マイクロソフト検疫

電子メール攻撃を安全に行うことは非常に複雑ですが、サイバーセキュリティ業界と電子メールサービスプロバイダーは、この状況を改善するために絶え間ない努力を続けています。マイクロソフトの検疫は、意図した受信者があなたのメールが到達しようとしたことを全く知らないので、スパムとしてマークするよりも悪いものです。 

メールを送信するときはいつも、意図した相手にメールが届き、相手がそれを開いて、必要であれば返信することを望んでいます。しかし、電子メールが隔離されていると、このようなことは起こりません。 

Microsoftの検疫ポリシーは、マルウェアの拡散を抑制するために導入されました。このポリシーは、電子メールが最初に隔離された理由に応じて、ユーザーが隔離されたメッセージに対して許可されること、または許可されないことを定義します。管理者は、ユーザーに対する制限をカスタマイズすることができ、また、通知を有効にすることもできます。 

マイクロソフト検疫にアクセスする方法は?

Microsoftの検疫メッセージにアクセスできるかどうかは、適用されている検疫ポリシーに依存します。ここでは、アクセスする方法について説明します。

  1. Microsoft 365 Defenderのポータルサイトにアクセスします。 https://security.microsoft.com/をクリックし、[メールとコラボレーション] > [レビュー] > [隔離]を選択します。をクリックすると、隔離ページに直接移動することもできます。 https://security.microsoft.com/quarantine.
  2. その後、利用可能な列のヘッダーをクリックして、結果を解決する必要があります。列のカスタマイズをクリックすると、以下の列を変更することができます。
  • 受信した時間
  • 件名
  • 送信者
  • 検疫の理由
  • 発売状況
  • ポリシータイプ
  • 期限切れ
  • 受取人
  • メッセージID
  • ポリシー名
  • メッセージサイズ
  • メールの方向性

完了したら「適用」をクリックします。

QuarantinedはDeletedの意味ですか?

いいえ、隔離は削除を意味するものではありません。スパムっぽい、または悪意のある可能性のあるメッセージであることを意味します。したがって、疑いのあるメールは安全な環境に保管され、何のリスクもなく開くことができます。 

マイクロソフトの検疫通知は3日ごとにポップアップ表示されます。30日後(設定を変更した場合はそれ以下)にメールボックスから永久に削除されます。

メールが隔離される原因は何ですか? 

隔離されたフィッシングメールをユーザーが自分で扱えないようにするために、管理者は隔離ポリシーを割り当てることができます。このポリシーは、隔離されたすべてのメッセージへのアクセスを拒否することができます。マイクロソフトの検疫は、通常、次のような理由で発生します。

検疫の理由 デフォルトの保存期間 カスタマイズ可能か否か? コメント
スパム対策ポリシーによって隔離されたメッセージ:スパム、高信頼性スパム、フィッシング、高信頼性フィッシング、またはバルク。 マイクロソフトのデフォルトの検疫スパム対策ポリシーで15日間。これは、PowerShellで作成したアンチスパムポリシーに記載されています。

また、Microsoft Defenderポータルでお客様が作成したアンチスパムポリシーでも30日間保持することができます。

はい。 アンチスパムポリシーでその値を下げることができます。
フィッシング対策ポリシーによって隔離されたメッセージ:EOPのスプーフインテリジェンス、Defender for Office 365のユーザーなりすまし、ドメインなりすまし、メールボックスインテリジェンス。 30日 はい。 この保存期間は、アンチスパムポリシーの検疫保存期間設定の制御下にあります。

ここで、保存期間の値は、受信者が定義されているアンチスパムポリシーと最初に一致するものと同じです。

アンチマルウェアポリシーによって隔離されたメッセージ(マルウェアメッセージ)。 30日 いいえ マルウェア対策ポリシーで共通添付ファイルフィルタリングを有効にすると、メールに含まれる添付ファイルがスパイウェアとみなされます。これは、ファイル拡張子にのみ基づいています。一般的に実行されるファイルタイプの事前定義されたリストがありますが、それに対して変更を加えることが許されています。
Defender for Office 365の安全な添付ファイルポリシーで隔離されたメッセージ(マルウェアメッセージ) 30日 いいえ
メールフロールールによって隔離されたメッセージ。ホストされた検疫(Quarantine)にメッセージを配信します。 30日 いいえ
Safe Attachments for SharePoint、OneDrive、およびMicrosoft Teamsで隔離されたファイル(マルウェアファイル)。 30日 いいえ この中で、ファイルは30日後にSharePointまたはOneDriveから退去されます。ただし、ブロックされたファイルは、ブロックされた状態でSharePointまたはOneDriveに残ります。

マイクロソフトの検疫ファイルはどのように扱えばよいですか?

リストからMicrosoftの「隔離されたファイル」を選択し、詳細表示で以下のいずれかのアクションを実行することができます。 

1.リリースメール

まず、以下のオプションをリセットすることから始めてください。

  • 送信者を組織の許可リストに追加します。このオプションは、電子メールがMicrosoftに検疫されるのを阻止します。
  • どちらかを選択してください。 
  1. 全受領者に向けて公開
  2. 特定の受信者に公開する受信者ボックスで追加したい受信者を選択します。
  • メールのコピーを他の受信者と共有する。このオプションを選択し、受信者を追加します。
  • 検出率を上げるために、メッセージをMicrosoftに提出する(false positive)。これは、誤って隔離されたメッセージを報告するデフォルトのオプションです。これらのメッセージは誤検出としてハイライト表示されます。スパム、バルク、フィッシング、またはマルウェアを含むとみなされる電子メールは、メッセージがMicrosoft Spam Analysis Teamに報告されます。 
  • このようなメッセージを許可するこのオプションはデフォルトでは無効になっていますが、有効にすることで、類似したURLや添付ファイルなどの特徴を持つメッセージが誤ってMicrosoftに隔離されるのを一時的に止めることができます。2つのオプションが表示されます。
  1. 後に削除する。このようなメッセージを何日間許可するかを選択します。初期値は30日に設定されています。
  2. オプション:許可に関連する説明を追加します。

設定が完了したら、「Release」メッセージをクリックします。

2.共有メール

フライアウトに1人または複数の受信者を入力します。これらの受信者は、メッセージのコピーを受け取ることになります。受信者のメールアドレスの追加が完了したら、「共有」をクリックします。

3.その他のアクション

  • メッセージのヘッダーを表示します。メールのヘッダーテキストを表示する場合は、これをクリックします。その下には、以下のオプションがあります。
    1.メッセージヘッダーをコピーする
    2.Microsoft Message Header Analyzer を使用します。ヘッダーフィールドと値を分析するには、このリンクをクリックし、メッセージヘッダーを貼り付けて、「ヘッダーの分析」をクリックします。
  • メッセージをプレビューします。以下のタブのいずれかを選択します。
    1.ソースすべてのリンクを無効にした HTML バージョンが表示されます。
    2.プレーンテキスト。メッセージの本文がプレーンテキストで表示されます。
  • 検疫から削除はい] をクリックすると、メッセージは元の受信者に送信されることなく、永久に削除されます。
  • メールをダウンロードします。その下に以下を設定する。
    1.ファイルをダウンロードした理由
    2.パスワードの作成
  • 送信者をブロックする メールボックスの「ブロックされた送信者」リストに送信者を追加します。
  • 送信のみ。 解析のため、メッセージをマイクロソフトに報告します。この下にいくつかのオプションが表示されます。

DMARC 隔離と拒否の違い - 説明 

もし DMARCポリシーが長い間p=noneに設定されている場合、p=rejectまたはp=quarantineのいずれかに切り替える時期が来ています。これらの厳格なポリシーは、脅威者が計画するフィッシングやスキャミングの悪質な試みを防ぐことができます。しかし、DMARCポリシーのいずれかを導入する前に、その違いを理解しておく必要があります。

DMARC検疫

を設定した場合 DMARC検疫ポリシーを設定すると、あなたのドメインから送信された認証されていない電子メールをどのように扱うかを受信者サーバーに知らせることができます。隔離、スパムメールへの配信、積極的なスパムフィルタリングのいずれかを選択することができます。

DMARCのテスト用として使用することをお勧めします。 DMARCの強さを徐々に弱めることができるからです。つまり、正しいメールが誤って隔離されないと確信できるまでは、DMARCポリシーをp=quarantineに設定するのです。

DMARC拒否ポリシー

p=rejectポリシーにより、すべての悪意ある行為を完全に防ぐことができます。しかも、意図した受信者には全く通知されないので、メールボックスに着弾していなければ騙される可能性もないのです。

しかし、正当なメールも誤って拒否されることがあるという欠点があります。DMARCレポートを監視しない場合 DMARCレポートを定期的に監視していないと、正当なメールが配信されていないことに気付くのに数ヶ月かかることがあります。これは、生産性、顧客、見込み客、パートナーとのコミュニケーション、売上の増加、マーケティング活動などに支障をきたす可能性があります。