Czym jest kwarantanna firmy Microsoft?

Co to jest Microsoft Quarantine

Zabezpieczenie ataków na pocztę elektroniczną jest dość skomplikowane, jednak branża cyberbezpieczeństwa i dostawcy usług poczty elektronicznej podejmują nieustanne wysiłki, aby poprawić sytuację. Kwarantanna Microsoftu jest gorsza niż oznaczenie jej jako spam, ponieważ zamierzony odbiorca nie ma pojęcia, że twój e-mail próbował do niego dotrzeć. 

Kiedykolwiek wysyłasz wiadomość e-mail, chcesz, aby została ona dostarczona do zamierzonego odbiorcy, który powinien ją otworzyć i odpowiedzieć w razie potrzeby. Jednak nic z tego nie będzie miało miejsca, jeśli Twoja wiadomość zostanie poddana kwarantannie. 

Polityka kwarantanny firmy Microsoft została wprowadzona w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania. Polityka określa, co użytkownicy mogą zrobić lub nie zrobić z wiadomościami poddanymi kwarantannie w zależności od tego, dlaczego e-mail został poddany kwarantannie w pierwszej kolejności. Administratorzy mogą dostosowywać ograniczenia dla użytkowników, a także aktywować powiadomienia. 

Jak uzyskać dostęp do programu Microsoft Quarantine?

Możliwość dostępu do wiadomości z kwarantanny firmy Microsoft zależy od zastosowanej polityki kwarantanny. Oto jak można uzyskać do nich dostęp.

  1. Przejdź do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com/ i wybierz kolejno Email & Collaboration > Review > Quarantine. Możesz również przejść bezpośrednio do strony kwarantanny, klikając na https://security.microsoft.com/quarantine.
  2. Następnie musisz rozwiązać wyniki, klikając na dostępny nagłówek kolumny. Możesz kliknąć dostosuj kolumny, aby zmienić następujące kolumny.
  • Czas otrzymany
  • Przedmiot:
  • Nadawca
  • Powód kwarantanny
  • Status zwolnienia
  • Rodzaj polityki
  • Wygasa
  • Odbiorca
  • Identyfikator komunikatu
  • Nazwa polityki
  • Rozmiar wiadomości
  • Poczta Kierunek

Po zakończeniu kliknij na Apply.

Czy poddanie kwarantannie oznacza usunięcie?

Nie, kwarantanna nie oznacza usunięcia. Oznacza, że wiadomość jest spamem lub jest potencjalnie złośliwa; dlatego podejrzany e-mail jest przechowywany w bezpiecznym środowisku, gdzie można go otworzyć bez ryzyka. 

Powiadomienie o kwarantannie Microsoftu wyskakuje po każdych trzech dniach. Po 30 dniach (lub mniej, jeśli zmieniłeś ustawienia) jest trwale usuwany ze skrzynki.

Co powoduje, że wiadomość e-mail zostaje poddana kwarantannie? 

Aby powstrzymać użytkowników przed obsługą własnych, poddanych kwarantannie wiadomości phishingowych, administratorzy mogą przypisać politykę kwarantanny. Polityka ta może odmówić dostępu do wszystkich wiadomości poddanych kwarantannie. Kwarantanna Microsoft występuje zazwyczaj z następujących powodów:

Powód kwarantanny Domyślny okres przechowywania Dostosowywać czy nie? Uwagi
Wiadomości poddane kwarantannie przez polityki antyspamowe; spam, spam o wysokim stopniu zaufania, phishing, phishing o wysokim stopniu zaufania, lub bulk. 15 dni zgodnie z domyślną polityką antyspamową kwarantanny firmy Microsoft. To jest w polityce antyspamowej utworzonej przez ciebie w PowerShell.

Może również wycofać się na 30 dni w politykach antyspamowych utworzonych przez Ciebie w portalu Microsoft Defender.

 Tak Możesz obniżyć jego wartość w polityce antyspamowej.
Wiadomości poddawane kwarantannie przez polityki antyphishingowe: spoof intelligence w EOP; user impersonation, domain impersonation lub mailbox intelligence w Defender for Office 365. 30 dni Tak Ten okres retencji jest pod kontrolą ustawienia Quarantine Retention Period w polityce antyspamowej.

Tutaj wartość dla okresu retencji jest taka sama jak pierwsza pasująca polityka antyspamowa, w której zdefiniowany jest odbiorca.
Wiadomości poddane kwarantannie przez polityki anty-malware (wiadomości zawierające złośliwe oprogramowanie). 30 dni Nie Po włączeniu filtrowania wspólnych załączników w politykach antymalware, załączniki w wiadomości e-mail są traktowane jako złośliwe. Jest to oparte tylko na rozszerzeniu pliku. Istnieje predefiniowana lista powszechnie wykonywanych typów plików, ale wolno Ci wprowadzać do niej zmiany.
Wiadomości poddane kwarantannie przez polityki Safe Attachments w Defenderze dla Office 365 (wiadomości ze złośliwym oprogramowaniem) 30 dni Nie
Wiadomości poddane kwarantannie na podstawie reguł przepływu poczty: Dostarcz wiadomość do hostowanej kwarantanny (Quarantine). 30 dni Nie
Pliki poddane kwarantannie przez Safe Attachments dla SharePoint, OneDrive i Microsoft Teams (pliki ze złośliwym oprogramowaniem). 30 dni Nie W tym, pliki są odrzucane z SharePoint lub OneDrive po 30 dniach. Jednak zablokowane pliki pozostają w SharePoint lub OneDrive w stanie zablokowanym.

Jak należy traktować pliki kwarantanny firmy Microsoft?

Wybierz z listy pliki poddane kwarantannie firmy Microsoft i podejmij jedno z następujących możliwych działań dostępnych w menu wysuwanym Szczegóły. 

1. Zwolnij Email

Zacznij od zresetowania następujących opcji.

  • Dodaj nadawcę do listy dozwolonych w Twojej organizacji: Ta opcja powstrzymuje wiadomości e-mail przed poddaniem ich kwarantannie przez Microsoft.
  • Wybierz jedną z opcji: 
  1. Udostępnienie wszystkim odbiorcom
  2. Zwolnij do określonych odbiorców: Wybierz odbiorców, których chcesz dodać w polu Recipient Box.
  • Udostępnij kopię wiadomości e-mail innym odbiorcom: Wybierz tę opcję i dodaj odbiorców.
  • Prześlij wiadomość do firmy Microsoft w celu poprawy wykrywalności (false positive): Jest to opcja domyślna, która zgłasza wiadomości poddane kwarantannie przez pomyłkę. Wiadomości te są podświetlane jako fałszywie pozytywne. Wiadomości uznane za spam, wiadomości masowe, phishingowe lub zawierające złośliwe oprogramowanie są również zgłaszane do zespołu Microsoft Spam Analysis Team. 
  • Zezwalaj na wiadomości takie jak ta: Ta opcja jest domyślnie wyłączona, ale można ją aktywować, aby tymczasowo powstrzymać wiadomości o podobnych adresach URL, załącznikach i innych cechach przed błędnym poddaniem ich kwarantannie przez Microsoft. Natkniesz się na dwie opcje:
  1. Usuń po: Wybierz przez ile dni chcesz zezwolić na takie wiadomości. Domyślnie ustawiona jest wartość 30 dni.
  2. Opcjonalna notatka: Dodaj odpowiedni opis dla allow.

Po zakończeniu konfiguracji kliknij komunikat Release.

2. Share Email

Wprowadź jednego lub więcej odbiorców w menu wysuwanym. Są to odbiorcy, którzy otrzymają kopię wiadomości. Po dodaniu ich adresów e-mail kliknij na Udostępnij.

3. Więcej działań

  • Wyświetl nagłówki wiadomości: Kliknij to, jeśli chcesz zobaczyć tekst nagłówka wiadomości e-mail. Pod nim znajdą się następujące opcje.
    1. Kopiuj nagłówek wiadomości
    2. Microsoft Message Header Analyzer: Aby przeanalizować pola i wartości nagłówka, kliknij łącze, wklej nagłówek wiadomości i kliknij Analizuj nagłówki.
  • Podgląd wiadomości: Wybierz jedną z następujących zakładek:
    1. Źródło: Zobaczysz wersję HTML z wyłączonymi wszystkimi linkami.
    2. Zwykły tekst: Zobaczysz treść wiadomości w zwykłym tekście.
  • Usuń z kwarantanny: Jeśli klikniesz Tak, wiadomość zostanie trwale usunięta bez wysyłania jej do pierwotnego odbiorcy.
  • Pobierz e-mail: Skonfiguruj pod nim następujące elementy:
    1. Powód pobrania pliku
    2. Utwórz hasło
  • Zablokuj nadawcę: Dodaj nadawcę do listy Blocked Senders w swojej skrzynce pocztowej.
  • Submit only: Zgłasza wiadomość do firmy Microsoft w celu analizy. Pod nim zobaczysz kilka opcji.

DMARC Kwarantanna Vs Reject - wyjaśnienie 

Jeśli Twoja polityka DMARC przez długi czas była ustawiona na p=none, nadszedł czas, aby zmienić ją na p=reject lub p=quarantine. Te bardziej restrykcyjne polityki zapobiegają złośliwym próbom phishingu i scamingu zaplanowanym przez aktorów zagrożeń. Ale przed wdrożeniem jednej z polityk DMARC, musisz zrozumieć ich różnice.

Kwarantanna DMARC

Po ustawieniu DMARC kwarantanna pozwalasz, aby serwer odbiorcy wiedział, jak chcesz, aby traktował nieautentyczne e-maile wysyłane z Twojej domeny. Możesz wybrać, aby poddać je kwarantannie, dostarczyć do spamu lub poddać agresywnemu filtrowaniu spamu.

Zaleca się korzystanie z tej opcji jako opcji testowej, ponieważ pozwala ona firmie na rozpoczęcie napinania ich DMARC powoli i mniej agresywnie. Tak więc, dopóki nie będziesz pewien, że żadne właściwe emaile nie są poddawane błędnej kwarantannie, ustawisz swoją politykę DMARC na p=quarantine.

Polityka odrzucania DMARC

Polityka p=reject pozwala całkowicie zapobiec wszelkim złośliwym działaniom. Co więcej, zamierzeni odbiorcy nie są w ogóle powiadamiani o poczcie i nie ma szans, by dali się oszukać, skoro nie wylądowała ona w ich skrzynce.

Ma to jednak swój minus, ponieważ niektóre legalne e-maile mogą również zostać błędnie odrzucone. Jeśli nie monitorujesz raporty DMARC regularnie, może minąć wiele miesięcy zanim zauważysz, że legalne e-maile nie są dostarczane. Może to utrudnić produktywność, komunikację z klientami, prospektami i partnerami, wzrost sprzedaży, wysiłki marketingowe itp.

Microsoft Kwarantanna

Latest posts by Ahona Rudra (zobacz wszystkie)
/przez
Czym jest audyt bezpieczeństwa cybernetycznego i dlaczego jest potrzebny?Czym jest audyt bezpieczeństwa cybernetycznegoCo to jest GPS Spoofing Kompletny przewodnikCo to jest GPS Spoofing - Kompletny przewodnik