Encomenda e precedência da proteção por e-mail
Dica
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, o e-mail de entrada pode ser sinalizado por várias formas de proteção. Por exemplo, proteção anti-spoofing disponível para todos os clientes do Microsoft 365 e proteção de representação disponível apenas para clientes Microsoft Defender para Office 365. As mensagens também passam por várias análises de deteção de software maligno, spam, phishing, etc. Tendo em conta toda esta atividade, pode haver alguma confusão quanto à aplicação da política.
Em geral, uma política aplicada a uma mensagem é identificada no cabeçalho X-Forefront-Antispam-Report na propriedade CAT (Categoria ). Para obter mais informações, consulte Cabeçalhos de mensagem antispam.
Existem dois fatores principais que determinam que política é aplicada a uma mensagem:
A ordem de processamento do tipo de proteção de e-mail: esta encomenda não é configurável e é descrita na seguinte tabela:
Ordem proteção Email Categoria Onde gerir 1 Malware CAT:MALWConfigurar políticas antimalware na EOP 2 Phishing de alta confiança CAT:HPHSHConfigurar políticas antispam no EOP 3 Phishing CAT:PHSHConfigurar políticas antispam no EOP 4 Spam de alta confiança CAT:HSPMConfigurar políticas antispam no EOP 5 Spoofing CAT:SPOOFInformações de inteligência de spoof na EOP 6* Representação do utilizador (utilizadores protegidos) CAT:UIMPConfigurar políticas anti-phishing no Microsoft Defender para Office 365 7* Representação de domínio (domínios protegidos) CAT:DIMPConfigurar políticas anti-phishing no Microsoft Defender para Office 365 8* Informações da caixa de correio (gráfico de contactos) CAT:GIMPConfigurar políticas anti-phishing no Microsoft Defender para Office 365 9 Spam CAT:SPMConfigurar políticas antispam no EOP 10 Em massa CAT:BULKConfigurar políticas antispam no EOP *Estas funcionalidades só estão disponíveis em políticas anti-phishing no Microsoft Defender para Office 365.
A ordem de prioridade das políticas: a ordem de prioridade da política é apresentada na seguinte lista:
As políticas antisspam, antimalware, anti-phishing, Ligações* Seguras e Anexos* Seguros na política de segurança predefinida Estrita (quando ativada).
As políticas antisspam, antimalware, anti-phishing, Ligações* Seguras e Anexos* Seguros na política de segurança predefinida Padrão (quando ativada).
Políticas personalizadas de antisspam, antimalware, anti-phishing, Ligações* Seguras e Anexos* Seguros (quando criadas).
As políticas personalizadas recebem um valor de prioridade predefinido quando cria a política (mais recente é igual a superior), mas pode alterar o valor de prioridade em qualquer altura. Este valor de prioridade afeta a ordem pela qual as políticas personalizadas desse tipo (antisspam, antimalware, anti-phishing, etc.) são aplicadas, mas não afeta onde as políticas personalizadas são aplicadas na ordem geral.
Anti phishing, Ligações Seguras e Anexos Seguros no Defender para Office 365 políticas de avaliação (quando ativada).
De igual valor:
- As políticas Ligações Seguras e Anexos Seguros na política de segurança predefinida de proteção incorporada.*
- As políticas predefinidas para antimalware, antisspam e anti-phishing.
Pode configurar exceções para a política de segurança predefinida de proteção incorporada, mas não pode configurar exceções para as políticas predefinidas (aplicam-se a todos os destinatários e não pode desativá-las).
*apenas Defender para Office 365.
A ordem de prioridade é importante se tiver o mesmo destinatário intencional ou não incluído em várias políticas, porque apenas a primeira política desse tipo (antisspam, antimalware, anti-phishing, etc.) é aplicada a esse destinatário, independentemente de quantas outras políticas o destinatário esteja incluído. Nunca existe uma intercalação ou combinação das definições em múltiplas políticas para o destinatário. O destinatário não é afetado pelas definições das restantes políticas desse tipo.
Por exemplo, o grupo denominado "Executivos da Contoso" está incluído nas seguintes políticas:
- A política de segurança predefinida estrita
- Uma política antisspessoal personalizada com o valor de prioridade 0 (prioridade mais alta)
- Uma política antiss spam personalizada com o valor de prioridade 1.
Que definições de política antiss spam são aplicadas aos membros da Contoso Executives? A política de segurança predefinida estrita. As definições nas políticas antisspam personalizadas são ignoradas para os membros da Contoso Executives, porque a política de segurança predefinida Estrita é sempre aplicada primeiro.
Como outro exemplo, considere as seguintes políticas anti-phishing personalizadas no Microsoft Defender para Office 365 que se aplicam aos mesmos destinatários e uma mensagem que contém a representação do utilizador e o spoofing:
| Nome da política | Prioridade | Representação de usuário | Anti-spoofing |
|---|---|---|---|
| Política A | 1 | Ativada | Desativada |
| Política B | 2 | Desativada | Ativada |
- A mensagem é identificada como spoofing, porque o spoofing (5) é avaliado antes da representação do utilizador (6) pela ordem de processamento do tipo de proteção de e-mail.
- A Política A é aplicada primeiro, porque tem uma prioridade superior à Política B.
- Com base nas definições na Política A, não é tomada nenhuma ação na mensagem porque o anti-spoofing está desativado.
- O processamento de políticas anti-phishing para todos os destinatários incluídos, pelo que a Política B nunca é aplicada aos destinatários que também estão na Política A.
Para garantir que os destinatários obtêm as definições de proteção pretendidas, utilize as seguintes diretrizes para associações a políticas:
- Atribua um número menor de utilizadores a políticas de prioridade mais alta e um número maior de utilizadores a políticas de prioridade mais baixa. Lembre-se de que as políticas predefinidas são sempre aplicadas em último lugar.
- Configure políticas de prioridade mais alta para ter definições mais rigorosas ou mais especializadas do que as políticas de prioridade inferior. Tem controlo total sobre as definições nas políticas personalizadas e as políticas predefinidas, mas não tem controlo sobre a maioria das definições nas políticas de segurança predefinidas.
- Considere utilizar menos políticas personalizadas (utilize apenas políticas personalizadas para utilizadores que necessitem de definições mais especializadas do que as políticas de segurança predefinidas Padrão ou Estritas ou as políticas predefinidas).
Apêndice
É importante compreender como o utilizador permite e bloqueia, o inquilino permite e bloqueia, e filtrar veredictos de pilha na EOP e Defender para Office 365 complementam ou contradizem uns aos outros.
- Para obter informações sobre como filtrar pilhas e como são combinadas, veja Proteção passo a passo contra ameaças no Microsoft Defender para Office 365.
- Depois de a pilha de filtragem determinar um veredicto, só então são avaliadas as políticas de inquilino e as ações configuradas.
- Se o mesmo endereço de e-mail ou domínio existir na lista de Remetentes Seguros de um utilizador e na lista de Remetentes Bloqueados, a lista remetentes seguros tem precedência.
- Se a mesma entidade (endereço de e-mail, domínio, infraestrutura de envio falsificado, ficheiro ou URL) existir numa entrada de permissão e numa entrada de bloco na Lista de Permissões/Blocos de Inquilinos, a entrada de bloco tem precedência.
O utilizador permite e bloqueia
As entradas na coleção de lista segura de um utilizador (a lista remetentes seguros, a lista Destinatários Seguros e a lista de Remetentes Bloqueados em cada caixa de correio) são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito na seguinte tabela:
| Veredicto da pilha de filtragem | Lista de Remetentes/Destinatários Seguros do utilizador | Lista de Remetentes Bloqueados do Utilizador |
|---|---|---|
| Malware | O filtro ganha: Email em quarentena | O filtro ganha: Email em quarentena |
| Phishing de alta confiança | O filtro ganha: Email em quarentena | O filtro ganha: Email em quarentena |
| Phishing | O utilizador ganha: Email entregues na Caixa de Entrada do utilizador | O inquilino ganha: a política antiss spam aplicável determina a ação |
| Spam de alta confiança | O utilizador ganha: Email entregues na Caixa de Entrada do utilizador | O inquilino ganha: a política antiss spam aplicável determina a ação |
| Spam | O utilizador ganha: Email entregues na Caixa de Entrada do utilizador | O inquilino ganha: a política antiss spam aplicável determina a ação |
| Em massa | O utilizador ganha: Email entregues na Caixa de Entrada do utilizador | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |
| Não é spam | O utilizador ganha: Email entregues na Caixa de Entrada do utilizador | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |
- No Exchange Online, o domínio permitido na lista do Remetente Seguro poderá não funcionar se a mensagem for colocada em quarentena por qualquer uma das seguintes condições:
- A mensagem é identificada como software maligno ou phishing de alta confiança (mensagens de phishing de alta confiança e software maligno são colocadas em quarentena).
- As ações nas políticas antisspam são configuradas para colocar em quarentena em vez de mover correio para a pasta Email de Lixo.
- O endereço de e-mail, URL ou ficheiro na mensagem de e-mail também está numa entrada de bloco na Lista de Permissões/Bloqueios do Inquilino.
Para obter mais informações sobre a coleção de listas seguras e as definições antissempas nas caixas de correio dos utilizadores, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online.
Inquilino permite e bloqueia
Os inquilinos permitem e os blocos são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito nas seguintes tabelas:
Política de entrega avançada (ignorar filtragem para caixas de correio SecOps designadas e URLs de simulação de phishing):
Veredicto da pilha de filtragem Permissão de política de entrega avançada Malware O inquilino ganha: Email entregues na caixa de correio Phishing de alta confiança O inquilino ganha: Email entregues na caixa de correio Phishing O inquilino ganha: Email entregues na caixa de correio Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio Spam O inquilino ganha: Email entregues na caixa de correio Em massa O inquilino ganha: Email entregues na caixa de correio Não é spam O inquilino ganha: Email entregues na caixa de correio Regras de fluxo de correio do Exchange (também conhecidas como regras de transporte):
Veredicto da pilha de filtragem A regra de fluxo de correio permite* Blocos de regras de fluxo de correio Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing de alta confiança O filtro ganha: Email em quarentena, exceto no encaminhamento complexo O filtro ganha: Email em quarentena Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: ação de phishing na política antiss spam aplicável Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador * As organizações que utilizam um serviço ou dispositivo de segurança de terceiros à frente do Microsoft 365 devem considerar a utilização da Cadeia De Receção Autenticada (ARC) (contactar terceiros para disponibilidade) e a Filtragem Avançada para Conectores (também conhecida como ignorar listagem) em vez de uma regra de fluxo de correio SCL=-1. Estes métodos melhorados reduzem os problemas de autenticação de e-mail e incentivam a segurança de e-mail de defesa em profundidade .
Lista de Permissões de IP e Lista de Bloqueios de IP nas políticas de filtro de ligação:
Veredicto da pilha de filtragem Lista de Permissões de IP Lista de Blocos IP Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing de alta confiança O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente Permitir e bloquear definições em políticas antisspam:
- Remetente e lista de domínios permitidos.
- Remetente e lista de domínios bloqueados.
- Bloquear mensagens de países/regiões específicos ou em idiomas específicos.
- Bloquear mensagens com base nas definições do Filtro de Spam Avançado (ASF).
Veredicto da pilha de filtragem A política antiss spam permite Blocos de política antiss spam Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing de alta confiança O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: ação de phishing na política antiss spam aplicável Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador Permitir entradas na Lista de Permissões/Bloqueios do Inquilino: existem dois tipos de entradas de permissão:
- O nível da mensagem permite que as entradas atuem em toda a mensagem, independentemente das entidades na mensagem. As entradas de permissão para endereços de e-mail e domínios são entradas de permissão ao nível da mensagem.
- O nível de entidade permite que as entradas atuem sobre o veredicto de filtragem de entidades. Permitir entradas para URLs, remetentes falsificados e ficheiros são entradas de permissão ao nível da entidade. Para substituir software maligno e veredictos de phishing de alta confiança, tem de utilizar entradas de permissão ao nível da entidade, que só pode criar por submissão devido a Seguro por predefinição no Microsoft 365.
Veredicto da pilha de filtragem Email endereço/domínio Malware O filtro ganha: Email em quarentena Phishing de alta confiança O filtro ganha: Email em quarentena Phishing O inquilino ganha: Email entregues na caixa de correio Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio Spam O inquilino ganha: Email entregues na caixa de correio Em massa O inquilino ganha: Email entregues na caixa de correio Não é spam O inquilino ganha: Email entregues na caixa de correio Bloquear entradas na Lista de Permissões/Bloqueios do Inquilino:
Veredicto da pilha de filtragem Email endereço/domínio Spoof Arquivo URL Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena O inquilino ganha: Email em quarentena O filtro ganha: Email em quarentena Phishing de alta confiança O inquilino ganha: Email em quarentena O filtro ganha: Email em quarentena O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena Phishing O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena Spam de alta confiança O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena Spam O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena Em massa O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena Não é spam O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
Conflito de definições de utilizador e inquilino
A tabela seguinte descreve como os conflitos são resolvidos se um e-mail for afetado pelas definições de permissão/bloqueio do utilizador e pelas definições de permissão/bloqueio do inquilino:
| Tipo de permissão/bloco de inquilino | Lista de Remetentes/Destinatários Seguros do utilizador | Lista de Remetentes Bloqueados do Utilizador |
|---|---|---|
Bloquear entradas na Lista de Permissões/Bloqueios do Inquilino para:
|
O inquilino ganha: Email em quarentena | O inquilino ganha: Email em quarentena |
| Bloquear entradas para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos | O inquilino ganha: ação spoof intelligence na política anti-phishing aplicável | O inquilino ganha: ação spoof intelligence na política anti-phishing aplicável |
| Política de entrega avançada | O utilizador ganha: Email entregues na caixa de correio | O inquilino ganha: Email entregues na caixa de correio |
| Bloquear definições em políticas antisspam | O utilizador ganha: Email entregues na caixa de correio | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |
| Respeitar a política DMARC | O utilizador ganha: Email entregues na caixa de correio | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |
| Blocos por regras de fluxo de correio | O utilizador ganha: Email entregues na caixa de correio | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |
Permite por:
|
O utilizador ganha: Email entregues na caixa de correio | O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador |