PhishER Blocklist 功能可帮助您防止用户的收件箱接收恶意或垃圾电子邮件。查看用户报告的电子邮件时，您可更新黑名单，将有关威胁或垃圾邮件的信息发送至您的 Microsoft 365 邮件服务器。

一旦启用黑名单并将其连接至您的邮件服务器，就能创建并管理黑名单条目。每个条目所包含的信息可用于邮件服务器筛选未来消息。例如，如果您为恶意电子邮件地址创建条目，您的邮件服务器会自动将未来电子邮件从该电子邮件地址移动到用户的垃圾文件夹。

如需详细了解 PhishER Blocklist，请参阅以下部分。

启用和授权 PhishER Blocklist

您需要启用 PhishER Blocklist，才能创建条目。而且，您还需要通过 Microsoft Entra ID，将 Exchange 管理员角色分配到 Microsoft 365 账户中的 PhishER Blocklist 应用程序，才能授权黑名单。

按照以下步骤，启用和授权黑名单：

1. 登录您的 PhishER 控制台，前往 Settings > Blocklist。
2. 如果 Microsoft 365 邮件服务器未连接到黑名单，可单击 Connect to Microsoft 365 并添加连接。
3. 打开页面顶部 Disabled 旁边的切换开关，然后单击 Save。
4. 登录您的 Microsoft Entra ID 门户，将 Exchange Administrator 角色分配到 PhishER Blocklist 应用程序。
   
   
   注意：有关启用黑名单的更多信息，请访问黑名单部分（请见 PhishER 设置：集成。如需了解有关分配角色的更多信息，请查看文章如何将 Exchange Administrator 角色分配给 PhishER Blocklist 应用程序。

创建 PhishER Blocklist 条目

打开 Blocklist 选项卡或 Message Details 页面，可创建要添加至黑名单的条目。如果您已启用 PhishML，也可使用 PhishML 标签，帮助您对相应消息（包含要添加至黑名单的值）排列优先级。

如需了解如何通过 Blocklist 选项卡或 Message Details 页面创建条目，请参阅以下子部分。

通过 Blocklist 选项卡创建条目

按照以下步骤，通过 Blocklist 选项卡创建新条目：

1. 登录您的 PhishER 控制台。
2. 前往 Blocklist > Your Syncing Entries。
3. 单击页面右上角的 Create Blocklist Entry 按钮。打开 Create Blocklist Entry 弹出窗口。
4. 在弹出窗口中填写字段并创建条目。有关更多信息，请查看以下截图和列表：
   
   1. Attribute：选择要用于条目的相应属性。属性是指您希望邮件服务器筛选的信息类型。选择 Sender 选项，将发件人的电子邮件地址或域用作条目值。例如，您可为 Value 输入完整电子邮件地址（如“username@domain.com”）或域名（如“domain.com”）。选择 URL 选项，将完整 URL 或主机名用作条目值。例如，您可为 Value 输入“www.sitename.com/sitepage”或“www.sitename.com”。选择 File Hash 选项，将 SHA-256 文件散列用作条目值。
   2. 值：在此字段中输入特定信息，可触发邮件服务器筛选消息。例如，如果您为 Attribute 字段选择 Sender，则可在此字段中输入发件人的电子邮件地址。
   3. 持续时间：打开此下拉菜单，选择想要黑名单保留条目的时长。持续时间结束后，会自动在黑名单中移除条目。持续时间默认选择 30 天，与 Microsoft 租户允许/阻止列表的默认持续时间相似。
      注意：当在 PhishER Settings 的 Preferences 子选项卡中启用了 Allow Blocklist entries without an expiration date 设置时，Never Expire 选项将可用。
      网络犯罪分子的攻击手段变化多端，所以一定要随时更新您的黑名单。通过设置持续时间，您可在黑名单中更新用户最近报告的消息中的信息。
5. 单击 Save，添加条目到黑名单中。

创建完条目后，可监控该条目的状态和其他详细信息。有关更多信息，请参阅本文的监控黑名单条目部分。

通过消息详情页面创建条目

按照以下步骤，通过消息详情页面创建新条目：

1. 登录您的 PhishER 控制台。
2. 选择 Inbox（收件箱）选项卡。
3. 单击一条消息，打开 Message Details 页面。
4. 单击属性旁边的红色方块图标。打开 Create Blocklist Entry 弹出窗口。
5. 在弹出窗口中填写字段并创建条目。有关更多信息，请查看以下截图和列表：
   
   1. Attribute：选择要用于条目的相应属性。属性是指您希望邮件服务器筛选的信息类型。选择 Sender 选项，将发件人的电子邮件地址或域用作条目值。例如，您可为 Value 输入完整电子邮件地址（如“username@domain.com”）或域名（如“domain.com”）。选择 URL 选项，将完整 URL 或主机名用作条目值。例如，您可为 Value 输入“www.sitename.com/sitepage”或“www.sitename.com”。选择 File Hash 选项，将 SHA-256 文件散列用作条目值。
   2. 值：在此字段中输入特定信息，可触发邮件服务器筛选消息。例如，如果您为 Attribute 字段选择 Sender，则可在此字段中输入发件人的电子邮件地址。
   3. 持续时间：打开此下拉菜单，选择想要黑名单保留条目的时长。持续时间结束后，会自动在黑名单中移除条目。持续时间默认选择 30 天，与 Microsoft 租户允许/阻止列表的默认持续时间相似。
      注意：当在 PhishER Settings 的 Preferences 子选项卡中启用了 Allow Blocklist entries without an expiration date 设置时，Never Expire 选项将可用。
      网络犯罪分子的攻击手段变化多端，所以一定要随时更新您的黑名单。通过设置持续时间，您可在黑名单中更新用户最近报告的消息中的信息。
6. 单击 Save，添加条目到黑名单中。

创建完条目后，可监控该条目的状态和其他详细信息。有关更多信息，请参阅本文的监控黑名单条目部分。

监控 PhishER Blocklist 条目

打开 Your Syncing Entries 子选项卡，可监控黑名单条目。条目按对应值排列。

创建完条目后，Blocklist 选项卡的 Your Syncing Entries 子选项卡就会显示相应条目。此外，您还可删除条目并查看每个条目在邮件服务器上的同步状态。

有关此子选项卡的更多信息，请查看以下截图和列表：

1. Filter by Attribute：使用这些筛选条件，查看具有特定属性的条目。
   注意：对于每个发件人、URL 和文件散列属性，PhishER Blocklist 最多有 500 个条目。
2. Filter by Status：使用这些筛选条件，查看具有特定状态的条目。
3. Filter by Entry Type：如果您已启用 Global Blocklist，则可使用这些筛选条件，仅查看 Global Blocklist 条目或 PhishER Blocklist 上的自定义条目。
4. 值：此列会显示条目的值。这些值可以是发件人的地址、URL 或文件散列。您的邮件服务器将使用条目值来筛选具有相同值的任何电子邮件。有关如何筛选电子邮件的更多信息，请查看以下列表：
   • URL or File Hash：如果电子邮件包含与条目匹配的 URL 值或文件散列值，邮件服务器会自动将电子邮件移动到隔离文件夹。
   • Sender：如果电子邮件包含与条目匹配的发件人值，邮件服务器会自动将电子邮件移动到垃圾文件夹。
   提示：您也可以单击列中的值，查看 Blocklist Audit Log 页面。有关更多信息，请参阅本文的审查审计记录部分。
5. 状态：此列会显示条目的状态。有关这些状态的更多信息，请查看以下列表：
   • Pending：此状态表示正在将条目添加至黑名单或从中删除。
   • Active：此状态表示已将条目添加至黑名单，并与已连接邮件服务器完成了同步。
   • Incomplete：此状态表示已添加了条目，并将条目与一个或多个（并非全部）已连接邮件服务器完成了同步。
   • Failed：此状态表示未成功添加和同步条目。如果您已将多个邮件服务器连接至黑名单，且条目尚未成功与全部服务器完成同步，则该条目会显示为 Failed。
6. Created By：此列表示条目的创建者。Admin 会显示 PhishER 管理员是否已为您的 PhishER Blocklist 创建了条目。KnowBe4 会显示 KnowBe4 威胁研究实验室团队是否已为 Global Blocklist 创建了条目。
7. Created On：此列显示条目添加至黑名单的日期和时间。
8. Expires On：此列显示条目将从黑名单自动移除的日期和时间。
   注意：PhishER Blocklist 将每 10 分钟与您的 Microsoft 365 邮件服务器进行同步。在此期间，Microsoft 365 租户允许/阻止列表的待处理条目会被添加至 PhishER 控制台的 Your Syncing Entries 子选项卡。租户允许/阻止列表中的现有条目可能需要长达 24 小时才能与 PhishER Blocklist 完成同步。在 Expires On 列中，已同步条目会显示将从两个黑名单中移除条目的日期和时间。如果您的租户允许/阻止列表条目或 PhishER Blocklist 条目没有包括到期日期，Expires On 列将显示为 Never Expires。
9. Actions：单击此列中的垃圾桶图标，打开 Delete Blocklist Entry 弹出窗口。然后，您可从 PhishER Blocklist 中删除条目。您也可以删除并忽略条目，以免该条目被添加至 PhishER Blocklist。如需了解已忽略条目，请参阅以下忽略条目子部分。

忽略条目

若想防止条目在邮件服务器上被拦截，可将相应条目添加至您的已忽略条目。不可将已忽略条目添加至 PhishER Blocklist。您组织的域将被自动忽略，且无法被手动添加至已忽略条目。

当您忽略某一条目时，PhishER Blocklist 上的任何匹配条目都会变为待处理状态，说明这些条目将被删除。除非在 Your Ignored Entries 子选项卡上删除已忽略条目，否则无法在您的黑名单上创建匹配条目。

要忽略现有的黑名单条目，请按照以下步骤操作：

1. 登录您的 PhishER 控制台。
2. 前往 Blocklist > Your Syncing Entries。
3. 找到需要忽略的条目。
4. 单击该条目 Actions 列中的垃圾桶图标。打开 Delete Blocklist Entry 弹出窗口。
5. 单击弹出窗口中的 Delete and Ignore。已忽略条目将被添加至 Your Ignored Entries 子选项卡，且黑名单条目将变为待处理状态，说明该条目将被删除。

要通过 Your Ignored Entries 子选项卡创建已忽略条目，请按以下步骤操作：

1. 登录您的 PhishER 控制台。
2. 前往 Blocklist > Your Ignored Entries。
3. 单击页面右上角的 Create Ignored Entry 按钮。打开 Create Ignored Entry 弹出窗口。
4. 在弹出窗口中，创建您的已忽略条目。有关更多信息，请查看以下截图和列表：
   1. Attribute：选择要用于已忽略条目的属性类型。选择 Sender 选项，将发件人的电子邮件地址或域用作条目值。例如，您可为 Value 输入完整电子邮件地址（如“username@domain.com”）或域名（如“domain.com”）。选择 URL 选项，将完整 URL 或主机名用作条目值。例如，您可为 Value 输入“www.sitename.com/sitepage”或“www.sitename.com”。选择 File Hash 选项，将 SHA-256 文件散列用作条目值。
   2. 值：在此字段中输入特定的值，可阻止该值在您的邮件服务器上被拦截。例如，如果您为 Attribute 字段选择 Sender，则可在此字段中输入发件人的电子邮件地址。
   
5. 单击 Save，将条目添加至您的已忽略条目。

您可在 Your Ignored Entries 子选项卡上监控所有已忽略条目。有关此子选项卡的更多信息，请查看以下截图和列表：

1. Search...：使用此字段，通过 Lucene 查询筛选已忽略条目。
   
   
   注意：您必须使用通配符，才能搜索含相似值的条目。例如，您可搜索“*yahoo.com”，查找含“yahoo.com”的所有值。有关更多信息，请参阅文章如何使用 Lucene 查询语法。
2. Filter by Attribute：使用这些筛选条件，查看具有特定属性类型的条目。
3. Value：此列会显示条目的值。
4. Created On：此列会显示添加已忽略条目的日期和时间。
5. Actions：单击此列中的垃圾桶图标，可删除已忽略条目。如果您删除某个已忽略条目，则可使用该条目的值在 PhishER Blocklist 中创建新条目。

审查审计记录

登录您的 PhishER 控制台，前往 Blocklist > Audit Log 子选项卡，即可查看审计记录。您的审计记录包括 PhishER Blocklist 和 Global Blocklist 的活动，比如创建条目、删除条目以及条目与邮件服务器同步的时间。

有关此子选项卡的更多信息，请查看以下截图和列表：

1. Timestamp：此列会显示 Event Action 列中操作执行的日期和时间。
2. Event Type：此列会显示已执行的操作类型。有关事件类型的更多信息，请查看以下列表：
   • Entry Updated：此类型表示已创建或删除条目。
   • Entry Synced：此类型表示已将条目同步至 PhishER Blocklist。
   • Blocklist Synced：此类型表示已为全部已连接邮件服务器同步了所有条目。
3. Value：此列会显示受影响条目的值。
4. Updated By：此列会显示操作的来源。更新条目时，此列会显示更新该条目的用户电子邮件地址。同步单个条目或黑名单时，此列会显示邮件服务器的 ID 或名称。如果系统执行了操作，此行将为空。
5. Event Action：此列会显示对特定条目或黑名单所执行的具体操作。创建条目后，将显示 Created。将条目或黑名单同步至已连接邮件服务器后，将显示 Synced。删除条目后，将显示 Deleted。
6. 状态：此列会显示操作是否成功。