Che cos'è la quarantena Microsoft?

Blog

Scopri cos'è la quarantena di Microsoft: come funziona la quarantena delle e-mail, perché i messaggi finiscono lì e come gestire le e-mail in quarantena.

di Ahona Rudra

Ultimo aggiornamento:
6 Tempo di lettura: 6 min
Che cos'è la quarantena Microsoft?
Indice dei contenuti-

È piuttosto complicato proteggere gli attacchi via e-mail, eppure l'industria della cybersecurity e i fornitori di servizi di posta elettronica si sono costantemente impegnati per migliorare la situazione. La quarantena di Microsoft è peggiore della marcatura come spam, perché il destinatario non si accorge che la vostra e-mail ha cercato di raggiungerlo. 

Ogni volta che si invia un'e-mail, si desidera che venga consegnata al destinatario previsto, che dovrà aprirla e rispondere se necessario. Tuttavia, nulla di tutto ciò accade se l'e-mail viene messa in quarantena. 

Il criterio di quarantena Microsoft è stato introdotto per contenere la diffusione del malware. Il criterio definisce ciò che gli utenti possono fare o non fare con i messaggi in quarantena, a seconda del motivo per cui l'e-mail è stata messa in quarantena. Gli amministratori possono personalizzare le restrizioni per gli utenti e attivare le notifiche. 

I punti chiave da prendere in considerazione

  1. La sicurezza delle informazioni si concentra sulla protezione dei dati da accessi non autorizzati e sulla garanzia di riservatezza, integrità e disponibilità.
  2. La sicurezza informatica riguarda in particolare la protezione di reti, sistemi e dati da minacce e attacchi informatici.
  3. Sia la sicurezza delle informazioni che la sicurezza informatica svolgono un ruolo cruciale nella salvaguardia delle informazioni sensibili e nella prevenzione delle violazioni dei dati.
  4. I due campi si sovrappongono ma servono a scopi distinti: la sicurezza informatica si occupa principalmente delle minacce esterne e la sicurezza delle informazioni affronta i rischi interni ed esterni.
  5. L'implementazione di protocolli di sicurezza completi, come la crittografia e il controllo degli accessi, è essenziale per proteggere efficacemente i dati dell'organizzazione.

Come si accede alla quarantena Microsoft?

La possibilità di accedere ai messaggi di quarantena Microsoft dipende dal criterio di quarantena applicato. Ecco come è possibile accedervi.

  1. Accedere al portale Microsoft 365 Defender all'indirizzo https://security.microsoft.com/ e selezionare E-mail e collaborazione > Revisione > Quarantena. È anche possibile accedere direttamente alla pagina della quarantena facendo clic su https://security.microsoft.com/quarantine.
  2. Quindi è necessario risolvere i risultati facendo clic sull'intestazione di una colonna disponibile. È possibile fare clic su Personalizza colonne per modificare le seguenti colonne.
  • Tempo ricevuto
  • Oggetto
  • Mittente
  • Motivo della quarantena
  • Stato di rilascio
  • Tipo di politica
  • Scadenza
  • Destinatario
  • ID messaggio
  • Nome della politica
  • Dimensione del messaggio
  • Direzione della posta

Al termine, fare clic su Applica.

Semplificate la quarantena Microsoft con PowerDMARC!

Prova di 15 giorniPrenota una demo

Quarantena significa eliminazione?

No, quarantena non significa eliminato. Significa che il messaggio è di tipo spam o potenzialmente dannoso; pertanto, l'e-mail sospetta viene archiviata in un ambiente sicuro dove è possibile aprirla senza alcun rischio. 

La notifica di quarantena di Microsoft viene emessa ogni tre giorni. Viene eliminato definitivamente dalla casella di posta elettronica dopo 30 giorni (o meno se si sono modificate le impostazioni).

Cosa provoca la messa in quarantena di un'e-mail? 

Per impedire agli utenti di gestire le proprie e-mail di phishing in quarantena, gli amministratori possono assegnare un criterio di quarantena. Il criterio può negare l'accesso a tutti i messaggi in quarantena. La quarantena di Microsoft avviene in genere per i seguenti motivi:

Motivo della quarantena Periodo di conservazione predefinito Personalizzabile o no? Commenti
Messaggi messi in quarantena dai criteri anti-spam; spam, spam ad alta affidabilità, phishing, phishing ad alta affidabilità o bulk. 15 giorni secondo il criterio predefinito di Microsoft per la quarantena anti-spam. Questo si trova nel criterio anti-spam creato dall'utente in PowerShell.

Può anche rientrare per 30 giorni nei criteri antispam creati dall'utente nel portale Microsoft Defender.

 È possibile ridurre il suo valore nelle politiche anti-spam.
Messaggi messi in quarantena dai criteri anti-phishing: intelligenza di spoof in EOP; intelligenza di impersonificazione dell'utente, impersonificazione del dominio o casella di posta elettronica in Defender per Office 365. 30 giorni Questo periodo di conservazione è controllato dall'impostazione Periodo di conservazione della quarantena nel criterio antispam.

In questo caso, il valore del periodo di conservazione è lo stesso del primo criterio antispam corrispondente in cui è definito il destinatario.
Messaggi messi in quarantena dai criteri antimalware (messaggi malware). 30 giorni No Quando si attiva il filtro degli allegati comuni nei criteri antimalware, gli allegati delle e-mail vengono considerati come dispettosi. Questo si basa solo sull'estensione del file. Esiste un elenco predefinito di tipi di file comunemente eseguiti, ma è possibile modificarlo.
Messaggi messi in quarantena dai criteri di Safe Attachments in Defender per Office 365 (messaggi malware) 30 giorni No
Messaggi messi in quarantena dalle regole del flusso di posta: Consegnare il messaggio alla quarantena ospitata (Quarantena). 30 giorni No
File messi in quarantena da Safe Attachments per SharePoint, OneDrive e Microsoft Teams (file malware). 30 giorni No In questo caso, i file vengono eliminati da SharePoint o OneDrive dopo 30 giorni. Tuttavia, i file bloccati rimangono in SharePoint o OneDrive nello stato di blocco.

Come trattare i file in quarantena di Microsoft?

Selezionare i file Microsoft in quarantena dall'elenco e intraprendere una delle seguenti azioni possibili, disponibili nel riquadro dei dettagli. 

1. Rilascio dell'e-mail

Iniziare a reimpostare le seguenti opzioni.

  • Aggiungere il mittente all'elenco dei destinatari dell'organizzazione: Questa opzione impedisce che le e-mail vengano messe in quarantena da Microsoft.
  • Selezionare una delle opzioni: 
  1. Rilascio a tutti i destinatari
  2. Rilasciare a destinatari specifici: Selezionare i destinatari da aggiungere nella casella Destinatario.
  • Condividere una copia dell'e-mail con altri destinatari: Scegliere questa opzione e aggiungere i destinatari.
  • Invia il messaggio a Microsoft per migliorare il rilevamento (falso positivo): Questa è un'opzione predefinita che segnala i messaggi messi in quarantena per errore. Questi messaggi vengono evidenziati come falsi positivi. Per i messaggi considerati spam, bulk, phishing o contenenti malware, il messaggio viene segnalato anche al Microsoft Spam Analysis Team. 
  • Consenti messaggi simili a questo: Questa opzione è disattivata per impostazione predefinita, ma è possibile attivarla per impedire temporaneamente che messaggi con URL, allegati e altre caratteristiche simili vengano erroneamente messi in quarantena da Microsoft. Sono disponibili due opzioni:
  1. Rimuovi dopo: Selezionare per quanti giorni si desidera consentire tali messaggi. Il valore predefinito è impostato su 30 giorni.
  2. Nota facoltativa: aggiungere una descrizione pertinente per il permesso.

Una volta terminata la configurazione, fare clic sul messaggio Release.

2. Condividi Email

Inserire uno o più destinatari nel riquadro a comparsa. Questi sono i destinatari che riceveranno una copia del messaggio. Fare clic su Condividi una volta terminata l'aggiunta degli indirizzi e-mail.

3. Altre azioni

  • Visualizza intestazioni del messaggio: Fare clic su questa opzione se si desidera visualizzare il testo dell'intestazione dell'e-mail. Sotto di essa sono presenti le seguenti opzioni.
    1. Copia intestazione messaggio
    2. Microsoft Message Header Analyzer: Per analizzare i campi e i valori dell'intestazione, fare clic sul link, incollare l'intestazione del messaggio e fare clic su Analizza intestazioni.
  • Anteprima dei messaggi: Scegliere una delle seguenti schede:
    1. Fonte: Viene visualizzata la versione HTML con tutti i collegamenti disabilitati.
    2. Testo normale: Viene visualizzato il corpo del messaggio in testo normale.
  • Elimina dalla quarantena: Se si fa clic su Sì, il messaggio verrà eliminato definitivamente senza essere inviato al destinatario originale.
  • Scaricare l'e-mail: Configurare le seguenti opzioni:
    1. Motivo del download del file
    2. Creare la password
  • Bloccare il mittente: Aggiungere il mittente all'elenco dei mittenti bloccati della casella e-mail.
  • Solo invio: Segnala il messaggio a Microsoft per l'analisi. Sotto di esso vengono visualizzate alcune opzioni.

DMARC Quarantena Vs Rifiuto - Spiegazioni 

Se la tua policy DMARC è stata impostata su p=none per molto tempo, è il momento di cambiarla in p=reject o p=quarantine. Queste policy più severe impediscono i tentativi malevoli di phishing e truffa pianificati dagli attori della minaccia. Ma prima di implementare una delle policy DMARC, devi comprenderne le differenze.

Quarantena DMARC

Quando si imposta la quarantena DMARC in quarantena si comunica al server dei destinatari il trattamento che si desidera riservare alle e-mail non autenticate inviate dal proprio dominio. Si può scegliere se metterle in quarantena, consegnarle allo spam o sottoporle a un filtro antispam aggressivo.

Si consiglia di utilizzare questa opzione come test, in quanto consente alla vostra azienda di iniziare a flettere il proprio DMARC lentamente e in modo meno aggressivo. Quindi, fino a quando non si è sicuri che nessuna e-mail corretta venga messa in quarantena erroneamente, si imposta il criterio DMARC su p=quarantena.

Politica di rifiuto DMARC

Il criterio p=reject consente di prevenire completamente tutte le attività dannose. Inoltre, i destinatari non vengono avvisati della posta e non c'è possibilità che vengano ingannati se non sono arrivati nella loro casella di posta.

Ma ha un lato negativo, in quanto anche alcune e-mail legittime possono essere rifiutate erroneamente. Se non si monitorano i i rapporti DMARC regolarmente, possono volerci mesi per accorgersi che le e-mail legittime non vengono recapitate. Questo può ostacolare la produttività, la comunicazione con i clienti, i potenziali clienti e i partner, la crescita delle vendite, gli sforzi di marketing, ecc.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Che cos'è un audit di cybersecurity e perché ne avete bisogno?Che cos'è un audit di sicurezza informaticaCos'è lo spoofing GPS Una guida completaCos'è lo spoofing GPS - Una guida completa