Condividi tramite


Protezione da posta indesiderata in EOP

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nota

Questo argomento è destinato agli amministratori. Per gli argomenti relativi agli utenti finali, vedere Panoramica del filtro Email posta indesiderata e Informazioni sulla posta indesiderata e sul phishing.

Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o nelle organizzazioni con Exchange Online Protection autonomo prive di cassette postali di Exchange Online, i messaggi di posta elettronica vengono protetti automaticamente dalla posta indesiderata da Exchange Online Protection.

Per ridurre la posta indesiderata, EOP include la protezione della posta indesiderata che usa tecnologie proprietarie di filtro della posta indesiderata (noto anche come filtro dei contenuti) per identificare e separare la posta indesiderata dalla posta indesiderata legittima. Il filtro della posta indesiderata EOP apprende da minacce note di posta indesiderata e phishing e feedback degli utenti dalla nostra piattaforma consumer, Outlook.com. Il feedback continuo di amministratori e utenti consente di garantire che le tecnologie EOP vengano costantemente formate e migliorate.

Exchange Online Protection utilizza i seguenti verdetti di filtro della posta indesiderata per classificare i messaggi:

  • Posta indesiderata: il messaggio ha ricevuto un livello di attendibilità della posta indesiderata (SCL) pari a 5 o 6.
  • Posta indesiderata con attendibilità elevata: il messaggio ha ricevuto un SCL di 7, 8 o 9.
  • Phishing
  • Phishing con attendibilità elevata: come parte della sicurezza per impostazione predefinita, i messaggi identificati come phishing con attendibilità elevata vengono sempre messi in quarantena e gli utenti non possono rilasciare i propri messaggi di phishing con attendibilità elevata in quarantena, indipendentemente dalle impostazioni disponibili configurate dagli amministratori.
  • Bulk: l'origine del messaggio ha raggiunto o superato la soglia del livello di reclamo in blocco configurato .

Per altre informazioni sulla protezione dalla posta indesiderata, vedere Domande frequenti sulla protezione dalla posta indesiderata

Nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di protezione dalla posta indesiderata personalizzati, è possibile configurare le azioni da eseguire in base a questi verdetti. Nei criteri di sicurezza predefiniti Standard e Strict, le azioni sono già configurate e imodificabili come descritto nelle impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

Per configurare i criteri di protezione dalla posta indesiderata predefiniti e per creare, modificare e rimuovere criteri di protezione dalla posta indesiderata personalizzati, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.

Consiglio

Se non si è d'accordo con il verdetto di filtro della posta indesiderata, è possibile segnalare il messaggio a Microsoft come falso positivo (messaggio di posta buona contrassegnato come negativo) o falso negativo (messaggio di posta elettronica non valido consentito). Per altre informazioni, vedere:

Le intestazioni del messaggio di protezione dalla posta indesiderata possono indicare perché un messaggio è stato contrassegnato come posta indesiderata o perché ha ignorato il filtro della posta indesiderata. Per ulteriori informazioni, vedere Intestazioni messaggi della protezione da posta indesiderata.

Non è possibile disattivare completamente il filtro della posta indesiderata in Microsoft 365, ma è possibile usare le regole del flusso di posta di Exchange (note anche come regole di trasporto) per ignorare la maggior parte dei filtri della posta indesiderata nei messaggi in arrivo (ad esempio, se si instrada la posta elettronica tramite un servizio di protezione di terze parti o un dispositivo prima del recapito a Microsoft 365). Per altre informazioni, vedere Usare le regole del flusso di posta per impostare il livello di probabilità di posta indesiderata (SCL) nei messaggi.

Negli ambienti ibridi in cui EOP protegge le cassette postali di Exchange locali, è necessario configurare due regole del flusso di posta (note anche come regole di trasporto) nell'organizzazione di Exchange locale per riconoscere le intestazioni di posta indesiderata di EOP aggiunte ai messaggi. Per dettagli, vedere Configurare EOP per recapitare la posta indesiderata nella cartella Posta indesiderata negli ambienti ibridi.

Criteri di protezione dalla posta indesiderata.

I criteri di protezione dalla posta indesiderata controllano le impostazioni configurabili per il filtro della posta indesiderata. Le impostazioni importanti nei criteri di protezione dalla posta indesiderata sono descritte nelle sottosezioni seguenti.

Consiglio

Per visualizzare le impostazioni dei criteri di protezione dalla posta indesiderata nei criteri predefiniti, nei criteri di sicurezza predefiniti Standard e nei criteri di sicurezza predefiniti Strict, vedere Impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

Filtri dei destinatari nei criteri di protezione dalla posta indesiderata

I filtri dei destinatari usano condizioni ed eccezioni per identificare i destinatari interni a cui si applicano i criteri. Nei criteri personalizzati è necessaria almeno una condizione. Le condizioni e le eccezioni non sono disponibili nei criteri predefiniti (i criteri predefiniti si applicano a tutti i destinatari). È possibile usare i filtri destinatario seguenti per condizioni ed eccezioni:

  • Utenti: una o più cassette postali, utenti di posta elettronica o contatti di posta elettronica nell'organizzazione.
  • Gruppi:
    • Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
    • Gruppi di Microsoft 365 specificati.
  • Domini: uno o più domini accettati configurati in Microsoft 365. L'indirizzo di posta elettronica principale del destinatario si trova nel dominio specificato.

È possibile usare una condizione o un'eccezione una sola volta, ma la condizione o l'eccezione può contenere più valori:

  • Più valori della stessa condizione o eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>):

    • Condizioni: se il destinatario corrisponde a uno dei valori specificati, i criteri vengono applicati a tali valori.
    • Eccezioni: se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.
  • I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.

  • I diversi tipi di condizioni usano la logica AND. Il destinatario deve corrispondere a tutte le condizioni specificate per l'applicazione dei criteri. Ad esempio, si configura una condizione con i valori seguenti:

    • Gli utenti: romain@contoso.com
    • Gruppi: Dirigenti

    Il criterio viene applicato soloromain@contoso.com se è anche membro del gruppo Dirigenti. In caso contrario, il criterio non viene applicato a lui.

Soglia di reclamo in blocco (BCL) nei criteri di protezione dalla posta indesiderata

EOP assegna un valore BCL (Bulk Complaint Level) ai messaggi in ingresso provenienti da mittenti bulk. I messaggi provenienti da mittenti in blocco sono noti anche come posta in blocco o posta grigia.

Per altre informazioni su BCL, vedere Livello di reclamo bulk (BCL) in EOP.

Consiglio

Per impostazione predefinita, l'impostazione solo di PowerShell MarkAsSpamBulkMail è On nei criteri di protezione dalla posta indesiderata in Exchange Online PowerShell. Questa impostazione influisce notevolmente sui risultati di un verdetto di filtro in blocco conforme o superato :

  • MarkAsSpamBulkMail è attivata: un BCL maggiore o uguale al valore di soglia viene convertito in un SCL 6 che corrisponde a un verdetto di filtro di Posta indesiderata e l'azione per il verdetto di filtro del livello di conformità bulk (BCL) soddisfatto o superato viene eseguita nel messaggio.
  • MarkAsSpamBulkMail è disattivato: il messaggio viene contrassegnato con il BCL, ma non viene eseguita alcuna azione per un verdetto di filtro con conformità bulk (BCL). In effetti, la soglia BCL e il livello di conformità bulk (BCL) hanno raggiunto o superato l'azione del verdetto di filtro sono irrilevanti.

Proprietà della posta indesiderata nei criteri di protezione dalla posta indesiderata

Le impostazioni della modalità test , le impostazioni di aumento del punteggio di posta indesiderata e la maggior parte delle impostazioni di Contrassegno come posta indesiderata fanno parte di Advanced Spam Filtering (ASF) nei criteri di protezione dalla posta indesiderata.

Queste impostazioni non sono configurate nei criteri di protezione dalla posta indesiderata predefiniti per impostazione predefinita o nei criteri di sicurezza predefiniti Standard o Strict.

Per informazioni complete sulle impostazioni asf, vedere Impostazioni asf (Advanced Spam Filter) in EOP.

Le altre impostazioni disponibili in questa categoria sono:

  • Contiene lingue specifiche: i messaggi nelle lingue specificate vengono identificati automaticamente come posta indesiderata.
  • Da questi paesi: i messaggi provenienti dai paesi specificati vengono identificati automaticamente come posta indesiderata.

Queste impostazioni non sono configurate nei criteri di protezione dalla posta indesiderata predefiniti per impostazione predefinita o nei criteri di sicurezza predefiniti Standard o Strict.

Azioni nei criteri di protezione dalla posta indesiderata

  • Nei criteri di protezione dalla posta indesiderata personalizzati e nei criteri di protezione dalla posta indesiderata predefiniti, le azioni disponibili per i verdetti di filtro della posta indesiderata sono descritte nella tabella seguente.

    • Un segno di spunta ( ✔ ) indica che l'azione è disponibile (non tutte le azioni sono disponibili per tutti i verdetti).
    • Un asterisco (*) dopo il segno di spunta indica l'azione predefinita per il verdetto filtro posta indesiderata.
    Azione Posta indesiderata Fortemente
    confidenziale
    posta indesiderata
    Phishing Fortemente
    confidenziale
    phishing
    Invio in blocco
    Spostare il messaggio nella cartella Posta indesiderata Email: il messaggio viene recapitato alla cassetta postale e spostato nella cartella Posta indesiderata Email.¹ * * ² *
    Aggiungi X-Header: aggiunge un X-Header all'intestazione del messaggio e recapita il messaggio nella cassetta postale.

    Immettere il nome del campo X-header (non il valore) nella casella di testo Aggiungi questa intestazione X disponibile.

    Per i verdetti posta indesiderata e posta indesiderata con attendibilità elevata, il messaggio viene spostato nella cartella Posta indesiderata Email.¹ ³
    Anteponi testo alla riga dell'oggetto: aggiunge testo all'inizio della riga dell'oggetto del messaggio. Il messaggio viene recapitato alla cassetta postale e spostato nella cartella Posta indesiderata.¹ ³

    Immettere il testo nella riga dell'oggetto Prefisso disponibile con questa casella di testo.
    Reindirizza messaggio a indirizzo di posta elettronica: invece di inviare il messaggio ai destinatari designati, lo invia ad altri destinatari.

    Specificare i destinatari nella casella Reindirizza a questo indirizzo di posta elettronica .
    Elimina messaggio: elimina automaticamente l'intero messaggio, inclusi gli allegati.
    Messaggio di quarantena: il messaggio non viene inviato ai destinatari, ma viene messo in quarantena.

    Selezionare o usare i criteri di quarantena predefiniti per il verdetto di filtro della posta indesiderata nella casella Seleziona criteri di quarantena visualizzata.⁴ I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

    Specificare per quanto tempo i messaggi vengono mantenuti in quarantena nella casella Disponibile Mantieni posta indesiderata in quarantena per questo numero di giorni .
    * *
    Nessuna azione

    ¹ EOP usa il proprio agente di recapito del flusso di posta per instradare i messaggi alla cartella Posta indesiderata Email anziché usare la regola posta indesiderata nella cassetta postale. Il parametro Enabled nel cmdlet Set-MailboxJunkEmailConfiguration in Exchange Online PowerShell ha effetto sul flusso di posta nelle cassette postali cloud. Per altre informazioni, vedere Configurare le impostazioni della posta indesiderata nelle cassette postali di Exchange Online.

    ² Per il phishing con attendibilità elevata, l'azione Sposta messaggio in posta indesiderata Email cartella è deprecata in modo efficace. Anche se è possibile selezionare l'azione Sposta messaggio in posta indesiderata Email cartella, i messaggi di phishing con attendibilità elevata vengono sempre messi in quarantena (equivalente alla selezione del messaggio di quarantena).

    ³ È possibile usare questo valore come condizione nelle regole del flusso di posta per filtrare o instradare il messaggio.

    ⁴ Se il verdetto di filtro della posta indesiderata mette in quarantena i messaggi per impostazione predefinita (il messaggio di quarantena è già selezionato quando si arriva alla pagina), il nome predefinito dei criteri di quarantena viene visualizzato nella casella Seleziona criteri di quarantena . Se si modifica l'azione di un verdetto di filtro della posta indesiderata in quarantena, la casella Seleziona criteri di quarantena è vuota per impostazione predefinita. Un valore vuoto indica che vengono usati i criteri di quarantena predefiniti per tale verdetto. Quando si visualizzano o modificano in un secondo momento le impostazioni dei criteri di protezione dalla posta indesiderata, viene visualizzato il nome del criterio di quarantena. Per altre informazioni sui criteri di quarantena usati per impostazione predefinita per i verdetti del filtro della posta indesiderata, vedere Impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

    ⁵ Gli utenti non possono rilasciare i propri messaggi messi in quarantena come phishing con attendibilità elevata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi di phishing con attendibilità elevata in quarantena.

  • Messaggi all'interno dell'organizzazione su cui intervenire: controlla se il filtro della posta indesiderata e le azioni di verdetto corrispondenti vengono applicati ai messaggi interni (messaggi inviati tra gli utenti all'interno dell'organizzazione). L'azione configurata nei criteri per i verdetti del filtro della posta indesiderata specificati viene eseguita sui messaggi inviati tra utenti interni. I valori disponibili sono i seguenti:

    • Impostazione predefinita: questo è il valore predefinito. Questo valore equivale a selezionare Messaggi di phishing con attendibilità elevata.
    • Nessuna
    • Messaggi di phishing con attendibilità elevata
    • Phishing e messaggi di phishing ad alta attendibilità
    • Tutti i messaggi di phishing e posta indesiderata ad alta attendibilità
    • Tutti i messaggi di phishing e posta indesiderata

    Per i valori predefiniti usati nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di sicurezza predefiniti Standard e Strict, vedere i messaggi all'interno dell'organizzazione da eseguire all'immissione nelle impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

  • Conserva la posta indesiderata in quarantena per questo numero di giorni: specifica per quanto tempo mantenere il messaggio in quarantena se è stato selezionato Messaggio di quarantena come azione per il verdetto filtro posta indesiderata. Dopo la scadenza del periodo di tempo, il messaggio viene eliminato e non è recuperabile. Un valore valido è compreso tra 1 e 30 giorni.

    Per i valori predefiniti usati nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di sicurezza predefiniti Standard e Strict, vedere l'opzione Mantieni posta indesiderata in quarantena per questo numero di giorni nelle impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

    Consiglio

    Questa impostazione controlla anche per quanto tempo vengono conservati i messaggi messi in quarantena dai criteri anti-phishing. Per altre informazioni, vedere Conservazione della quarantena.

Eliminazione automatica a zero ore (ZAP) nei criteri di protezione dalla posta indesiderata

ZAP per il phishing e ZAP per la posta indesiderata è in grado di agire sui messaggi dopo che sono stati recapitati alle cassette postali Exchange Online. Per impostazione predefinita, ZAP per il phishing e ZAP per la posta indesiderata sono attivati e si consiglia di lasciarli attiva. Per altre informazioni, vedere:

Criteri di quarantena nei criteri di protezione dalla posta indesiderata

Se il verdetto nei criteri di protezione dalla posta indesiderata è configurato per mettere in quarantena i messaggi, i criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per tali messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Consenti e blocca elenchi nei criteri di protezione dalla posta indesiderata

I criteri di protezione dalla posta indesiderata contengono gli elenchi seguenti per consentire o bloccare mittenti o domini specifici:

  • Elenco mittenti consentiti
  • Elenco di domini consentiti
  • Elenco mittenti bloccati
  • Elenco dei domini bloccati

Queste impostazioni non sono configurate nei criteri di protezione dalla posta indesiderata predefiniti per impostazione predefinita o nei criteri di sicurezza predefiniti Standard o Strict.

La funzionalità di questi elenchi è stata ampiamente sostituita da:

  • Bloccare le voci per domini e indirizzi di posta elettronica in Crea voci di blocco per domini e indirizzi di posta elettronica.

    Il motivo principale per cui usare l'elenco mittenti bloccati o l'elenco dei domini bloccati nei criteri di protezione dalla posta indesiderata: le voci bloccate nell'elenco tenant consentiti/bloccati impediscono anche agli utenti dell'organizzazione di inviare messaggi di posta elettronica a tali indirizzi di posta elettronica o domini.

  • Segnalazione di un messaggio di posta elettronica valido a Microsoft dalla pagina Invii nel portale di Microsoft Defender (in cui è possibile scegliere Consenti messaggi di posta elettronica con attributi simili, che crea le voci temporanee necessarie nell'elenco tenant consentiti/bloccati).

    Importante

    I messaggi provenienti da voci nell'elenco mittenti consentiti o nell'elenco dei domini consentiti ignorano la maggior parte della protezione della posta elettronica (ad eccezione del malware e del phishing con attendibilità elevata) e i controlli di autenticazione della posta elettronica (SPF, DKIM e DMARC). Le voci nell'elenco mittenti consentiti o nell'elenco dei domini consentiti creano un rischio elevato che gli utenti malintenzionati distribuissero correttamente la posta in arrivo che altrimenti verrebbe filtrata. Questi elenchi sono usati in modo ottimale solo per i test temporanei.

    Non aggiungere mai domini comuni , ad esempio microsoft.com o office.com, all'elenco dei domini consentiti. Gli utenti malintenzionati possono inviare facilmente messaggi di spoofing da questi domini comuni all'organizzazione.

    A partire da settembre 2022, se un mittente, un dominio o un sottodominio consentito si trova in un dominio accettato nell'organizzazione, tale mittente, dominio o sottodominio deve superare i controlli di autenticazione della posta elettronica per ignorare il filtro della posta indesiderata.

    Se si intende mantenere una voce di dominio consentita nell'elenco per un periodo di tempo prolungato, indicare al mittente di verificare che il record SPF sia aggiornato con le origini di posta elettronica per il dominio e che i criteri nel record DMARC siano impostati su p=reject.

Priorità dei criteri di protezione dalla posta indesiderata

Se sono attivati, i criteri di sicurezza predefiniti Standard e Strict vengono applicati prima di eventuali criteri di protezione dalla posta indesiderata personalizzati o dei criteri predefiniti (Strict è sempre il primo). Se si creano più criteri di protezione dalla posta indesiderata personalizzati, è possibile specificare l'ordine in cui vengono applicati. L'elaborazione dei criteri si interrompe dopo l'applicazione del primo criterio (il criterio con priorità più alta per tale destinatario).

Per altre informazioni sull'ordine di precedenza e sulla valutazione di più criteri, vedere Ordine e precedenza della protezione della posta elettronica e Ordine di precedenza per i criteri di sicurezza predefiniti e altri criteri.

Criterio di protezione dalla posta indesiderata predefinito

Ogni organizzazione dispone di un criterio predefinito di protezione dalla posta indesiderata denominato Default con le proprietà seguenti:

  • Il criterio è quello predefinito (la proprietà IsDefault contiene il valore True), e non è possibile eliminarlo.
  • I criteri vengono applicati automaticamente a tutti i destinatari dell'organizzazione e non è possibile disattivarli.
  • Il criterio viene sempre applicato per ultimo (il valore Priority è Lowest e non è possibile modificarlo).