È piuttosto complicato proteggere gli attacchi via e-mail, eppure l'industria della cybersecurity e i fornitori di servizi di posta elettronica si sono costantemente impegnati per migliorare la situazione. La quarantena di Microsoft è peggiore della marcatura come spam, perché il destinatario non si accorge che la vostra e-mail ha cercato di raggiungerlo.
Ogni volta che si invia un'e-mail, si desidera che venga consegnata al destinatario previsto, che dovrà aprirla e rispondere se necessario. Tuttavia, nulla di tutto ciò accade se l'e-mail viene messa in quarantena.
Il criterio di quarantena Microsoft è stato introdotto per contenere la diffusione del malware. Il criterio definisce ciò che gli utenti possono fare o non fare con i messaggi in quarantena, a seconda del motivo per cui l'e-mail è stata messa in quarantena. Gli amministratori possono personalizzare le restrizioni per gli utenti e attivare le notifiche.
Come si accede alla quarantena Microsoft?
La possibilità di accedere ai messaggi di quarantena Microsoft dipende dal criterio di quarantena applicato. Ecco come è possibile accedervi.
- Accedere al portale Microsoft 365 Defender all'indirizzo https://security.microsoft.com/ e selezionare E-mail e collaborazione > Revisione > Quarantena. È anche possibile accedere direttamente alla pagina della quarantena facendo clic su https://security.microsoft.com/quarantine.
- Quindi è necessario risolvere i risultati facendo clic sull'intestazione di una colonna disponibile. È possibile fare clic su Personalizza colonne per modificare le seguenti colonne.
- Tempo ricevuto
- Oggetto
- Mittente
- Motivo della quarantena
- Stato di rilascio
- Tipo di politica
- Scadenza
- Destinatario
- ID messaggio
- Nome della politica
- Dimensione del messaggio
- Direzione della posta
Al termine, fare clic su Applica.
Quarantena significa eliminazione?
No, quarantena non significa eliminato. Significa che il messaggio è di tipo spam o potenzialmente dannoso; pertanto, l'e-mail sospetta viene archiviata in un ambiente sicuro dove è possibile aprirla senza alcun rischio.
La notifica di quarantena di Microsoft viene emessa ogni tre giorni. Viene eliminato definitivamente dalla casella di posta elettronica dopo 30 giorni (o meno se si sono modificate le impostazioni).
Cosa provoca la messa in quarantena di un'e-mail?
Per impedire agli utenti di gestire le proprie e-mail di phishing in quarantena, gli amministratori possono assegnare un criterio di quarantena. Il criterio può negare l'accesso a tutti i messaggi in quarantena. La quarantena di Microsoft avviene in genere per i seguenti motivi:
Motivo della quarantena | Periodo di conservazione predefinito | Personalizzabile o no? | Commenti |
Messaggi messi in quarantena dai criteri anti-spam; spam, spam ad alta affidabilità, phishing, phishing ad alta affidabilità o bulk. | 15 giorni secondo il criterio predefinito di Microsoft per la quarantena anti-spam. Questo si trova nel criterio anti-spam creato dall'utente in PowerShell.
Può anche rientrare per 30 giorni nei criteri antispam creati dall'utente nel portale Microsoft Defender. |
Sì | È possibile ridurre il suo valore nelle politiche anti-spam. |
Messaggi messi in quarantena dai criteri anti-phishing: intelligenza di spoof in EOP; intelligenza di impersonificazione dell'utente, impersonificazione del dominio o casella di posta elettronica in Defender per Office 365. | 30 giorni | Sì | Questo periodo di conservazione è controllato dall'impostazione Periodo di conservazione della quarantena nel criterio antispam.
In questo caso, il valore del periodo di conservazione è lo stesso del primo criterio antispam corrispondente in cui è definito il destinatario. |
Messaggi messi in quarantena dai criteri antimalware (messaggi malware). | 30 giorni | No | Quando si attiva il filtro degli allegati comuni nei criteri antimalware, gli allegati delle e-mail vengono considerati come dispettosi. Questo si basa solo sull'estensione del file. Esiste un elenco predefinito di tipi di file comunemente eseguiti, ma è possibile modificarlo. |
Messaggi messi in quarantena dai criteri di Safe Attachments in Defender per Office 365 (messaggi malware) | 30 giorni | No | |
Messaggi messi in quarantena dalle regole del flusso di posta: Consegnare il messaggio alla quarantena ospitata (Quarantena). | 30 giorni | No | |
File messi in quarantena da Safe Attachments per SharePoint, OneDrive e Microsoft Teams (file malware). | 30 giorni | No | In questo caso, i file vengono eliminati da SharePoint o OneDrive dopo 30 giorni. Tuttavia, i file bloccati rimangono in SharePoint o OneDrive nello stato di blocco. |
Come trattare i file in quarantena di Microsoft?
Selezionare i file Microsoft in quarantena dall'elenco e intraprendere una delle seguenti azioni possibili, disponibili nel riquadro dei dettagli.
1. Rilascio dell'e-mail
Iniziare a reimpostare le seguenti opzioni.
- Aggiungere il mittente all'elenco dei destinatari dell'organizzazione: Questa opzione impedisce che le e-mail vengano messe in quarantena da Microsoft.
- Selezionare una delle opzioni:
- Rilascio a tutti i destinatari
- Rilasciare a destinatari specifici: Selezionare i destinatari da aggiungere nella casella Destinatario.
- Condividere una copia dell'e-mail con altri destinatari: Scegliere questa opzione e aggiungere i destinatari.
- Invia il messaggio a Microsoft per migliorare il rilevamento (falso positivo): Questa è un'opzione predefinita che segnala i messaggi messi in quarantena per errore. Questi messaggi vengono evidenziati come falsi positivi. Per i messaggi considerati spam, bulk, phishing o contenenti malware, il messaggio viene segnalato anche al Microsoft Spam Analysis Team.
- Consenti messaggi simili a questo: Questa opzione è disattivata per impostazione predefinita, ma è possibile attivarla per impedire temporaneamente che messaggi con URL, allegati e altre caratteristiche simili vengano erroneamente messi in quarantena da Microsoft. Sono disponibili due opzioni:
- Rimuovi dopo: Selezionare per quanti giorni si desidera consentire tali messaggi. Il valore predefinito è impostato su 30 giorni.
- Nota facoltativa: aggiungere una descrizione pertinente per il permesso.
Una volta terminata la configurazione, fare clic sul messaggio Release.
2. Condividi Email
Inserire uno o più destinatari nel riquadro a comparsa. Questi sono i destinatari che riceveranno una copia del messaggio. Fare clic su Condividi una volta terminata l'aggiunta degli indirizzi e-mail.
3. Altre azioni
- Visualizza intestazioni del messaggio: Fare clic su questa opzione se si desidera visualizzare il testo dell'intestazione dell'e-mail. Sotto di essa sono presenti le seguenti opzioni.
1. Copia intestazione messaggio
2. Microsoft Message Header Analyzer: Per analizzare i campi e i valori dell'intestazione, fare clic sul link, incollare l'intestazione del messaggio e fare clic su Analizza intestazioni. - Anteprima dei messaggi: Scegliere una delle seguenti schede:
1. Fonte: Viene visualizzata la versione HTML con tutti i collegamenti disabilitati.
2. Testo normale: Viene visualizzato il corpo del messaggio in testo normale. - Elimina dalla quarantena: Se si fa clic su Sì, il messaggio verrà eliminato definitivamente senza essere inviato al destinatario originale.
- Scaricare l'e-mail: Configurare le seguenti opzioni:
1. Motivo del download del file
2. Creare la password - Bloccare il mittente: Aggiungere il mittente all'elenco dei mittenti bloccati della casella e-mail.
- Solo invio: Segnala il messaggio a Microsoft per l'analisi. Sotto di esso vengono visualizzate alcune opzioni.
DMARC Quarantena Vs Rifiuto - Spiegazioni
Se la vostra DMARC è stata impostata su p=none per molto tempo, è ora di passare a p=reject o p=quarantine. Questi criteri più severi impediscono i tentativi di phishing e di truffa pianificati dagli attori delle minacce. Ma prima di implementare uno dei criteri DMARC, è necessario comprenderne le differenze.
Quarantena DMARC
Quando si imposta la quarantena DMARC in quarantena si comunica al server dei destinatari il trattamento che si desidera riservare alle e-mail non autenticate inviate dal proprio dominio. Si può scegliere se metterle in quarantena, consegnarle allo spam o sottoporle a un filtro antispam aggressivo.
Si consiglia di utilizzare questa opzione come test, in quanto consente alla vostra azienda di iniziare a flettere il proprio DMARC lentamente e in modo meno aggressivo. Quindi, fino a quando non si è sicuri che nessuna e-mail corretta venga messa in quarantena erroneamente, si imposta il criterio DMARC su p=quarantena.
Politica di rifiuto DMARC
Il criterio p=reject consente di prevenire completamente tutte le attività dannose. Inoltre, i destinatari non vengono avvisati della posta e non c'è possibilità che vengano ingannati se non sono arrivati nella loro casella di posta.
Ma ha un lato negativo, in quanto anche alcune e-mail legittime possono essere rifiutate erroneamente. Se non si monitorano i i rapporti DMARC regolarmente, possono volerci mesi per accorgersi che le e-mail legittime non vengono recapitate. Questo può ostacolare la produttività, la comunicazione con i clienti, i potenziali clienti e i partner, la crescita delle vendite, gli sforzi di marketing, ecc.
- Come individuare e verificare gli indirizzi e-mail falsi? - 24 marzo 2023
- Cybersicurezza e apprendimento automatico: Restare al passo con le frodi via e-mail basate sul machine learning - 24 marzo 2023
- ChatGPT e sicurezza informatica - 23 marzo 2023