Ordem e precedência da proteção por email
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, o email de entrada pode ser sinalizado por várias formas de proteção. Por exemplo, proteção anti-falsificação disponível para todos os clientes do Microsoft 365 e proteção de representação disponível apenas para clientes Microsoft Defender para Office 365. As mensagens também passam por várias verificações de detecção de malware, spam, phishing etc. Dada toda essa atividade, pode haver alguma confusão sobre qual política é aplicada.
Em geral, uma política aplicada a uma mensagem é identificada no cabeçalho X-Forefront-Antispam-Report na propriedade CAT (Category). Para obter mais informações, consulte Cabeçalhos de mensagem antispam.
Há dois fatores principais que determinam qual política é aplicada a uma mensagem:
A ordem de processamento para o tipo de proteção por email: esse pedido não é configurável e é descrito na seguinte tabela:
Ordem Email proteção Categoria Onde gerenciar 1 Malware CAT:MALW
Configurar políticas anti-malware no EOP 2 Phishing de alta confiança CAT:HPHSH
Configurar políticas antispam no EOP 3 Phishing CAT:PHSH
Configurar políticas antispam no EOP 4 Spam de alta confiança CAT:HSPM
Configurar políticas antispam no EOP 5 Spoofing CAT:SPOOF
Informações falsas de inteligência no EOP 6* Representação do usuário (usuários protegidos) CAT:UIMP
Configurar políticas anti-phishing no Microsoft Defender para Office 365 7* Representação de domínio (domínios protegidos) CAT:DIMP
Configurar políticas anti-phishing no Microsoft Defender para Office 365 8* Inteligência de caixa de correio (grafo de contato) CAT:GIMP
Configurar políticas anti-phishing no Microsoft Defender para Office 365 9 Spam CAT:SPM
Configurar políticas antispam no EOP 10 Em massa CAT:BULK
Configurar políticas antispam no EOP *Esses recursos estão disponíveis apenas em políticas anti-phishing em Microsoft Defender para Office 365.
A ordem de prioridade das políticas: a ordem de prioridade da política é mostrada na seguinte lista:
As políticas anti-spam, anti-malware, anti-phishing, Links* Seguros e Anexos Seguros* na política de segurança predefinida estrita (quando habilitada).
As políticas anti-spam, anti-malware, anti-phishing, Links* Seguros e Anexos Seguros* na política de segurança predefinida Standard (quando habilitada).
Anti-phishing, Links Seguros e Anexos Seguros em políticas de avaliação de Defender para Office 365 (quando habilitados).
Políticas personalizadas anti-spam, anti-malware, anti-phishing, Links* Seguros e Anexos Seguros* (quando criadas).
As políticas personalizadas recebem um valor de prioridade padrão quando você cria a política (mais recente é igual a maior), mas você pode alterar o valor de prioridade a qualquer momento. Esse valor de prioridade afeta a ordem de que políticas personalizadas desse tipo (anti-spam, anti-malware, anti-phishing etc.) sejam aplicadas, mas não afeta onde políticas personalizadas são aplicadas na ordem geral.
De igual valor:
- As políticas links seguros e anexos seguros na política *de segurança predefinida de proteção interna.
- As políticas padrão para anti-malware, anti-spam e anti-phishing.
Você pode configurar exceções à política de segurança predefinida de proteção interna, mas não é possível configurar exceções às políticas padrão (elas se aplicam a todos os destinatários e você não pode desativá-las).
*Defender para Office 365 somente.
A ordem de prioridade importa se você tiver o mesmo destinatário intencionalmente ou involuntariamente incluído em várias políticas, porque apenas a primeira política desse tipo (anti-spam, anti-malware, anti-phishing etc.) é aplicada a esse destinatário, independentemente de quantas outras políticas o destinatário está incluído. Nunca há uma mesclagem ou combinação das configurações em várias políticas para o destinatário. O destinatário não é afetado pelas configurações das políticas restantes desse tipo.
Por exemplo, o grupo chamado "Contoso Executives" está incluído nas seguintes políticas:
- A política de segurança predefinida estrita
- Uma política anti-spam personalizada com o valor de prioridade 0 (prioridade mais alta)
- Uma política anti-spam personalizada com o valor de prioridade 1.
Quais configurações de política anti-spam são aplicadas aos membros dos Executivos da Contoso? A política de segurança predefinida estrita. As configurações nas políticas anti-spam personalizadas são ignoradas para os membros dos Executivos da Contoso, pois a política de segurança predefinida estrita é sempre aplicada primeiro.
Como outro exemplo, considere as seguintes políticas anti-phishing personalizadas em Microsoft Defender para Office 365 que se aplicam aos mesmos destinatários e uma mensagem que contém representação de usuário e falsificação:
Nome da política | Prioridade | Representação de usuário | Anti-falsificação |
---|---|---|---|
Política A | 1 | Ativada | Desativada |
Política B | 2 | Desativada | Ativada |
- A mensagem é identificada como falsificação, pois a falsificação (5) é avaliada antes da representação do usuário (6) na ordem de processamento para o tipo de proteção por email.
- A política A é aplicada primeiro, porque tem uma prioridade maior que a Política B.
- Com base nas configurações da Política A, nenhuma ação é tomada na mensagem porque a anti-falsificação está desativada.
- O processamento de políticas anti-phishing para para todos os destinatários incluídos, portanto, a Política B nunca é aplicada a destinatários que também estão na Política A.
Para garantir que os destinatários obtenham as configurações de proteção desejadas, use as seguintes diretrizes para associações de política:
- Atribua um número menor de usuários a políticas de maior prioridade e um número maior de usuários a políticas de menor prioridade. Lembre-se de que as políticas padrão sempre são aplicadas por último.
- Configure políticas de prioridade mais altas para ter configurações mais rigorosas ou mais especializadas do que políticas de prioridade mais baixas. Você tem controle completo sobre as configurações em políticas personalizadas e as políticas padrão, mas nenhum controle sobre a maioria das configurações em políticas de segurança predefinidas.
- Considere usar menos políticas personalizadas (use apenas políticas personalizadas para usuários que exigem configurações mais especializadas do que as políticas de segurança predefinidas Standard ou Strict ou as políticas padrão).
Apêndice
É importante entender como o usuário permite e bloqueia, o locatário permite e bloqueia e filtrar veredictos de pilha no EOP e Defender para Office 365 complementar ou contradizer uns aos outros.
- Para obter informações sobre como filtrar pilhas e como elas são combinadas, consulte Proteção passo a passo contra ameaças em Microsoft Defender para Office 365.
- Depois que a pilha de filtragem determina um veredicto, somente então as políticas de locatário e suas ações configuradas são avaliadas.
- Se o mesmo endereço de email ou domínio existir na lista remetentes seguros de um usuário e na lista Remetentes Bloqueados, a lista Remetentes Seguros terá precedência.
- Se a mesma entidade (endereço de email, domínio, infraestrutura de envio falsificada, arquivo ou URL) existir em uma entrada de permissão e uma entrada de bloco na Lista de Permissão/Bloco do Locatário, a entrada do bloco terá precedência.
Usuário permite e bloqueia
As entradas na coleção safelist de um usuário (a lista Remetentes Seguros, a lista Destinatários Seguros e a lista de Remetentes Bloqueados em cada caixa de correio) são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito na tabela a seguir:
Veredicto de pilha de filtragem | Lista de remetentes/destinatários seguros do usuário | Lista de remetentes bloqueados do usuário |
---|---|---|
Malware | Ganhos de filtro: Email em quarentena | Ganhos de filtro: Email em quarentena |
Phishing de alta confiança | Ganhos de filtro: Email em quarentena | Ganhos de filtro: Email em quarentena |
Phishing | O usuário ganha: Email entregues na caixa de entrada do usuário | Locatário vence: a política anti-spam aplicável determina a ação |
Spam de alta confiança | O usuário ganha: Email entregues na caixa de entrada do usuário | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Spam | O usuário ganha: Email entregues na caixa de entrada do usuário | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Em massa | O usuário ganha: Email entregues na caixa de entrada do usuário | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Não spam | O usuário ganha: Email entregues na caixa de entrada do usuário | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Para obter mais informações sobre a coleção de listas de segurança e as configurações anti-spam nas caixas de correio do usuário, consulte Configurar configurações de lixo eletrônico em Exchange Online caixas de correio.
Locatário permite e bloqueia
Os locatários permitem e os blocos podem substituir alguns veredictos de pilha de filtragem, conforme descrito nas seguintes tabelas:
Política de entrega avançada (ignorar filtragem para caixas de correio secops designadas e URLs de simulação de phishing):
Veredicto de pilha de filtragem Permissão de política de entrega avançada Malware Ganhos do locatário: Email entregues na caixa de correio Phishing de alta confiança Ganhos do locatário: Email entregues na caixa de correio Phishing Ganhos do locatário: Email entregues na caixa de correio Spam de alta confiança Ganhos do locatário: Email entregues na caixa de correio Spam Ganhos do locatário: Email entregues na caixa de correio Em massa Ganhos do locatário: Email entregues na caixa de correio Não spam Ganhos do locatário: Email entregues na caixa de correio Regras de fluxo de email do Exchange (também conhecidas como regras de transporte):
Veredicto de pilha de filtragem A regra de fluxo de email permite* Blocos de regra de fluxo de email Malware Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Phishing de alta confiança Ganhos de filtro: Email em quarentena, exceto em roteamento complexo Ganhos de filtro: Email em quarentena Phishing Ganhos do locatário: Email entregues na caixa de correio Locatário vence: ação de phishing na política anti-spam aplicável Spam de alta confiança Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Spam Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Em massa Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Não spam Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário * As organizações que usam um serviço ou dispositivo de segurança de terceiros na frente do Microsoft 365 devem considerar o uso de ARC (Autenticada Cadeia Recebida) (contate terceiros para disponibilidade) e Filtragem Aprimorada para Conectores (também conhecida como listagem de ignorar) em vez de uma regra de fluxo de email SCL=-1. Esses métodos aprimorados reduzem problemas de autenticação por email e incentivam a segurança de email com profundidade .
Lista de permissões ip e lista de blocos IP em políticas de filtro de conexão:
Veredicto de pilha de filtragem Lista de permissões de IP Lista de Blocos IP Malware Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Phishing de alta confiança Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Phishing Ganhos do locatário: Email entregues na caixa de correio Locatário vence: Email silenciosamente descartada Spam de alta confiança Ganhos do locatário: Email entregues na caixa de correio Locatário vence: Email silenciosamente descartada Spam Ganhos do locatário: Email entregues na caixa de correio Locatário vence: Email silenciosamente descartada Em massa Ganhos do locatário: Email entregues na caixa de correio Locatário vence: Email silenciosamente descartada Não spam Ganhos do locatário: Email entregues na caixa de correio Locatário vence: Email silenciosamente descartada Permitir e bloquear configurações em políticas anti-spam:
- Remetente permitido e lista de domínios.
- Remetente bloqueado e lista de domínios.
- Bloquear mensagens de países/regiões específicos ou em idiomas específicos.
- Bloquear mensagens com base nas configurações do ASF (Filtro avançado de spam).
Veredicto de pilha de filtragem A política anti-spam permite Blocos de política anti-spam Malware Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Phishing de alta confiança Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Phishing Ganhos do locatário: Email entregues na caixa de correio Locatário vence: ação de phishing na política anti-spam aplicável Spam de alta confiança Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Spam Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Em massa Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Não spam Ganhos do locatário: Email entregues na caixa de correio Ganhos do locatário: Email entregues à pasta Junk Email do usuário Permitir entradas na Lista de Permissões/Blocos do Locatário:
Veredicto de pilha de filtragem Email endereço/domínio Malware Ganhos de filtro: Email em quarentena Phishing de alta confiança Ganhos de filtro: Email em quarentena Phishing Ganhos do locatário: Email entregues na caixa de correio Spam de alta confiança Ganhos do locatário: Email entregues na caixa de correio Spam Ganhos do locatário: Email entregues na caixa de correio Em massa Ganhos do locatário: Email entregues na caixa de correio Não spam Ganhos do locatário: Email entregues na caixa de correio Bloquear entradas na Lista de Permissões/Blocos do Locatário:
Veredicto de pilha de filtragem Email endereço/domínio Paródia Arquivo URL Malware Ganhos de filtro: Email em quarentena Ganhos de filtro: Email em quarentena Ganhos do locatário: Email em quarentena Ganhos de filtro: Email em quarentena Phishing de alta confiança Ganhos do locatário: Email em quarentena Ganhos de filtro: Email em quarentena Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena Phishing Ganhos do locatário: Email em quarentena Ganhos do locatário: ação spoof na política anti-phishing aplicável Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena Spam de alta confiança Ganhos do locatário: Email em quarentena Ganhos do locatário: ação spoof na política anti-phishing aplicável Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena Spam Ganhos do locatário: Email em quarentena Ganhos do locatário: ação spoof na política anti-phishing aplicável Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena Em massa Ganhos do locatário: Email em quarentena Ganhos do locatário: ação spoof na política anti-phishing aplicável Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena Não spam Ganhos do locatário: Email em quarentena Ganhos do locatário: ação spoof na política anti-phishing aplicável Ganhos do locatário: Email em quarentena Ganhos do locatário: Email em quarentena
Conflito de configurações de usuário e locatário
A tabela a seguir descreve como os conflitos são resolvidos se um email for afetado pelas configurações de permissão/bloqueio do usuário e configurações de permissão/bloqueio do locatário:
Tipo de locatário allow/block | Lista de remetentes/destinatários seguros do usuário | Lista de remetentes bloqueados do usuário |
---|---|---|
Bloquear entradas na Lista de Permissões/Blocos do Locatário para:
|
Ganhos do locatário: Email em quarentena | Ganhos do locatário: Email em quarentena |
Bloquear entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário | Locatário vence: ação de inteligência falsa na política anti-phishing aplicável | Locatário vence: ação de inteligência falsa na política anti-phishing aplicável |
Política de entrega avançada | Ganhos do usuário: Email entregues na caixa de correio | Ganhos do locatário: Email entregues na caixa de correio |
Bloquear configurações em políticas anti-spam | Ganhos do usuário: Email entregues na caixa de correio | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Política de DMARC de Honra | Ganhos do usuário: Email entregues na caixa de correio | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Blocos por regras de fluxo de email | Ganhos do usuário: Email entregues na caixa de correio | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Permite:
|
Ganhos do usuário: Email entregues na caixa de correio | Ganhos do usuário: Email entregues à pasta Junk Email do usuário |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de