[Szakmai] A Tenant Allow/Block Lists-ről ...

Ha adminisztrálsz M365/OEXCH-t, akkor tudod, hogy a Microsoft hajlamos a rendezkedésre, átalakításra, régi szolgáltatások kivezetésére, újak bevezetésére. Sőt, sokszor egymást részben vagy egészben fedő régi és új szolgáltatások párhuzamos futtatására. Kb. erről szólnak (részben) a Microsoft 365 Message Center-től szinte napi szinten érkező Major update from Message center levelek.

Pl. ha felmerülne kérés, hogy hol lehet egy bizonyos levélküldőt, vagy domain-t spammelés miatt blokkolni, akkor annak többféleképpen is neki lehet állni. Megközelíthetjük az régi módszerrel (sokan ezt ismerik)

  1. Exchange admin center ➡️ Mail flow ➡️ Rules opción keresztül, de nem ez az ultimate megoldás. Ez kb. a jó öreg Outlook szabályok szerver oldali verziója, nem globális, elavult és sokszor nem is működik megfelelően.

Helyette a a TABL-on keresztüli megoldás javasolt:

  1. Exchange admin center ➡️ Mail flow ➡️ Message Trace irányból, ahol a keresési eredményekben, az adott levélküldő levelén nyomunk egy Report Message-t, bejelentve a Microsoft-nak mondjuk spammer-ként (a bejelentés eredménye megjelenik a Microsoft Defender ➡️  Submissions alatt) és egyben blokkolást is beállíthatunk a feladóra, ami megjelenik a Microsoft Defender ➡️ Policies & rules ➡️ Threat policies ➡️ Tenant Allow/Block List alatt (TABL) - ez a helyes eljárás 2024. 10. 04-én, vagyis a TMÁ* szerint
  2. Vagy közvetlenül: Microsoft Defender ➡️ Policies & rules ➡️ Threat policies ➡️ Tenant Allow/Block List ➡️ Domains & Addresses ➡️ Block

(* Tudomány Mai Állása)

Hozzászólások

Nekünk 120db managelt exc fiókkal megfelel a hagyományos mód (első egyes pontod), majd az ezt megugró forgalmat átküldjük egy tűzfalon, ami lepontozza a leveleket - s a saját pontrendszerén felül a saját itteni szabályainkkal együtt tovább szűr *. Ezek után kb. csak az jön át szemétként, ami pl. frissen regisztrált gmail címről érkezik tisztán szöveges tartalommal és a szokásos törtmagyarral bitcoint kunyerál azért, hogy ne tegye ki a videót ahol éppen ráránt a delikvens. Heti 3-5db. Fals pozitív jelzésünk pedig nincs.

* Ez pedig azért kell, mert hibrid levélrendszerünk van: további fiókok vannak egy lokális kiszolgálón kezelve, aminek a szűrése viszont eléggé körülményes. Magyarán nálunk a tűzfal az erősebb kutya, így ő baszik.. szerencsére. S mivel kurvajól működik, ez egy kisebb kritika az exchange szűrőinek is.

Ettől függetlenül ezt a bejegyzést elteszem valahová, hátha jó lesz, mert utálok keresgetni az admin centerben, ennél utálatosabb dolog nincs a világon. Főleg ha valamit kivezettek a szokott helyéről és betették máshová jaja!

Vortex Rikers NC114-85EKLS

na jah. anno meg a zimbraban volt spam meg nem spam gomb, de mivel nem hasznaltuk a zimbra szurojet ezek mentek 1-1 global folderbe a szerveren. neha nezegettem mit jeloltek az userek, hat...

- egy csomoan a spam gombot a delete helyett hasznaljak. siman azzal toroltek mindent amit mar elolvastak

- a szuronk altal megjelolt adathalasz levelekre sokan nyomtak a nem spam gombot. egeszsegukre.

- az IT altal kikuldott adathalasz figyelmezteteseket viszont ugyanezek spam-nak jeloltek.

- a vezetoi korleveleket az userek 40%-a spamnak jelolte

igy fel se merult hogy automatikus tanitashoz felhasznalhatok az userek visszajelzesei... inkabb megtanitottam ra egy AI-t, az sokkal megbizhatobb :)

jesszus, trey szakmai cikket valamit posztolt!