Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online, gli amministratori possono usare la pagina Invii nel portale di Microsoft 365 Defender per inviare messaggi, URL e allegati a Microsoft per l'analisi. Esistono due tipi di invii di amministratore di base:

  • invii originati da Amministrazione: gli amministratori identificano e segnalano messaggi, allegati o URL (entità) selezionando Invia a Microsoft per l'analisi dalle schede nella pagina Invii, come descritto nella sezione invii originati da Amministrazione.

    Dopo che l'amministratore ha segnalato l'entità, viene visualizzata una voce nella scheda corrispondente nella pagina Invii (in qualsiasi punto tranne la scheda Segnalata dall'utente ).

  • Amministrazione invio di messaggi segnalati dall'utente: l'esperienza di creazione di report utente predefinita è attivata e configurata. I messaggi segnalati dall'utente vengono visualizzati nella scheda Utente segnalato nella pagina Invii e gli amministratori inviano o inviano nuovamente i messaggi a Microsoft dalla scheda Utente segnalato .

    Dopo che un amministratore ha inviato il messaggio dalla scheda Utente segnalato , viene creata anche una voce nella scheda corrispondente nella pagina Invii (ad esempio, la scheda Messaggi di posta elettronica ). Questi tipi di invii di amministratori sono descritti nella sezione opzioni di Amministrazione per i messaggi segnalati dall'utente.

Quando gli amministratori inviano messaggi a Microsoft per l'analisi, vengono eseguiti i controlli seguenti:

  • Email controllo dell'autenticazione (solo messaggi di posta elettronica): indica se l'autenticazione tramite posta elettronica è stata superata o non riuscita al momento del recapito.
  • Riscontri dei criteri: informazioni su eventuali criteri o sostituzioni che potrebbero aver consentito o bloccato la posta elettronica in ingresso nell'organizzazione, ignorando così i verdetti di filtro.
  • Reputazione/detonazione del payload: esame aggiornato di eventuali URL e allegati nel messaggio.
  • Analisi del classificatore: verifica eseguita dai classificatori umani per verificare se i messaggi sono dannosi o meno.

Importante

Nelle organizzazioni governative degli Stati Uniti (Microsoft 365 GCC, GCC High e DoD), gli amministratori possono inviare messaggi di posta elettronica a Microsoft per l'analisi, ma i messaggi vengono analizzati solo per l'autenticazione e i criteri di posta elettronica. La reputazione del payload, la detonazione e l'analisi del classificatore non vengono eseguite per motivi di conformità (i dati non possono lasciare il limite dell'organizzazione).

Guardare questo breve video per informazioni su come usare gli invii di amministratori in Microsoft Defender per Office 365 per inviare messaggi a Microsoft per la valutazione.

Per altre informazioni su come gli utenti possono inviare messaggi e file a Microsoft, vedere Segnalare messaggi e file a Microsoft.

Per altri modi in cui gli amministratori possono segnalare i messaggi a Microsoft nel portale di Defender, vedere Impostazioni di report correlate per gli amministratori.

Che cosa è necessario sapere prima di iniziare?

  • Per aprire il portale di Microsoft 365 Defender, andare alla pagina https://security.microsoft.com/. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Gli amministratori possono inviare messaggi di posta elettronica vecchi di 30 giorni se sono ancora disponibili nella cassetta postale e non sono stati eliminati dall'utente o da un amministratore.

  • Amministrazione gli invii sono limitati alle tariffe seguenti:

    • Numero massimo di invii in un periodo di 15 minuti: 150 invii
    • Gli stessi invii in un periodo di 24 ore: tre invii
    • Gli stessi invii in un periodo di 15 minuti: un invio
  • Se le impostazioni segnalate dall'utente nell'organizzazione inviano messaggi segnalati dall'utente (posta elettronica e Microsoft Teams) a Microsoft (esclusivamente o in aggiunta alla cassetta postale di report), vengono eseguiti gli stessi controlli di quando gli amministratori inviano messaggi a Microsoft per l'analisi dalla pagina Invii . Pertanto, l'invio o la reinvio di messaggi a Microsoft è utile agli amministratori solo per i messaggi che non sono mai stati inviati a Microsoft o quando non si è d'accordo con il verdetto originale.

  • Nella pagina Invii è disponibile una scheda File solo nelle organizzazioni con Microsoft 365 Defender o Microsoft Defender per endpoint Piano 2. Per informazioni e istruzioni sull'invio di file dalla scheda File, vedere Inviare file in Microsoft Defender per endpoint.

invii originati da Amministrazione

Consiglio

La scheda in cui si seleziona Invia a Microsoft per l'analisi non è particolarmente importante, purché si imposti Selezionare il tipo di invio sul valore corretto.

Inviare un messaggio di posta elettronica discutibile a Microsoft

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.

  3. Nella scheda Messaggi di posta elettronica selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che il valore Email sia selezionato.

    • Aggiungere l'ID messaggio di rete o caricare il file di posta elettronica: selezionare una delle opzioni seguenti:

      • Aggiungere l'ID messaggio di rete di posta elettronica: il valore GUID è disponibile nell'intestazione X-MS-Exchange-Organization-Network-Message-Id nel messaggio o nell'intestazione X-MS-Office365-Filtering-Correlation-Id nei messaggi in quarantena.
      • Caricare il file di posta elettronica (con estensione msg o eml): selezionare Sfoglia file. Nella finestra di dialogo visualizzata individuare e selezionare il file con estensione eml o msg e quindi selezionare Apri.
    • Scegliere un destinatario che ha avuto un problema: specificare i destinatari su cui eseguire un controllo dei criteri. Il controllo dei criteri determina se l'analisi del messaggio di posta elettronica è stata ignorata a causa di criteri o sostituzione dell'utente o dell'organizzazione.

    • Selezionare un motivo per l'invio a Microsoft: Verificare che sia stato bloccato (Falso negativo) è selezionato.

      • Il messaggio di posta elettronica deve essere stato categorizzato come: Selezionare Phish, Malware o Spam. Se non sei sicuro, usa il tuo giudizio migliore.

      • Blocca tutti i messaggi di posta elettronica di questo mittente o dominio: selezionare questa opzione per creare una voce di blocco per il dominio o l'indirizzo di posta elettronica del mittente nell'elenco Tenant Consenti/Blocca. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

        Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:

        • Per impostazione predefinita, l'opzione Mittente è selezionata, ma è possibile selezionare Dominio .
        • Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
          • 1 giorno
          • 7 giorni
          • 30 giorni
          • 90 giorni
          • Non scade mai
          • Data specifica: il valore massimo è 90 giorni da oggi.
        • Nota sulla voce di blocco: immettere informazioni facoltative sul motivo per cui si sta bloccando il messaggio di posta elettronica.

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

Inviare un messaggio di posta elettronica falso negativo (non valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, la voce di blocco è disponibile nella scheda Indirizzi domini & della pagina Elenchi tenant consentiti/bloccati all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Segnalare allegati di posta elettronica discutibili a Microsoft

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii selezionare la scheda Email allegati.

  3. Nella scheda Email allegati selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che sia selezionato il valore Email allegato.

    • File: selezionare Sfoglia file per trovare e selezionare il file da inviare.

    • Selezionare un motivo per l'invio a Microsoft: Verificare che sia stato bloccato (Falso negativo) è selezionato.

      • Il messaggio di posta elettronica deve essere stato categorizzato come: Selezionare Phish o Malware. Se non sei sicuro, usa il tuo giudizio migliore.

      • Blocca questo file: selezionare questa opzione per creare una voce di blocco per il file nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

        Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:

        • Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:

          • 1 giorno
          • 7 giorni
          • 30 giorni
          • 90 giorni
          • Non scade mai
          • Data specifica: il valore massimo è 90 giorni da oggi.
        • Nota sulla voce di blocco: immettere informazioni facoltative sul motivo per cui si sta bloccando il file.

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

Inviare un allegato di posta elettronica falso negativo (non valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, la voce di blocco è disponibile nella scheda File della pagina Tenant Allow/Block Lists all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Segnalare URL discutibili a Microsoft

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii selezionare la scheda URL .

  3. Nella scheda URL selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che sia selezionato l'URL del valore.

    • URL: immettere l'URL completo (ad esempio, https://www.fabrikam.com/marketing.html), quindi selezionarlo nella casella visualizzata. È possibile immettere fino a 50 URL contemporaneamente.

    • Selezionare un motivo per l'invio a Microsoft: Verificare che sia stato bloccato (Falso negativo) è selezionato.

      • Il messaggio di posta elettronica deve essere stato categorizzato come: Selezionare Phish o Malware. Se non sei sicuro, usa il tuo giudizio migliore.

      • Blocca questo URL: selezionare questa opzione per creare una voce di blocco per l'URL nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

        Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:

        • Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:

          • 1 giorno
          • 7 giorni
          • 30 giorni
          • 90 giorni
          • Non scade mai
          • Data specifica: il valore massimo è 90 giorni da oggi.
        • Nota sulla voce di blocco: immettere informazioni facoltative sul motivo per cui si blocca l'URL.

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

Inviare un URL falso negativo (non valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, la voce di blocco è disponibile nella scheda URL della pagina Tenant Allow/Block Lists all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Segnalare un messaggio di posta elettronica valido a Microsoft

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.

  3. Nella scheda Messaggi di posta elettronica selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che il valore Email sia selezionato.

    • Aggiungere l'ID messaggio di rete o caricare il file di posta elettronica: selezionare una delle opzioni seguenti:

      • Aggiungere l'ID messaggio di rete di posta elettronica: il valore GUID è disponibile nell'intestazione X-MS-Exchange-Organization-Network-Message-Id nel messaggio o nell'intestazione X-MS-Office365-Filtering-Correlation-Id nei messaggi in quarantena.
      • Caricare il file di posta elettronica (con estensione msg o eml): selezionare Sfoglia file. Nella finestra di dialogo visualizzata individuare e selezionare il file con estensione eml o msg e quindi selezionare Apri.
    • Scegliere un destinatario che ha avuto un problema: specificare i destinatari su cui eseguire un controllo dei criteri. Il controllo dei criteri determina se il messaggio di posta elettronica è stato bloccato a causa di criteri o sostituzioni dell'utente o dell'organizzazione.

    • Selezionare un motivo per l'invio a Microsoft: selezionare Non dovrebbe essere stato bloccato (Falso positivo) e quindi configurare le impostazioni seguenti:

      • Consenti messaggi di posta elettronica con attributi simili (URL, mittente e così via): attivare questa impostazione .

        • Rimuovi voce consenti dopo: il valore predefinito è 30 giorni, ma è possibile selezionare uno dei valori seguenti:

          • 1 giorno
          • 7 giorni
          • 30 giorni
          • Data specifica: il valore massimo è 30 giorni da oggi.

          Per i mittenti spoofing, questo valore è privo di significato, perché le voci per i mittenti spoofing non scadono mai.

        • Consenti nota di immissione: immettere informazioni facoltative sul motivo per cui si consente e si invia questo messaggio di posta elettronica.

          Per i mittenti contraffatti, qualsiasi valore immesso qui non viene visualizzato nella voce Consenti nella scheda Mittenti spoofati nella pagina Elenchi tenant consentiti/bloccati .

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

    Inviare un messaggio di posta elettronica falso positivo (valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, le voci consentite associate vengono visualizzate nelle schede Domini&, Mittenti spoofed, URL o File nella pagina Tenant Allow/Block Lists all'indirizzo https://security.microsoft.com/tenantAllowBlockList.

Importante

  • Le voci consentite vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono stati determinati come non validi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.
  • Se l'indirizzo di posta elettronica del mittente non risulta dannoso dal sistema di filtro, l'invio del messaggio di posta elettronica a Microsoft non creerà una voce di autorizzazione nell'elenco tenant consentiti/bloccati.
  • Quando viene rilevato di nuovo un dominio o un indirizzo di posta elettronica consentito, un mittente, un URL o un file (entità) contraffatti, tutti i filtri associati all'entità vengono ignorati. Per i messaggi di posta elettronica, tutte le altre entità vengono comunque valutate dal sistema di filtro prima di prendere una decisione.
  • Durante il flusso di posta, se i messaggi provenienti dal dominio o dall'indirizzo di posta elettronica consentito superano altri controlli nello stack di filtro, i messaggi vengono recapitati. Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito.
  • Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, vengono recapitati messaggi da tali domini o indirizzi di posta elettronica, a meno che non venga rilevato un altro elemento nel messaggio come dannoso. Per impostazione predefinita, le voci consentite per i mittenti contraffatti non scadono mai.
  • Per i messaggi che sono stati bloccati in modo errato dalla protezione da rappresentazione di dominio o utente, la voce di autorizzazione per il dominio o il mittente non viene creata nell'elenco tenant consentiti/bloccati. Al contrario, il dominio o il mittente viene aggiunto alla sezione Mittenti e domini attendibili nei criteri anti-phishing che hanno rilevato il messaggio.
  • Quando si esegue l'override del verdetto nelle informazioni dettagliate di intelligence sullo spoofing, il mittente sottoposto a spoofing diventa una voce di blocco o di autorizzazione manuale visualizzata solo nei mittenti spoofed nella pagina Elenchi tenant consentiti/bloccati in https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Segnalare allegati di posta elettronica validi a Microsoft

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii selezionare la scheda Email allegati.

  3. Nella scheda Email allegati selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che sia selezionato il valore Email allegato.

    • File: selezionare Sfoglia file per trovare e selezionare il file da inviare.

    • Selezionare un motivo per l'invio a Microsoft: selezionare Non dovrebbe essere stato bloccato (Falso positivo) e quindi configurare le impostazioni seguenti:

      • Consenti questo file: attivare questa impostazione .

        • Rimuovi voce consenti dopo: il valore predefinito è 30 giorni, ma è possibile selezionare uno dei valori seguenti:

          • 1 giorno
          • 7 giorni
          • 30 giorni
          • Data specifica: il valore massimo è 30 giorni da oggi.
        • Consenti nota di immissione: immettere informazioni facoltative sul motivo per cui si consente e si invia il file.

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

    Inviare un allegato di posta elettronica falso positivo (valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, la voce consenti è disponibile nella scheda File della pagina Elenco tenant consentiti/bloccati . Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

Importante

  • Per impostazione predefinita, le voci consentite per i file esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, vengono recapitati i messaggi che contengono tali file, a meno che non venga rilevato un altro elemento nel messaggio come dannoso.
  • Quando il file viene rilevato di nuovo durante il flusso di posta, vengono ignorati i controlli di detonazione o reputazione dei file degli allegati sicuri e tutti gli altri filtri basati su file. Se il sistema di filtro determina che tutte le altre entità nel messaggio di posta elettronica sono pulite, il messaggio viene recapitato.
  • Durante la selezione, vengono ignorati tutti i filtri basati su file, inclusi la detonazione degli allegati sicuri o i controlli della reputazione dei file, consentendo all'utente di accedere al file.

Segnalare url validi a Microsoft

Per gli URL segnalati come falsi positivi, sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abcbloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o *.contoso.com/abc), il messaggio non verrà bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

  2. Nella pagina Invii selezionare la scheda URL

  3. Nella scheda URL selezionare Invia a Microsoft per l'analisi.

  4. Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:

    • Selezionare il tipo di invio: verificare che sia selezionato l'URL del valore.

    • URL: immettere l'URL completo (ad esempio, https://www.fabrikam.com/marketing.html), quindi selezionarlo nella casella visualizzata. È anche possibile specificare un dominio di primo livello , ad esempio , https://www.fabrikam.com/*e quindi selezionarlo nella casella visualizzata. È possibile immettere fino a 50 URL contemporaneamente.

    • Selezionare un motivo per l'invio a Microsoft: selezionare Non dovrebbe essere stato bloccato (Falso positivo) e quindi configurare le impostazioni seguenti:

      • Consenti questo URL: attivare questa impostazione .

        • Rimuovi voce consenti dopo: il valore predefinito è 30 giorni, ma è possibile selezionare uno dei valori seguenti:

          • 1 giorno
          • 7 giorni
          • 30 giorni
          • Data specifica: il valore massimo è 30 giorni da oggi.
        • Consenti nota di immissione: immettere informazioni facoltative sul motivo per cui si consente e si invia questo URL.

    Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia e quindi Fare clic su Fine.

    Inviare un URL falso positivo (valido) a Microsoft per l'analisi nella pagina Invii nel portale di Defender.

Dopo alcuni istanti, la voce allow è disponibile nella scheda URL della pagina Tenant Allow/Block Lists all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Nota

  • Per impostazione predefinita, le voci consentite per gli URL esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, vengono recapitati i messaggi che contengono tali URL, a meno che non venga rilevato un altro elemento nel messaggio come dannoso.
  • Quando l'URL viene rilevato di nuovo durante il flusso di posta, vengono ignorati i controlli della reputazione degli URL o della detonazione dei collegamenti sicuri e tutti gli altri filtri basati su URL. Se il sistema di filtro determina che tutte le altre entità nel messaggio di posta elettronica sono pulite, il messaggio viene recapitato.
  • Durante la selezione, vengono ignorati tutti i filtri basati su URL, inclusi la detonazione dei collegamenti sicuri o i controlli della reputazione degli URL, consentendo all'utente l'accesso al contenuto nell'URL.

Segnalare i messaggi di Teams a Microsoft

Non è possibile inviare messaggi di Teams dalla scheda Messaggi di Teams nella pagina Invii . L'unico modo per inviare un messaggio di Teams a Microsoft per l'analisi consiste nell'inviare un messaggio di Teams segnalato dall'utente dalla scheda Utente segnalato , come descritto nella sezione Invia messaggi segnalati dall'utente a Microsoft per l'analisi più avanti in questo articolo.

Le voci nella scheda Messaggi di Teams sono il risultato dell'invio di un messaggio di Teams segnalato dall'utente a Microsoft. Per altre informazioni, vedere la sezione Visualizzare gli invii di amministratori convertiti più avanti in questo articolo.

Visualizzare gli invii di amministratori di posta elettronica a Microsoft

Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.

Nella scheda Messaggi di posta elettronica è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:

  • In sospeso
  • Operazione completata

Filtri rapidi disponibili per gli invii di amministratori nella scheda Messaggi di posta elettronica della pagina Invii.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):

  • Nome invio*
  • Mittente*
  • Destinatario
  • Data di invio*
  • Motivo dell'invio*
  • Verdetto originale*
  • Stato*
  • Risultato*
  • Motivo recapito/blocco
  • ID invio
  • ID messaggio di rete
  • Direzione
  • Indirizzo IP mittente
  • Livello di conformità bulk (BCL)
  • Destinazione
  • Azione dei criteri
  • Inviato da
  • Simulazione phish
  • Tag*: per altre informazioni sui tag utente, vedere Tag utente.
  • Azione

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

  • Motivo
  • Verdetto originale
  • Stato
  • Risultato
  • Tag

Per separare le voci, selezionare Nessuno.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Data inviata: valori di data di inizio e data di fine .
  • ID invio: valore GUID assegnato a ogni invio.
  • ID messaggio di rete
  • Mittente
  • Destinatario
  • Nome invio
  • Inviato da
  • Motivo dell'invio: uno dei valori seguenti:
    • Non spazzatura
    • Phishing
    • Malware
    • Posta indesiderata.
  • Stato: in sospeso e completato.
  • Tag: tutti o selezionare i tag utente dall'elenco a discesa.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Usare Esporta per esportare l'elenco di voci in un file CSV.

Visualizzare gli invii di amministratori di Teams a Microsoft

Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla pagina Inviiinvii in Invii> di azioni&. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

Nella pagina Invii selezionare la scheda Messaggi di Teams .

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):

  • Nome invio*
  • Mittentesup>*
  • Data di invio*
  • Motivo dell'invio*
  • Inviato da
  • Stato*
  • Risultato*
  • Destinatario
  • ID invio
  • ID messaggio di Teams
  • Destinazione
  • Simulazione phish
  • Tag*: per altre informazioni sui tag utente, vedere Tag utente.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

  • Motivo
  • Verdetto originale
  • Stato
  • Risultato
  • Tag

Per separare le voci, selezionare Nessuno.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Data di invio: data di inizio e data di fine.
  • ID invio: valore GUID assegnato a ogni invio.
  • Messaggio di Teams
  • Inviato da
  • Motivo dell'invio: uno dei valori seguenti:
    • Non spazzatura
    • Phishing
    • Malware
  • Stato: in sospeso e completato.
  • Tag: tutti o selezionare i tag utente dall'elenco a discesa.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Usare Esporta per esportare l'elenco di voci in un file CSV.

Visualizzare gli invii di amministratori degli allegati di posta elettronica a Microsoft

Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla pagina Inviiinvii in Invii> di azioni&. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

Nella pagina Invii selezionare la scheda Email allegati.

Nella scheda Email allegati è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:

  • In sospeso
  • Operazione completata

Filtri rapidi disponibili per gli invii di amministratori nella scheda Email allegati della pagina Invii.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):

  • Nome file allegato*
  • Data di invio*
  • Motivo dell'invio*
  • Stato*
  • Risultato*
  • Filtrare il verdetto
  • Motivo recapito/blocco
  • ID invio
  • ID oggetto
  • Azione dei criteri
  • Inviato da
  • Tag*: per altre informazioni sui tag utente, vedere Tag utente.
  • Azione

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

  • Motivo
  • Verdetto originale
  • Stato
  • Risultato
  • Tag

Per separare le voci, selezionare Nessuno.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Data di invio: data di inizio e data di fine.
  • ID invio: valore GUID assegnato a ogni invio.
  • Nome file allegato
  • Inviato da
  • Motivo dell'invio: uno dei valori seguenti:
    • Non spazzatura
    • Phishing
    • Malware
    • Posta indesiderata.
  • Stato: in sospeso e completato.
  • Tag: tutti o selezionare i tag utente dall'elenco a discesa.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Usare Esporta per esportare l'elenco di voci in un file CSV.

Visualizzare gli invii di amministratori URL a Microsoft

Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla pagina Inviiinvii in Invii> di azioni&. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

Nella pagina Invii selezionare la scheda URL .

Nella scheda URL è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:

  • In sospeso
  • Operazione completata

Filtri rapidi disponibili per gli invii di amministratori nella scheda URL della pagina Invii.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):

  • URL*
  • Data di invio*
  • Motivo dell'invio*
  • Stato*
  • Risultato*
  • Filtrare il verdetto
  • Motivo recapito/blocco
  • ID invio
  • ID oggetto
  • Azione dei criteri
  • Inviato da
  • Tag*: per altre informazioni sui tag utente, vedere Tag utente.
  • Azione

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

  • Motivo
  • Verdetto originale
  • Stato
  • Risultato
  • Tag

Per separare le voci, selezionare Nessuno.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Data di invio: data di inizio e data di fine.
  • ID invio: valore GUID assegnato a ogni invio.
  • URL
  • Inviato da
  • Motivo dell'invio: uno dei valori seguenti:
    • Non spazzatura
    • Phishing
    • Malware
    • Posta indesiderata
  • Stato: in sospeso e completato.
  • Tag: tutti o selezionare i tag utente dall'elenco a discesa.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Usare Esporta per esportare l'elenco di voci in un file CSV.

Amministrazione dettagli dei risultati dell'invio

Email messaggi, i messaggi di Teams, gli allegati di posta elettronica e gli URL inviati dagli amministratori a Microsoft per l'analisi sono disponibili nelle schede corrispondenti nella pagina Invii.

Quando si seleziona una voce nella scheda facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, le informazioni complete sull'elemento segnalato originale, lo stato dell'elemento segnalato e i risultati dell'analisi dell'elemento segnalato vengono visualizzati nel riquadro a comparsa dettagli che si apre:

  • Se si è verificato un errore nell'autenticazione della posta elettronica del mittente al momento del recapito.
  • Informazioni su eventuali criteri o sostituzioni che potrebbero aver influenzato o sostituito il verdetto del messaggio dal sistema di filtro.
  • Risultati della detonazione correnti per verificare se gli URL o i file nel messaggio erano dannosi o meno.
  • Feedback dei classificatori.

Se è stata trovata una configurazione di override o criteri, il risultato deve essere disponibile in diversi minuti. Se non si è verificato un problema nell'autenticazione tramite posta elettronica o il recapito non è stato influenzato da un override o da criteri, la detonazione e il feedback dei classificatori potrebbero richiedere fino a un giorno.

Azioni per gli invii di amministratori in Defender per Office 365 Piano 2

Nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), le azioni seguenti sono disponibili per gli invii di amministratori nel riquadro a comparsa dettagli che si apre dopo aver selezionato una voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo:

  • Aprire l'entità di posta elettronica: disponibile solo nel riquadro a comparsa dei dettagli delle voci nella scheda Messaggi di posta elettronica . Per altre informazioni, vedere Come leggere la pagina dell'entità di posta elettronica.

  • Esegui azioni: disponibile solo nel riquadro a comparsa dei dettagli delle voci nella scheda Messaggi di posta elettronica . Questa azione avvia la stessa Procedura guidata azione disponibile nella pagina dell'entità di posta elettronica. Per altre informazioni, vedere Azioni che è possibile eseguire nella pagina dell'entità Email.

  • Visualizzare l'avviso. Un avviso viene attivato quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.

  • Nella sezione Dettagli risultati potrebbero essere disponibili anche i collegamenti seguenti per Esplora minacce , a seconda dello stato e del risultato dell'elemento segnalato:

    • Visualizzare questo messaggio in Esplora risorse: solo scheda Messaggi di posta elettronica .
    • Cercare messaggi simili in Explorer: solo scheda Messaggi di posta elettronica .
    • Cercare URL o file: Email solo allegati o schede URL.

opzioni Amministrazione per i messaggi segnalati dall'utente

Gli amministratori possono visualizzare i report degli utenti nella scheda Segnalazione utente nella pagina Invii se le istruzioni seguenti sono vere:

Note:

  • I messaggi segnalati dall'utente inviati solo a Microsoft o a Microsoft e la cassetta postale di report vengono visualizzati nella scheda Utente segnalato . Anche se questi messaggi sono già stati segnalati a Microsoft, gli amministratori possono inviare nuovamente i messaggi segnalati.
  • I messaggi segnalati dall'utente inviati solo alla cassetta postale di report vengono visualizzati nella scheda Utente segnalato con il valore Risultatonon inviato a Microsoft. Gli amministratori devono segnalare questi messaggi a Microsoft per l'analisi.

Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare aInvii> di azioni&. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

Nella pagina Invii selezionare la scheda Utente segnalato .

Le sottosezioni seguenti descrivono le informazioni e le azioni disponibili nella scheda Utente segnalato nella pagina Invii .

Visualizzare i messaggi segnalati dall'utente a Microsoft

Nella scheda Utente segnalato è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:

  • Minacce
  • Posta indesiderata
  • Nessuna minaccia
  • Simulazioni

Filtri rapidi nella scheda Utente segnalato nella pagina Invii.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):

  • Nome e tipo*
  • Segnalato da*
  • Data segnalata*
  • Mittente*
  • Motivo segnalato*
  • Verdetto originale*
  • Risultato*: contiene le informazioni seguenti per i messaggi segnalati in base alle impostazioni segnalate dall'utente:
    • Inviare i messaggi segnalati a>Microsoft e la cassetta postale di report o solo Microsoft: valori derivati dall'analisi seguente:
      • Riscontri dei criteri: informazioni su eventuali criteri o sostituzioni che potrebbero aver consentito o bloccato i messaggi in ingresso, incluse le sostituzioni ai verdetti di filtro. Il risultato dovrebbe essere disponibile entro alcuni minuti. In caso contrario, la detonazione e il feedback dei classificatori potrebbero richiedere fino a un giorno.
      • Reputazione/detonazione del payload: esame aggiornato di eventuali URL e file nel messaggio.
      • Analisi del classificatore: verifica eseguita dai classificatori umani per verificare se i messaggi sono dannosi o meno.
    • Inviare i messaggi segnalati a>Solo cassetta postale di report: il valore non viene sempre inviato a Microsoft, perché i messaggi non sono stati analizzati da Microsoft.
  • ID del messaggio segnalato
  • ID messaggio di rete
  • ID messaggio di Teams
  • Indirizzo IP mittente
  • Segnalato da
  • Simulazione phish
  • Invio convertito in amministratore
  • Contrassegnato come*
  • Contrassegnato da
  • Data contrassegnata
  • Tag*: per altre informazioni sui tag utente, vedere Tag utente.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:

  • Mittente
  • Segnalato da
  • Verdetto originale
  • Risultato
  • Segnalato da
  • Invio convertito in amministratore
  • Tag

Per separare le voci, selezionare Nessuno.

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

  • Data segnalata: data di inizio e data di fine.
  • Segnalato da
  • Nome
  • ID del messaggio segnalato
  • ID messaggio di rete
  • ID messaggio di Teams
  • Mittente
  • Motivo segnalato: valori Nessuna minaccia, Phish e Posta indesiderata.
  • Segnalato da: i valori Microsoft e Terze parti.
  • Simulazione phish: i valori e No.
  • Convertito in invio amministratore: i valori e No.
  • Tipo di messaggio: i valori Email e Teams.
  • Tag: tutti o selezionare i tag utente dall'elenco a discesa.

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Usare Esporta per esportare l'elenco di voci in un file CSV.

Per altre informazioni sulle azioni disponibili per i messaggi nella scheda Segnalato dall'utente , vedere la sottosezione successiva.

azioni Amministrazione per i messaggi segnalati dall'utente

Nella scheda Utente segnalato le azioni per i messaggi segnalati dall'utente sono disponibili nella scheda stessa o nel riquadro a comparsa dei dettagli di una voce selezionata:

* A seconda della natura e dello stato del messaggio, alcune azioni potrebbero non essere disponibili, sono disponibili direttamente nella parte superiore del riquadro a comparsa o sono disponibili in Altre azioni nella parte superiore del riquadro a comparsa.

Queste azioni sono descritte nelle sottosezioni seguenti.

Nota

Dopo che un utente ha segnalato un messaggio sospetto, l'utente o gli amministratori non possono annullare la segnalazione del messaggio, indipendentemente dalla posizione in cui viene inviato il messaggio segnalato (alla cassetta postale di segnalazione, a Microsoft o a entrambi). L'utente può recuperare il messaggio segnalato dalle cartelle Posta eliminata o Posta indesiderata Email.

Inviare messaggi segnalati dall'utente a Microsoft per l'analisi

Dopo aver selezionato il messaggio nella scheda Utente segnalato , usare uno dei metodi seguenti per inviare il messaggio a Microsoft:

  • Nella scheda Utente segnalato selezionare Invia a Microsoft per l'analisi*.

  • Nel riquadro a comparsa dei dettagli del messaggio selezionato: selezionare Invia a Microsoft per l'analisi o Altre opzioni>Invia a Microsoft per l'analisi nella parte superiore del riquadro a comparsa.

Nell'elenco a discesa Invia a Microsoft per l'analisi selezionare uno dei valori seguenti:

  • Valori disponibili per i messaggi di posta elettronica:

    • Pulizia del report: nella finestra di dialogo visualizzata esaminare o configurare le impostazioni seguenti:

      Consenti messaggio di posta elettronica con attributi simili (URL, mittente e così via): selezionare questa opzione per aggiungere le voci consentite corrispondenti nell'elenco tenant consentiti/bloccati. Sono disponibili le impostazioni seguenti:

      • Rimuovi voce consenti dopo: il valore predefinito è 30 giorni, ma è possibile selezionare uno dei valori seguenti:
        • 1 giorno
        • 7 giorni
        • 30 giorni
        • Data specifica: il valore massimo è 30 giorni da oggi.
      • Consenti nota di immissione: immettere informazioni facoltative sul motivo per cui si blocca il messaggio di posta elettronica.

      Al termine della finestra di dialogo Invia messaggio come pulito a Microsoft , selezionare Invia.

    • Segnala phishing, Segnala malware o Segnala posta indesiderata: queste selezioni hanno le stesse opzioni nella finestra di dialogo che si apre:

      Blocca tutto il messaggio di posta elettronica da questo mittente o dominio: selezionare questa opzione per aggiungere una voce di blocco del mittente o del dominio nell'elenco tenant consentiti/bloccati. Sono disponibili le impostazioni seguenti:

      • Selezionare Mittente o Dominio.
      • Rimuovi voce consenti dopo: il valore predefinito è 30 giorni, ma è possibile selezionare uno dei valori seguenti:
        • 1 giorno
        • 7 giorni
        • 30 giorni
        • Data specifica: il valore massimo è 30 giorni da oggi.

      Al termine della finestra di dialogo, selezionare Invia.

    • Analisi del trigger: solo Defender per Office 365 piano 2. Per altre informazioni, vedere Attivare un'indagine.

    Azioni disponibili nell'elenco a discesa Invia a Microsoft per l'analisi.

  • Valori disponibili per i messaggi di Teams: non sono disponibili altre opzioni quando si seleziona uno dei valori seguenti:

    • Pulizia del report
    • Segnalare il phishing
    • Segnalare malware

Dopo aver inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , il valore di Invio convertito in amministratore passa da No a e viene creata una voce di invio amministratore corrispondente nella scheda appropriata nella pagina Invii (ad esempio, la scheda Messaggi di posta elettronica ).

Notificare agli utenti i messaggi inviati dall'amministratore a Microsoft

Dopo che un amministratore ha inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , gli amministratori possono usare l'azione Contrassegna come e notificare l'azione per contrassegnare il messaggio con un verdetto e inviare un messaggio di notifica basato su modelli all'utente che ha segnalato il messaggio.

  • Verdetti disponibili per i messaggi di posta elettronica:

    • Nessuna minaccia trovata
    • Phishing
    • Posta indesiderata
  • Verdetti disponibili per i messaggi di Teams:

    • Nessuna minaccia trovata
    • Phishing

Per altre informazioni, vedere Notificare agli utenti dall'interno del portale.

Visualizzare gli invii di amministratori convertiti

Dopo che un amministratore ha inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , il valore di Invio convertito in amministratore è .

Se si seleziona uno di questi messaggi facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, il riquadro a comparsa dei dettagli contiene Altre azioni>Visualizzare l'invio dell'amministratore convertito.

Questa azione consente di accedere alla voce di invio dell'amministratore corrispondente nella scheda appropriata , ad esempio la scheda Messaggi di posta elettronica .

Azioni per i messaggi segnalati dall'utente in Defender per Office 365 Piano 2

Nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), le azioni seguenti potrebbero essere disponibili anche nel riquadro a comparsa dei dettagli di un messaggio segnalato dall'utente nella scheda Segnalato dall'utente:

  • Aprire l'entità di posta elettronica (solo messaggi di posta elettronica): per altre informazioni, vedere Come leggere la pagina dell'entità di posta elettronica.

  • Eseguire azioni (solo messaggi di posta elettronica): questa azione avvia la stessa Procedura guidata azione disponibile nella pagina dell'entità di posta elettronica. Per altre informazioni, vedere Azioni che è possibile eseguire nella pagina dell'entità Email.

  • Visualizzare l'avviso. Un avviso viene attivato quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.