Condividi tramite


Ordine e precedenza della protezione della posta elettronica

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome senza cassette postali Exchange Online, la posta elettronica in ingresso potrebbe essere contrassegnata da più forme di protezione. Ad esempio, protezione anti-spoofing disponibile per tutti i clienti di Microsoft 365 e protezione della rappresentazione disponibile solo per Microsoft Defender per Office 365 clienti. I messaggi passano anche attraverso più scansioni di rilevamento per malware, posta indesiderata, phishing e così via. Data tutta questa attività, potrebbe verificarsi una certa confusione su quale criterio viene applicato.

In generale, un criterio applicato a un messaggio viene identificato nell'intestazione X-Forefront-Antispam-Report nella proprietà CAT (Category). Per ulteriori informazioni, vedere Intestazioni messaggi della protezione da posta indesiderata.

Esistono due fattori principali che determinano quali criteri vengono applicati a un messaggio:

Ad esempio, il gruppo denominato "Contoso Executives" è incluso nei criteri seguenti:

  • I criteri di sicurezza del set di impostazioni Strict
  • Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 0 (priorità più alta)
  • Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 1.

Quali impostazioni dei criteri di protezione dalla posta indesiderata vengono applicate ai membri di Contoso Executives? Criteri di sicurezza del set di impostazioni Strict. Le impostazioni nei criteri di protezione dalla posta indesiderata personalizzati vengono ignorate per i membri di Contoso Executives, perché i criteri di sicurezza predefiniti Strict vengono sempre applicati per primi.

Come altro esempio, considerare i criteri anti-phishing personalizzati seguenti in Microsoft Defender per Office 365 applicabili agli stessi destinatari e un messaggio che contiene sia la rappresentazione utente che lo spoofing:

Nome criterio Priorità Rappresentazione utente Anti-spoofing
Criteri A 1 Attivato Disattivato
Criterio B 2 Disattivato Attivato
  1. Il messaggio viene identificato come spoofing, perché lo spoofing (5) viene valutato prima della rappresentazione utente (6) nell'ordine di elaborazione per il tipo di protezione della posta elettronica.
  2. Il criterio A viene applicato per primo, perché ha una priorità più alta rispetto al criterio B.
  3. In base alle impostazioni in Criteri A, non viene eseguita alcuna azione sul messaggio perché l'anti-spoofing è disattivato.
  4. L'elaborazione dei criteri anti-phishing si arresta per tutti i destinatari inclusi, quindi il criterio B non viene mai applicato ai destinatari che sono anche in Criteri A.

Per assicurarsi che i destinatari ottengano le impostazioni di protezione desiderate, usare le linee guida seguenti per le appartenenze ai criteri:

  • Assegnare un numero minore di utenti a criteri con priorità più alta e un numero maggiore di utenti per ridurre i criteri di priorità. Tenere presente che i criteri predefiniti vengono sempre applicati per ultimi.
  • Configurare criteri con priorità più alta per avere impostazioni più rigide o più specializzate rispetto ai criteri con priorità inferiore. Si ha il controllo completo sulle impostazioni nei criteri personalizzati e nei criteri predefiniti, ma non è possibile controllare la maggior parte delle impostazioni nei criteri di sicurezza predefiniti.
  • Prendere in considerazione l'uso di un minor numero di criteri personalizzati (usare solo criteri personalizzati per gli utenti che richiedono impostazioni più specializzate rispetto ai criteri di sicurezza predefiniti Standard o Strict o ai criteri predefiniti).

Appendice

È importante comprendere come l'utente consente e blocca, il tenant consente e blocca e filtra i verdetti dello stack in EOP e Defender per Office 365 integrarsi o contraddirsi a vicenda.

  • Per informazioni sul filtro degli stack e sulla modalità di combinazione, vedere Protezione dettagliata dalle minacce in Microsoft Defender per Office 365.
  • Dopo che lo stack di filtri determina un verdetto, solo i criteri tenant e le azioni configurate vengono valutati.
  • Se lo stesso indirizzo di posta elettronica o lo stesso dominio esiste nell'elenco Mittenti attendibili di un utente e nell'elenco Mittenti bloccati, l'elenco Mittenti attendibili ha la precedenza.
  • Se la stessa entità (indirizzo di posta elettronica, dominio, infrastruttura di invio spoofing, file o URL) esiste in una voce allow e in una voce di blocco nell'elenco Tenant Allow/Block, la voce di blocco ha la precedenza.

L'utente consente e blocca

Le voci nella raccolta di elenchi attendibili di un utente (l'elenco Mittenti attendibili, l'elenco Destinatari attendibili e l'elenco Mittenti bloccati in ogni cassetta postale) sono in grado di ignorare alcuni verdetti dello stack di filtri come descritto nella tabella seguente:

Verdetto dello stack di filtri Elenco Mittenti/destinatari attendibili dell'utente Elenco Mittenti bloccati dell'utente
Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
Phishing Vince l'utente: Email recapitato alla posta in arrivo dell'utente Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione
Posta indesiderata con alta confidenza Vince l'utente: Email recapitato alla posta in arrivo dell'utente Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione
Posta indesiderata Vince l'utente: Email recapitato alla posta in arrivo dell'utente Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione
Invio in blocco Vince l'utente: Email recapitato alla posta in arrivo dell'utente Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Non posta indesiderata Vince l'utente: Email recapitato alla posta in arrivo dell'utente Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
  • In Exchange Online, il dominio consentito nell'elenco Mittente sicuro potrebbe non funzionare se il messaggio viene messo in quarantena in base a una delle condizioni seguenti:
    • Il messaggio viene identificato come malware o phishing ad alta attendibilità (i messaggi di phishing con attendibilità elevata e malware vengono messi in quarantena).
    • Le azioni nei criteri di protezione dalla posta indesiderata vengono configurate per la quarantena anziché spostare la posta nella cartella Posta indesiderata Email.
    • Anche l'indirizzo di posta elettronica, l'URL o il file nel messaggio di posta elettronica si trova in una voce di blocco nell'elenco tenant consentiti/bloccati.

Per altre informazioni sulla raccolta dell'elenco indirizzi attendibili e sulle impostazioni di protezione dalla posta indesiderata nelle cassette postali degli utenti, vedere Configurare le impostazioni di posta indesiderata nelle cassette postali Exchange Online.

Tenant consente e blocchi

I blocchi e consentono al tenant di eseguire l'override di alcuni verdetti dello stack di filtro, come descritto nelle tabelle seguenti:

  • Criteri di recapito avanzati (ignora il filtro per le cassette postali SecOps designate e gli URL di simulazione del phishing):

    Verdetto dello stack di filtri Criteri di recapito avanzati consentiti
    Malware Vince il tenant: Email recapitato alla cassetta postale
    Messaggio di phishing altamente riservato Vince il tenant: Email recapitato alla cassetta postale
    Phishing Vince il tenant: Email recapitato alla cassetta postale
    Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale
    Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale
    Invio in blocco Vince il tenant: Email recapitato alla cassetta postale
    Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale
  • Regole del flusso di posta di Exchange (note anche come regole di trasporto):

    Verdetto dello stack di filtri La regola del flusso di posta consente* Blocchi delle regole del flusso di posta
    Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
    Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena tranne in un routing complesso Vince il filtro: Email in quarantena
    Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili
    Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente

    * Le organizzazioni che usano un servizio o un dispositivo di sicurezza di terze parti davanti a Microsoft 365 devono prendere in considerazione l'uso di Authenticated Received Chain (ARC) ( contattare la terza parte per la disponibilità) e filtro avanzato per i connettori (noto anche come elenco ignorati) anziché una regola del flusso di posta SCL=-1. Questi metodi migliorati riducono i problemi di autenticazione della posta elettronica e incoraggiano la sicurezza della posta elettronica avanzata.

  • Elenco indirizzi IP consentiti ed elenco indirizzi IP bloccati nei criteri di filtro di connessione:

    Verdetto dello stack di filtri Elenco indirizzi IP consentiti Elenco indirizzi IP bloccati
    Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
    Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
    Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente
    Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente
    Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente
    Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente
    Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente
  • Consenti e blocca le impostazioni nei criteri di protezione dalla posta indesiderata:

    • Elenco di domini e mittenti consentiti.
    • Elenco di domini e mittenti bloccati.
    • Bloccare i messaggi provenienti da paesi/aree geografiche specifici o in lingue specifiche.
    • Blocca i messaggi in base alle impostazioni asf (Advanced Spam Filter).
    Verdetto dello stack di filtri I criteri di protezione dalla posta indesiderata consentono Blocchi dei criteri di protezione dalla posta indesiderata
    Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
    Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena
    Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili
    Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
    Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  • Consenti voci nell'elenco tenant consentiti/bloccati: esistono due tipi di voci consentite:

    • Le voci a livello di messaggio consentono di agire sull'intero messaggio, indipendentemente dalle entità nel messaggio. Le voci consentite per l'indirizzo di posta elettronica e i domini sono voci consentite a livello di messaggio.
    • Le voci di autorizzazione a livello di entità agiscono sul verdetto di filtro delle entità. Le voci consenti per URL, mittenti spoofed e file sono voci consentite a livello di entità. Per ignorare il malware e i verdetti di phishing ad alta attendibilità, è necessario usare le voci di autorizzazione a livello di entità, che è possibile creare tramite invio solo a causa di Secure per impostazione predefinita in Microsoft 365.
    Verdetto dello stack di filtri Email indirizzo/dominio
    Malware Vince il filtro: Email in quarantena
    Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena
    Phishing Vince il tenant: Email recapitato alla cassetta postale
    Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale
    Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale
    Invio in blocco Vince il tenant: Email recapitato alla cassetta postale
    Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale
  • Voci bloccate nell'elenco tenant consentiti/bloccati:

    Verdetto dello stack di filtri Email indirizzo/dominio Truffa File URL
    Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Vince il tenant: Email in quarantena Vince il filtro: Email in quarantena
    Messaggio di phishing altamente riservato Vince il tenant: Email in quarantena Vince il filtro: Email in quarantena Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
    Phishing Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
    Posta indesiderata con alta confidenza Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
    Posta indesiderata Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
    Invio in blocco Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
    Non posta indesiderata Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena

Conflitto tra impostazioni utente e tenant

La tabella seguente descrive come vengono risolti i conflitti se un messaggio di posta elettronica è interessato sia dalle impostazioni di autorizzazione/blocco dell'utente che dalle impostazioni di autorizzazione/blocco del tenant:

Tipo di tenant allow/block Elenco Mittenti/destinatari attendibili dell'utente Elenco Mittenti bloccati dell'utente
Voci di blocco nell'elenco tenant consentiti/bloccati per:
  • Email indirizzi e domini
  • File
  • URL
Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
Voci di blocco per i mittenti spoofing nell'elenco tenant consentiti/bloccati Tenant wins: Spoof intelligence action in the applicable anti-phishing policy Tenant wins: Spoof intelligence action in the applicable anti-phishing policy
Criteri di recapito avanzati Vince l'utente: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cassetta postale
Bloccare le impostazioni nei criteri di protezione dalla posta indesiderata Vince l'utente: Email recapitato alla cassetta postale Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Rispettare i criteri DMARC Vince l'utente: Email recapitato alla cassetta postale Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Blocchi in base alle regole del flusso di posta Vince l'utente: Email recapitato alla cassetta postale Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Consente di:
  • Regole del flusso di posta
  • Elenco indirizzi IP consentiti (criteri di filtro connessione)
  • Elenco di domini e mittenti consentiti (criteri di protezione dalla posta indesiderata)
  • Elenco di tenant consentiti/bloccati
Vince l'utente: Email recapitato alla cassetta postale Vince l'utente: Email recapitato alla cartella Junk Email dell'utente