E-mailberichten in quarantaine in EOP en Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, is quarantaine beschikbaar voor het opslaan van mogelijk gevaarlijke of ongewenste berichten.
Opmerking
In Microsoft 365 beheerd door 21Vianet is quarantaine momenteel niet beschikbaar in de Microsoft Defender portal. Quarantaine is alleen beschikbaar in het klassieke Exchange-beheercentrum (klassieke EAC).
Of een gedetecteerd bericht standaard in quarantaine wordt geplaatst, is afhankelijk van de volgende factoren:
- De beveiligingsfunctie waarmee het bericht is gedetecteerd. De volgende detecties worden bijvoorbeeld altijd in quarantaine geplaatst:
- Malwaredetecties door antimalwarebeleid en beleid voor veilige bijlagen, inclusief ingebouwde beveiliging voor veilige bijlagen*.
- Phishingdetecties met hoge betrouwbaarheid door antispambeleid.
- Of u het standaard- en/of strikte vooraf ingestelde beveiligingsbeleid gebruikt. Het strikte profiel plaatst meer typen detecties in quarantaine dan het standaardprofiel.
* Malwarefilters worden overgeslagen op SecOps-postvakken die zijn geïdentificeerd in het geavanceerde leveringsbeleid. Zie Het geavanceerde leveringsbeleid configureren voor phishingsimulaties van derden en e-mailbezorging naar SecOps-postvakken voor meer informatie.
De standaardacties voor beveiligingsfuncties in EOP en Defender voor Office 365, inclusief vooraf ingesteld beveiligingsbeleid, worden beschreven in de functietabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365 beveiliging.
Voor antispam- en antiphishingbeveiliging kunnen beheerders ook het standaardbeleid wijzigen of aangepaste beleidsregels maken om berichten in quarantaine te plaatsen in plaats van ze te bezorgen in de map Ongewenste Email. Zie de volgende artikelen voor instructies:
- Antispambeleid configureren in EOP
- Antiphishingbeleid configureren in EOP
- Antiphishingbeleid configureren in Microsoft Defender voor Office 365
Aan het beveiligingsbeleid voor ondersteunde functies zijn een of meer quarantainebeleidsregels toegewezen (elke actie binnen het beveiligingsbeleid heeft een toewijzing van quarantainebeleid).
Tip
Alle acties die door beheerders of gebruikers op in quarantaine geplaatste berichten worden uitgevoerd, worden gecontroleerd. Zie Quarantaineschema in de Office 365 Management-API voor meer informatie over gecontroleerde quarantainegebeurtenissen.
Quarantainebeleidsregels
Quarantainebeleid definieert wat gebruikers wel of niet kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen voor die berichten ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Tip
U kunt aangepaste quarantainemeldingen voor verschillende talen maken. U kunt ook een aangepast logo gebruiken in quarantainemeldingen.
Het standaardquarantainebeleid dat is toegewezen aan beveiligingsfuncties, dwingt de historische mogelijkheden af die gebruikers krijgen voor hun in quarantaine geplaatste berichten (berichten waarin ze een ontvanger zijn). Zie de tabel in Berichten in quarantaine zoeken en vrijgeven als gebruiker in EOP voor meer informatie. Alleen beheerders kunnen bijvoorbeeld werken met berichten die in quarantaine zijn geplaatst als malware of phishing met hoge betrouwbaarheid. Standaard kunnen gebruikers werken met hun berichten die in quarantaine zijn geplaatst als spam, bulk, phishing, spoof, gebruikersimitatie, domeinimitatie of postvakintelligentie.
Beheerders kunnen aangepast quarantainebeleid maken en toepassen dat minder beperkende of meer beperkende mogelijkheden voor gebruikers definieert, en ook quarantainemeldingen inschakelen. Zie Quarantainebeleid maken voor meer informatie.
Opmerking
Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst als malware niet vrijgeven door antimalware- of safe attachments-beleid, of phishing met hoge betrouwbaarheid door antispambeleid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .
Zowel gebruikers als beheerders kunnen werken met berichten in quarantaine:
Beheerders kunnen werken met alle typen berichten in quarantaine voor alle gebruikers, inclusief berichten die in quarantaine zijn geplaatst als malware, phishing met hoge betrouwbaarheid of als gevolg van e-mailstroomregels (ook wel transportregels genoemd). Zie Berichten en bestanden in quarantaine beheren als EOP-beheerder.
Tip
Zie de machtigingsvermelding hier voor de machtigingen die vereist zijn voor het downloaden en vrijgeven van berichten uit quarantaine.
Gebruikers kunnen werken met hun berichten in quarantaine op basis van de beveiligingsfunctie die het bericht in quarantaine heeft geplaatst en de instelling in het bijbehorende quarantainebeleid. Zie Berichten in quarantaine zoeken en vrijgeven als gebruiker in EOP voor meer informatie.
Beheerders kunnen fout-positieven melden aan Microsoft vanuit quarantaine. Zie Actie ondernemen op e-mail in quarantaine en Actie ondernemen op in quarantaine geplaatste bestanden voor meer informatie.
Gebruikers kunnen ook fout-positieven rapporteren aan Microsoft vanuit quarantaine, afhankelijk van de waarde van de instelling Rapporteren vanuit quarantaine in door de gebruiker gerapporteerde instellingen.
Retentie in quarantaine
Hoe lang berichten of bestanden in quarantaine worden bewaard voordat ze verlopen, is afhankelijk van waarom het bericht of bestand in quarantaine is geplaatst. Functies en de bijbehorende bewaarperioden worden beschreven in de volgende tabel:
Reden van quarantaine | Standaardretentieperiode | Aanpasbare? | Opmerkingen |
---|---|---|---|
Berichten die door antispambeleid in quarantaine worden geplaatst als spam, spam met hoge betrouwbaarheid, phishing, phishing of bulksgewijs. | 15 dagen
30 dagen
|
Ja* | U kunt de waarde van 1 tot 30 dagen configureren in het standaard antispambeleid en in aangepast antispambeleid. Zie de instelling Spam in quarantaine houden voor dit aantal dagen (QuarantineRetentionPeriod) in Antispambeleid configureren voor meer informatie. *U kunt de waarde niet wijzigen in het standaard- of strikt vooraf ingestelde beveiligingsbeleid. |
Berichten die in quarantaine zijn geplaatst door antiphishingbeleid:
|
15 dagen of 30 dagen | Ja* | Deze bewaarperiode wordt ook bepaald door de instelling Spam in quarantaine houden voor dit aantal dagen (QuarantineRetentionPeriod) in antispambeleid . De gebruikte bewaarperiode is de waarde van het eerste overeenkomende antispambeleid waarin de ontvanger is gedefinieerd. |
Berichten die in quarantaine zijn geplaatst op antimalwarebeleid (malwareberichten). | 30 dagen | Nee | Als u het algemene bijlagenfilter inschakelt in antimalwarebeleidsregels (in het standaardbeleid of in aangepaste beleidsregels), worden bestandsbijlagen in e-mailberichten naar de betrokken geadresseerden als malware behandeld op basis van de bestandsextensie met behulp van true type matching. Standaard wordt een vooraf gedefinieerde lijst met voornamelijk uitvoerbare bestandstypen gebruikt, maar u kunt de lijst aanpassen. Zie Algemene bijlagen filteren in antimalwarebeleid voor meer informatie. |
Berichten die in quarantaine zijn geplaatst op basis van regels voor e-mailstromen, waarbij de actie Het bericht bezorgen aan de gehoste quarantaine (Quarantaine) is. | 30 dagen | Nee | |
Berichten die in quarantaine zijn geplaatst door het beleid voor veilige bijlagen in Defender voor Office 365 (malwareberichten). | 30 dagen | Nee | |
Bestanden in quarantaine geplaatst door veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams (malwarebestanden). | 30 dagen | Nee | Bestanden die in quarantaine zijn geplaatst in SharePoint of OneDrive, worden na 30 dagen uit quarantaine verwijderd, maar de geblokkeerde bestanden blijven in SharePoint of OneDrive geblokkeerd. |
Berichten in chats en kanalen die in quarantaine zijn geplaatst door zero-hour auto protection (ZAP) voor Microsoft Teams in Defender voor Office 365 | 30 dagen | Nee |
Wanneer een bericht uit quarantaine verloopt, kunt u het niet herstellen.
Zie Veelgestelde vragen over quarantaine voor meer informatie over quarantaine.