Ordem e precedência da proteção por email

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, o email de entrada pode ser sinalizado por várias formas de proteção. Por exemplo, proteção anti-falsificação disponível para todos os clientes do Microsoft 365 e proteção de representação disponível apenas para clientes Microsoft Defender para Office 365. As mensagens também passam por várias verificações de detecção de malware, spam, phishing etc. Dada toda essa atividade, pode haver alguma confusão sobre qual política é aplicada.

Em geral, uma política aplicada a uma mensagem é identificada no cabeçalho X-Forefront-Antispam-Report na propriedade CAT (Category). Para obter mais informações, consulte Cabeçalhos de mensagem antispam.

Há dois fatores principais que determinam qual política é aplicada a uma mensagem:

• A ordem de processamento para o tipo de proteção por email: esse pedido não é configurável e é descrito na seguinte tabela:

  Ordem	Email proteção	Categoria	Onde gerenciar
  1	Malware	CAT:MALW	Configurar políticas anti-malware no EOP
  2	Phishing de alta confiança	CAT:HPHSH	Configurar políticas antispam no EOP
  3	Phishing	CAT:PHSH	Configurar políticas antispam no EOP
  4	Spam de alta confiança	CAT:HSPM	Configurar políticas antispam no EOP
  5	Spoofing	CAT:SPOOF	Informações falsas de inteligência no EOP
  6*	Representação do usuário (usuários protegidos)	CAT:UIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  7*	Representação de domínio (domínios protegidos)	CAT:DIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  8*	Inteligência de caixa de correio (grafo de contato)	CAT:GIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  9	Spam	CAT:SPM	Configurar políticas antispam no EOP
  10	Em massa	CAT:BULK	Configurar políticas antispam no EOP

  ^*Esses recursos estão disponíveis apenas em políticas anti-phishing em Microsoft Defender para Office 365.

• A ordem de prioridade das políticas: a ordem de prioridade da política é mostrada na seguinte lista:

  1. As políticas anti-spam, anti-malware, anti-phishing, Links^* Seguros e Anexos Seguros^* na política de segurança predefinida estrita (quando habilitada).

  2. As políticas anti-spam, anti-malware, anti-phishing, Links^* Seguros e Anexos Seguros^* na política de segurança predefinida Standard (quando habilitada).

  3. Anti-phishing, Links Seguros e Anexos Seguros em políticas de avaliação de Defender para Office 365 (quando habilitados).

  4. Políticas personalizadas anti-spam, anti-malware, anti-phishing, Links^* Seguros e Anexos Seguros^* (quando criadas).

     As políticas personalizadas recebem um valor de prioridade padrão quando você cria a política (mais recente é igual a maior), mas você pode alterar o valor de prioridade a qualquer momento. Esse valor de prioridade afeta a ordem de que políticas personalizadas desse tipo (anti-spam, anti-malware, anti-phishing etc.) sejam aplicadas, mas não afeta onde políticas personalizadas são aplicadas na ordem geral.

  5. De igual valor:

     • As políticas links seguros e anexos seguros na política ^*de segurança predefinida de proteção interna.
     • As políticas padrão para anti-malware, anti-spam e anti-phishing.

     Você pode configurar exceções à política de segurança predefinida de proteção interna, mas não é possível configurar exceções às políticas padrão (elas se aplicam a todos os destinatários e você não pode desativá-las).

  ^*Defender para Office 365 somente.

  A ordem de prioridade importa se você tiver o mesmo destinatário intencionalmente ou involuntariamente incluído em várias políticas, porque apenas a primeira política desse tipo (anti-spam, anti-malware, anti-phishing etc.) é aplicada a esse destinatário, independentemente de quantas outras políticas o destinatário está incluído. Nunca há uma mesclagem ou combinação das configurações em várias políticas para o destinatário. O destinatário não é afetado pelas configurações das políticas restantes desse tipo.

Por exemplo, o grupo chamado "Contoso Executives" está incluído nas seguintes políticas:

• A política de segurança predefinida estrita
• Uma política anti-spam personalizada com o valor de prioridade 0 (prioridade mais alta)
• Uma política anti-spam personalizada com o valor de prioridade 1.

Quais configurações de política anti-spam são aplicadas aos membros dos Executivos da Contoso? A política de segurança predefinida estrita. As configurações nas políticas anti-spam personalizadas são ignoradas para os membros dos Executivos da Contoso, pois a política de segurança predefinida estrita é sempre aplicada primeiro.

Como outro exemplo, considere as seguintes políticas anti-phishing personalizadas em Microsoft Defender para Office 365 que se aplicam aos mesmos destinatários e uma mensagem que contém representação de usuário e falsificação:

Nome da política	Prioridade	Representação de usuário	Anti-falsificação
Política A	1	Ativada	Desativada
Política B	2	Desativada	Ativada

1. A mensagem é identificada como falsificação, pois a falsificação (5) é avaliada antes da representação do usuário (6) na ordem de processamento para o tipo de proteção por email.
2. A política A é aplicada primeiro, porque tem uma prioridade maior que a Política B.
3. Com base nas configurações da Política A, nenhuma ação é tomada na mensagem porque a anti-falsificação está desativada.
4. O processamento de políticas anti-phishing para para todos os destinatários incluídos, portanto, a Política B nunca é aplicada a destinatários que também estão na Política A.

Para garantir que os destinatários obtenham as configurações de proteção desejadas, use as seguintes diretrizes para associações de política:

• Atribua um número menor de usuários a políticas de maior prioridade e um número maior de usuários a políticas de menor prioridade. Lembre-se de que as políticas padrão sempre são aplicadas por último.
• Configure políticas de prioridade mais altas para ter configurações mais rigorosas ou mais especializadas do que políticas de prioridade mais baixas. Você tem controle completo sobre as configurações em políticas personalizadas e as políticas padrão, mas nenhum controle sobre a maioria das configurações em políticas de segurança predefinidas.
• Considere usar menos políticas personalizadas (use apenas políticas personalizadas para usuários que exigem configurações mais especializadas do que as políticas de segurança predefinidas Standard ou Strict ou as políticas padrão).

Apêndice

É importante entender como o usuário permite e bloqueia, o locatário permite e bloqueia e filtrar veredictos de pilha no EOP e Defender para Office 365 complementar ou contradizer uns aos outros.

• Para obter informações sobre como filtrar pilhas e como elas são combinadas, consulte Proteção passo a passo contra ameaças em Microsoft Defender para Office 365.
• Depois que a pilha de filtragem determina um veredicto, somente então as políticas de locatário e suas ações configuradas são avaliadas.
• Se o mesmo endereço de email ou domínio existir na lista remetentes seguros de um usuário e na lista Remetentes Bloqueados, a lista Remetentes Seguros terá precedência.
• Se a mesma entidade (endereço de email, domínio, infraestrutura de envio falsificada, arquivo ou URL) existir em uma entrada de permissão e uma entrada de bloco na Lista de Permissão/Bloco do Locatário, a entrada do bloco terá precedência.

Usuário permite e bloqueia

As entradas na coleção safelist de um usuário (a lista Remetentes Seguros, a lista Destinatários Seguros e a lista de Remetentes Bloqueados em cada caixa de correio) são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito na tabela a seguir:

Veredicto de pilha de filtragem	Lista de remetentes/destinatários seguros do usuário	Lista de remetentes bloqueados do usuário
Malware	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
Phishing de alta confiança	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
Phishing	O usuário ganha: Email entregues na caixa de entrada do usuário	Locatário vence: a política anti-spam aplicável determina a ação
Spam de alta confiança	O usuário ganha: Email entregues na caixa de entrada do usuário	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Spam	O usuário ganha: Email entregues na caixa de entrada do usuário	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Em massa	O usuário ganha: Email entregues na caixa de entrada do usuário	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Não spam	O usuário ganha: Email entregues na caixa de entrada do usuário	Ganhos do usuário: Email entregues à pasta Junk Email do usuário

Para obter mais informações sobre a coleção de listas de segurança e as configurações anti-spam nas caixas de correio do usuário, consulte Configurar configurações de lixo eletrônico em Exchange Online caixas de correio.

Locatário permite e bloqueia

Os locatários permitem e os blocos podem substituir alguns veredictos de pilha de filtragem, conforme descrito nas seguintes tabelas:

• Política de entrega avançada (ignorar filtragem para caixas de correio secops designadas e URLs de simulação de phishing):

  Veredicto de pilha de filtragem	Permissão de política de entrega avançada
  Malware	Ganhos do locatário: Email entregues na caixa de correio
  Phishing de alta confiança	Ganhos do locatário: Email entregues na caixa de correio
  Phishing	Ganhos do locatário: Email entregues na caixa de correio
  Spam de alta confiança	Ganhos do locatário: Email entregues na caixa de correio
  Spam	Ganhos do locatário: Email entregues na caixa de correio
  Em massa	Ganhos do locatário: Email entregues na caixa de correio
  Não spam	Ganhos do locatário: Email entregues na caixa de correio

• Regras de fluxo de email do Exchange (também conhecidas como regras de transporte):

  Veredicto de pilha de filtragem	A regra de fluxo de email permite*	Blocos de regra de fluxo de email
  Malware	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing de alta confiança	Ganhos de filtro: Email em quarentena, exceto em roteamento complexo	Ganhos de filtro: Email em quarentena
  Phishing	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: ação de phishing na política anti-spam aplicável
  Spam de alta confiança	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Spam	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Em massa	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Não spam	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário

  ^* As organizações que usam um serviço ou dispositivo de segurança de terceiros na frente do Microsoft 365 devem considerar o uso de ARC (Autenticada Cadeia Recebida) (contate terceiros para disponibilidade) e Filtragem Aprimorada para Conectores (também conhecida como listagem de ignorar) em vez de uma regra de fluxo de email SCL=-1. Esses métodos aprimorados reduzem problemas de autenticação por email e incentivam a segurança de email com profundidade .

• Lista de permissões ip e lista de blocos IP em políticas de filtro de conexão:

  Veredicto de pilha de filtragem	Lista de permissões de IP	Lista de Blocos IP
  Malware	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing de alta confiança	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: Email silenciosamente descartada
  Spam de alta confiança	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: Email silenciosamente descartada
  Spam	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: Email silenciosamente descartada
  Em massa	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: Email silenciosamente descartada
  Não spam	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: Email silenciosamente descartada

• Permitir e bloquear configurações em políticas anti-spam:

  • Remetente permitido e lista de domínios.
  • Remetente bloqueado e lista de domínios.
  • Bloquear mensagens de países/regiões específicos ou em idiomas específicos.
  • Bloquear mensagens com base nas configurações do ASF (Filtro avançado de spam).

  Veredicto de pilha de filtragem	A política anti-spam permite	Blocos de política anti-spam
  Malware	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing de alta confiança	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing	Ganhos do locatário: Email entregues na caixa de correio	Locatário vence: ação de phishing na política anti-spam aplicável
  Spam de alta confiança	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Spam	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Em massa	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário
  Não spam	Ganhos do locatário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues à pasta Junk Email do usuário

• Permitir entradas na Lista de Permissões/Blocos do Locatário:

  Veredicto de pilha de filtragem	Email endereço/domínio
  Malware	Ganhos de filtro: Email em quarentena
  Phishing de alta confiança	Ganhos de filtro: Email em quarentena
  Phishing	Ganhos do locatário: Email entregues na caixa de correio
  Spam de alta confiança	Ganhos do locatário: Email entregues na caixa de correio
  Spam	Ganhos do locatário: Email entregues na caixa de correio
  Em massa	Ganhos do locatário: Email entregues na caixa de correio
  Não spam	Ganhos do locatário: Email entregues na caixa de correio

• Bloquear entradas na Lista de Permissões/Blocos do Locatário:

  Veredicto de pilha de filtragem	Email endereço/domínio	Paródia	Arquivo	URL
  Malware	Ganhos de filtro: Email em quarentena	Ganhos de filtro: Email em quarentena	Ganhos do locatário: Email em quarentena	Ganhos de filtro: Email em quarentena
  Phishing de alta confiança	Ganhos do locatário: Email em quarentena	Ganhos de filtro: Email em quarentena	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
  Phishing	Ganhos do locatário: Email em quarentena	Ganhos do locatário: ação spoof na política anti-phishing aplicável	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
  Spam de alta confiança	Ganhos do locatário: Email em quarentena	Ganhos do locatário: ação spoof na política anti-phishing aplicável	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
  Spam	Ganhos do locatário: Email em quarentena	Ganhos do locatário: ação spoof na política anti-phishing aplicável	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
  Em massa	Ganhos do locatário: Email em quarentena	Ganhos do locatário: ação spoof na política anti-phishing aplicável	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
  Não spam	Ganhos do locatário: Email em quarentena	Ganhos do locatário: ação spoof na política anti-phishing aplicável	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena

Conflito de configurações de usuário e locatário

A tabela a seguir descreve como os conflitos são resolvidos se um email for afetado pelas configurações de permissão/bloqueio do usuário e configurações de permissão/bloqueio do locatário:

Tipo de locatário allow/block	Lista de remetentes/destinatários seguros do usuário	Lista de remetentes bloqueados do usuário
Bloquear entradas na Lista de Permissões/Blocos do Locatário para: Email endereços e domínios Arquivos URLs	Ganhos do locatário: Email em quarentena	Ganhos do locatário: Email em quarentena
Bloquear entradas para remetentes falsificados na Lista de Permissões/Blocos do Locatário	Locatário vence: ação de inteligência falsa na política anti-phishing aplicável	Locatário vence: ação de inteligência falsa na política anti-phishing aplicável
Política de entrega avançada	Ganhos do usuário: Email entregues na caixa de correio	Ganhos do locatário: Email entregues na caixa de correio
Bloquear configurações em políticas anti-spam	Ganhos do usuário: Email entregues na caixa de correio	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Política de DMARC de Honra	Ganhos do usuário: Email entregues na caixa de correio	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Blocos por regras de fluxo de email	Ganhos do usuário: Email entregues na caixa de correio	Ganhos do usuário: Email entregues à pasta Junk Email do usuário
Permite: Regras do fluxo de email Lista de permissões de IP (política de filtro de conexão) Remetente e lista de domínio permitidos (políticas anti-spam) Lista de Permissões/Bloqueios de Locatários	Ganhos do usuário: Email entregues na caixa de correio	Ganhos do usuário: Email entregues à pasta Junk Email do usuário