Hva er Microsoft-karantene?
Det er ganske komplisert å sikre seg mot e-postangrep, men cybersikkerhetsindustrien og e-posttjenesteleverandørene har gjort stadige anstrengelser for å forbedre situasjonen. Microsoft-karantene er verre enn å merke den som søppelpost fordi mottakeren ikke har noen anelse om at e-posten din har forsøkt å nå dem.
Når du sender en e-post, vil du at den skal leveres til den tiltenkte mottakeren, som skal åpne den og svare tilbake om nødvendig. Ikke noe av dette vil imidlertid skje hvis e-posten din er satt i karantene.
Microsofts karanteneregler ble innført for å hindre spredning av skadelig programvare. Retningslinjene definerer hva brukerne har lov til å gjøre eller ikke gjøre med meldinger i karantene, avhengig av hvorfor e-posten ble satt i karantene i utgangspunktet. Administratorer har lov til å tilpasse restriksjoner for brukere, og også aktivere varsler.
Hvordan får jeg tilgang til Microsoft-karantene?
Din mulighet til å få tilgang til Microsofts karantenemeldinger avhenger av hvilken karantenepolicy som brukes. Slik får du tilgang til den.
- Gå til Microsoft 365 Defender-portalen på https://security.microsoft.com/ og velg E-post og samarbeid > Gjennomgang > Karantene. Du kan også gå til karantenesiden direkte ved å klikke på https://security.microsoft.com/quarantine.
- Deretter må du løse resultatene ved å klikke på en tilgjengelig kolonneoverskrift. Du kan klikke på Tilpass kolonner for å endre de følgende kolonnene.
- Mottatt tid
- Emne
- Avsender
- Årsak til karantene
- Utgivelsesstatus
- Type politikk
- Utløper
- Mottaker
- Meldings-ID
- Politikkens navn
- Meldingsstørrelse
- Postretning
Klikk på Bruk når du er ferdig.
Betyr karantene slettet?
Nei, karantene betyr ikke slettet. Det betyr at meldingen er søppelpost eller potensielt skadelig; derfor lagres den mistenkte e-posten i et sikkert miljø der du kan åpne den uten risiko.
Microsofts karantenevarsel dukker opp hver tredje dag. Den slettes permanent fra postkassen etter 30 dager (eller mindre hvis du har endret innstillingene).
Hva fører til at en e-post blir satt i karantene?
For å hindre brukere i å håndtere sine egne phishing-e-poster i karantene, kan administratorer tilordne en karantenepolicy. Policyen kan nekte tilgang til alle meldinger i karantene. Microsoft-karantene oppstår vanligvis på grunn av følgende årsaker:
Årsak til karantene | Standard oppbevaringsperiode | Kan tilpasses eller ikke? | Kommentarer |
Meldinger i karantene i henhold til antispam-policyer; spam, spam med høy tillit, phishing, phishing med høy tillit eller bulk. | 15 dager i henhold til Microsofts standard antispam-policy for karantene. Dette er i anti-spam-policyen som du har opprettet i PowerShell.
Den kan også lagres i 30 dager i anti-spam-policyer som du har opprettet i Microsoft Defender-portalen. |
Ja | Du kan redusere verdien i anti-spam-policyer. |
Meldinger som er satt i karantene av antiphishing-policyer: falske etterretninger i EOP, brukerimitasjon, domeneimitasjon eller postkasseinformasjon i Defender for Office 365. | 30 dager | Ja | Denne oppbevaringsperioden styres av innstillingen Karanteneoppbevaringsperiode i antispam-policyen.
Her er verdien for oppbevaringsperioden den samme som den første samsvarende antispam-policyen som mottakeren er definert i. |
Meldinger som er satt i karantene av retningslinjer mot skadelig programvare (meldinger om skadelig programvare). | 30 dager | Nei | Når du aktiverer filtrering av vanlige vedlegg i retningslinjer mot skadelig programvare, betraktes vedleggene i e-posten som ondsinnede. Dette er kun basert på filtypen. Det finnes en forhåndsdefinert liste over vanlige filtyper, men du har lov til å gjøre endringer i dem. |
Meldinger satt i karantene av Safe Attachments-policyer i Defender for Office 365 (skadelige meldinger) | 30 dager | Nei | |
Meldinger i karantene etter regler for postflyt: Lever meldingen til den vertsbaserte karantenen (Karantene). | 30 dager | Nei | |
Filer satt i karantene av Safe Attachments for SharePoint, OneDrive og Microsoft Teams (skadelige filer). | 30 dager | Nei | Dette innebærer at filene fjernes fra SharePoint eller OneDrive etter 30 dager. De blokkerte filene forblir imidlertid i SharePoint eller OneDrive i blokkert tilstand. |
Hvordan skal jeg behandle Microsoft-karantenefiler?
Velg filer i Microsoft-karantene fra listen og utfør en av følgende mulige handlinger som er tilgjengelige i detaljvinduet.
1. Slipp e-post
Begynn med å tilbakestille følgende alternativer.
- Legg til avsender i organisasjonens tillatelsesliste: Dette alternativet hindrer at e-poster havner i Microsoft-karantene.
- Velg ett av alternativene:
- Frigivelse til alle mottakere
- Slipp til bestemte mottakere: Velg mottakerne du vil legge til i mottakerboksen.
- Del en kopi av e-posten med andre mottakere: Velg dette alternativet og legg til mottakerne.
- Send meldingen til Microsoft for å forbedre deteksjonen (falsk positiv): Dette er et standardalternativ som rapporterer meldinger som er satt i karantene ved en feil. Disse meldingene er uthevet som falske positive. E-poster som anses som søppelpost, masseforsendelser, phishing eller som inneholder skadelig programvare, blir også rapportert til Microsoft Spam Analysis Team.
- Tillat meldinger som dette: Dette alternativet er deaktivert som standard, men du kan aktivere det for midlertidig å hindre at meldinger med lignende nettadresser, vedlegg og andre egenskaper feilaktig settes i Microsoft-karantene. Du vil komme over to alternativer:
- Fjern etter: Velg hvor mange dager du vil tillate slike meldinger. Standardverdien er satt til 30 dager.
- Valgfri merknad: Legg til en relevant beskrivelse for tillatelsen.
Klikk på meldingen Utgiv når du er ferdig med å konfigurere den.
2. Del e-post
Legg inn én eller flere mottakere i flyouten. Dette er mottakerne som vil motta en kopi av meldingen. Klikk på Del når du er ferdig med å legge til e-postadressene deres.
3. Flere tiltak
- Vis meldingsoverskrifter: Klikk på dette hvis du vil se e-postens topptekst. Det vil være følgende alternativer under den.
1. Kopier meldingshode
2. Microsoft Message Header Analyzer: For å analysere overskriftsfeltene og verdiene, klikk på lenken, lim inn meldingsoverskriften og klikk på Analyser overskrifter. - Forhåndsvisning av meldinger: Velg en av følgende faner:
1. Kilde: Du vil se HTML-versjonen med alle lenkene deaktivert.
2. Ren tekst: Du vil se meldingsteksten i ren tekst. - Slett fra karantene: Hvis du klikker Ja, slettes meldingen permanent uten å bli sendt til den opprinnelige mottakeren.
- Last ned e-post: Konfigurer følgende under den:
1. Årsak til nedlasting av fil
2. Opprett passord - Blokker avsender: Legg til avsenderen i listen over blokkerte avsendere i postkassen din.
- Bare send inn: Rapporterer meldingen til Microsoft for analyse. Du vil se noen alternativer under den.
DMARC-karantene mot avvisning - forklart
Hvis din DMARC-policy har vært satt til p=none i lang tid, er det på tide å endre den til enten p=reject eller p=quarantine. Disse strengere retningslinjene forhindrer ondsinnede forsøk på phishing og svindel planlagt av trusselaktører. Men før du implementerer en av DMARC-policyene, må du forstå forskjellene deres.
DMARC-karantene
Når du angir DMARC-karantene gir du mottakerserveren beskjed om hvordan du vil at den skal behandle uautoriserte e-poster som sendes fra domenet ditt. Du kan velge å sette dem i karantene, levere dem til søppelpost eller gjennomgå aggressiv søppelpostfiltrering.
Det anbefales å bruke dette som et testalternativ, ettersom det lar bedriften din begynne å bøye deres DMARC styrke sakte og mindre aggressivt. Så inntil du er sikker på at ingen riktige e-poster feilaktig er satt i karantene, setter du DMARC-policyen din til p = karantene.
Retningslinjer for avvisning av DMARC
p=reject-policy lar deg forhindre all ondsinnet aktivitet fullstendig. Dessuten blir ikke de tiltenkte mottakerne i det hele tatt varslet om e-posten, og det er ingen sjanse for at de kan bli lurt hvis den ikke har landet i postkassen deres.
Men det har en ulempe, ettersom noen legitime e-poster også kan bli avvist ved en feil. Hvis du ikke overvåker DMARC-rapporter regelmessig, kan det ta måneder å oppdage at legitime e-poster ikke blir levert. Dette kan hemme produktiviteten, kommunikasjonen med kunder, potensielle kunder og partnere, salgsvekst, markedsføringsinnsats osv.
- Hva er en phishing-e-post? Vær på vakt og unngå å gå i fellen! - 31. mai 2023
- Løs "DKIM ingen melding ikke signert"- Feilsøkingsveiledning - 31. mai 2023
- Fix SPF Permerror: Overvinne SPF for mange DNS-oppslagsgrenser - 30. mai 2023