulassungseinträgen.

Verwenden Sie die Seite Übermittlungen (auch als Administratorübermittlung bezeichnet), https://security.microsoft.com/reportsubmission um Blockeinträge für die folgenden Arten von Elementen zu erstellen, wenn Sie sie als falsch negative Werte an Microsoft übermitteln:

  • Domänen und E-Mail-Adressen:

    • Email Nachrichten von diesen Absendern werden als Phishing mit hoher Zuverlässigkeit gekennzeichnet und dann in Quarantäne verschoben.
    • Benutzer im organization können keine E-Mails an diese blockierten Domänen und Adressen senden. Sie erhalten den folgenden Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Die gesamte Nachricht wird für alle internen und externen Empfänger der Nachricht blockiert, auch wenn nur eine Empfänger-E-Mail-Adresse oder Domäne in einem Blockeintrag definiert ist.

    Tipp

    Um nur Spam von einem bestimmten Absender zu blockieren, fügen Sie die E-Mail-Adresse oder Domäne der Sperrliste in Antispamrichtlinien hinzu. Um alle E-Mails des Absenders zu blockieren, verwenden Sie Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten.

  • Dateien: Email Nachrichten, die diese blockierten Dateien enthalten, werden als Schadsoftware blockiert. Nachrichten, die die blockierten Dateien enthalten, werden unter Quarantäne gesetzt.

  • URLs: Email Nachrichten, die diese blockierten URLs enthalten, werden als Phishing mit hoher Zuverlässigkeit blockiert. Nachrichten, die die blockierten URLs enthalten, werden unter Quarantäne gesetzt.

In der Mandanten-Zulassungs-/Sperrliste können Sie auch direkt Blockeinträge für die folgenden Arten von Elementen erstellen:

  • Domänen und E-Mail-Adressen, Dateien und URLs.

  • Gefälschte Absender: Wenn Sie eine vorhandene Zulassungsbewertung von Spoofintelligenz manuell außer Kraft setzen, wird der blockierte spoofierte Absender zu einem manuellen Blockeintrag, der nur auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt wird.

  • IP-Adressen: Wenn Sie manuell einen Blockeintrag erstellen, werden alle eingehenden E-Mail-Nachrichten von dieser IP-Adresse am Rand des Diensts gelöscht.

Standardmäßig laufen Sperreinträge für Domänen und E-Mail-Adressen, Dateien und URLs nach 30 Tagen ab, aber Sie können festlegen, dass sie bis zu 90 Tage oder nie ablaufen.

Blockieren von Einträgen für gefälschte Absender und IP-Adressen laufen nie ab.

Zulassungseinträge in der Zulassungs-/Sperrliste für Mandanten

In den meisten Fällen können Sie Zulassungseinträge nicht direkt in der Zulassungs-/Sperrliste des Mandanten erstellen. Unnötige Zulassungseinträge machen Ihre organization schädlichen E-Mails aus, die möglicherweise vom System gefiltert wurden.

  • Domänen und E-Mail-Adressen, Dateien und URLs: Sie können zulassungsfähige Einträge nicht direkt in der Zulassungs-/Sperrliste des Mandanten erstellen. Stattdessen verwenden Sie die Seite Übermittlungen unter https://security.microsoft.com/reportsubmission , um die E-Mail, E-Mail-Anlage oder URL an Microsoft zu übermitteln. Nachdem Sie Ich habe bestätigt, dass es sauber ist, können Sie diese Nachricht zulassen, Diese Datei zulassen oder Diese URL zulassen auswählen, um einen Zulassungseintrag für die Domänen und E-Mail-Adressen, Dateien oder URLs zu erstellen.

  • Gefälschte Absender:

  • IP-Adressen: Sie können proaktiv einen Zulassungseintrag für eine IP-Adresse auf der Registerkarte IP-Adressen in der Mandanten-Zulassungs-/Sperrliste erstellen, um die IP-Filter für eingehende Nachrichten außer Kraft zu setzen.

In der folgenden Liste wird beschrieben, was in der Zulassungs-/Sperrliste für Mandanten geschieht, wenn Sie etwas auf der Seite Übermittlungen als falsch positives Ergebnis an Microsoft übermitteln:

  • Email Anlagen und URLs: Ein Zulassungseintrag wird erstellt, und der Eintrag wird auf der Registerkarte Dateien oder URLs in der Zulassungs-/Sperrliste des Mandanten angezeigt.

    Für URLs, die als falsch positive Werte gemeldet werden, lassen wir nachfolgende Meldungen zu, die Variationen der ursprünglichen URL enthalten. Beispielsweise verwenden Sie die Seite Übermittlungen , um die falsch blockierte URL www.contoso.com/abczu melden. Wenn Ihr organization später eine Nachricht empfängt, die die URL enthält (z. Bwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5. , oder www.contoso.com/abc/whatever), wird die Nachricht nicht basierend auf der URL blockiert. Anders ausgedrückt: Sie müssen microsoft nicht mehrere Varianten derselben URL melden.

  • Email: Wenn eine Nachricht vom EOP- oder Defender for Office 365 Filterstapel blockiert wurde, kann ein Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten erstellt werden:

    • Wenn die Nachricht durch Spoofintelligenz blockiert wurde, wird ein Zulassungseintrag für den Absender erstellt, und der Eintrag wird auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht in Defender for Office 365 durch benutzer- oder graphischen Identitätswechsel blockiert wurde, wird in der Zulassungs-/Sperrliste des Mandanten kein Zulassungseintrag erstellt. Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.
    • Wenn die Nachricht aufgrund dateibasierter Filter blockiert wurde, wird ein Zulassungseintrag für die Datei erstellt, und der Eintrag wird auf der Registerkarte Dateien in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht aufgrund von URL-basierten Filtern blockiert wurde, wird ein Zulassungseintrag für die URL erstellt, und der Eintrag wird auf der Registerkarte URL in der Mandanten-Zulassungs-/Sperrliste angezeigt.
    • Wenn die Nachricht aus einem anderen Grund blockiert wurde, wird ein Zulassungseintrag für die Absender-E-Mail-Adresse oder Domäne erstellt, und der Eintrag wird auf der Registerkarte Domänen & Adressen in der Zulassungs-/Sperrliste des Mandanten angezeigt.
    • Wenn die Nachricht aufgrund von Filterung nicht blockiert wurde, werden keine Zulassungseinträge erstellt.

Tipp

Zulassen von Einträgen aus Übermittlungen werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als bösartig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als bösartig eingestuft werden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.

Wenn Nachrichten, die die Entitäten in den Zulassungseinträgen enthalten, während des Nachrichtenflusses oder der Klickzeit andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten übermittelt (alle Filter, die den zulässigen Entitäten zugeordnet sind, werden übersprungen). Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen, URL-Filterung und Dateifilterung besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt, wenn sie ebenfalls von einem zulässigen Absender stammt.

Standardmäßig werden Zulassungseinträge für Domänen und E-Mail-Adressen, Dateien und URLs 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen. Zulassen, dass Einträge für gefälschte Absender nie ablaufen .

Was Sie nach dem Hinzufügen eines Zulassungs- oder Sperreintrags erwarten können

Nachdem Sie einen Zulassungseintrag auf der Seite Übermittlungen oder einen Blockeintrag in der Mandanten-Zulassungs-/Sperrliste hinzugefügt haben, sollte der Eintrag sofort (innerhalb von 5 Minuten) funktionieren.

Wenn Microsoft aus dem Zulassungseintrag gelernt hat, generiert die integrierte Warnungsrichtlinie mit dem Namen Removed an entry in Tenant Allow/Block List eine Warnung, wenn der (jetzt unnötige) Zulassungseintrag entfernt wird.