ヒント
Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。
クラウド メールボックスを持つすべての組織で、管理者はテナント許可/ブロック リストでドメインとメール アドレス (なりすまし送信者を含む) のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
この記事では、管理者がMicrosoft Defender ポータルと PowerShell で電子メール送信者のエントリExchange Online管理する方法について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
ドメインとメール アドレスのエントリ制限:
-
Defender for Office 365のない Microsoft 365 組織: 合計で最大 1,000 個のドメインとメール アドレスのエントリ:
- エントリを許可する: 最大 500 個。
- ブロック エントリ: 最大 500 個。
-
Defender for Office 365 プラン 1 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 合計で最大 2,000 個のドメインと電子メール アドレスのエントリ:
- エントリを許可する: 最大 1,000 個。
- ブロック エントリ: 最大 1,000 個。
-
Defender for Office 365 プラン 2 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 合計で最大 15,000 個のドメインとメール アドレスのエントリ:
- 許可エントリ: 最大 5,000 個。
- ブロック エントリ: 最大 1,0000。
-
Defender for Office 365のない Microsoft 365 組織: 合計で最大 1,000 個のドメインとメール アドレスのエントリ:
スプーフィングされた送信者の場合、許可エントリとブロック エントリの最大数は 1024 です (1024 許可エントリとブロック エントリなし、512 許可エントリ、512 ブロック エントリなど)。
スプーフィングされた送信者のエントリが期限切れになることはありません。
ドメインからの受信メールと送信メール、そのドメイン内のサブドメイン、およびそのドメイン内の電子メール アドレスをブロックするには、
*.TLD
という構文を使用してブロック エントリを作成します。TLD
は、任意の最上位ドメイン、内部ドメイン、または電子メール アドレス ドメインにすることができます。ドメイン内のサブドメインとそのサブドメイン内の電子メール アドレスからの受信および送信メールをブロックするには、内部ドメインと電子メール アドレス ドメインの
*.SD1.TLD
、*.SD2.SD1.TLD
、*.SD3.SD2.SD1.TLD
などの構文を使用してブロック エントリを作成します。スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。
エントリは 5 分以内にアクティブにする必要があります。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可は
アクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
-
テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
- 承認と設定/セキュリティ設定/検出のチューニング (管理)
-
テナント許可/ブロック リストへの読み取り専用アクセス:
- 承認と設定/セキュリティ設定/読み取り専用。
- 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)。
-
テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
-
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
- 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
- セキュリティ オペレーター (テナント AllowBlockList Manager ロール): このアクセス許可は、https://admin.exchange.microsoft.com>Roles>管理 ロールの Exchange 管理センターで直接割り当てられている場合にのみ機能します。
-
テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
- グローバル リーダー
- セキュリティ閲覧者
- "View-Only Configuration/表示専用構成"
- View-Only Organization Management
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。
[テナントの許可/ブロック] リストのドメインと電子メール アドレス
注:
特殊文字 (スペース、引用符、記号など) を含む電子メール アドレスのエントリでは、特殊文字に UTF-8 16 進 URL エンコードを使用する必要があります。 そうしないと、エントリを追加しようとするとエラーが発生する可能性があります。
たとえば、電子メール アドレスの "bad+ attacker"@fourthcoffee.com
をブロックするには、次の値 %22bad%2B%20attacker%22@fourthcoffee.com
使用します。
-
%22
は二重引用符 (") を表します。 -
%2B
は正符号 (+) を表します。 -
%20
はスペース ( ) を表します。
ドメインとメール アドレスの許可エントリを作成する
不要な許可エントリは、システムがフィルター処理する悪意のある電子メールにorganizationを公開するため、テナント許可/ブロック リストで許可エントリを直接作成するための制限があります。
ドメインとメール アドレスの許可エントリを作成するには、次のいずれかの方法を使用します。
https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 ブロックされたメッセージがクリーンされていることを確認して送信し、[このメッセージを許可する] を選択すると、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブに送信者の許可エントリが追加されます。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。
この方法は、マルウェアと信頼度の高いフィッシング判定をオーバーライドするために必要です。
このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [ドメイン & アドレス] タブから。
このメソッドは、次の判定のみをオーバーライドするために使用できます。
- バルク
- スパム
- 高確度スパム
- フィッシング (高精度フィッシングではない)
ヒント
送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。
メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。
既定では、ドメインと電子メール アドレス、ファイル、URL の許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でドメインと電子メール アドレスの許可エントリを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[テナントの許可/ブロック] Lists ページで、[ドメイン & アドレス] タブが選択されていることを確認します。
[ ドメイン & アドレス ] タブで、[
追加] を選択し、[許可] を選択 します。
開いた [ ドメイン & アドレスの許可 ] ポップアップで、次の設定を構成します。
ドメイン & アドレス: 1 行に 1 つのメール アドレスまたはドメインを最大 20 個まで入力します。
許可エントリの削除後: 次の値から選択します。
- 最終使用日から 45 日後 (既定値)
- 1 日
- 7 日間
- 特定の日付: 最大値は今日から 30 日です。
省略可能な注: メール アドレスまたはドメインを許可する理由を説明するテキストを入力します。
[ ドメイン & アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。
[ ドメイン] & [電子メール アドレス ] タブに戻り、エントリが一覧表示されます。
PowerShell を使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスの許可エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" [-RemoveAfter 45] [-Notes <String>]
次の使用例は、指定したメール アドレスの許可エントリを追加します。 ExpirationDate パラメーターまたは RemoverAfter パラメーターを使用しなかったため、エントリは最後に使用した日付から 45 日後に期限切れになります。
New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "test@gooddomain.com","test2@gooddomain.com"
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
ドメインとメール アドレスのブロック エントリを作成する
ドメインとメール アドレスのブロック エントリを作成するには、次のいずれかの方法を使用します。
https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 脅威であることを確認してメッセージを送信すると、[この送信者またはドメインのすべてのメールをブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。
このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [ドメイン & アドレス] タブから。
スプーフィングされた送信者のブロック エントリを作成するには、この記事の後半のセクションを参照してください。
これらのブロックされた送信者からのEmailは、高信頼フィッシングとしてマークされ、検疫されます。
注:
現在、ブロック エントリで構文 *.TLD
が使用されていない場合、指定されたドメインのサブドメインはブロックされません。 たとえば、contoso.com のブロック エントリを作成した場合、marketing.contoso.com からのメールもブロックされません。 marketing.contoso.com 用に個別のブロック エントリを作成するか、 *.TLD
構文を使用する必要があります。TLD には、任意の最上位ドメイン、内部ドメイン、または電子メール アドレス ドメインを指定できます。
organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信することもできません。 メッセージは、次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) で返されます。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[テナントの許可/ブロック] Lists ページで、[ドメイン & アドレス] タブが選択されていることを確認します。
[ ドメイン & アドレス ] タブで、[
追加] を選択し、[ ブロック] を選択します。
開いた [ ドメイン & アドレスのブロック ] ポップアップで、次の設定を構成します。
ドメイン & アドレス: 1 行に 1 つのメール アドレスまたはドメインを最大 20 個まで入力します。
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日 (既定値)
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
省略可能なメモ: メール アドレスまたはドメインをブロックする理由を説明するテキストを入力します。
[ ドメイン & アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。
[ ドメイン] & [電子メール アドレス ] タブに戻り、エントリが一覧表示されます。
PowerShell を使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
次の使用例は、特定の日付に有効期限が切れる指定したメール アドレスのブロック エントリを追加します。
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ ドメイン & アドレス ] タブが選択されていることを確認します。
[ ドメイン & アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。
- 値: ドメインまたはメール アドレス。
- アクション: [許可] または [ブロック] の値。
-
オーバーライド判定: 使用可能な値は次のとおりです。
- ブロック エントリのマルウェアまで。
- テナント許可/ブロックリストで直接作成された許可エントリに対する通常の信頼度フィッシングまで。
- 送信を介して作成されたエントリを許可するための信頼度の高いフィッシングまで。 申請を介して作成されたエントリを許可すると、直接作成された許可エントリが自動的に更新されます。
- 変更したユーザー
- 最終更新日時
- 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
- 削除日: 有効期限。
- Notes
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- アクション: 値は [許可] と [ブロック] です。
-
有効期限なし:
または
- 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
- 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
- [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
- 変更者: 不完全または完全なメール アドレスを指定して検索します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
検索ボックスと対応する値を使用して、特定のエントリを検索します。
エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。
PowerShell を使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する
PowerShell Exchange Onlineで、次の構文を使用します。
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
この例では、ドメインとメール アドレスのすべての許可エントリとブロック エントリを返します。
Get-TenantAllowBlockListItems -ListType Sender
次の使用例は、ドメインとメール アドレスのブロック エントリの結果をフィルター処理します。
Get-TenantAllowBlockListItems -ListType Sender -Block
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロック リスト内のドメインと電子メール アドレスのエントリを変更する
既存のドメインとメール アドレスのエントリでは、有効期限とメモを変更できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ ドメイン & アドレス ] タブが選択されていることを確認します。
[ドメイン & アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [
][編集] アクションを選択します。
開いた [ ドメイン & アドレスの編集 ] ポップアップで、次の設定を使用できます。
-
ブロック エントリ:
-
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
- 省略可能なメモ
-
後のブロック エントリの削除: 次の値から選択します。
-
エントリを許可する:
-
許可エントリの削除後: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 最終使用日から 45 日後
- 特定の日付: 最大値は今日から 30 日です。
- 省略可能なメモ
-
許可エントリの削除後: 次の値から選択します。
[ ドメイン & アドレスの編集 ] ポップアップが完了したら、[保存] を選択 します。
-
ブロック エントリ:
ヒント
[ ドメイン & アドレス ] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。
PowerShell を使用して、[テナントの許可/ブロック] リストのドメインと電子メール アドレスのエントリを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
次の使用例は、送信者の電子メール アドレスの指定されたブロック エントリの有効期限を変更します。
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストからドメインとメール アドレスのエントリを削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ ドメイン & アドレス ] タブが選択されていることを確認します。
[ ドメイン & アドレス ] タブで、次のいずれかの手順を実行します。
最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [
削除] アクションを選択します。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [
削除 ] を選択します。
ヒント
- 詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある
Previous 項目 と 次の項目 を使用します。
- 各チェックボックスを選択して複数のエントリを選択するか、[値] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。
- 詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある
開いた警告ダイアログで、[削除] を選択 します。
[ ドメイン & アドレス ] タブに戻ると、エントリは一覧に表示されなくなります。
PowerShell を使用して、テナント許可/ブロック リストからドメインとメール アドレスのエントリを削除する
PowerShell Exchange Onlineで、次の構文を使用します。
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
次の使用例は、ドメインと電子メール アドレスの指定されたエントリをテナント許可/ブロック リストから削除します。
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。
テナント許可/ブロック一覧のなりすまし送信者
スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動の許可またはブロックエントリになります。
なりすまし送信者の許可エントリを作成する
なりすまし送信者の許可エントリを作成するには、次のいずれかの方法を使用します。
-
https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。
- スプーフィング インテリジェンスによって検出およびブロックされたメッセージを送信すると、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブに、なりすまし送信者の許可エントリが追加されます。
- スプーフィング インテリジェンスが送信者を検出してブロックしなかった場合、Microsoft にメッセージを送信しても、テナント許可/ブロックリストに送信者の許可エントリは作成されません。
- 送信者がスプーフィング インテリジェンスによって検出され、ブロックされた場合は、https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページから。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
- スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
- このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。
注:
組織内、クロス組織、DMARC スプーフィングのなりすまし送信者アカウントのエントリを許可します。
スプーフィングできるのは、スプーフィングされたユーザー と 、 ドメイン ペア で定義されている送信インフラストラクチャの組み合わせだけです。
なりすまし送信者のエントリの有効期限が切れないことを許可します。
Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する
テナント許可/ブロックリストでは、スプーフィング インテリジェンスが検出してブロックする前に、 なりすまし 送信者の許可エントリを作成できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[テナントの許可/ブロックLists] ページで、[なりすまし送信者] タブを選択します。
[ なりすまし送信者 ] タブで、[
追加] を選択します。
開いた [ 新しいドメイン ペアの追加] ポップアップで、次の設定を構成します。
ワイルドカードを使用してドメイン ペアを追加する: 1 行あたり最大 20 個のドメイン ペアを入力します。 スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。
スプーフィングの種類: 次のいずれかの値を選択します。
- 内部: なりすまし送信者は、organization (承認済みドメイン) に属するドメイン内にあります。
- 外部: スプーフィングされた送信者が外部ドメインにあります。
アクション: [ 許可] または [ ブロック] を選択します。
[ 新しいドメイン ペアの追加] ポップアップが完了したら、[追加] を選択 します。
[ なりすまし送信者 ] タブに戻ると、エントリが一覧表示されます。
PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
次の使用例は、ソース contoso.com から送信者 bob@contoso.com の許可エントリを作成します。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。
なりすまし送信者のブロック エントリを作成する
なりすまし送信者のブロック エントリを作成するには、次のいずれかの方法を使用します。
- https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。
-
https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページから、送信者がスプーフィング インテリジェンスによって検出され、許可された場合。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
- スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
- このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。
注:
スプーフィングされたユーザーとドメイン ペアで定義されている送信インフラストラクチャの組み合わせのみが、スプーフィングからブロックされます。
これらの送信者からのEmailは、フィッシングとしてマークされます。 受信者のメッセージを検出した スパム対策ポリシー によって、メッセージの動作が決まります。 詳細については、スパム対策ポリシー設定のフィッシング検出アクションに関するページを参照してください。
ドメイン ペアのブロック エントリを構成すると、スプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。
スプーフィングされた送信者のエントリをブロックすると、期限切れになることはありません。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する
この手順は、この記事で既に説明 したように、なりすまし送信者の許可エントリを作成 する場合とほぼ同じです。
唯一の違いは、手順 4 の [アクション ] の値で、[許可] ではなく [ ブロック ] を選択 することです。
PowerShell を使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
次の使用例は、ソース 172.17.17.17/24 から送信者 laura@adatum.com のブロック エントリを作成します。
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。
Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者のエントリを表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ なりすまし送信者 ] タブが選択されていることを確認します。
[ なりすまし送信者 ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。
- なりすましユーザー
- 送信インフラストラクチャ
- スプーフィングの種類: 使用可能な値は 内部 または 外部です。
- アクション: 使用可能な値は [ブロック] または [許可] です。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- アクション: 使用可能な値は [許可] と [ブロック] です。
- スプーフィングの種類: 使用可能な値は 内部 と 外部です。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
検索ボックスと対応する値を使用して、特定のエントリを検索します。
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- 操作
- スプーフィングの種類
エントリのグループ化を解除するには、[ なし] を選択します。
PowerShell を使用して、テナントの許可/ブロックリストでなりすまし送信者のエントリを表示する
PowerShell Exchange Onlineで、次の構文を使用します。
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
次の使用例は、テナント許可/ブロック リスト内のすべてのスプーフィングされた送信者エントリを返します。
Get-TenantAllowBlockListSpoofItems
この例では、内部のすべての許可なりすまし送信者エントリを返します。
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
次の使用例は、外部のすべてのブロックされたなりすまし送信者エントリを返します。
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListSpoofItems」を参照してください。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧のなりすまし送信者のエントリを変更する
[テナントの許可/ブロック] リストでスプーフィングされた送信者の許可またはブロック エントリを変更する場合は、エントリを [許可] から [ ブロック] に変更するか、またはその逆にのみ変更できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ なりすまし送信者 ] タブを選択します。
最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [
][編集] アクションを選択します。
開 いた [なりすまし送信者の編集 ] ポップアップで、[ 許可] または [ ブロック] を選択し、[保存] を選択 します。
PowerShell を使用して、テナント許可/ブロック リストのなりすまし送信者のエントリを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
次の使用例は、指定したスプーフィングされた送信者エントリを許可エントリからブロック エントリに変更します。
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListSpoofItems」を参照してください。
Microsoft Defender ポータルを使用して、テナント許可/ブロック リストからなりすまし送信者のエントリを削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ なりすまし送信者 ] タブを選択します。
[なりすまし送信者] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [
削除] アクションを選択します。
ヒント
各チェックボックスを選択して複数のエントリを選択することも、なりすましユーザー列ヘッダーの横にある [チェック] ボックスを選択してすべてのエントリを選択することもできます。
開いた警告ダイアログで、[削除] を選択 します。
PowerShell を使用して、なりすまし送信者のエントリをテナント許可/ブロック リストから削除する
PowerShell Exchange Onlineで、次の構文を使用します。
Remove-TenantAllowBlockListSpoofItems -Identity ___domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity ___domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
この例では、指定したなりすまし送信者を削除します。 Ids パラメーター値は、コマンドの出力の Identity プロパティから取得 Get-TenantAllowBlockListSpoofItems。
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListSpoofItems」を参照してください。
スプーフィングされた送信者エントリのドメイン ペア構文
テナント許可/ブロック リストのスプーフィングされた送信者のドメイン ペアは、次の構文を使用します: <Spoofed user>, <Sending infrastructure>
。
スプーフィングされたユーザー: この値には、メール クライアントの [ 差 出人] ボックスに表示されるスプーフィングされたユーザーのメール アドレスが含まれます。 このアドレスは、
5322.From
または P2 送信者アドレスとも呼ばれます。 有効な値は次のとおりです。- 個々のメール アドレス (たとえば、 chris@contoso.com)。
- 電子メール ドメイン (たとえば、contoso.com)。
- ワイルドカード文字 (*)。
送信インフラストラクチャ: この値は、スプーフィングされたユーザーからのメッセージのソースを示します。 有効な値は次のとおりです。
- ソース メール サーバーの IP アドレス (たとえば、fabrikam.com) の逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
- 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
- 検証済みの DKIM ドメイン。
- ワイルドカード文字 (*)。
スプーフィングされた送信者を識別するための有効なドメイン ペアの例を次に示します。
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
注:
送信元インフラストラクチャまたはスプーフィングされたユーザーでワイルドカードを指定できますが、両方で同時に指定することはできません。 たとえば、 *, *
は許可されません。
送信インフラストラクチャで IP アドレスまたは IP アドレス範囲の代わりにドメインを使用している場合、ドメインは Authentication-Results ヘッダーの接続 IP の PTR レコードと一致する必要があります。 PTR は、 ping -a <IP address>
コマンドを実行して判断できます。 また、ドメイン値として PTR Organization Domain を使用することもお勧めします。 たとえば、PTR が smtp.inbound.contoso.com
に解決される場合は、送信インフラストラクチャとして contoso.com
を使用する必要があります。
ドメイン ペアを追加すると、スプーフィングされたユーザーと送信インフラストラクチャの組み合わせのみが許可またはブロックされます。 たとえば、次のドメイン ペアの許可エントリを追加します。
- ドメイン: gmail.com
- 送信インフラストラクチャ: tms.mx.com
スプーフィングできるのは 、 そのドメインからのメッセージと送信インフラストラクチャ のペアのみです。 gmail.com のなりすましを試みる他の送信者は許可されません。 スプーフィング インテリジェンスは、tms.mx.com から発信された他のドメインの送信者からのメッセージをチェックします。
偽装されたドメインまたは送信者について
Defender for Office 365のフィッシング対策ポリシーによって偽装ユーザーまたは偽装ドメインとして検出されたメッセージの許可エントリをテナント許可/ブロック リストに作成することはできません。
https://security.microsoft.com/reportsubmission?viewid=emailの [申請] ページの [電子メール] タブで偽装として誤ってブロックされたメッセージを送信しても、テナント許可/ブロック リストに送信者またはドメインが許可エントリとして追加されることはありません。
代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
偽装誤検知の提出手順については、「 Microsoft に適切なメールを報告する」を参照してください。
注:
現時点では、ユーザー (またはグラフ) の偽装はここからは行われません。