Administrar permite y bloquea en la lista de permitidos o bloqueados de inquilinos

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Importante

Para permitir direcciones URL de phishing que forman parte del entrenamiento de simulación de ataques de terceros, use la configuración de entrega avanzada para especificar las direcciones URL. No use la lista de permitidos o bloqueados de inquilinos.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, es posible que no esté de acuerdo con el EOP o Microsoft Defender para Office 365 veredicto de filtrado. Por ejemplo, un buen mensaje podría marcarse como incorrecto (un falso positivo) o un mensaje incorrecto podría permitirse a través de (un falso negativo).

La lista de permitidos o bloqueados de inquilinos del portal de Microsoft Defender proporciona una manera de invalidar manualmente los veredictos de filtrado de Defender para Office 365 o EOP. La lista se usa durante el flujo de correo o la hora de clic para los mensajes entrantes de remitentes externos.

Las entradas para dominios y direcciones de correo electrónico y remitentes suplantados se aplican a los mensajes internos enviados dentro de la organización. Bloquear las entradas de dominios y direcciones de correo electrónico también impide que los usuarios de la organización envíen correo electrónico a esos dominios y direcciones bloqueados.

La lista Permitir o bloquear inquilinos está disponible en el portal de Microsoft Defender en https://security.microsoft.com Email & directivas de colaboración> & secciónReglas dedirectivas> deamenazas> De >inquilino permitir o bloquear Listas. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

Para obtener instrucciones de uso y configuración, consulte los artículos siguientes:

Estos artículos contienen procedimientos en el portal de Microsoft Defender y en PowerShell.

Bloquear entradas en la lista de permitidos o bloqueados de inquilinos

Sugerencia

En la Lista de permitidos o bloqueados de inquilinos, las entradas de bloque tienen prioridad sobre las entradas de permiso.

Use la página Envíos (también conocida como envío de administrador) en https://security.microsoft.com/reportsubmission para crear entradas de bloque para los siguientes tipos de elementos a medida que los envíe como falsos negativos a Microsoft:

  • Dominios y direcciones de correo electrónico:

    • Email mensajes de estos remitentes se marcan como suplantación de identidad de alta confianza y, a continuación, se mueven a cuarentena.
    • Los usuarios de la organización no pueden enviar correo electrónico a estos dominios y direcciones bloqueados. Reciben el siguiente informe de no entrega (también conocido como NDR o mensaje de devolución): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. todo el mensaje se bloquea para todos los destinatarios internos y externos del mensaje, incluso si solo se define una dirección de correo electrónico de destinatario o un dominio en una entrada de bloque.

    Sugerencia

    Para bloquear solo el correo no deseado de un remitente específico, agregue la dirección de correo electrónico o el dominio a la lista de bloqueos en las directivas contra correo no deseado. Para bloquear todo el correo electrónico del remitente, use Dominios y direcciones de correo electrónico en la Lista de inquilinos permitidos o bloqueados.

  • Archivos: Email mensajes que contienen estos archivos bloqueados se bloquean como malware. Los mensajes que contienen los archivos bloqueados se ponen en cuarentena.

  • Direcciones URL: Email mensajes que contienen estas direcciones URL bloqueadas se bloquean como suplantación de identidad de alta confianza. Los mensajes que contienen las direcciones URL bloqueadas se ponen en cuarentena.

En la Lista de permitidos o bloqueados de inquilinos, también puede crear directamente entradas de bloque para los siguientes tipos de elementos:

De forma predeterminada, las entradas de bloque para dominios y direcciones de correo electrónico, archivos y direcciones URL expiran después de 30 días, pero puede configurarlas para que expiren hasta 90 días o para que nunca expiren.

Las entradas de bloque para remitentes suplantados y direcciones IP nunca expiran.

Permitir entradas en la lista de permitidos o bloqueados de inquilinos

En la mayoría de los casos, no puede crear directamente entradas permitidas en la lista de permitidos o bloqueados de inquilinos. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que el sistema podría haber filtrado.

En la lista siguiente se describe lo que sucede en la lista de permitidos o bloqueados de inquilinos cuando se envía algo a Microsoft como falso positivo en la página Envíos :

  • Email datos adjuntos y direcciones URL: se crea una entrada allow y la entrada aparece en la pestaña Archivos o direcciones URL de la Lista de inquilinos permitidos o bloqueados, respectivamente.

    En el caso de las direcciones URL notificadas como falsos positivos, se permiten mensajes posteriores que contienen variaciones de la dirección URL original. Por ejemplo, usa la página Envíos para informar de que la dirección URL www.contoso.com/abcestá bloqueada incorrectamente. Si su organización recibe más adelante un mensaje que contiene la dirección URL (por ejemplo, pero sin limitarse a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatever), el mensaje no se bloquea en función de la dirección URL. En otras palabras, no es necesario notificar a Microsoft varias variaciones de la misma dirección URL que las correctas.

  • Email: Si el EOP o Defender para Office 365 pila de filtrado bloquearon un mensaje, se podría crear una entrada allow en la lista de permitidos o bloqueados de inquilinos:

    • Si la inteligencia de suplantación de identidad bloqueó el mensaje, se crea una entrada de permiso para el remitente y la entrada aparece en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos .
    • Si la protección de suplantación de usuario (o grafo) bloqueó el mensaje en Defender para Office 365, no se crea una entrada allow en la lista de permitidos o bloqueados de inquilinos. En su lugar, el dominio o el remitente se agrega a la sección Remitentes y dominios de confianza de la directiva anti-phishing que detectó el mensaje.
    • Si el mensaje se bloqueó debido a filtros basados en archivos, se crea una entrada de permiso para el archivo y la entrada aparece en la pestaña Archivos de la Lista de permitidos o bloqueados de inquilinos.
    • Si el mensaje se bloqueó debido a filtros basados en direcciones URL, se crea una entrada allow para la dirección URL y la entrada aparece en la pestaña URL de la Lista de permitidos o bloqueados de inquilinos.
    • Si el mensaje se bloqueó por cualquier otro motivo, se crea una entrada de permiso para la dirección de correo electrónico o dominio del remitente y la entrada aparece en la pestaña Dominios & direcciones de la Lista de inquilinos permitidos o bloqueados.
    • Si el mensaje no se bloqueó debido al filtrado, no se crean entradas permitidas en ningún lugar.

Sugerencia

Las entradas permitidas de envíos se agregan durante el flujo de correo en función de los filtros que determinaron que el mensaje era malintencionado. Por ejemplo, si se determina que la dirección de correo electrónico del remitente y una dirección URL del mensaje son malintencionadas, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y la dirección URL.

Durante el flujo de correo o el tiempo de clic, si los mensajes que contienen las entidades de las entradas allow pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes (se omiten todos los filtros asociados a las entidades permitidas). Por ejemplo, si un mensaje pasa comprobaciones de autenticación de correo electrónico, filtrado de direcciones URL y filtrado de archivos, se entrega un mensaje de una dirección de correo electrónico del remitente permitida si también procede de un remitente permitido.

De forma predeterminada, las entradas permitidas para dominios y direcciones de correo electrónico, archivos y direcciones URL se conservan durante 45 días después de que el sistema de filtrado determine que la entidad está limpia y, a continuación, se quita la entrada allow. También puede establecer permitir que las entradas expiren hasta 30 días después de crearlas. Permitir entradas para remitentes suplantados nunca expira.

Qué esperar después de agregar una entrada de permitir o bloquear

Después de agregar una entrada allow en la página Envíos o una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada debería empezar a funcionar inmediatamente (en un plazo de 5 minutos).

Si Microsoft aprendió de la entrada allow, la directiva de alertas integrada denominada Removed an entry in Tenant Allow/Block List genera una alerta cuando se quita la entrada de permitido (ahora innecesaria).