Tillåt eller blockera e-post med hjälp av listan Tillåt/blockera klientorganisation
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kan administratörer skapa och hantera poster för domäner och e-postadresser (inklusive falska avsändare) i listan Tillåt/blockera för klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.
Den här artikeln beskriver hur administratörer kan hantera poster för e-postavsändare i Microsoft Defender-portalen och i Exchange Online PowerShell.
Vad behöver jag veta innan jag börjar?
Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.
Inmatningsgränser för domäner och e-postadresser:
- Exchange Online Protection: Det maximala antalet tillåtna poster är 500 och det maximala antalet blockposter är 500 (totalt 1 000 domän- och e-postadressposter).
- Defender för Office 365 plan 1: Det maximala antalet tillåtna poster är 1 000 och det maximala antalet blockposter är 1 000 (totalt 2 000 domän- och e-postadressposter).
- Defender för Office 365 plan 2: Det maximala antalet tillåtna poster är 5 000 och det maximala antalet blockposter är 1 0000 (totalt 1 5 000 domän- och e-postadressposter).
För falska avsändare är det maximala antalet tillåtna poster och blockposter 1 024 (1 024 tillåt poster och inga blockposter, 512 tillåt poster och 512 blockposter osv.).
Poster för falska avsändare upphör aldrig att gälla.
Om du vill blockera inkommande och utgående e-post från en domän, eventuella underdomäner i domänen och e-postadresser i domänen skapar du blockposten med hjälp av syntaxen:
*.TLD
, därTLD
kan vara valfri toppnivådomän, intern domän eller e-postadressdomän.Om du vill blockera inkommande och utgående e-post från en sudomain i en domän och eventuella e-postadresser i underdomänen skapar du blockposten med syntaxen:
*.SD1.TLD
,*.SD2.SD1.TLD
,*.SD3.SD2.SD1.TLD
osv. för interna domäner och e-postadressdomäner.Mer information om syntaxen för falska avsändarposter finns i avsnittet Domänparsyntax för falska avsändarposter senare i den här artikeln.
En post ska vara aktiv inom 5 minuter.
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:
Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
-
-
Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
- Organisationshantering eller säkerhetsadministratör (rollen Säkerhetsadministratör).
- Säkerhetsoperatör (Tenant AllowBlockList Manager).
-
Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
- Global läsare
- Säkerhetsläsare
- Konfiguration med endast visning
- Visa endast organisationshantering
-
Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
Viktigt
* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Domäner och e-postadresser i listan Tillåt/blockera klientorganisation
Skapa tillåtna poster för domäner och e-postadresser
Du kan inte skapa tillåtna poster för domäner och e-postadresser direkt i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.
I stället använder du fliken E-postmeddelanden på sidan Inlämningar på https://security.microsoft.com/reportsubmission?viewid=email. När du skickar ett blockerat meddelande eftersom jag har bekräftat att det är rent och sedan väljer Tillåt det här meddelandet läggs en tillåten post för avsändaren till på fliken Domäner & e-postadresser på sidan Tillåt/blockera klientorganisation Listor. Anvisningar finns i Skicka bra e-post till Microsoft.
Tips
Tillåt att poster från inlämningar läggs till under e-postflödet baserat på filtren som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet bedöms vara skadliga skapas en tillåten post för avsändaren (e-postadressen eller domänen) och URL:en.
Om meddelanden som innehåller entiteterna i tillåtna poster skickar andra kontroller i filtreringsstacken under e-postflöde eller klicktid levereras meddelandena (alla filter som är associerade med de tillåtna entiteterna hoppas över). Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras ett meddelande från en tillåten avsändares e-postadress om det också kommer från en tillåten avsändare.
Tillåt som standard poster för domäner och e-postadresser, filer och URL:er sparas i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåtna posten bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem. Tillåt poster för falska avsändare upphör aldrig att gälla.
Skapa blockposter för domäner och e-postadresser
Om du vill skapa blockposter för domäner och e-postadresser använder du någon av följande metoder:
Från fliken E-postmeddelanden på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=email. När du skickar ett meddelande eftersom jag har bekräftat att det är ett hot kan du välja Blockera alla e-postmeddelanden från den här avsändaren eller domänen för att lägga till en blockpost på fliken Domäner & e-postadresser på sidan Tillåt/blockera klientorganisation Listor. Anvisningar finns i Rapportera tvivelaktig e-post till Microsoft.
På fliken Domäner & adresser på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.
Information om hur du skapar blockposter för falska avsändare finns i det här avsnittet senare i den här artikeln.
Email från dessa blockerade avsändare markeras som nätfiske med hög konfidens och sätts i karantän.
Obs!
För närvarande blockeras inte underdomäner för den angivna domänen. Om du till exempel skapar en blockpost för e-post från contoso.com blockeras inte heller e-post från marketing.contoso.com. Du måste skapa en separat blockpost för marketing.contoso.com.
Användare i organisationen kan inte heller skicka e-post till dessa blockerade domäner och adresser. Meddelandet returneras i följande rapport om utebliven leverans (kallas även NDR eller studsmeddelande): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
Hela meddelandet blockeras för alla interna och externa mottagare av meddelandet, även om endast en mottagares e-postadress eller domän har definierats i en blockpost.
Använd Microsoft Defender-portalen för att skapa blockposter för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
På sidan Tillåt/blockera klientorganisation Listor kontrollerar du att fliken Domäner & adresser är markerad.
På fliken Domäner & adresser väljer du Blockera.
I den utfällbara menyn Blockera domäner & adresser som öppnas konfigurerar du följande inställningar:
Domäner & adresser: Ange en e-postadress eller domän per rad, upp till högst 20.
Ta bort blockpost efter: Välj från följande värden:
- 1 dag
- 7 dagar
- 30 dagar (standard)
- Upphör aldrig att gälla
- Specifikt datum: Det maximala värdet är 90 dagar från idag.
Valfri anteckning: Ange beskrivande text för varför du blockerar e-postadresser eller domäner.
När du är klar i den utfällbara menyn Blockera domäner & adresser väljer du Lägg till.
På fliken Domäner & e-postadresser visas posten.
Använd PowerShell för att skapa blockposter för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
Det här exemplet lägger till en blockpost för den angivna e-postadressen som upphör att gälla vid ett visst datum.
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.
Använd Microsoft Defender-portalen för att visa poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Kontrollera att fliken Domäner & adresser är markerad.
På fliken Domäner & adresser kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:
- Värde: Domänen eller e-postadressen.
- Åtgärd: Värdet Tillåt eller Blockera.
- Ändrad av
- Senast uppdaterad
- Senast använt datum: Datumet då posten senast användes i filtreringssystemet för att åsidosätta domen.
- Ta bort den: Förfallodatumet.
- Kommentarer
Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:
- Åtgärd: Värdena är Tillåt och Blockera.
- Upphör aldrig att gälla: eller
- Uppdaterades senast: Välj Från - och Till-datum .
- Senast använda datum: Välj Från - och Till-datum .
- Ta bort på: Välj Från - och Till-datum .
När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.
Använd sökrutan och ett motsvarande värde för att hitta specifika poster.
Om du vill gruppera posterna väljer du Grupp och sedan Åtgärd. Om du vill dela upp posterna väljer du Ingen.
Använd PowerShell för att visa poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
Det här exemplet returnerar alla tillåtna och blockeringsposter för domäner och e-postadresser.
Get-TenantAllowBlockListItems -ListType Sender
Det här exemplet filtrerar resultatet för blockposter för domäner och e-postadresser.
Get-TenantAllowBlockListItems -ListType Sender -Block
Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.
Använd Microsoft Defender-portalen för att ändra poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
I befintliga domän- och e-postadressposter kan du ändra förfallodatum och anteckning.
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Kontrollera att fliken Domäner & adresser är markerad.
På fliken Domäner & adresser markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Redigera som visas.
I den utfällbara menyn Redigera domäner & adresser som öppnas är följande inställningar tillgängliga:
-
Blockera poster:
-
Ta bort blockpost efter: Välj från följande värden:
- 1 dag
- 7 dagar
- 30 dagar
- Upphör aldrig att gälla
- Specifikt datum: Det maximala värdet är 90 dagar från idag.
- Valfri anteckning
-
Ta bort blockpost efter: Välj från följande värden:
-
Tillåt poster:
-
Ta bort tillåt post efter: Välj från följande värden:
- 1 dag
- 7 dagar
- 30 dagar
- 45 dagar efter senast använt datum
- Specifikt datum: Det maximala värdet är 30 dagar från idag.
- Valfri anteckning
-
Ta bort tillåt post efter: Välj från följande värden:
När du är klar i den utfällbara menyn Redigera domäner & adresser väljer du Spara.
-
Blockera poster:
Tips
I den utfällbara menyn med information om en post på fliken Domäner & adresser använder du Visa sändning överst i den utfällbara menyn för att gå till informationen om motsvarande post på sidan Inskickade. Den här åtgärden är tillgänglig om en överföring var ansvarig för att skapa posten i listan Tillåt/blockera klientorganisation.
Använda PowerShell för att ändra poster för domäner och e-postadresser i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
I det här exemplet ändras förfallodatumet för den angivna blockposten för avsändarens e-postadress.
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.
Använd Microsoft Defender-portalen för att ta bort poster för domäner och e-postadresser från listan Tillåt/blockera klientorganisation
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Kontrollera att fliken Domäner & adresser är markerad.
Gör något av följande på fliken Domäner & adresser :
Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Ta bort som visas.
Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan. I den utfällbara menyn information som öppnas väljer du Ta bort överst i den utfällbara menyn.
Tips
- Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.
- Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Värde .
I varningsdialogrutan som öppnas väljer du Ta bort.
På fliken Domäner & adresser visas inte längre posten.
Använd PowerShell för att ta bort poster för domäner och e-postadresser från listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
Det här exemplet tar bort den angivna posten för domäner och e-postadresser från listan Tillåt/blockera klientorganisation.
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.
Falska avsändare i listan Tillåt/blockera klientorganisation
När du åsidosätter domen i insikten om förfalskningsinformation blir den falska avsändaren en manuell tillåten eller blockerad post som bara visas på fliken Falska avsändare på sidan Tillåt/blockera Listor klientorganisation/blockera.
Skapa tillåtna poster för falska avsändare
Om du vill skapa tillåtna poster för falska avsändare använder du någon av följande metoder:
- Från fliken E-postmeddelanden på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=email. Anvisningar finns i Skicka bra e-post till Microsoft.
- När du skickar ett meddelande som har identifierats och blockerats av förfalskningsinformation läggs en tillåten post för den falska avsändaren till på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.
- Om avsändaren inte har identifierats och blockerats av förfalskningsinformation skapar inte meddelandet till Microsoft någon tillåten post för avsändaren i listan Tillåt/blockera klientorganisation.
- Från insiktssidan för förfalskningsinformation på https://security.microsoft.com/spoofintelligenceom avsändaren har identifierats och blockerats av förfalskningsinformation. Instruktioner finns i Åsidosätt förfalskningsinformationsutfallet.
- När du åsidosätter domen i insikten om förfalskningsinformation blir den falska avsändaren en manuell post som endast visas på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation Listor.
- Från fliken Falska avsändare på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.
Obs!
Tillåt poster för kontot för falska avsändare för intra-org, cross-org och DMARC spoofing.
Endast kombinationen av den falska användaren och den sändande infrastrukturen enligt definitionen i domänparet får förfalskas.
Tillåt poster för falska avsändare upphör aldrig att gälla.
Använd Microsoft Defender-portalen för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation
I listan Tillåt/blockera klientorganisation kan du skapa tillåtna poster för falska avsändare innan de identifieras och blockeras av förfalskningsinformation.
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
På sidan Tillåt/blockera klientorganisation Listor väljer du fliken Falska avsändare.
På fliken Falska avsändare väljer du Lägg till.
I den utfällbara menyn Lägg till nya domänpar som öppnas konfigurerar du följande inställningar:
Lägg till domänpar med jokertecken: Ange domänpar per rad, upp till högst 20. Mer information om syntaxen för falska avsändarposter finns i avsnittet Domänparsyntax för falska avsändarposter senare i den här artikeln.
Förfalskningstyp: Välj något av följande värden:
- Internt: Den falska avsändaren finns i en domän som tillhör din organisation (en godkänd domän).
- Extern: Den falska avsändaren finns i en extern domän.
Åtgärd: Välj Tillåt eller Blockera.
När du är klar med den utfällbara menyn Lägg till nya domänpar väljer du Lägg till.
På fliken Falska avsändare visas posten.
Använd PowerShell för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
I det här exemplet skapas en tillåten post för avsändaren bob@contoso.com från källan contoso.com.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListSpoofItems.
Skapa blockposter för falska avsändare
Om du vill skapa blockposter för falska avsändare använder du någon av följande metoder:
- Från fliken E-postmeddelanden på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=email. Anvisningar finns i Rapportera tvivelaktig e-post till Microsoft.
- Från insiktssidan för förfalskningsinformation på https://security.microsoft.com/spoofintelligenceom avsändaren identifierades och tilläts av förfalskningsinformation. Instruktioner finns i Åsidosätt förfalskningsinformationsutfallet.
- När du åsidosätter domen i insikten om förfalskningsinformation blir den falska avsändaren en manuell post som endast visas på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation Listor.
- Från fliken Falska avsändare på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.
Obs!
Endast kombinationen av den falska användaren och den sändande infrastruktur som definierats i domänparet blockeras från förfalskning.
Email från dessa avsändare markeras som nätfiske. Vad som händer med meddelandena bestäms av principen för skräppostskydd som identifierade meddelandet för mottagaren. Mer information finns i åtgärden Nätfiskeidentifiering i principinställningarna för EOP-skydd mot skräppost.
När du konfigurerar en blockpost för ett domänpar blir den falska avsändaren en manuell blockpost som endast visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.
Blockposter för falska avsändare upphör aldrig att gälla.
Använd Microsoft Defender-portalen för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation
Stegen är nästan identiska med att skapa tillåtna poster för falska avsändare som tidigare beskrivits i den här artikeln.
Den enda skillnaden är: för värdet Åtgärd i steg 4 väljer du Blockera i stället för Tillåt.
Använd PowerShell för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
I det här exemplet skapas en blockpost för avsändaren laura@adatum.com från källan 172.17.17.17/24.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListSpoofItems.
Använd Microsoft Defender-portalen för att visa poster för falska avsändare i listan Tillåt/blockera klientorganisation
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Kontrollera att fliken Falska avsändare är markerad.
På fliken Falska avsändare kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:
- Förfalskad användare
- Skicka infrastruktur
- Förfalskningstyp: Tillgängliga värden är Interna eller Externa.
- Åtgärd: De tillgängliga värdena är Blockera eller Tillåt.
Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:
- Åtgärd: De tillgängliga värdena är Tillåt och Blockera.
- Förfalskningstyp: De tillgängliga värdena är Interna och Externa.
När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.
Använd sökrutan och ett motsvarande värde för att hitta specifika poster.
Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:
- Åtgärd
- Förfalskningstyp
Om du vill dela upp posterna väljer du Ingen.
Använd PowerShell för att visa poster för falska avsändare i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
Det här exemplet returnerar alla falska avsändarposter i listan Tillåt/blockera klientorganisation.
Get-TenantAllowBlockListSpoofItems
Det här exemplet returnerar alla tillåtna falska avsändarposter som är interna.
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
Det här exemplet returnerar alla blockerade falska avsändarposter som är externa.
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListSpoofItems.
Använd Microsoft Defender-portalen för att ändra poster för falska avsändare i listan Tillåt/blockera klientorganisation
När du ändrar en tillåten eller blockerad post för falska avsändare i listan Tillåt/blockera för klientorganisation kan du bara ändra posten från Tillåt till Blockera eller vice versa.
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Välj fliken Falska avsändare .
Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Redigera som visas.
I den utfällbara menyn Redigera falsk avsändare som öppnas väljer du Tillåt eller Blockera och väljer sedan Spara.
Använda PowerShell för att ändra poster för falska avsändare i listan Tillåt/blockera klientorganisation
Använd följande syntax i Exchange Online PowerShell:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
I det här exemplet ändras den angivna falska avsändarposten från en tillåten post till en blockpost.
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListSpoofItems.
Använd Microsoft Defender-portalen för att ta bort poster för falska avsändare från listan Tillåt/blockera klientorganisation
I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.
Välj fliken Falska avsändare .
På fliken Falska avsändare markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Ta bort som visas.
Tips
Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Förfalskad användare .
I varningsdialogrutan som öppnas väljer du Ta bort.
Använd PowerShell för att ta bort poster för falska avsändare från listan över tillåtna/blockerade klientorganisationer
Använd följande syntax i Exchange Online PowerShell:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
Det här exemplet tar bort den angivna falska avsändaren. Du får parametervärdet Ids från identitetsegenskapen i utdata från Get-TenantAllowBlockListSpoofItems kommando.
Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListSpoofItems.
Domänparsyntax för falska avsändarposter
Ett domänpar för en falsk avsändare i listan Tillåt/blockera klient använder följande syntax: <Spoofed user>, <Sending infrastructure>
.
Förfalskad användare: Det här värdet omfattar e-postadressen för den falska användare som visas i rutan Från i e-postklienter. Den här adressen kallas även för avsändaradressen
5322.From
eller P2. Giltiga värden är:- En enskild e-postadress (till exempel chris@contoso.com).
- En e-postdomän (till exempel contoso.com).
- Jokertecknet (*).
Skickar infrastruktur: Det här värdet anger källan för meddelanden från den falska användaren. Giltiga värden är:
- Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress (till exempel fabrikam.com).
- Om källans IP-adress inte har någon PTR-post identifieras den sändande infrastrukturen som <käll-IP>/24 (till exempel 192.168.100.100/24).
- En verifierad DKIM-domän.
- Jokertecknet (*).
Här följer några exempel på giltiga domänpar för att identifiera falska avsändare:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
Obs!
Du kan ange jokertecken i den sändande infrastrukturen eller i den falska användaren, men inte i båda samtidigt. Det är till exempel *, *
inte tillåtet.
Om du använder en domän i stället för IP-adressen eller IP-adressintervallet i den sändande infrastrukturen måste domänen matcha PTR-posten för den anslutande IP-adressen i huvudet Authentication-Results . Du kan fastställa PTR genom att köra kommandot: ping -a <IP address>
. Vi rekommenderar också att du använder PTR-organisationsdomänen som domänvärde. Om PTR till exempel matchar "smtp.inbound.contoso.com" bör du använda "contoso.com" som den sändande infrastrukturen.
Om du lägger till ett domänpar tillåts eller blockeras kombinationen av den falska användaren ochendast den sändande infrastrukturen. Du kan till exempel lägga till en tillåt-post för följande domänpar:
- Domän: gmail.com
- Skickar infrastruktur: tms.mx.com
Endast meddelanden från den domänen och det sändande infrastrukturparet får förfalskas. Andra avsändare som försöker förfalska gmail.com tillåts inte. Meddelanden från avsändare i andra domäner som kommer från tms.mx.com kontrolleras av förfalskningsinformation.
Om personifierade domäner eller avsändare
Du kan inte skapa tillåtna poster i listan Tillåt/blockera klientorganisation för meddelanden som har identifierats som personifierade användare eller personifierade domäner av principer för skydd mot nätfiske i Defender för Office 365.
Om du skickar ett meddelande som felaktigt har blockerats som personifiering på fliken E-postmeddelanden på https://security.microsoft.com/reportsubmission?viewid=email sidan Inskickade lägger du inte till avsändaren eller domänen som en tillåten post i listan Tillåt/blockera klientorganisation.
I stället läggs domänen eller avsändaren till i avsnittet Betrodda avsändare och domäner i principen för skydd mot nätfiske som identifierade meddelandet.
Instruktioner för att skicka in falska positiva identifieringar för personifiering finns i Rapportera bra e-post till Microsoft.
Obs!
För närvarande tas inte användare (eller graf) personifiering hand om härifrån.
Relaterade artiklar
- Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft
- Rapportera falska positiva identifieringar och falska negativa identifieringar
- Hantera tillåtna och block i listan Tillåt/blockera klientorganisation
- Tillåt eller blockera filer i listan Tillåt/blockera klientorganisation
- Tillåt eller blockera URL:er i listan Tillåt/blockera klientorganisation
- Tillåt eller blockera IPv6-adresser i listan Tillåt/blockera klientorganisation