Hvad er Microsoft Quarantine?

Hvad er Microsoft Quarantine

Det er ret kompliceret at sikre e-mailangreb, men cybersikkerhedsindustrien og udbydere af e-mailtjenester har konstant arbejdet på at gøre situationen bedre. Microsoft-karantæne er værre end at markere den som spam, fordi den tiltænkte modtager ikke aner, at din e-mail har forsøgt at nå dem. 

Når du sender en e-mail, vil du gerne have den leveret til den tiltænkte modtager, som skal åbne den og svare tilbage, hvis det er nødvendigt. Intet af dette vil dog ske, hvis din e-mail er i karantæne. 

Microsofts karantænepolitik blev indført for at begrænse spredningen af malware. Politikken definerer, hvad brugerne må gøre eller ikke må gøre ved meddelelser i karantæne, afhængigt af hvorfor e-mailen blev sat i karantæne. Administratorer har tilladelse til at tilpasse begrænsninger for brugere og også aktivere notifikationer. 

Hvordan får jeg adgang til Microsoft Quarantine?

Din mulighed for at få adgang til Microsoft-karantænemeddelelser afhænger af den anvendte karantænepolitik. Sådan kan du få adgang til den.

  1. Gå til Microsoft 365 Defender-portalen på https://security.microsoft.com/ og vælg Email & Collaboration > Review > Quarantine. Du kan også gå direkte til karantænesiden ved at klikke på https://security.microsoft.com/quarantine.
  2. Derefter skal du løse resultaterne ved at klikke på en tilgængelig kolonneoverskrift. Du kan klikke på Tilpas kolonner for at ændre følgende kolonner.
  • Tidspunkt for modtagelse
  • Emne
  • Afsender
  • Årsag til karantæne
  • Udgivelsesstatus
  • Politisk type
  • Udløber
  • Modtager
  • Meddelelses-id
  • Politisk navn
  • Meddelelsesstørrelse
  • Retning af post

Klik på Anvend, når det er gjort.

Betyder "i karantæne" slettes?

Nej, karantæne er ikke ensbetydende med slettet. Det betyder, at meddelelsen er spam-agtig eller potentielt skadelig; derfor opbevares den mistænkte e-mail i et sikkert miljø, hvor du kan åbne den uden risiko. 

Microsoft-meddelelsen om karantæne vises efter hver tredje dag. Den slettes permanent fra postkassen efter 30 dage (eller mindre, hvis du har ændret indstillingerne).

Hvad er årsagen til, at en e-mail sættes i karantæne? 

For at forhindre brugere i at håndtere deres egne phishing-e-mails i karantæne kan administratorer tildele en karantænepolitik. Politikken kan nægte adgang til alle meddelelser i karantæne. Microsoft-karantæne opstår typisk af følgende årsager:

Årsag til karantæne Standardopbevaringsperiode Kan du tilpasse eller ej? Kommentarer
Meddelelser, der er sat i karantæne i henhold til antispam-politikker; spam, spam med høj grad af tillid, phishing, phishing med høj grad af tillid eller bulk. 15 dage i henhold til Microsofts standardpolitik for karantæne mod spam. Dette er i den anti-spam-politik, som du har oprettet i PowerShell.

Den kan også trække sig tilbage i 30 dage i anti-spam-politikker, som du har oprettet i Microsoft Defender-portalen.

 Ja Du kan sænke værdien i anti-spam-politikker.
Meddelelser, der er sat i karantæne af politikker til bekæmpelse af phishing: spoof-oplysninger i EOP; brugerudtryk, domæneudtryk eller postkasseoplysninger i Defender for Office 365. 30 dage Ja Denne opbevaringsperiode er under kontrol af indstillingen for karantæneopbevaringsperiode i antispam-politikken.

Her er værdien for opbevaringsperioden den samme som den første matchende antispampolitik, som modtageren er defineret i.
Meddelelser, der er sat i karantæne af anti-malware-politikker (malware-meddelelser). 30 dage Nej Når du aktiverer filtrering af almindelige vedhæftede filer i anti-malware-politikker, betragtes vedhæftede filer i e-mailen som ondsindede. Dette er kun baseret på filudvidelsen. Der er en foruddefineret liste over almindeligt udførte filtyper, men du har lov til at foretage ændringer i dem.
Meddelelser, der er sat i karantæne af politikker for sikre vedhæftede filer i Defender for Office 365 (malware-meddelelser) 30 dage Nej
Meddelelser, der er sat i karantæne af regler for postflow: Afsend meddelelsen til den værtsbaserede karantæne (karantæne). 30 dage Nej
Filer, der er sat i karantæne af Safe Attachments for SharePoint, OneDrive og Microsoft Teams (malware-filer). 30 dage Nej I dette tilfælde bliver filerne slettet fra SharePoint eller OneDrive efter 30 dage. De blokerede filer forbliver dog i SharePoint eller OneDrive i den blokerede tilstand.

Hvordan skal jeg behandle Microsoft-karantænefiler?

Vælg Microsoft-filer i karantæne på listen, og tag en af følgende mulige handlinger, der er tilgængelige i detaljerne i udkanten. 

1. Frigivelse af e-mail

Start med at nulstille følgende indstillinger.

  • Tilføj afsender til listen over tilladelser i din organisation: Denne indstilling forhindrer e-mails i at blive sat i Microsoft-karantæne.
  • Vælg en af disse muligheder: 
  1. Frigivelse til alle modtagere
  2. Frigivelse til bestemte modtagere: Vælg de modtagere, du vil tilføje i feltet Modtager.
  • Del en kopi af e-mailen med andre modtagere: Vælg denne indstilling, og tilføj modtagerne.
  • Send meddelelsen til Microsoft for at forbedre registreringen (falsk positiv): Dette er en standardindstilling, som rapporterer meddelelser, der ved en fejl er sat i karantæne. Disse meddelelser fremhæves som falske positive meddelelser. E-mails, der betragtes som spam, bulk, phishing eller indeholder malware, rapporteres også til Microsoft Spam Analysis Team. 
  • Tillad meddelelser som denne: Denne indstilling er som standard deaktiveret, men du kan aktivere den for midlertidigt at forhindre, at meddelelser med lignende URL'er, vedhæftede filer og andre karakteristika fejlagtigt bliver sat i Microsoft-karantæne. Du vil støde på to muligheder:
  1. Fjern efter: Vælg, hvor mange dage du ønsker at tillade sådanne meddelelser. Standardværdien er indstillet til 30 dage.
  2. Valgfri note: Tilføj en relevant beskrivelse af tilladelsen.

Klik på Meddelelse om frigivelse, når du er færdig med at konfigurere den.

2. Del e-mail

Indtast en eller flere modtagere i udklipsfeltet. Det er de modtagere, der vil modtage en kopi af meddelelsen. Klik på Del, når du er færdig med at tilføje deres e-mailadresser.

3. Flere handlinger

  • Vis beskedhovedet: Klik på dette, hvis du vil se e-mailhovedteksten. Der vil være følgende muligheder under den.
    1. Kopier beskedhovedet
    2. Microsoft Message Header Analyzer: Hvis du vil analysere headerfelter og -værdier, skal du klikke på linket, indsætte beskedhovedet og klikke på Analyser headere.
  • Forhåndsvisning af meddelelser: Vælg en af følgende faner: Vælg en af følgende faner:
    1. Kilde: 1: Du vil se HTML-versionen med alle links deaktiveret.
    2. Almindelig tekst: Du vil se meddelelsesteksten i almindelig tekst.
  • Slet fra karantæne: Hvis du klikker på Ja, slettes meddelelsen permanent uden at blive sendt til den oprindelige modtager.
  • Download e-mail: Konfigurer følgende under den:
    1. Årsag til downloading af fil
    2. Opret adgangskode
  • Bloker afsender: Tilføj afsenderen til listen over blokerede afsendere i din postkasse.
  • Kun indsende: Rapporterer meddelelsen til Microsoft med henblik på analyse. Du vil se nogle muligheder under den.

DMARC-karantæne og afvisning - forklaret 

Hvis din DMARC-politik har været indstillet til p=none i lang tid, er det på tide at ændre den til enten p=reject eller p=quarantine. Disse strengere politikker forhindrer de ondsindede forsøg på phishing og scamming, der er planlagt af trusselsaktører. Men før du implementerer en af DMARC-politikkerne, skal du forstå deres forskelle.

DMARC-karantæne

Når du indstiller DMARC-karantæne politik, giver du modtagerserveren besked om, hvordan de skal behandle ubekræftede e-mails, der er sendt fra dit domæne. Du kan vælge, om de skal sættes i karantæne, leveres til spam eller underkastes aggressiv spamfiltrering.

Det anbefales at bruge dette som en testmulighed, da det giver din virksomhed mulighed for at begynde at bruge deres DMARC styrke langsomt og mindre aggressivt. Så indtil du er sikker på, at ingen rigtige e-mails fejlagtigt sættes i karantæne, skal du indstille din DMARC-politik til p=quarantine.

Politik for afvisning af DMARC

Med p=reject-politikken kan du forhindre alle ondsindede aktiviteter fuldstændigt. Desuden får de tiltænkte modtagere slet ikke besked om mailen, og der er ingen chance for, at de kan blive snydt, hvis den ikke er havnet i deres postkasse.

Men det har en ulempe, da nogle legitime e-mails også kan blive afvist fejlagtigt. Hvis du ikke overvåger DMARC-rapporter regelmæssigt, kan det tage måneder at opdage, at legitime e-mails ikke bliver leveret. Dette kan hæmme produktiviteten, kommunikationen med kunder, potentielle kunder og partnere, salgsvæksten, markedsføringsindsatsen osv.

Microsoft-karantæne

Nyeste indlæg af Ahona Rudra (se alle)
/af
Hvad er en cybersikkerhedsrevision, og hvorfor har du brug for den?Hvad er en cybersikkerhedsrevision?Hvad er GPS-spoofing En komplet guideHvad er GPS-spoofing - en komplet vejledning