Proteção antispam no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Observação

Este tópico destina-se a administradores. Para tópicos do utilizador final, consulte Descrição geral do Filtro de E-mail de Lixo e Saiba mais sobre e-mail de lixo e phishing.

No Microsoft 365 com caixas de correio no Exchange Online ou em organizações autônomas da Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, as mensagens de email são automaticamente protegidas contra spam (lixo eletrônico) pela EOP.

Para ajudar a reduzir o e-mail de lixo, a EOP inclui proteção contra e-mail de lixo que utiliza tecnologias de filtragem de spam proprietária (também conhecida como filtragem de conteúdos) para identificar e separar e-mails de lixo de e-mail legítimo. A filtragem de spam da EOP aprende com ameaças de spam e phishing conhecidas e o feedback dos utilizadores da nossa plataforma de consumidores, Outlook.com. Os comentários contínuos de administradores e utilizadores ajudam a garantir que as tecnologias de EOP são continuamente preparadas e melhoradas.

A EOP usa os seguintes vereditos de filtragem de spam para classificar mensagens:

• Spam: a mensagem recebeu um nível de confiança de spam (SCL) de 5 ou 6.
• Spam de alta confiança: a mensagem recebeu uma SCL de 7, 8 ou 9.
• Phishing
• Phishing de alta confiança: como parte da segurança por predefinição, as mensagens identificadas como phishing de alta confiança são sempre colocadas em quarentena e os utilizadores não podem divulgar as suas próprias mensagens de phishing de alta confiança em quarentena, independentemente das definições disponíveis configuradas pelos administradores.
• Em massa: a origem da mensagem cumpriu ou excedeu o limiar de nível de reclamação em massa (BCL) configurado.

Para obter mais informações sobre a proteção antisspam, consulte as FAQ sobre proteção antisspam

Na política antisspam predefinida e nas políticas antisspam personalizadas, pode configurar as ações a tomar com base nestes veredictos. Nas políticas de segurança predefinidas Padrão e Estritas, as ações já estão configuradas e não são modificados, conforme descrito nas definições de política antisspam da EOP.

Para configurar a política antisspam predefinida e para criar, modificar e remover políticas antisspam personalizadas, veja Configurar políticas antisspam no Microsoft 365.

Dica

Se não concordar com o veredicto de filtragem de spam, pode comunicar a mensagem à Microsoft como um falso positivo (bom e-mail marcado como incorreto) ou falso negativo (e-mail incorreto permitido). Para saber mais, confira:

• Como posso comunicar um e-mail ou ficheiro suspeito à Microsoft?.
• Como lidar com e-mails legítimos bloqueados (falso positivo), com o Microsoft Defender para Office 365
• Como lidar com e-mails maliciosos que são entregues aos destinatários (falsos negativos), com o Microsoft Defender para Office 365

Os cabeçalhos de mensagens antiss spam podem indicar por que motivo uma mensagem foi marcada como spam ou por que motivo ignorou a filtragem de spam. Para obter mais informações, consulte Cabeçalhos de mensagem antispam.

Não pode desativar completamente a filtragem de spam no Microsoft 365, mas pode utilizar regras de fluxo de correio do Exchange (também conhecidas como regras de transporte) para ignorar a maior parte da filtragem de spam nas mensagens recebidas (por exemplo, se encaminhar o e-mail através de um serviço ou dispositivo de proteção de terceiros antes da entrega para o Microsoft 365). Para obter mais informações, consulte Use as regras de fluxo de e-mails para definir o nível de confiança de spam (SCL) nas mensagens.

• As mensagens de phishing de alta confiança ainda são filtradas. Outras funcionalidades na EOP não são afetadas (por exemplo, as mensagens são sempre analisadas quanto a software maligno).
• Se você precisar ignorar a filtragem de spam nas caixas de correio SecOps ou simulações de phishing, não use as regras de fluxo de e-mails. Para obter mais informações, consulte Configure a entrega de simulações de phishing de terceiros para usuários e mensagens não filtradas nas caixas de correio SecOps.

Em ambientes híbridos em que a EOP protege caixas de correio do Exchange no local, tem de configurar duas regras de fluxo de correio (também conhecidas como regras de transporte) na sua organização do Exchange no local para reconhecer os cabeçalhos de spam da EOP que são adicionados às mensagens. Para obter detalhes, confira Configurar o EOP para enviar spam para a pasta Lixo Eletrônico em ambientes híbridos.

Políticas antispam

As políticas antisspam controlam as definições configuráveis para filtragem de spam. As definições importantes nas políticas antisspam são descritas nas seguintes subsecções.

Dica

Para ver as definições de política antisssamo na política predefinida, a política de segurança predefinida Padrão e a política de segurança predefinida Estrita, veja Definições de política antisssum da EOP.

Filtros de destinatários em políticas antisspam

Os filtros de destinatários utilizam condições e exceções para identificar os destinatários internos a que a política se aplica. Pelo menos uma condição é necessária em políticas personalizadas. As condições e exceções não estão disponíveis na política predefinida (a política predefinida aplica-se a todos os destinatários). Pode utilizar os seguintes filtros de destinatários para condições e exceções:

• Utilizadores: uma ou mais caixas de correio, utilizadores de correio ou contactos de correio na organização.
• Grupos:
  • Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
  • Os Grupos do Microsoft 365 especificados.
• Domínios: um ou mais dos domínios aceites configurados no Microsoft 365. O endereço de e-mail principal do destinatário está no domínio especificado.

Pode utilizar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

• Vários valores da mesma condição ou da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

  • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada aos mesmos.
  • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.

• Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.

• Diferentes tipos de condições utilizam a lógica AND. O destinatário tem de corresponder a todas as condições especificadas para que a política se aplique às mesmas. Por exemplo, pode configurar uma condição com os seguintes valores:

  • Utilizadores: romain@contoso.com
  • Grupos: Executivos

  A política só é aplicada romain@contoso.com se for também membro do grupo Executivos. Caso contrário, a política não lhe é aplicada.

Limiar de reclamação em massa (BCL) nas políticas antisspam

A EOP atribui um valor de nível de reclamação em massa (BCL) a mensagens de entrada de remetentes em massa. As mensagens de remetentes em massa também são conhecidas como correio em massa ou correio cinzento.

Para obter mais informações sobre o BCL, veja Nível de reclamação em massa (BCL) na EOP.

Dica

Por predefinição, a definição apenas do PowerShell MarkAsSpamBulkMail está On em políticas antisspam no PowerShell do Exchange Online. Esta definição afeta significativamente os resultados de um nível de conformidade em massa (BCL) cumprido ou excedido o veredicto de filtragem:

• MarkAsSpamBulkMail está Ativado: um BCL maior ou igual ao valor do limiar é convertido num SCL 6 que corresponde a um veredicto de filtragem de Spam e a ação para o nível de conformidade em massa (BCL) cumprida ou excedida é tomada na mensagem.
• MarkAsSpamBulkMail está Desativado: a mensagem é carimbada com o BCL, mas não é tomada nenhuma ação para um nível de conformidade em massa (BCL) cumprido ou excedido o veredicto de filtragem. Com efeito, o limiar BCL e o nível de conformidade em massa (BCL) cumpridos ou excedidos são irrelevantes.

Propriedades de spam em políticas antisspam

As definições do modo de Teste , as definições Aumentar pontuação de spam e a maioria das definições marcar como spam fazem parte da Filtragem Avançada de Spam (ASF) em políticas antisspam.

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

Para obter informações completas sobre as definições do ASF, veja Definições avançadas do Filtro de Spam (ASF) na EOP.

As outras definições disponíveis nesta categoria são:

• Contém idiomas específicos: as mensagens nos idiomas especificados são automaticamente identificadas como spam.
• A partir destes países*: as mensagens dos países especificados são automaticamente identificadas como spam.

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

Ações em políticas antisspam

• Nas políticas antisspam personalizadas e na política antisspam predefinida, as ações disponíveis para a filtragem de spam são descritas na tabela seguinte.

  • Uma marca de verificação ( ✔ ) indica que a ação está disponível (nem todas as ações estão disponíveis para todos os veredictos).
  • Um asterisco ( ^* ) após a marca de seleção indica a ação padrão para o veredito de filtragem de spam.

  Ação	Spam	Alto confiança spam	Phishing	Alto confiança phishing	Em massa
  Mover mensagem para a pasta E-mail de Lixo: a mensagem é entregue na caixa de correio e movida para a pasta E-mail de Lixo.¹	✔*	✔*	✔	²	✔*
  Adicionar cabeçalho X: adiciona um cabeçalho X ao cabeçalho da mensagem e entrega a mensagem à caixa de correio. Introduza o nome do campo de cabeçalho X (não o valor) na caixa de texto Adicionar este cabeçalho X disponível. Para os veredictos de spam e spam de alta confiança , a mensagem é movida para a pasta E-mail de Lixo.¹ ³	✔	✔	✔		✔
  Preceder a linha de assunto com texto: adiciona o texto ao início da linha de assunto da mensagem. A mensagem é entregue na caixa de correio e movida para a pasta E-mail de Lixo.¹ ³ Introduza o texto na linha de assunto do Prefixo disponível com esta caixa de texto.	✔	✔	✔		✔
  Redirecionar mensagem para endereço de email: envia a mensagem para outros destinatários em vez de enviá-la aos destinatários pretendidos. Especifique os destinatários na caixa Redirecionar para este endereço de e-mail .	✔	✔	✔	✔	✔
  Excluir mensagem: exclui silenciosamente a mensagem inteira, incluindo todos os anexos.	✔	✔	✔		✔
  Mensagem em quarentena: envia a mensagem para a quarentena em vez de enviá-la aos destinatários pretendidos. Selecione ou utilize a política de quarentena predefinida para o veredicto de filtragem de spam na caixa Selecionar política de quarentena apresentada.⁴ As políticas de quarentena definem o que os utilizadores podem fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena. Especifique durante quanto tempo as mensagens são mantidas em quarentena na caixa Manter spam disponível em quarentena durante estes dias .	✔	✔	✔*	✔* ⁵	✔
  Nenhuma ação					✔

  A EOP utiliza o seu próprio agente de entrega de fluxos de correio para encaminhar mensagens para a pasta E-mail de Lixo em vez de utilizar a regra de e-mail de lixo na caixa de correio. O parâmetro Ativado no cmdlet Set-MailboxJunkEmailConfiguration no PowerShell do Exchange Online tem efeito no fluxo de correio nas caixas de correio na nuvem. Para obter mais informações, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online.

  ² Para phishing de alta confiança, a ação Mover mensagem para a pasta E-mail de Lixo é efetivamente preterida. Embora possa selecionar a ação Mover mensagem para a pasta E-mail de Lixo , as mensagens de phishing de alta confiança são sempre colocadas em quarentena (equivalente à seleção da mensagem de Quarentena).

  ³ Pode utilizar este valor como uma condição nas regras de fluxo de correio para filtrar ou encaminhar a mensagem.

  ⁴ Se o veredicto de filtragem de spam colocar as mensagens em quarentena por predefinição (a mensagem de quarentena já está selecionada quando chegar à página), o nome da política de quarentena predefinido é apresentado na caixa Selecionar política de quarentena . Se alterar a ação de um veredicto de filtragem de spam para Mensagem de quarentena, a caixa Selecionar política de quarentena está em branco por predefinição. Um valor em branco significa que é utilizada a política de quarentena predefinida para esse veredicto. Quando mais tarde vir ou editar as definições de política antisspessoal, o nome da política de quarentena é apresentado. Para obter mais informações sobre as políticas de quarentena que são utilizadas por predefinição para veredictos de filtros de spam, veja Definições de política antisspam da EOP.

  ⁵ Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de phishing de alta confiança em quarentena.

• Mensagens intra-organizacionais a tomar medidas: controla se a filtragem de spam e as ações de veredicto correspondentes são aplicadas a mensagens internas (mensagens enviadas entre utilizadores dentro da organização). A ação configurada na política para os veredictos do filtro de spam especificado é tomada em mensagens enviadas entre utilizadores internos. Os valores disponíveis são:

  • Predefinição: este é o valor predefinido. Este valor é o mesmo que selecionar mensagens de phishing de alta confiança.
  • Nenhum
  • Mensagens de phishing de alta confiança
  • Mensagens de phishing e phishing de alta confiança
  • Todas as mensagens de phishing e spam de alta confiança
  • Todas as mensagens de phishing e spam

  Para os valores predefinidos que são utilizados na política antisspam predefinida e nas políticas de segurança predefinidas Padrão e Estrita, veja as mensagens intra-organizacionais para tomar medidas na entrada nas definições de política antisspam da EOP.

• Manter spam em quarentena por esse número de dias: especifica por quanto tempo manter a mensagem em quarentena se você selecionar Colocar mensagem em quarentena como ação para um veredito de filtragem de spam. Após o período de tempo expirar, a mensagem é eliminada e não é recuperável. O valor válido é de 1 a 30 dias.

  Para obter os valores predefinidos que são utilizados na política antisspam predefinida e nas políticas de segurança predefinidas Padrão e Estrita, veja a entrada Manter spam em quarentena durante estes dias nas definições de política antisspam da EOP.

  Dica

  Essa configuração também controla por quanto tempo as mensagens que foram colocadas em quarentena por políticas anti-phishing são retidas. Para obter mais informações, veja Retenção de quarentena.

Remoção automática de zero horas (ZAP) em políticas antisspam

O ZAP para phishing e ZAP para spam é capaz de agir sobre as mensagens depois de serem entregues nas caixas de correio do Exchange Online. Por predefinição, o ZAP para phishing e o ZAP para spam estão ativados e recomendamos que os deixe ligados. Para saber mais, confira:

• Remoção automática de zero horas (ZAP) para phishing
• Remoção automática de zero horas (ZAP) para phishing de alta confiança
• Remoção automática de zero horas (ZAP) para spam

Políticas de quarentena em políticas antisspam

Se o veredicto na política antisspam estiver configurado para colocar mensagens em quarentena, as políticas de quarentena definem o que os utilizadores podem fazer a essas mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

Permitir e bloquear listas em políticas antisspam

As políticas antisspam contêm as seguintes listas para permitir ou bloquear remetentes ou domínios específicos:

• A lista de remetentes permitidos
• A lista de domínios permitidos
• A lista de remetentes bloqueados
• A lista de domínios bloqueados

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

A funcionalidade destas listas foi, em grande parte, substituída por:

• Bloquear entradas para domínios e endereços de e-mail em Criar entradas de bloco para domínios e endereços de e-mail.

  O principal motivo para utilizar a lista de remetentes bloqueados ou a lista de domínios bloqueados em políticas antisspam: bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos também impede que os utilizadores na organização enviem e-mails para esses endereços de e-mail ou domínios.

• Comunicar um bom e-mail à Microsoft a partir da página Submissões no portal do Microsoft Defender (onde pode optar por Permitir e-mails com atributos semelhantes, o que cria as entradas temporárias necessárias na Lista de Permissões/Bloqueios de Inquilinos).

  Importante

  As mensagens de entradas na lista de remetentes permitidos ou na lista de domínios permitidos ignoram a maior parte da proteção de e-mail (exceto software maligno e phishing de alta confiança) e verificações de autenticação por e-mail (SPF, DKIM e DMARC). As entradas na lista de remetentes permitidos ou na lista de domínios permitidos criam um risco elevado de os atacantes entregarem com êxito e-mails para a Caixa de Entrada que, de outra forma, seriam filtrados. Estas listas são mais utilizadas apenas para testes temporários.

  Nunca adicione domínios comuns (por exemplo, microsoft.com ou office.com) à lista de domínios permitidos. Os atacantes podem facilmente enviar mensagens falsificadas destes domínios comuns para a sua organização.

  A partir de setembro de 2022, se um remetente, domínio ou subdomínio permitido estiver num domínio aceite na sua organização, esse remetente, domínio ou subdomínio tem de passar verificações de autenticação de e-mail para ignorar a filtragem de spam.

  Se pretender manter uma entrada de domínio permitida na lista durante um longo período de tempo, informe o remetente para verificar se o respetivo registo SPF está atualizado com as origens de e-mail do respetivo domínio e que a política no respetivo registo DMARC está definida como p=reject.

Prioridade das políticas antisspam

Se estiverem ativadas, as políticas de segurança predefinidas Padrão e Estrita são aplicadas antes de quaisquer políticas antisspam personalizadas ou a política predefinida (Estrita é sempre a primeira). Se criar várias políticas antisspam personalizadas, pode especificar a ordem em que são aplicadas. O processamento de políticas para após a aplicação da primeira política (a política de prioridade mais alta para esse destinatário).

Para obter mais informações sobre a ordem de precedência e a forma como várias políticas são avaliadas, veja Ordem e precedência da proteção de e-mail e Ordem de precedência para políticas de segurança predefinidas e outras políticas.

Política antispam padrão

Todas as organizações têm uma política antiss spam incorporada denominada Predefinição que tem as seguintes propriedades:

• A política é a padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.
• A política é aplicada automaticamente a todos os destinatários na organização e não pode desativá-la.
• A política é sempre aplicada em último (o valor Prioridade é Mais Baixo e não pode alterá-la).