Exchange Online 租户允许/阻止列表管理

据我们所知，Microsoft 不允许被识别为恶意软件或高可信度网络钓鱼的电子邮件进入收件箱，以确保您的组织的安全。默认情况下，Microsoft 使用 Exchange Online Protection (EOP) 来保护您的 M365 环境免受垃圾邮件、恶意软件和更多此类电子邮件威胁。 EOP 过滤判决有时可能会以错误的方式结束，导致不良消息（误报）传达给用户，而好消息（误报）则不会。为了克服这个问题，微软提出了租户允许/阻止列表来覆盖过滤判决。

在哪里创建租户允许/阻止列表？

有两种方法可以创建租户允许或阻止列表，一种通过 Microsoft 365 Defender 门户，一种通过 PowerShell。

要从 Microsoft 365 Defender 门户访问租户允许/阻止列表，

步骤 1：打开 Microsoft 365 管理中心。
第 2 步：在管理中心列表下选择安全。
第 3 步：选择电子邮件和协作部分下的政策和规则。
步骤 4：导航至规则类别下的威胁策略 -> 租户允许/阻止列表。

注意：租户允许/阻止条目也可以在防御者门户的提交页面上进行。在租户允许/阻止列表中，您可以包括：

• 域名和电子邮件地址
• 欺骗性发件人
• 网址
• 文件

注意 条目创建后，将在 30 分钟内激活。在极少数情况下，可能需要长达 24 小时才能激活。

谁可以创建租户允许/阻止列表？

查找在组织内实施租户允许/阻止列表的许可要求。

• Exchange 在线保护
• 适用于 Office 365 的 Microsoft Defender 计划 1 和计划 2
• 微软 365 防御者

您必须是以下角色组之一的成员才能在租户允许/阻止列表中添加或删除值。

• 组织管理角色组
• 安全管理员角色组
• 安全操作员角色组

全局读取者、安全读取者和仅查看配置角色组的成员将对租户允许/阻止列表具有读取访问权限。

租户允许/阻止列表创建限制

查找租户允许/阻止列表条目的新许可证计划。

对于 Microsoft Defender for Office 365 计划 2 客户：

• 从 2023 年 10 月上旬开始，Microsoft Defender for Office 365 计划 2 的订阅者将能够在租户允许阻止列表中为每个类别（例如域和地址、文件和 URL）生成令人印象深刻的 10,000 个阻止条目和 5,000 个允许条目通过行政提交。

对于 Microsoft Defender for Office 365 计划 1 客户：

• 使用 Microsoft Defender for Office 365 计划 1 的客户可以选择通过管理提交在每个类别的租户允许阻止列表中创建最多 1,000 个阻止条目和 1,000 个允许条目。

对于 Exchange Online Protection 客户：

• Exchange Online Protection 的订阅者将通过管理提交在每个类别的租户允许阻止列表中保留 500 个阻止条目和 500 个允许条目的限制。

对于所有服务计划（关于欺骗发件人）：

• 值得注意的是，无论选择何种服务计划，欺骗发件人的上限将保持一致，即总共 1,024 个条目，包括阻止和允许条目。

此调整不会影响租户允许阻止列表中的当前条目。如果您现有的限额已经更高，您将继续享受这些限额，并且此修改不会改变它们。如果您有多种许可证，则将考虑整个租户的租户允许阻止列表的最高服务计划限制。

租户允许/阻止域名和电子邮件条目

您可以添加域名和电子邮件地址，最多 20 个字符。此外，添加域和地址后，您可以设置何时删除阻止条目。默认值为 30 天，但您可以将其设置为最长 90 天。但是，允许输入的域名和电子邮件地址将在 30 天后过期。

创建块条目

使用 Defender 门户：

• 租户允许/阻止列表页面 - 您可以添加要阻止的域和电子邮件地址。
• 提交页面 - 在电子邮件提交类型下，您可以添加有效的电子邮件网络消息 ID，也可以上传 .msg 或 .eml 格式的电子邮件文件，并注明原因“应该被阻止” '。

使用 PowerShell：

首先，连接到 Exchange Online PowerShell，然后运行以下 cmdlet。

New-TenantAllowBlockListItems -ListType Sender -Block -Entries [email protected] -ExpirationDate 10/30/2022

您可以向“Entries”参数提供有效的域名或电子邮件地址以创建阻止条目。

创建允许条目

• 您可以使用提交页面报告电子邮件地址，指出该地址不应被阻止（误报）。

您无法直接在租户允许/阻止列表门户或 PowerShell 中创建允许条目。

租户允许/阻止欺骗发件人的条目

如前所述，欺骗发件人可能有 1024 个条目。您需要确保添加的欺骗发件人条目的语法正确。

欺骗发件人语法：带通配符的域对包括、。例如，[email protected]、psm.knowbe5.com

默认情况下，欺骗发件人的允许和阻止条目都不会过期。如果欺骗性发件人属于您的组织，请将欺骗类型选择为内部。如果发件人来自外部域，请选择外部。

创建块条目

使用 Defender 门户：

• 租户允许/阻止列表页面 - 您可以在此页面上添加欺骗发件人并指定欺骗类型。然后选择操作为阻止。
• 提交页面 - 您可以阻止来自特定收件人的所有电子邮件，以添加针对欺骗发件人的阻止条目。

使用 PowerShell：

您可以连接到 Exchange Online PowerShell 并运行以下 cmdlet，为租户允许/阻止列表中的欺骗发件人创建阻止条目。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser [email protected] -SendingInfrastructure 172.17.17.17/24 -SpoofType External

创建允许条目

使用 Defender 门户：

• 租户允许/阻止列表页面 - 您可以添加欺骗发件人并指定欺骗类型。然后将操作选择为“允许”。

使用 PowerShell：

连接到 Exchange Online 后，运行下面提到的 cmdlet 为欺骗发件人添加允许条目。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser [email protected] -SendingInfrastructure 182.19.19.19/24 -SpoofType Internal

在上述语法中，替换欺骗用户，向基础设施发送有效条目。

租户允许/阻止 URL 条目

URL 条目最多可以有 250 个字符。包含被阻止的 URL 的电子邮件被视为高可信度网络钓鱼。

从 2023 年 9 月下旬开始，用户还可以根据顶级域名 (TLD) 阻止网站网址。用户可以使用“*./”格式指定 TLD，其中 可以是任何顶级域，如 .net、.biz、.io、.movie，甚至是国家/地区代码，如 .in、.us 、.ru. 等。如果启用了安全链接，则此阻止适用于电子邮件处理期间（隔离具有阻止的 URL 的电子邮件）以及用户单击 Microsoft Teams 和 Office 应用程序中的链接时。

URL 语法：admindroid.com、xyz.abc.admindroid.com、admindroid.com/a、xyz.abc.admindroid.com/a/b/c 等。

正如针对域名和地址条目所述，阻止 URL 条目最多可以保留 90 天，允许的条目最多可以保留 30 天。

改进了电子邮件中的网址处理 - 确实，有时包含有效网址的合法电子邮件可能会被阻止，因为它会根据网址的子路径或部分进行检查。为了解决此问题，Microsoft 改进了电子邮件阻止系统，允许 URL 的部分匹配行为，从而消除了通配符或多个 URL 提交的需要。

例如，如果您收到一封电子邮件，其 URL http://www.admindroid.com/abc 已被阻止，您所需要做的就是将被阻止的误报 URL 提交给 Microsoft 进行分析。他们会查看并在租户允许/阻止列表中创建一个“允许”条目 。创建此条目后，任何包含与其相关 URL 的未来电子邮件都不会被阻止，例如 www.admindroid.com/abc?id=1 或 www.admindroid.com/ abc/def/gty/uyt?id=5。

创建块条目

使用 Defender 门户：

• 租户允许/阻止列表页面 - 您可以添加要阻止任何人访问的 URL。
• 提交页面 - 在URL提交类型下，您可以添加要阻止的 URL。将原因说明为“应该被阻止”，并在分类后提交。

使用 PowerShell：

若要添加 URL 阻止条目，请在连接到 Exchange Online PowerShell 后运行以下 cmdlet。

New-TenantAllowBlockListItems -ListType Url -Block -Entries givemeyourpassword.com -NoExpiration

创建允许条目

• 在“提交”页面上，您可以添加网址，因为它们不应被阻止并提交。

无法直接在租户显示/阻止列表页面或通过 PowerShell 创建允许的 URL 条目。

租户允许/阻止文件条目

文件条目中最多允许包含 64 个字符。电子邮件中被阻止的文件称为恶意软件。

您必须每行添加文件哈希值，最多 20。此外，您可以在添加文件后限制块条目。默认值为 30 天，但最长可以设置为 90 天。

创建块条目

使用 Microsoft Defender 门户：

• 租户允许/阻止列表页面 - 您可以通过分隔每行的每个哈希来添加应阻止的文件。
• 提交页面 - 在电子邮件附件提交类型下，您可以上传要阻止的文件。将原因说明为“应该被阻止”并提交。

使用 PowerShell：

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3" -NoExpiration

您可以使用上面的语法为指定的文件添加一个永不过期的块条目。

创建允许条目

• 要报告误报，请在提交门户中上传相应的文件。

同样，您也无法在租户允许/阻止列表页面或通过 PowerShell 直接创建允许的条目。

我希望这篇博客能让您深入了解在 Microsoft 365 中为租户创建允许/阻止列表的过程。如有进一步疑问，请在评论部分与我们联系。我们很乐意为您提供帮助。