Il est assez compliqué de sécuriser les attaques par courrier électronique, mais le secteur de la cybersécurité et les fournisseurs de services de courrier électronique font des efforts constants pour améliorer la situation. La mise en quarantaine par Microsoft est pire que le marquage en tant que spam, car le destinataire n'a aucune idée que votre courriel a essayé de l'atteindre.
Chaque fois que vous envoyez un courriel, vous voulez qu'il soit remis au destinataire, qui doit l'ouvrir et y répondre si nécessaire. Cependant, rien de tout cela ne peut se produire si votre courriel est mis en quarantaine.
La politique de quarantaine de Microsoft a été introduite pour contenir la propagation des logiciels malveillants. Cette politique définit ce que les utilisateurs sont autorisés à faire ou à ne pas faire aux messages mis en quarantaine, en fonction de la raison pour laquelle le courriel a été mis en quarantaine en premier lieu. Les administrateurs sont autorisés à personnaliser les restrictions pour les utilisateurs et à activer les notifications.
Comment accéder à la quarantaine Microsoft ?
Votre capacité à accéder aux messages de quarantaine de Microsoft dépend de la politique de quarantaine appliquée. Voici comment vous pouvez y accéder.
- Accédez au portail Microsoft 365 Defender à l'adresse https://security.microsoft.com/ et sélectionnez Email & Collaboration > Review > Quarantine. Vous pouvez également accéder directement à la page de la quarantaine en cliquant sur https://security.microsoft.com/quarantine.
- Vous devez ensuite résoudre les résultats en cliquant sur un en-tête de colonne disponible. Vous pouvez cliquer sur personnaliser les colonnes pour modifier les colonnes suivantes.
- Temps reçu
- Sujet
- Expéditeur
- Motif de la quarantaine
- Statut de sortie
- Type de politique
- Expiration :
- Bénéficiaire
- ID du message
- Nom de la politique
- Taille du message
- Direction du courrier
Cliquez sur Appliquer quand c'est fait.
Est-ce que mis en quarantaine signifie supprimé ?
Non, quarantaine ne signifie pas suppression. Cela signifie que le message est un spam ou qu'il est potentiellement malveillant. Par conséquent, l'e-mail suspect est stocké dans un environnement sécurisé où vous pouvez l'ouvrir sans aucun risque.
La notification de quarantaine de Microsoft apparaît tous les trois jours. Il est définitivement supprimé de la boîte aux lettres après 30 jours (ou moins si vous avez modifié les paramètres).
Qu'est-ce qui cause la mise en quarantaine d'un courriel ?
Pour empêcher les utilisateurs de manipuler leurs propres courriels de phishing mis en quarantaine, les administrateurs peuvent définir une politique de quarantaine. Cette politique peut refuser l'accès à tous les messages mis en quarantaine. La mise en quarantaine de Microsoft se produit généralement pour les raisons suivantes :
| Motif de la quarantaine | Période de conservation par défaut | Personnalisable ou non ? | Commentaires |
| Messages mis en quarantaine par les politiques anti-spam ; spam, spam à haut risque, phishing, phishing à haut risque, ou vrac. | 15 jours selon la politique anti-spam de quarantaine par défaut de Microsoft. Ceci se trouve dans la politique anti-spam que vous avez créée dans PowerShell.
Il peut également retenir pendant 30 jours les politiques anti-spam que vous avez créées dans le portail Microsoft Defender. |
Oui | Vous pouvez diminuer sa valeur dans les politiques anti-spam. |
| Messages mis en quarantaine par les politiques d'anti-phishing : spoof intelligence dans EOP ; user impersonation, domain impersonation, ou mailbox intelligence dans Defender for Office 365. | 30 jours | Oui | Cette période de rétention est sous le contrôle du paramètre Période de rétention en quarantaine de la politique anti-spam.
Ici, la valeur de la période de conservation est la même que celle de la première politique anti-spam correspondante dans laquelle le destinataire est défini. |
| Les messages mis en quarantaine par les politiques anti-malware (messages de malware). | 30 jours | Non | Lorsque vous activez le filtrage des pièces jointes communes dans les stratégies anti-malware, les pièces jointes du courrier électronique sont considérées comme malveillantes. Ceci est uniquement basé sur l'extension du fichier. Il existe une liste prédéfinie de types de fichiers couramment exécutés, mais vous êtes autorisé à y apporter des modifications. |
| Messages mis en quarantaine par les politiques de sécurité des pièces jointes dans Defender pour Office 365 (messages de logiciels malveillants) | 30 jours | Non | |
| Messages mis en quarantaine par des règles de flux de courrier : Livrer le message à la quarantaine hébergée (Quarantaine). | 30 jours | Non | |
| Fichiers mis en quarantaine par Safe Attachments for SharePoint, OneDrive et Microsoft Teams (fichiers malveillants). | 30 jours | Non | Dans ce cas, les fichiers sont rejetés de SharePoint ou OneDrive après 30 jours. Cependant, les fichiers bloqués restent dans SharePoint ou OneDrive dans l'état bloqué. |
Comment dois-je traiter les fichiers en quarantaine de Microsoft ?
Sélectionnez les fichiers Microsoft mis en quarantaine dans la liste et prenez l'une des mesures suivantes, disponibles dans le menu déroulant des détails.
1. Libération de l'email
Commencez par réinitialiser les options suivantes.
- Ajouter l'expéditeur à la liste des personnes autorisées de votre organisation : Cette option empêche les courriels d'être mis en quarantaine par Microsoft.
- Sélectionnez l'une ou l'autre des options :
- Communiqué à tous les destinataires
- Diffuser à des destinataires spécifiques : Sélectionnez les destinataires que vous souhaitez ajouter dans la case Destinataire.
- Partager une copie de l'e-mail avec d'autres destinataires : Choisissez cette option et ajoutez les destinataires.
- Soumettre le message à Microsoft pour améliorer la détection (faux positif) : Il s'agit d'une option par défaut qui signale les messages mis en quarantaine par erreur. Ces messages sont mis en évidence en tant que faux positifs. Les messages considérés comme du spam, des messages en masse, du phishing ou contenant des logiciels malveillants sont également signalés à l'équipe d'analyse des spams de Microsoft.
- Autoriser les messages comme celui-ci : Cette option est désactivée par défaut, mais vous pouvez l'activer pour empêcher temporairement que les messages ayant des URL, des pièces jointes et d'autres caractéristiques similaires ne soient mis par erreur en quarantaine par Microsoft. Vous rencontrerez deux options :
- Supprimer après : Sélectionnez le nombre de jours pendant lesquels vous souhaitez autoriser ces messages. La valeur par défaut est fixée à 30 jours.
- Note facultative : ajoutez une description pertinente pour l'autorisation.
Cliquez sur le message Release une fois que vous avez terminé de le configurer.
2. Partager l'e-mail
Saisissez un ou plusieurs destinataires dans le menu déroulant. Ce sont les destinataires qui recevront une copie du message. Cliquez sur Partager lorsque vous avez fini d'ajouter leurs adresses électroniques.
3. Plus d'actions
- Afficher les en-têtes de message : Cliquez sur cette option si vous voulez voir le texte de l'en-tête du message. Il y aura les options suivantes en dessous.
1. Copier l'en-tête du message
2. Analyseur d'en-tête de message Microsoft : Pour analyser les champs et les valeurs de l'en-tête, cliquez sur le lien, collez l'en-tête du message et cliquez sur Analyser les en-têtes. - Prévisualiser les messages : Choisissez l'un des onglets suivants :
1. Source : Vous verrez la version HTML avec tous les liens désactivés.
2. Texte brut : Vous verrez le corps du message en texte brut. - Supprimer de la quarantaine : Si vous cliquez sur Oui, le message sera définitivement supprimé sans être envoyé au destinataire initial.
- Télécharger l'email : Configurez les éléments suivants sous celui-ci :
1. Raison du téléchargement du fichier
2. Créer un mot de passe - Bloquer l'expéditeur : Ajoutez l'expéditeur à la liste des expéditeurs bloqués dans votre boîte aux lettres.
- Soumettre uniquement : Transmet le message à Microsoft pour analyse. Vous verrez quelques options sous cette option.
DMARC Quarantaine Vs Rejet - Expliqué
Si votre politique DMARC est réglée sur p=none depuis longtemps, il est temps de la changer pour p=reject ou p=quarantine. Ces politiques plus strictes empêchent les tentatives malveillantes de phishing et d'escroquerie prévues par les acteurs de la menace. Mais avant de mettre en œuvre l'une des politiques DMARC, vous devez comprendre leurs différences.
Quarantaine DMARC
Lorsque vous définissez l'option quarantaine DMARC vous indiquez au serveur destinataire comment vous voulez qu'il traite les courriels non authentifiés envoyés par votre domaine. Vous pouvez choisir de les mettre en quarantaine, de les envoyer dans les spams ou de les soumettre à un filtrage anti-spam agressif.
Il est conseillé d'utiliser cette option à titre de test, car elle permet à votre entreprise de commencer à assouplir ses procédures de certification DMARC lentement et de manière moins agressive. Ainsi, jusqu'à ce que vous soyez sûr qu'aucun courriel correct n'est mis en quarantaine par erreur, vous réglez votre politique DMARC sur p=quarantine.
Politique de rejet DMARC
La politique p=reject vous permet d'empêcher complètement toute activité malveillante. De plus, les destinataires ne sont pas du tout informés de l'arrivée du courrier, et il n'y a aucune chance qu'ils soient trompés s'il n'a pas atterri dans leur boîte aux lettres.
Mais cela a un inconvénient, car certains courriels légitimes peuvent également être rejetés par erreur. Si vous ne surveillez pas les rapports DMARC régulièrement, il faut parfois des mois pour s'apercevoir que des courriels légitimes ne sont pas délivrés. Cela peut entraver la productivité, la communication avec les clients, les prospects et les partenaires, la croissance des ventes, les efforts de marketing, etc.
