Proteção antiss spam na EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Nota

Este tópico destina-se a administradores. Para tópicos do utilizador final, consulte Descrição geral do Filtro de Email de Lixo e Saiba mais sobre e-mail de lixo e phishing.

Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, as mensagens de e-mail são automaticamente protegidas contra spam (e-mail de lixo) por EOP.

Para ajudar a reduzir o e-mail de lixo, a EOP inclui proteção contra e-mail de lixo que utiliza tecnologias de filtragem de spam proprietária (também conhecida como filtragem de conteúdos) para identificar e separar e-mails de lixo de e-mail legítimo. A filtragem de spam da EOP aprende com ameaças de spam e phishing conhecidas e o feedback dos utilizadores da nossa plataforma de consumidores, Outlook.com. Os comentários contínuos de administradores e utilizadores ajudam a garantir que as tecnologias de EOP são continuamente preparadas e melhoradas.

A EOP utiliza os seguintes veredictos de filtragem de spam para classificar mensagens:

• Spam: a mensagem recebeu um nível de confiança de spam (SCL) de 5 ou 6.
• Spam de alta confiança: a mensagem recebeu uma SCL de 7, 8 ou 9.
• Phishing
• Phishing de alta confiança: como parte da segurança por predefinição, as mensagens identificadas como phishing de alta confiança são sempre colocadas em quarentena e os utilizadores não podem divulgar as suas próprias mensagens de phishing de alta confiança em quarentena, independentemente das definições disponíveis configuradas pelos administradores.
• Em massa: a origem da mensagem cumpriu ou excedeu o nível de reclamação em massa (BCL) configurado. limiar.

Para obter mais informações sobre a proteção antisspam, consulte as FAQ sobre proteção antisspam

Na política antisspam predefinida e nas políticas antisspam personalizadas, pode configurar as ações a tomar com base nestes veredictos. Nas políticas de segurança predefinidas Padrão e Estritas, as ações já estão configuradas e não são modificados, conforme descrito nas definições de política antisspam da EOP.

Para configurar a política antisspam predefinida e para criar, modificar e remover políticas antisspam personalizadas, veja Configurar políticas antisspam no Microsoft 365.

Sugestão

Se não concordar com o veredicto de filtragem de spam, pode comunicar a mensagem à Microsoft como um falso positivo (bom e-mail marcado como incorreto) ou falso negativo (e-mail incorreto permitido). Para mais informações, consulte:

• Como devo proceder para comunicar um e-mail ou ficheiro suspeito à Microsoft?.
• Como lidar com e-mails legítimos bloqueados (falso positivo), com Microsoft Defender para Office 365
• Como lidar com e-mails maliciosos que são entregues aos destinatários (falsos negativos), com Microsoft Defender para Office 365

Os cabeçalhos de mensagens antiss spam podem indicar por que motivo uma mensagem foi marcada como spam ou por que motivo ignorou a filtragem de spam. Para obter mais informações, veja Cabeçalhos de mensagens anti-spam.

Não pode desativar completamente a filtragem de spam no Microsoft 365, mas pode utilizar regras de fluxo de correio do Exchange (também conhecidas como regras de transporte) para ignorar a maior parte da filtragem de spam nas mensagens recebidas (por exemplo, se encaminhar o e-mail através de um serviço ou dispositivo de proteção de terceiros antes da entrega para o Microsoft 365). Para obter mais informações, consulte Utilizar regras de fluxo de correio para definir o nível de confiança de spam (SCL) nas mensagens.

• As mensagens de phishing de alta confiança continuam a ser filtradas. Outras funcionalidades na EOP não são afetadas (por exemplo, as mensagens são sempre analisadas quanto a software maligno).
• Se precisar de ignorar a filtragem de spam para caixas de correio secOps ou simulações de phishing, não utilize regras de fluxo de correio. Para obter mais informações, consulte Configurar a entrega de simulações de phishing de terceiros a utilizadores e mensagens não filtradas para caixas de correio SecOps.

Em ambientes híbridos em que a EOP protege caixas de correio do Exchange no local, tem de configurar duas regras de fluxo de correio (também conhecidas como regras de transporte) na sua organização do Exchange no local para reconhecer os cabeçalhos de spam da EOP que são adicionados às mensagens. Para obter detalhes, veja Configure EOP to deliver spam to the Junk Email folder in hybrid environments (Configurar a EOP para entregar spam à pasta Email de Lixo em ambientes híbridos).

Políticas anti-spam

As políticas antisspam controlam as definições configuráveis para filtragem de spam. As definições importantes nas políticas antisspam são descritas nas seguintes subsecções.

Sugestão

Para ver as definições de política antisssamo na política predefinida, a política de segurança predefinida Padrão e a política de segurança predefinida Estrita, veja Definições de política antisssum da EOP.

Filtros de destinatários em políticas antisspam

Os filtros de destinatários utilizam condições e exceções para identificar os destinatários internos a que a política se aplica. Pelo menos uma condição é necessária em políticas personalizadas. As condições e exceções não estão disponíveis na política predefinida (a política predefinida aplica-se a todos os destinatários). Pode utilizar os seguintes filtros de destinatários para condições e exceções:

• Utilizadores: uma ou mais caixas de correio, utilizadores de correio ou contactos de correio na organização.
• Grupos:
  • Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
  • O Grupos do Microsoft 365 especificado.
• Domínios: um ou mais dos domínios aceites configurados no Microsoft 365. O endereço de e-mail principal do destinatário está no domínio especificado.

Pode utilizar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

• Vários valores da mesma condição ou da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

  • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada aos mesmos.
  • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.

• Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.

• Diferentes tipos de condições utilizam a lógica AND. O destinatário tem de corresponder a todas as condições especificadas para que a política se aplique às mesmas. Por exemplo, pode configurar uma condição com os seguintes valores:

  • Utilizadores: romain@contoso.com
  • Grupos: Executivos

  A política só é aplicada romain@contoso.com se for também membro do grupo Executivos. Caso contrário, a política não lhe é aplicada.

Limiar de reclamação em massa (BCL) nas políticas antisspam

A EOP atribui um valor de nível de reclamação em massa (BCL) a mensagens de entrada de remetentes em massa. As mensagens de remetentes em massa também são conhecidas como correio em massa ou correio cinzento.

Para obter mais informações sobre o BCL, veja Nível de reclamação em massa (BCL) na EOP.

Sugestão

Por predefinição, a definição apenas do PowerShell MarkAsSpamBulkMail está On em políticas antisspam no Exchange Online PowerShell. Esta definição afeta significativamente os resultados de um nível de conformidade em massa (BCL) cumprido ou excedido o veredicto de filtragem:

• MarkAsSpamBulkMail está Ativado: um BCL maior ou igual ao valor do limiar é convertido num SCL 6 que corresponde a um veredicto de filtragem de Spam e a ação para o nível de conformidade em massa (BCL) cumprida ou excedida é tomada na mensagem.
• MarkAsSpamBulkMail está Desativado: a mensagem é carimbada com o BCL, mas não é tomada nenhuma ação para um nível de conformidade em massa (BCL) cumprido ou excedido o veredicto de filtragem. Com efeito, o limiar BCL e o nível de conformidade em massa (BCL) cumpridos ou excedidos são irrelevantes.

Propriedades de spam em políticas antisspam

As definições do modo de Teste , as definições Aumentar pontuação de spam e a maioria das definições marcar como spam fazem parte da Filtragem Avançada de Spam (ASF) em políticas antisspam.

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

Para obter informações completas sobre as definições do ASF, veja Definições avançadas do Filtro de Spam (ASF) na EOP.

As outras definições disponíveis nesta categoria são:

• Contém idiomas específicos: as mensagens nos idiomas especificados são automaticamente identificadas como spam.
• A partir destes países*: as mensagens dos países especificados são automaticamente identificadas como spam.

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

Ações em políticas antisspam

• Nas políticas antisspam personalizadas e na política antisspam predefinida, as ações disponíveis para a filtragem de spam são descritas na tabela seguinte.

  • Uma marca de verificação ( ✔ ) indica que a ação está disponível (nem todas as ações estão disponíveis para todos os veredictos).
  • Um asterisco ( ^* ) depois da marca de verificação indicar a ação predefinida para o veredicto da filtragem de spam.

  Ação	Spam	High confiança spam	Phishing	High confiança phishing	Em massa
  Mover mensagem para a pasta Email de Lixo: a mensagem é entregue na caixa de correio e movida para a pasta Email de Lixo.¹	✔*	✔*	✔	²	✔*
  Adicionar cabeçalho X: adiciona um cabeçalho X ao cabeçalho da mensagem e entrega a mensagem à caixa de correio. Introduza o nome do campo de cabeçalho X (não o valor) na caixa de texto Adicionar este cabeçalho X disponível. Para os veredictos de spam e spam de alta confiança, a mensagem é movida para a pasta Email de Lixo.¹ ³	✔	✔	✔		✔
  Pré-end subject line with text: Adds text to the beginning of the message's subject line. A mensagem é entregue na caixa de correio e movida para a pasta E-mail de Lixo.¹ ³ Introduza o texto na linha de assunto do Prefixo disponível com esta caixa de texto.	✔	✔	✔		✔
  Redirecionar mensagem para o endereço de e-mail: envia a mensagem para outros destinatários em vez dos destinatários pretendidos. Especifique os destinatários na caixa Redirecionar para este endereço de e-mail .	✔	✔	✔	✔	✔
  Eliminar mensagem: elimina automaticamente toda a mensagem, incluindo todos os anexos.	✔	✔	✔		✔
  Mensagem de quarentena: envia a mensagem para quarentena em vez dos destinatários pretendidos. Selecione ou utilize a política de quarentena predefinida para o veredicto de filtragem de spam na caixa Selecionar política de quarentena apresentada.⁴ As políticas de quarentena definem o que os utilizadores podem fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena. Especifique durante quanto tempo as mensagens são mantidas em quarentena na caixa Manter spam disponível em quarentena durante estes dias .	✔	✔	✔*	✔* ⁵	✔
  Nenhuma ação					✔

  A EOP utiliza o seu próprio agente de entrega de fluxos de correio para encaminhar mensagens para a pasta Email de Lixo em vez de utilizar a regra de e-mail de lixo na caixa de correio. O parâmetro Ativado no cmdlet Set-MailboxJunkEmailConfiguration no Exchange Online PowerShell tem efeito no fluxo de correio nas caixas de correio na nuvem. Para obter mais informações, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online.

  ² Para phishing de alta confiança, a ação Mover mensagem para a pasta Email de Lixo é efetivamente preterida. Embora possa selecionar a ação Mover mensagem para a pasta Email lixo, as mensagens de phishing de alta confiança são sempre colocadas em quarentena (o equivalente à seleção da mensagem de quarentena).

  ³ Pode utilizar este valor como uma condição nas regras de fluxo de correio para filtrar ou encaminhar a mensagem.

  ⁴ Se o veredicto de filtragem de spam colocar as mensagens em quarentena por predefinição (a mensagem de quarentena já está selecionada quando chegar à página), o nome da política de quarentena predefinido é apresentado na caixa Selecionar política de quarentena . Se alterar a ação de um veredicto de filtragem de spam para Mensagem de quarentena, a caixa Selecionar política de quarentena está em branco por predefinição. Um valor em branco significa que é utilizada a política de quarentena predefinida para esse veredicto. Quando mais tarde vir ou editar as definições de política antisspessoal, o nome da política de quarentena é apresentado. Para obter mais informações sobre as políticas de quarentena que são utilizadas por predefinição para veredictos de filtros de spam, veja Definições de política antisspam da EOP.

  ⁵ Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de phishing de alta confiança em quarentena.

• Mensagens intra-organizacionais a tomar medidas: controla se a filtragem de spam e as ações de veredicto correspondentes são aplicadas a mensagens internas (mensagens enviadas entre utilizadores dentro da organização). A ação configurada na política para os veredictos do filtro de spam especificado é tomada em mensagens enviadas entre utilizadores internos. Os valores disponíveis são:

  • Predefinição: este é o valor predefinido. Este valor é o mesmo que selecionar mensagens de phishing de alta confiança.
  • Nenhum
  • Mensagens de phishing de alta confiança
  • Mensagens de phishing e phishing de alta confiança
  • Todas as mensagens de phishing e spam de alta confiança
  • Todas as mensagens de phishing e spam

  Para os valores predefinidos que são utilizados na política antisspam predefinida e nas políticas de segurança predefinidas Padrão e Estrita, veja as mensagens intra-organizacionais para tomar medidas na entrada nas definições de política antisspam da EOP.

• Manter o spam em quarentena durante estes dias: especifica quanto tempo deve manter a mensagem em quarentena se tiver selecionado Mensagem de quarentena como a ação para um veredicto de filtragem de spam. Após o período de tempo expirar, a mensagem é eliminada e não é recuperável. Um valor válido é de 1 a 30 dias.

  Para obter os valores predefinidos que são utilizados na política antisspam predefinida e nas políticas de segurança predefinidas Padrão e Estrita, veja a entrada Manter spam em quarentena durante estes dias nas definições de política antisspam da EOP.

  Sugestão

  Esta definição também controla durante quanto tempo as mensagens que foram colocadas em quarentena por políticas anti-phishing são mantidas. Para obter mais informações, veja Retenção de quarentena.

Remoção automática de zero horas (ZAP) em políticas antisspam

O ZAP para phishing e ZAP para spam é capaz de agir sobre as mensagens depois de serem entregues às Exchange Online caixas de correio. Por predefinição, o ZAP para phishing e o ZAP para spam estão ativados e recomendamos que os deixe ligados. Para mais informações, consulte:

• Remoção automática de zero horas (ZAP) para phishing
• Remoção automática de zero horas (ZAP) para phishing de alta confiança
• Remoção automática de zero horas (ZAP) para spam

Políticas de quarentena em políticas antisspam

Se o veredicto na política antisspam estiver configurado para colocar mensagens em quarentena, as políticas de quarentena definem o que os utilizadores podem fazer a essas mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

Permitir e bloquear listas em políticas antisspam

As políticas antisspam contêm as seguintes listas para permitir ou bloquear remetentes ou domínios específicos:

• A lista de remetentes permitidos
• A lista de domínios permitidos
• A lista de remetentes bloqueados
• A lista de domínios bloqueados

Estas definições não estão configuradas na política antisspam predefinida por predefinição ou nas políticas de segurança predefinidas Padrão ou Estrita.

A funcionalidade destas listas foi, em grande parte, substituída por:

• Bloquear entradas para domínios e endereços de e-mail em Criar entradas de bloco para domínios e endereços de e-mail.

  O principal motivo para utilizar a lista de remetentes bloqueados ou a lista de domínios bloqueados em políticas antisspam: bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos também impede que os utilizadores na organização enviem e-mails para esses endereços de e-mail ou domínios.

• Comunicar um bom e-mail à Microsoft a partir da página Submissões no portal do Microsoft Defender (onde pode optar por Permitir e-mails com atributos semelhantes, o que cria as entradas temporárias necessárias na Lista de Permissões/Bloqueios de Inquilinos).

  Importante

  As mensagens de entradas na lista de remetentes permitidos ou na lista de domínios permitidos ignoram a maior parte da proteção de e-mail (exceto software maligno e phishing de alta confiança) e verificações de autenticação por e-mail (SPF, DKIM e DMARC). As entradas na lista de remetentes permitidos ou na lista de domínios permitidos criam um risco elevado de os atacantes entregarem com êxito e-mails para a Caixa de Entrada que, de outra forma, seriam filtrados. Estas listas são mais utilizadas apenas para testes temporários.

  Nunca adicione domínios comuns (por exemplo, microsoft.com ou office.com) à lista de domínios permitidos. Os atacantes podem facilmente enviar mensagens falsificadas destes domínios comuns para a sua organização.

  A partir de setembro de 2022, se um remetente, domínio ou subdomínio permitido estiver num domínio aceite na sua organização, esse remetente, domínio ou subdomínio tem de passar verificações de autenticação de e-mail para ignorar a filtragem de spam.

  Se pretender manter uma entrada de domínio permitida na lista durante um longo período de tempo, informe o remetente para verificar se o respetivo registo SPF está atualizado com as origens de e-mail do respetivo domínio e que a política no respetivo registo DMARC está definida como p=reject.

Prioridade das políticas antisspam

Se estiverem ativadas, as políticas de segurança predefinidas Padrão e Estrita são aplicadas antes de quaisquer políticas antisspam personalizadas ou a política predefinida (Estrita é sempre a primeira). Se criar várias políticas antisspam personalizadas, pode especificar a ordem em que são aplicadas. O processamento de políticas para após a aplicação da primeira política (a política de prioridade mais alta para esse destinatário).

Para obter mais informações sobre a ordem de precedência e a forma como várias políticas são avaliadas, veja Ordem e precedência da proteção de e-mail e Ordem de precedência para políticas de segurança predefinidas e outras políticas.

Política antiss spam predefinida

Todas as organizações têm uma política antiss spam incorporada denominada Predefinição que tem as seguintes propriedades:

• A política é a política predefinida (a propriedade IsDefault tem o valor True) e não pode eliminar a política predefinida.
• A política é aplicada automaticamente a todos os destinatários na organização e não pode desativá-la.
• A política é sempre aplicada em último (o valor Prioridade é Mais Baixo e não pode alterá-la).