Définitions des résultats de la soumission dans Exchange Online Protection et Defender for Office 365
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online, les paramètres signalés par l’utilisateur déterminent si les messages électroniques signalés par l’utilisateur sont envoyés à Microsoft à des fins d’analyse. Même si les messages ne sont pas initialement envoyés à Microsoft, les administrateurs peuvent envoyer ou renvoyer manuellement des messages électroniques (y compris les messages électroniques signalés par l’utilisateur) à partir de la page Soumissions dans, des pièces jointes, des URL et (dans Microsoft Defender pour Office 365 Plan 2 uniquement) des messages Microsoft Teams. Pour plus d’informations, consultez Comment faire signaler un e-mail ou un fichier suspect à Microsoft ?.
Lorsque des administrateurs ou des utilisateurs envoient des éléments à Microsoft à des fins d’analyse, nous effectuons les vérifications suivantes :
- Email case activée d’authentification (messages électroniques uniquement) : vérifie si le message a réussi ou échoué :SPF, DKIM, DMARC et authentification composite.
- Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer le courrier entrant dans le organization, ce qui a remplacé nos verdicts de filtrage.
- Réputation/détonation de charge utile : examen à jour des URL et pièces jointes du message.
- Analyse de l’indicateur de notation : examen effectué par des vérificateurs humains pour vérifier si les messages sont malveillants.
Découvrez comment les soumissions sont traitées en arrière-plan pour générer le résultat.
Remarque
Dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD), les administrateurs peuvent envoyer des éléments à Microsoft à des fins d’analyse, mais les éléments sont analysés uniquement pour l’authentification par e-mail et les accès à la stratégie. La réputation de la charge utile, la détonation et l’analyse du niveleur ne sont pas effectuées pour des raisons de conformité (les données ne sont pas autorisées à quitter la limite organization).
Le tableau suivant décrit les résultats des soumissions à Microsoft :
- L’état indique si les vérifications décrites précédemment ont été effectuées.
- Le résultat indique les détails qui ont été générés pendant l’analyse à l’aide des vérifications décrites précédemment
| État | Résultat | Description |
|---|---|---|
| En cours d’analyse | En cours d’enquête | L’élément est analysé comme décrit précédemment. Une fois l’analyse terminée, le status est mis à jour et le résultat affiche les détails de l’analyse. |
| Terminé | Non soumis à Microsoft | Les paramètres signalés par l’utilisateur sont configurés pour remettre les messages signalés à la boîte aux lettres de création de rapports uniquement. Microsoft ne peut pas recevoir automatiquement la copie de l’élément soumis et agir dessus. Vous pouvez mettre à jour les paramètres signalés par l’utilisateur pour remettre des messages à la boîte aux lettres de création de rapports et à Microsoft, ou à Microsoft uniquement. |
| Terminé | Simulation de hameçonnage | L’élément envoyé fait partie d’une campagne de formation anti-hameçonnage interne. Vérifiez la stratégie de livraison avancée ou (dans Defender for Office 365 Plan 2) Exercice de simulation d’attaque. |
| Terminé | Échec de l’authentification | Le message n’a pas été remis, car l’authentification par e-mail a échoué. Si vous êtes propriétaire de ce domaine, passez en revue vos paramètres d’authentification de domaine. Sinon, contactez le propriétaire du domaine. Si vous souhaitez en savoir plus, consultez la page Authentification de messagerie électronique dans Microsoft 365. |
| Terminé | Message usurpé | L’élément envoyé a été envoyé par une personne qui usurpe l’expéditeur. Si vous souhaitez en savoir plus, consultez Informations sur la veille contre l’usurpation d’identité dans EOP. |
| Terminé | Emprunt d’identité de domaine | Dans Defender for Office 365, l’élément envoyé provient d’un domaine qui ressemble à un domaine identifié pour la protection contre l’emprunt d’identité de domaine. Nous vous recommandons de passer en revue l’élément et (si nécessaire) d’ajouter le domaine de l’expéditeur à la liste des expéditeurs approuvés dans la stratégie anti-hameçonnage qui a détecté le message. Pour plus d’informations, consultez Protection contre l’emprunt d’identité de domaine. |
| Terminé | Emprunt d’identité de marque | Dans Defender for Office 365, l’élément soumis provient d’une personne associée à une marque. Nous vous recommandons de passer en revue l’élément et (si nécessaire) d’ajouter l’adresse de l’expéditeur en tant qu’entrée autorisée dans la liste verte/bloquée du locataire. |
| Terminé | Emprunt d’identité d’utilisateur | Dans Defender for Office 365, l’élément envoyé provient d’un expéditeur qui ressemble à un utilisateur identifié pour la protection contre l’emprunt d’identité de l’utilisateur. Nous vous recommandons de passer en revue l’élément et (si nécessaire) d’ajouter l’expéditeur à la liste des expéditeurs approuvés dans la stratégie anti-hameçonnage qui a détecté le message. Pour plus d’informations, consultez Protection contre l’emprunt d’identité des utilisateurs. |
| Terminé | Autorisé en raison de remplacements organisationnels | Une entité associée à l’élément envoyé était autorisée dans l’un des paramètres suivants :
Vérifiez la cause exacte du résultat de la soumission et supprimez ou corrigez le paramètre. |
| Terminé | Autorisé en raison de substitutions d’utilisateur | Le destinataire de l’élément soumis a des paramètres d’autorisation outlook configurables dans sa boîte aux lettres (par exemple, un expéditeur ou un domaine dans sa liste d’expéditeurs approuvés). Vérifiez la cause exacte du résultat de la soumission et supprimez ou corrigez le paramètre. |
| Terminé | Bloqué en raison de remplacements organisationnels | Une entité associée à l’élément envoyé a été bloquée dans l’un des paramètres suivants :
Vérifiez la cause exacte du résultat de la soumission et supprimez ou corrigez le paramètre. |
| Terminé | Bloqué en raison de remplacements d’utilisateurs | Le destinataire de l’élément soumis a des paramètres de blocage configurables Outlook dans sa boîte aux lettres (par exemple, un expéditeur ou un domaine dans la liste Expéditeurs bloqués ou le Listes sécurisé uniquement activé). Vérifiez la cause exacte du résultat de la soumission et supprimez ou corrigez le paramètre. |
| Terminé | L’élément est introuvable | L’élément envoyé n’est pas disponible, car il a été supprimé ou l’envoi n’est pas valide. Seuls les éléments de Exchange Online boîtes aux lettres peuvent être envoyés. Renvoyez le fichier .eml ou l’ID de message réseau d’un message à partir d’une boîte aux lettres Exchange Online. |
| Terminé | La raison de ce verdict a été perdue en transit | L’élément envoyé a été routé via le flux de messagerie hybride entre Exchange local et Exchange Online, et le verdict de filtrage a été perdu. Vérifiez tous les messages similaires qui ont été remis directement à votre boîte aux lettres cloud et corrigez votre routage. |
| Terminé | Nous n’avons pas reçu la soumission, veuillez résoudre le problème et soumettre à nouveau | L’élément envoyé n’a pas atteint le service de soumission. Vérifiez qu’aucune stratégie ou règle de flux de messagerie n’empêche les éléments d’atteindre notre service. Pour plus d’informations, consultez URL microsoft 365 et plages d’adresses IP. |
| Terminé | Analyse supplémentaire nécessaire | Dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD) reçoivent ce résultat lorsque rien n’est trouvé dans les vérifications autorisées pour Email vérifications d’authentification et les accès à la stratégie. Nous vous recommandons d’ouvrir un ticket de support pour que l’élément envoyé soit analysé. |
| Terminé | Inconnu - Nous avons vérifié mais ne pouvons pas prendre de décision pour le moment | Microsoft n’a pas pu prendre de décision concernant l’élément soumis. Les explications incluent différentes interprétations par différents analystes ou l’élément inaccessible. Microsoft investit en permanence dans le processus d’analyse afin que ce résultat soit moins courant. |
| Terminé | Courrier en nombre | L’expéditeur de l’élément envoyé a été classé en tant qu’expéditeur en bloc. À l’avenir, des éléments similaires sont bloqués s’ils atteignent ou dépassent le seuil de niveau conforme en bloc (BCL) dans les stratégies anti-courrier indésirable. Pour plus d’informations, consultez Niveau de plainte en bloc (BCL) dans EOP. Pour empêcher la remise d’éléments similaires, vous pouvez créer des entrées de blocage pour des domaines ou des adresses de messagerie, des fichiers ou des URL dans la liste verte/bloquée du locataire. Pour plus d’informations, consultez Bloquer les entrées dans la liste verte/bloquée du locataire. |
| Terminé | Courrier indésirable | L’élément envoyé a été classé comme courrier indésirable. À l’avenir, des éléments similaires sont bloqués s’ils atteignent ou dépassent le seuil de niveau de confiance du courrier indésirable (SCL) dans les stratégies anti-courrier indésirable. Pour plus d’informations, consultez Niveau de confiance du courrier indésirable (SCL) dans EOP. Pour empêcher la remise d’éléments similaires, vous pouvez créer des entrées de blocage pour des domaines ou des adresses de messagerie, des fichiers ou des URL dans la liste verte/bloquée du locataire. Pour plus d’informations, consultez Bloquer les entrées dans la liste verte/bloquée du locataire. |
| Terminé | Aucune menace détectée | L’élément envoyé a été propre. Après une période d’évaluation, les filtres peuvent être mis à jour à l’aide des informations de la soumission. Jusqu’à ce que les filtres en apprennent davantage sur la soumission, vous pouvez créer des entrées de bloc ou autoriser des entrées pour l’élément dans la liste verte/bloquée du locataire. |
| Terminé | Menace détectée | L’élément envoyé s’est avéré malveillant. Après une période d’évaluation, les filtres peuvent être mis à jour à l’aide des informations de la soumission. Jusqu’à ce que les filtres en apprennent davantage sur la soumission, vous pouvez créer des entrées de bloc ou autoriser des entrées pour l’élément dans la liste verte/bloquée du locataire. |