Permitir ou bloquear o e-mail com a Lista de Permissões/Bloqueios de Inquilinos
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Nas organizações do Microsoft 365 com caixas de correio em organizações Exchange Online ou autónomas Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, os administradores podem criar e gerir entradas para domínios e endereços de e-mail (incluindo remetentes falsificados) na Lista de Permissões/Bloqueios de Inquilinos. Para obter mais informações sobre a Lista de Permissões/Bloqueios de Inquilinos, consulte Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos.
Este artigo descreve como os administradores podem gerir entradas de remetentes de e-mail no portal do Microsoft Defender e no Exchange Online PowerShell.
O que precisa de saber antes de começar?
Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Permitir/Bloquear Listas do Inquilino, utilize https://security.microsoft.com/tenantAllowBlockList. Para aceder diretamente à página Submissões , utilize https://security.microsoft.com/reportsubmission.
Para ligar ao Exchange Online PowerShell, veja Ligar ao Exchange Online PowerShell. Para ligar ao PowerShell de EOP autónomo, veja Ligar ao Proteção do Exchange Online PowerShell.
Limites de entrada para domínios e endereços de e-mail:
- Proteção do Exchange Online: o número máximo de entradas de permissão é 500 e o número máximo de entradas de bloco é 500 (1000 entradas de domínio e endereço de e-mail no total).
- Defender para Office 365 Plano 1: o número máximo de entradas de permissão é 1000 e o número máximo de entradas de bloco é 1000 (2000 entradas de domínio e endereço de e-mail no total).
- Defender para Office 365 Plano 2: o número máximo de entradas de permissão é 5000 e o número máximo de entradas de bloco é 10000 (15000 entradas de domínio e endereço de e-mail no total).
Para remetentes falsificados, o número máximo de entradas de permissão e entradas de bloco é 1024 (1024 entradas de permissão e sem entradas de bloco, 512 entradas de permissão e 512 entradas de bloco, etc.).
As entradas para remetentes falsificados nunca expiram.
Para bloquear o e-mail de entrada e saída de um domínio, quaisquer subdomínios nesse domínio e quaisquer endereços de e-mail nesse domínio, crie a entrada de bloco com a sintaxe:
*.TLD
, ondeTLD
pode ser qualquer domínio de nível superior, domínio interno ou domínio de endereço de e-mail.Para bloquear o e-mail de entrada e saída de um sudomain num domínio e quaisquer endereços de e-mail nesse subdomínio, crie a entrada de bloco com a sintaxe:
*.SD1.TLD
,*.SD2.SD1.TLD
,*.SD3.SD2.SD1.TLD
, etc. para domínios internos e domínios de endereço de e-mail.Para obter detalhes sobre a sintaxe das entradas de remetentes falsificados, consulte a secção Sintaxe do par de domínios para entradas de remetentes falsificados mais à frente neste artigo.
Uma entrada deve estar ativa dentro de 5 minutos.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Tem as seguintes opções:
Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Otimização da deteção (gerir) ou Autorização e definições/Definições de segurança/Definições de segurança principais (leitura).
permissões de Exchange Online:
-
Adicione e remova entradas da Lista de Permissões/Bloqueios do Inquilino: Associação num dos seguintes grupos de funções:
- Gestão da Organização ou Administrador de Segurança (Função de administrador de segurança).
- Operador de Segurança (Gestor AllowBlockList do Inquilino).
-
Acesso só de leitura à Lista de Permissões/Bloqueios do Inquilino: associação a um dos seguintes grupos de funções:
- Leitor Global
- Leitor de Segurança
- Configuração Apenas de Visualização
- Gestão da Organização Só de Visualização
-
Adicione e remova entradas da Lista de Permissões/Bloqueios do Inquilino: Associação num dos seguintes grupos de funções:
permissões de Microsoft Entra: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
Criar entradas de permissão para domínios e endereços de e-mail
Não pode criar entradas de permissão para domínios e endereços de e-mail diretamente na Lista de Permissões/Bloqueios do Inquilino. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que teriam sido filtrados pelo sistema.
Em vez disso, utilize o separador E-mails na página Submissões em https://security.microsoft.com/reportsubmission?viewid=email. Quando submete uma mensagem bloqueada, uma vez que confirmo que está limpa e, em seguida, seleciona Permitir esta mensagem, é adicionada uma entrada de permissão para o remetente ao separador Domínios & endereços de e-mail na página Permitir/Bloquear Listas inquilino. Para obter instruções, consulte Submeter um bom e-mail à Microsoft.
Sugestão
As entradas de permissões de submissões são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem determinados como maliciosos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.
Durante o fluxo de correio ou a hora de clique, se as mensagens que contêm as entidades nas entradas de permissão passarem outras verificações na pilha de filtragem, as mensagens são entregues (todos os filtros associados às entidades permitidas são ignorados). Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, será entregue uma mensagem de um endereço de e-mail do remetente permitido se também for proveniente de um remetente permitido.
Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs são mantidas durante 45 dias após o sistema de filtragem determinar que a entidade está limpa e, em seguida, a entrada permitir é removida. Em alternativa, pode definir as entradas de permissão para expirarem até 30 dias após a sua criação. Permitir entradas para remetentes falsificados nunca expiram .
Criar entradas de blocos para domínios e endereços de e-mail
Para criar entradas de blocos para domínios e endereços de e-mail, utilize um dos seguintes métodos:
No separador E-mails na página Submissões em https://security.microsoft.com/reportsubmission?viewid=email. Quando submeter uma mensagem como confirmei que é uma ameaça, pode selecionar Bloquear todos os e-mails deste remetente ou domínio para adicionar uma entrada de bloco ao separador Domínios & endereços de e-mail na página Permitir/Bloquear Listas inquilino. Para obter instruções, consulte Comunicar e-mails questionáveis à Microsoft.
No separador Domínios & endereços na página Permitir/Bloquear Listas inquilino ou no PowerShell, conforme descrito nesta secção.
Para criar entradas de blocos para remetentes falsificados, consulte esta secção mais à frente neste artigo.
Email destes remetentes bloqueados é marcado como phishing de alta confiança e colocado em quarentena.
Nota
Atualmente, os subdomínios do domínio especificado não são bloqueados. Por exemplo, se criar uma entrada de bloco para e-mail a partir de contoso.com, o correio de marketing.contoso.com também não será bloqueado. Tem de criar uma entrada de bloco separada para marketing.contoso.com.
Os utilizadores na organização também não podem enviar e-mails para estes domínios e endereços bloqueados. A mensagem é devolvida no seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.
Utilize o portal Microsoft Defender para criar entradas de blocos para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Na página Listas Permitir/Bloquear Inquilino, verifique se o separador Domínios & endereços está selecionado.
No separador Domínios & endereços , selecione Bloquear.
Na lista de opções Bloquear domínios & endereços que é aberta, configure as seguintes definições:
Domínios & endereços: introduza um endereço de e-mail ou domínio por linha, até um máximo de 20.
Remover entrada de bloco após: Selecione a partir dos seguintes valores:
- 1 dia
- 7 dias
- 30 dias (predefinição)
- Nunca expirar
- Data específica: o valor máximo é 90 dias a partir de hoje.
Nota opcional: introduza texto descritivo para o motivo pelo qual está a bloquear os endereços de e-mail ou domínios.
Quando tiver terminado na lista de opções Bloquear domínios & endereços , selecione Adicionar.
Novamente no separador Domínios & endereços de e-mail , a entrada está listada.
Utilizar o PowerShell para criar entradas de blocos para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
Este exemplo adiciona uma entrada de bloco para o endereço de e-mail especificado que expira numa data específica.
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListItems.
Utilize o portal do Microsoft Defender para ver entradas de domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras de>Ameaças Políticas> deAmeaças Permitir/Bloquear Listas na secção Regras. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Verifique se o separador Domínios & endereços está selecionado.
No separador Domínios & endereços , pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:
- Valor: o domínio ou endereço de e-mail.
- Ação: o valor Permitir ou Bloquear.
- Modificado por
- Última atualização
- Data da última utilização: a data em que a entrada foi utilizada pela última vez no sistema de filtragem para anular o veredicto.
- Remover em: a data de expiração.
- Notas
Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtro que é aberta:
- Ação: os valores são Permitir e Bloquear.
- Nunca expirar: ou
- Última atualização: selecione Datas De e Para .
- Data da última utilização: selecione Datas De e Para .
- Remover em: selecione Datas De e Para .
Quando terminar a lista de opções Filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.
Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas.
Para agrupar as entradas, selecione Agrupar e, em seguida, selecione Ação. Para desagrupar as entradas, selecione Nenhuma.
Utilizar o PowerShell para ver entradas de domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
Este exemplo devolve todas as entradas de permissão e bloqueio para domínios e endereços de e-mail.
Get-TenantAllowBlockListItems -ListType Sender
Este exemplo filtra os resultados de entradas de blocos para domínios e endereços de e-mail.
Get-TenantAllowBlockListItems -ListType Sender -Block
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-TenantAllowBlockListItems.
Utilize o portal Microsoft Defender para modificar entradas para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
Nas entradas de domínio e endereço de e-mail existentes, pode alterar a data de expiração e a nota.
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Verifique se o separador Domínios & endereços está selecionado.
No separador Domínios & endereços , selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Editar apresentada.
Na lista de opções Editar domínios & endereços que é aberta, estão disponíveis as seguintes definições:
-
Bloquear entradas:
-
Remover entrada de bloco após: Selecione a partir dos seguintes valores:
- 1 dia
- 7 dias
- 30 dias
- Nunca expirar
- Data específica: o valor máximo é 90 dias a partir de hoje.
- Nota opcional
-
Remover entrada de bloco após: Selecione a partir dos seguintes valores:
-
Permitir entradas:
-
Remover entrada de permissão após: selecione a partir dos seguintes valores:
- 1 dia
- 7 dias
- 30 dias
- 45 dias após a data da última utilização
- Data específica: o valor máximo é 30 dias a partir de hoje.
- Nota opcional
-
Remover entrada de permissão após: selecione a partir dos seguintes valores:
Quando tiver terminado na lista de opções Editar domínios & endereços , selecione Guardar.
-
Bloquear entradas:
Sugestão
Na lista de opções de detalhes de uma entrada no separador Domínios & endereços , utilize Ver submissão na parte superior da lista de opções para aceder aos detalhes da entrada correspondente na página Submissões . Esta ação está disponível se uma submissão tiver sido responsável por criar a entrada na Lista de Permissões/Bloqueios do Inquilino.
Utilizar o PowerShell para modificar entradas para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
Este exemplo altera a data de expiração da entrada de bloco especificada para o endereço de e-mail do remetente.
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-TenantAllowBlockListItems.
Utilize o portal do Microsoft Defender para remover entradas de domínios e endereços de e-mail da Lista de Permissões/Bloqueios do Inquilino
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Verifique se o separador Domínios & endereços está selecionado.
No separador Domínios & endereços , siga um dos seguintes passos:
Selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Eliminar apresentada.
Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação. Na lista de opções de detalhes que é aberta, selecione Eliminar na parte superior da lista de opções.
Sugestão
- Para ver detalhes sobre outras entradas sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
- Pode selecionar múltiplas entradas ao selecionar cada caixa de verificação ou selecionar todas as entradas ao selecionar a caixa de verificação junto ao cabeçalho da coluna Valor .
Na caixa de diálogo de aviso que é aberta, selecione Eliminar.
Novamente no separador Domínios & endereços , a entrada já não está listada.
Utilizar o PowerShell para remover entradas de domínios e endereços de e-mail da Lista de Permissões/Bloqueios do Inquilino
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
Este exemplo remove a entrada especificada para domínios e endereços de e-mail da Lista de Permissões/Bloqueios de Inquilinos.
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-TenantAllowBlockListItems.
Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
Quando substitui o veredicto nas informações de spoof intelligence, o remetente falsificado torna-se uma entrada manual de permissão ou bloqueio que só aparece no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino.
Criar entradas de permissão para remetentes falsificados
Para criar entradas de permissão para remetentes falsificados, utilize qualquer um dos seguintes métodos:
- No separador E-mails na página Submissões em https://security.microsoft.com/reportsubmission?viewid=email. Para obter instruções, consulte Submeter um bom e-mail à Microsoft.
- Quando submete uma mensagem que foi detetada e bloqueada por informações de spoof, é adicionada uma entrada de permissão para o remetente falsificado ao separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
- Se o remetente não tiver sido detetado e bloqueado por informações de spoof, submeter a mensagem à Microsoft não cria uma entrada de permissão para o remetente na Lista de Permissões/Bloqueios de Inquilinos.
- Na página Informações de informações de spoof em https://security.microsoft.com/spoofintelligencese o remetente foi detetado e bloqueado por informações de spoof. Para obter instruções, consulte Substituir o veredicto da inteligência falsa.
- Quando substitui o veredicto nas informações de spoof intelligence, o remetente falsificado torna-se uma entrada manual que aparece apenas no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino.
- No separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino ou no PowerShell, conforme descrito nesta secção.
Nota
Permitir entradas para contas de remetentes falsificados para spoofing intra-org, cross-org e DMARC.
Apenas a combinação do utilizador falsificado e a infraestrutura de envio, conforme definido no par de domínios , tem permissão para spoof.
Permitir entradas para remetentes falsificados nunca expiram.
Utilize o portal Microsoft Defender para criar entradas de permissões para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
Na Lista de Permissões/Bloqueios de Inquilinos, pode criar entradas de permissões para remetentes falsificados antes de serem detetados e bloqueados por informações de spoof.
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Na página Permitir/Bloquear Listas inquilino, selecione o separador Remetentes falsificados.
No separador Remetentes falsificados , selecione Adicionar.
Na lista de opções Adicionar novos pares de domínio que é aberta, configure as seguintes definições:
Adicionar pares de domínios com carateres universais: introduza o par de domínios por linha, até um máximo de 20. Para obter detalhes sobre a sintaxe das entradas de remetentes falsificados, consulte a secção Sintaxe do par de domínios para entradas de remetentes falsificados mais à frente neste artigo.
Tipo de spoof: selecione um dos seguintes valores:
- Interno: o remetente falsificado está num domínio que pertence à sua organização (um domínio aceite).
- Externo: o remetente falsificado está num domínio externo.
Ação: selecione Permitir ou Bloquear.
Quando terminar, na lista de opções Adicionar novos pares de domínio , selecione Adicionar.
Novamente no separador Remetentes falsificados , a entrada está listada.
Utilizar o PowerShell para criar entradas de permissões para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
Este exemplo cria uma entrada de permissão para o remetente bob@contoso.com da contoso.com de origem.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListSpoofItems.
Criar entradas de blocos para remetentes falsificados
Para criar entradas de blocos para remetentes falsificados, utilize qualquer um dos seguintes métodos:
- No separador E-mails na página Submissões em https://security.microsoft.com/reportsubmission?viewid=email. Para obter instruções, consulte Comunicar e-mails questionáveis à Microsoft.
- Na página Informações de informações de spoof em https://security.microsoft.com/spoofintelligencese o remetente foi detetado e permitido por informações de spoof. Para obter instruções, consulte Substituir o veredicto da inteligência falsa.
- Quando substitui o veredicto nas informações de spoof intelligence, o remetente falsificado torna-se uma entrada manual que aparece apenas no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino.
- No separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino ou no PowerShell, conforme descrito nesta secção.
Nota
Apenas a combinação do utilizador falsificado e a infraestrutura de envio definida no par de domínios está bloqueada de spoofing.
Email destes remetentes é marcado como phishing. O que acontece às mensagens é determinado pela política antisspessoal que detetou a mensagem para o destinatário. Para obter mais informações, veja a ação de deteção de phishing nas definições de política antiss spam da EOP.
Quando configura uma entrada de bloco para um par de domínios, o remetente falsificado torna-se uma entrada de bloco manual que aparece apenas no separador Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.
Bloquear entradas para remetentes falsificados nunca expiram.
Utilize o portal Microsoft Defender para criar entradas de blocos para remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino
Os passos são quase idênticos à criação de entradas de permissões para remetentes falsificados , conforme descrito anteriormente neste artigo.
A única diferença é: para o valor Ação no Passo 4, selecione Bloquear em vez de Permitir.
Utilizar o PowerShell para criar entradas de blocos para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
Este exemplo cria uma entrada de bloco para o remetente laura@adatum.com da origem 172.17.17.17/24.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListSpoofItems.
Utilize o portal do Microsoft Defender para ver entradas de remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino
No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras de>Ameaças Políticas> deAmeaças Permitir/Bloquear Listas na secção Regras. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Verifique se o separador Remetentes falsificados está selecionado.
No separador Remetentes falsificados , pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:
- Utilizador falsificado
- A enviar infraestrutura
- Tipo de spoof: os valores disponíveis são Interno ou Externo.
- Ação: os valores disponíveis são Bloquear ou Permitir.
Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtro que é aberta:
- Ação: os valores disponíveis são Permitir e Bloquear.
- Tipo de spoof: os valores disponíveis são Interno e Externo.
Quando terminar a lista de opções Filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.
Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas.
Para agrupar as entradas, selecione Agrupar e, em seguida, selecione um dos seguintes valores:
- Ação
- Tipo de spoof
Para desagrupar as entradas, selecione Nenhuma.
Utilizar o PowerShell para ver entradas de remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
Este exemplo devolve todas as entradas de remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
Get-TenantAllowBlockListSpoofItems
Este exemplo devolve todas as entradas de remetentes falsificados permitidos que são internas.
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
Este exemplo devolve todas as entradas de remetentes falsificados bloqueados externas.
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-TenantAllowBlockListSpoofItems.
Utilize o portal Microsoft Defender para modificar as entradas de remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino
Quando modifica uma entrada de permissão ou bloqueio para remetentes falsificados na lista Permitir/Bloquear Inquilino, só pode alterar a entrada de Permitir para Bloquear ou vice-versa.
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Selecione o separador Remetentes falsificados .
Selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Editar apresentada.
Na lista de opções Editar remetente falsificado que é aberta, selecione Permitir ou Bloquear e, em seguida, selecione Guardar.
Utilizar o PowerShell para modificar entradas para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
Este exemplo altera a entrada de remetente falsificado especificada de uma entrada de permissão para uma entrada de bloco.
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-TenantAllowBlockListSpoofItems.
Utilize o portal Microsoft Defender para remover entradas de remetentes falsificados da Lista de Permissões/Bloqueios de Inquilinos
No portal do Microsoft Defender em https://security.microsoft.com, aceda à secção >Políticas & regras>de Políticas> de AmeaçasRegrasPermitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.
Selecione o separador Remetentes falsificados .
No separador Remetentes falsificados , selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Eliminar apresentada.
Sugestão
Pode selecionar múltiplas entradas ao selecionar cada caixa de verificação ou selecionar todas as entradas ao selecionar a caixa de verificação junto ao cabeçalho da coluna Utilizador falsificado .
Na caixa de diálogo de aviso que é aberta, selecione Eliminar.
Utilizar o PowerShell para remover entradas de remetentes falsificados da Lista de Permissões/Bloqueios de Inquilinos
No Exchange Online PowerShell, utilize a seguinte sintaxe:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
Este exemplo remove o remetente falsificado especificado. Obtém o valor do parâmetro IDs da propriedade Identidade na saída do comando Get-TenantAllowBlockListSpoofItems.
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-TenantAllowBlockListSpoofItems.
Sintaxe do par de domínios para entradas de remetentes falsificados
Um par de domínios para um remetente falsificado na Lista de Permissões/Bloqueios de Inquilinos utiliza a seguinte sintaxe: <Spoofed user>, <Sending infrastructure>
.
Utilizador falsificado: este valor envolve o endereço de e-mail do utilizador falsificado que é apresentado na caixa De nos clientes de e-mail. Este endereço também é conhecido como o endereço do
5322.From
remetente ou P2. Os valores válidos incluem:- Um endereço de e-mail individual (por exemplo, chris@contoso.com).
- Um domínio de e-mail (por exemplo, contoso.com).
- O caráter universal (*).
Infraestrutura de envio: este valor indica a origem das mensagens do utilizador falsificado. Os valores válidos incluem:
- O domínio encontrado numa pesquisa DNS inversa (registo PTR) do endereço IP do servidor de e-mail de origem (por exemplo, fabrikam.com).
- Se o endereço IP de origem não tiver nenhum registo PTR, a infraestrutura de envio é identificada como <IP> de origem/24 (por exemplo, 192.168.100.100/24).
- Um domínio DKIM verificado.
- O caráter universal (*).
Eis alguns exemplos de pares de domínio válidos para identificar remetentes falsificados:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
Nota
Pode especificar carateres universais na infraestrutura de envio ou no utilizador falsificado, mas não em ambos ao mesmo tempo. Por exemplo, *, *
não é permitido.
Se estiver a utilizar um domínio em vez do endereço IP ou intervalo de endereços IP na infraestrutura de envio, o domínio tem de corresponder ao registo PTR do IP de ligação no cabeçalho Authentication-Results . Pode determinar o PTR ao executar o comando : ping -a <IP address>
. Também recomendamos a utilização do Domínio da Organização PTR como valor de domínio. Por exemplo, se o PTR resolver para "smtp.inbound.contoso.com", deve utilizar "contoso.com" como a infraestrutura de envio.
Adicionar um par de domínios permite ou bloqueia a combinação do utilizador falsificado eapenas a infraestrutura de envio. Por exemplo, adicione uma entrada de permissão para o seguinte par de domínios:
- Domínio: gmail.com
- A enviar infraestrutura: tms.mx.com
Apenas as mensagens desse domínio e o par de infraestrutura de envio podem fazer spoof. Não são permitidos outros remetentes que tentem falsificar gmail.com. As mensagens de remetentes de outros domínios provenientes de tms.mx.com são verificadas por spoof intelligence.
Acerca de domínios ou remetentes representados
Não pode criar entradas de permissão na Lista de Permissões/Bloqueios de Inquilinos para mensagens que foram detetadas como utilizadores representados ou domínios representados por políticas anti-phishing no Defender para Office 365.
Submeter uma mensagem que foi incorretamente bloqueada como representação no separador E-mails da página Submissões em https://security.microsoft.com/reportsubmission?viewid=email não adiciona o remetente ou domínio como uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino.
Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
Para obter instruções de submissão para falsos positivos de representação, consulte Comunicar um bom e-mail à Microsoft.
Nota
Atualmente, a Representação do Utilizador (ou gráfico) não é feita a partir daqui.
Artigos relacionados
- Utilize a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft
- Reportar falsos positivos e falsos negativos
- Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos
- Permitir ou bloquear ficheiros na Lista de Permissões/Bloqueios de Inquilinos
- Permitir ou bloquear URLs na Lista de Permissões/Bloqueios de Inquilinos
- Permitir ou bloquear endereços IPv6 na Lista de Permissões/Bloqueios de Inquilinos