Compartilhar via


Encomenda e precedência da proteção por e-mail

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, o e-mail de entrada pode ser sinalizado por várias formas de proteção. Por exemplo, proteção anti-spoofing disponível para todos os clientes do Microsoft 365 e proteção de representação disponível apenas para clientes Microsoft Defender para Office 365. As mensagens também passam por várias análises de deteção de software maligno, spam, phishing, etc. Tendo em conta toda esta atividade, pode haver alguma confusão quanto à aplicação da política.

Em geral, uma política aplicada a uma mensagem é identificada no cabeçalho X-Forefront-Antispam-Report na propriedade CAT (Categoria ). Para obter mais informações, consulte Cabeçalhos de mensagem antispam.

Existem dois fatores principais que determinam que política é aplicada a uma mensagem:

Por exemplo, o grupo denominado "Executivos da Contoso" está incluído nas seguintes políticas:

  • A política de segurança predefinida estrita
  • Uma política antisspessoal personalizada com o valor de prioridade 0 (prioridade mais alta)
  • Uma política antiss spam personalizada com o valor de prioridade 1.

Que definições de política antiss spam são aplicadas aos membros da Contoso Executives? A política de segurança predefinida estrita. As definições nas políticas antisspam personalizadas são ignoradas para os membros da Contoso Executives, porque a política de segurança predefinida Estrita é sempre aplicada primeiro.

Como outro exemplo, considere as seguintes políticas anti-phishing personalizadas no Microsoft Defender para Office 365 que se aplicam aos mesmos destinatários e uma mensagem que contém a representação do utilizador e o spoofing:

Nome da política Prioridade Representação de usuário Anti-spoofing
Política A 1 Ativada Desativada
Política B 2 Desativada Ativada
  1. A mensagem é identificada como spoofing, porque o spoofing (5) é avaliado antes da representação do utilizador (6) pela ordem de processamento do tipo de proteção de e-mail.
  2. A Política A é aplicada primeiro, porque tem uma prioridade superior à Política B.
  3. Com base nas definições na Política A, não é tomada nenhuma ação na mensagem porque o anti-spoofing está desativado.
  4. O processamento de políticas anti-phishing para todos os destinatários incluídos, pelo que a Política B nunca é aplicada aos destinatários que também estão na Política A.

Para garantir que os destinatários obtêm as definições de proteção pretendidas, utilize as seguintes diretrizes para associações a políticas:

  • Atribua um número menor de utilizadores a políticas de prioridade mais alta e um número maior de utilizadores a políticas de prioridade mais baixa. Lembre-se de que as políticas predefinidas são sempre aplicadas em último lugar.
  • Configure políticas de prioridade mais alta para ter definições mais rigorosas ou mais especializadas do que as políticas de prioridade inferior. Tem controlo total sobre as definições nas políticas personalizadas e as políticas predefinidas, mas não tem controlo sobre a maioria das definições nas políticas de segurança predefinidas.
  • Considere utilizar menos políticas personalizadas (utilize apenas políticas personalizadas para utilizadores que necessitem de definições mais especializadas do que as políticas de segurança predefinidas Standard ou Estritas ou políticas predefinidas).

Apêndice

É importante compreender como o utilizador permite e bloqueia, o inquilino permite e bloqueia, e filtrar veredictos de pilha na EOP e Defender para Office 365 complementam ou contradizem uns aos outros.

  • Para obter informações sobre como filtrar pilhas e como são combinadas, veja Proteção passo a passo contra ameaças no Microsoft Defender para Office 365.
  • Depois de a pilha de filtragem determinar um veredicto, só então são avaliadas as políticas de inquilino e as ações configuradas.
  • Se o mesmo endereço de e-mail ou domínio existir na lista de Remetentes Seguros de um utilizador e na lista de Remetentes Bloqueados, a lista remetentes seguros tem precedência.
  • Se a mesma entidade (endereço de e-mail, domínio, infraestrutura de envio falsificado, ficheiro ou URL) existir numa entrada de permissão e numa entrada de bloco na Lista de Permissões/Blocos de Inquilinos, a entrada de bloco tem precedência.

O utilizador permite e bloqueia

As entradas na coleção de lista segura de um utilizador (a lista remetentes seguros, a lista Destinatários Seguros e a lista de Remetentes Bloqueados em cada caixa de correio) são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito na seguinte tabela:

Veredicto da pilha de filtragem Lista de Remetentes/Destinatários Seguros do utilizador Lista de Remetentes Bloqueados do Utilizador
Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
Phishing de alta confiança O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
Phishing O utilizador ganha: Email entregues na Caixa de Entrada do utilizador O inquilino ganha: a política antiss spam aplicável determina a ação
Spam de alta confiança O utilizador ganha: Email entregues na Caixa de Entrada do utilizador O inquilino ganha: a política antiss spam aplicável determina a ação
Spam O utilizador ganha: Email entregues na Caixa de Entrada do utilizador O inquilino ganha: a política antiss spam aplicável determina a ação
Em massa O utilizador ganha: Email entregues na Caixa de Entrada do utilizador O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador
Não é spam O utilizador ganha: Email entregues na Caixa de Entrada do utilizador O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador
  • No Exchange Online, o domínio permitido na lista do Remetente Seguro poderá não funcionar se a mensagem for colocada em quarentena por qualquer uma das seguintes condições:
    • A mensagem é identificada como software maligno ou phishing de alta confiança (mensagens de phishing de alta confiança e software maligno são colocadas em quarentena).
    • As ações nas políticas antisspam são configuradas para colocar em quarentena em vez de mover correio para a pasta Email de Lixo.
    • O endereço de e-mail, URL ou ficheiro na mensagem de e-mail também está numa entrada de bloco na Lista de Permissões/Bloqueios do Inquilino.

Para obter mais informações sobre a coleção de listas seguras e as definições antissempas nas caixas de correio dos utilizadores, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online.

Inquilino permite e bloqueia

Os inquilinos permitem e os blocos são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito nas seguintes tabelas:

  • Política de entrega avançada (ignorar filtragem para caixas de correio SecOps designadas e URLs de simulação de phishing):

    Veredicto da pilha de filtragem Permissão de política de entrega avançada
    Malware O inquilino ganha: Email entregues na caixa de correio
    Phishing de alta confiança O inquilino ganha: Email entregues na caixa de correio
    Phishing O inquilino ganha: Email entregues na caixa de correio
    Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio
    Spam O inquilino ganha: Email entregues na caixa de correio
    Em massa O inquilino ganha: Email entregues na caixa de correio
    Não é spam O inquilino ganha: Email entregues na caixa de correio
  • Regras de fluxo de correio do Exchange (também conhecidas como regras de transporte):

    Veredicto da pilha de filtragem A regra de fluxo de correio permite* Blocos de regras de fluxo de correio
    Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing de alta confiança O filtro ganha: Email em quarentena, exceto no encaminhamento complexo O filtro ganha: Email em quarentena
    Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: ação de phishing na política antiss spam aplicável
    Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador

    * As organizações que utilizam um serviço ou dispositivo de segurança de terceiros à frente do Microsoft 365 devem considerar a utilização da Cadeia De Receção Autenticada (ARC) (contactar terceiros para disponibilidade) e a Filtragem Avançada para Conectores (também conhecida como ignorar listagem) em vez de uma regra de fluxo de correio SCL=-1. Estes métodos melhorados reduzem os problemas de autenticação de e-mail e incentivam a segurança de e-mail de defesa em profundidade .

  • Lista de Permissões de IP e Lista de Bloqueios de IP nas políticas de filtro de ligação:

    Veredicto da pilha de filtragem Lista de Permissões de IP Lista de Blocos IP
    Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing de alta confiança O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente
    Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente
    Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente
    Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente
    Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email removido silenciosamente
  • Permitir e bloquear definições em políticas antisspam:

    • Remetente e lista de domínios permitidos.
    • Remetente e lista de domínios bloqueados.
    • Bloquear mensagens de países/regiões específicos ou em idiomas específicos.
    • Bloquear mensagens com base nas definições do Filtro de Spam Avançado (ASF).
    Veredicto da pilha de filtragem A política antiss spam permite Blocos de política antiss spam
    Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing de alta confiança O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: ação de phishing na política antiss spam aplicável
    Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Em massa O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
    Não é spam O inquilino ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  • Permitir entradas na Lista de Permissões/Bloqueios do Inquilino: existem dois tipos de entradas de permissão:

    • O nível da mensagem permite que as entradas atuem em toda a mensagem, independentemente das entidades na mensagem. As entradas de permissão para endereços de e-mail e domínios são entradas de permissão ao nível da mensagem.
    • O nível de entidade permite que as entradas atuem sobre o veredicto de filtragem de entidades. Permitir entradas para URLs, remetentes falsificados e ficheiros são entradas de permissão ao nível da entidade. Para substituir software maligno e veredictos de phishing de alta confiança, tem de utilizar entradas de permissão ao nível da entidade, que só pode criar por submissão devido a Seguro por predefinição no Microsoft 365.
    Veredicto da pilha de filtragem Email endereço/domínio
    Malware O filtro ganha: Email em quarentena
    Phishing de alta confiança O filtro ganha: Email em quarentena
    Phishing O inquilino ganha: Email entregues na caixa de correio
    Spam de alta confiança O inquilino ganha: Email entregues na caixa de correio
    Spam O inquilino ganha: Email entregues na caixa de correio
    Em massa O inquilino ganha: Email entregues na caixa de correio
    Não é spam O inquilino ganha: Email entregues na caixa de correio
  • Bloquear entradas na Lista de Permissões/Bloqueios do Inquilino:

    Veredicto da pilha de filtragem Email endereço/domínio Spoof Arquivo URL
    Malware O filtro ganha: Email em quarentena O filtro ganha: Email em quarentena O inquilino ganha: Email em quarentena O filtro ganha: Email em quarentena
    Phishing de alta confiança O inquilino ganha: Email em quarentena O filtro ganha: Email em quarentena O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
    Phishing O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
    Spam de alta confiança O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
    Spam O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
    Em massa O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
    Não é spam O inquilino ganha: Email em quarentena O inquilino ganha: ação spoof na política anti-phishing aplicável O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena

Conflito de definições de utilizador e inquilino

A tabela seguinte descreve como os conflitos são resolvidos se um e-mail for afetado pelas definições de permissão/bloqueio do utilizador e pelas definições de permissão/bloqueio do inquilino:

Tipo de permissão/bloco de inquilino Lista de Remetentes/Destinatários Seguros do utilizador Lista de Remetentes Bloqueados do Utilizador
Bloquear entradas na Lista de Permissões/Bloqueios do Inquilino para:
  • Email endereços e domínios
  • Arquivos
  • URLs
O inquilino ganha: Email em quarentena O inquilino ganha: Email em quarentena
Bloquear entradas para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos O inquilino ganha: ação spoof intelligence na política anti-phishing aplicável O inquilino ganha: ação spoof intelligence na política anti-phishing aplicável
Política de entrega avançada O utilizador ganha: Email entregues na caixa de correio O inquilino ganha: Email entregues na caixa de correio
Bloquear definições em políticas antisspam O utilizador ganha: Email entregues na caixa de correio O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador
Respeitar a política DMARC O utilizador ganha: Email entregues na caixa de correio O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador
Blocos por regras de fluxo de correio O utilizador ganha: Email entregues na caixa de correio O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador
Permite por:
  • Regras do fluxo de email
  • Lista de Permissões de IP (política de filtro de ligação)
  • Remetente e lista de domínios permitidos (políticas antisspam)
  • Lista de Permissões/Bloqueios de Locatários
O utilizador ganha: Email entregues na caixa de correio O utilizador ganha: Email entregue na pasta de Email de Lixo do utilizador