Czym jest kwarantanna firmy Microsoft?
przez
Czas czytania: 5 min
Zabezpieczenie ataków na pocztę elektroniczną jest dość skomplikowane, jednak branża cyberbezpieczeństwa i dostawcy usług poczty elektronicznej podejmują nieustanne wysiłki, aby poprawić sytuację. Kwarantanna Microsoftu jest gorsza niż oznaczenie jej jako spam, ponieważ zamierzony odbiorca nie ma pojęcia, że twój e-mail próbował do niego dotrzeć.
Kiedykolwiek wysyłasz wiadomość e-mail, chcesz, aby została ona dostarczona do zamierzonego odbiorcy, który powinien ją otworzyć i odpowiedzieć w razie potrzeby. Jednak nic z tego nie będzie miało miejsca, jeśli Twoja wiadomość zostanie poddana kwarantannie.
Polityka kwarantanny firmy Microsoft została wprowadzona w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania. Polityka określa, co użytkownicy mogą zrobić lub nie zrobić z wiadomościami poddanymi kwarantannie w zależności od tego, dlaczego e-mail został poddany kwarantannie w pierwszej kolejności. Administratorzy mogą dostosowywać ograniczenia dla użytkowników, a także aktywować powiadomienia.
Jak uzyskać dostęp do programu Microsoft Quarantine?
Możliwość dostępu do wiadomości z kwarantanny firmy Microsoft zależy od zastosowanej polityki kwarantanny. Oto jak można uzyskać do nich dostęp.
- Przejdź do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com/ i wybierz kolejno Email & Collaboration > Review > Quarantine. Możesz również przejść bezpośrednio do strony kwarantanny, klikając przycisk https://security.microsoft.com/quarantine.
- Następnie musisz rozwiązać wyniki, klikając na dostępny nagłówek kolumny. Możesz kliknąć dostosuj kolumny, aby zmienić następujące kolumny.
- Czas otrzymany
- Przedmiot:
- Nadawca
- Powód kwarantanny
- Status zwolnienia
- Rodzaj polityki
- Wygasa
- Odbiorca
- Identyfikator komunikatu
- Nazwa polityki
- Rozmiar wiadomości
- Poczta Kierunek
Po zakończeniu kliknij na Apply.
Czy poddanie kwarantannie oznacza usunięcie?
Nie, kwarantanna nie oznacza usunięcia. Oznacza, że wiadomość jest spamem lub jest potencjalnie złośliwa; dlatego podejrzany e-mail jest przechowywany w bezpiecznym środowisku, gdzie można go otworzyć bez ryzyka.
Powiadomienie o kwarantannie Microsoftu wyskakuje po każdych trzech dniach. Po 30 dniach (lub mniej, jeśli zmieniłeś ustawienia) jest trwale usuwany ze skrzynki.
Co powoduje, że wiadomość e-mail zostaje poddana kwarantannie?
Aby uniemożliwić użytkownikom obsługę własnych wiadomości phishingowych poddanych kwarantannie, administratorzy mogą przypisać zasady kwarantanny. Polityka może odmówić dostępu do wszystkich wiadomości poddanych kwarantannie. Kwarantanna Microsoft występuje zazwyczaj z następujących powodów:
| Powód kwarantanny | Domyślny okres przechowywania | Dostosowywać czy nie? | Uwagi |
| Wiadomości poddane kwarantannie przez polityki antyspamowe; spam, spam o wysokim stopniu zaufania, phishing, phishing o wysokim stopniu zaufania, lub bulk. | 15 dni zgodnie z domyślną polityką antyspamową kwarantanny firmy Microsoft. To jest w polityce antyspamowej utworzonej przez ciebie w PowerShell.
Może również wycofać się na 30 dni w politykach antyspamowych utworzonych przez Ciebie w portalu Microsoft Defender. |
Tak | Możesz obniżyć jego wartość w polityce antyspamowej. |
| Wiadomości poddawane kwarantannie przez polityki antyphishingowe: spoof intelligence w EOP; user impersonation, domain impersonation lub mailbox intelligence w Defender for Office 365. | 30 dni | Tak | Ten okres retencji jest pod kontrolą ustawienia Quarantine Retention Period w polityce antyspamowej.
Tutaj wartość dla okresu retencji jest taka sama jak pierwsza pasująca polityka antyspamowa, w której zdefiniowany jest odbiorca. |
| Wiadomości poddane kwarantannie przez polityki anty-malware (wiadomości zawierające złośliwe oprogramowanie). | 30 dni | Nie | Po włączeniu filtrowania wspólnych załączników w politykach antymalware, załączniki w wiadomości e-mail są traktowane jako złośliwe. Jest to oparte tylko na rozszerzeniu pliku. Istnieje predefiniowana lista powszechnie wykonywanych typów plików, ale wolno Ci wprowadzać do niej zmiany. |
| Wiadomości poddane kwarantannie przez polityki Safe Attachments w Defenderze dla Office 365 (wiadomości ze złośliwym oprogramowaniem) | 30 dni | Nie | |
| Wiadomości poddane kwarantannie na podstawie reguł przepływu poczty: Dostarcz wiadomość do hostowanej kwarantanny (Quarantine). | 30 dni | Nie | |
| Pliki poddane kwarantannie przez Bezpieczne załączniki dla SharePoint, OneDrive i Microsoft Teams (pliki złośliwego oprogramowania). | 30 dni | Nie | W tym, pliki są odrzucane z SharePoint lub OneDrive po 30 dniach. Jednak zablokowane pliki pozostają w SharePoint lub OneDrive w stanie zablokowanym. |
Jak należy traktować pliki kwarantanny firmy Microsoft?
Wybierz z listy pliki poddane kwarantannie firmy Microsoft i podejmij jedno z następujących możliwych działań dostępnych w menu wysuwanym Szczegóły.
1. Zwolnij Email
Zacznij od zresetowania następujących opcji.
- Dodaj nadawcę do listy dozwolonych w Twojej organizacji: Ta opcja powstrzymuje wiadomości e-mail przed poddaniem ich kwarantannie przez Microsoft.
- Wybierz jedną z opcji:
- Udostępnienie wszystkim odbiorcom
- Zwolnij do określonych odbiorców: Wybierz odbiorców, których chcesz dodać w polu Recipient Box.
- Udostępnij kopię wiadomości e-mail innym odbiorcom: Wybierz tę opcję i dodaj odbiorców.
- Prześlij wiadomość do firmy Microsoft w celu poprawy wykrywalności (false positive): Jest to opcja domyślna, która zgłasza wiadomości poddane kwarantannie przez pomyłkę. Wiadomości te są podświetlane jako fałszywie pozytywne. Wiadomości uznane za spam, wiadomości masowe, phishingowe lub zawierające złośliwe oprogramowanie są również zgłaszane do zespołu Microsoft Spam Analysis Team.
- Zezwalaj na wiadomości takie jak ta: Ta opcja jest domyślnie wyłączona, ale można ją aktywować, aby tymczasowo powstrzymać wiadomości o podobnych adresach URL, załącznikach i innych cechach przed błędnym poddaniem ich kwarantannie przez Microsoft. Natkniesz się na dwie opcje:
- Usuń po: Wybierz przez ile dni chcesz zezwolić na takie wiadomości. Domyślnie ustawiona jest wartość 30 dni.
- Opcjonalna notatka: Dodaj odpowiedni opis dla allow.
Po zakończeniu konfiguracji kliknij komunikat Release.
2. Share Email
Wprowadź jednego lub więcej odbiorców w menu wysuwanym. Są to odbiorcy, którzy otrzymają kopię wiadomości. Po dodaniu ich adresów e-mail kliknij na Udostępnij.
3. Więcej działań
- Wyświetl nagłówki wiadomości: Kliknij to, jeśli chcesz zobaczyć tekst nagłówka wiadomości e-mail. Pod nim znajdą się następujące opcje.
1. Kopiuj nagłówek wiadomości
2. Microsoft Message Header Analyzer: Aby przeanalizować pola i wartości nagłówka, kliknij łącze, wklej nagłówek wiadomości i kliknij Analizuj nagłówki. - Podgląd wiadomości: Wybierz jedną z następujących zakładek:
1. Źródło: Zobaczysz wersję HTML z wyłączonymi wszystkimi linkami.
2. Zwykły tekst: Zobaczysz treść wiadomości w zwykłym tekście. - Usuń z kwarantanny: Jeśli klikniesz Tak, wiadomość zostanie trwale usunięta bez wysyłania jej do pierwotnego odbiorcy.
- Pobierz e-mail: Skonfiguruj pod nim następujące elementy:
1. Powód pobrania pliku
2. Utwórz hasło - Zablokuj nadawcę: Dodaj nadawcę do listy Blocked Senders w swojej skrzynce pocztowej.
- Submit only: Zgłasza wiadomość do firmy Microsoft w celu analizy. Pod nim zobaczysz kilka opcji.
DMARC Kwarantanna Vs Reject - wyjaśnienie
Jeśli Polityka DMARC była ustawiona na p=none przez długi czas, nadszedł czas, aby zmienić ją na p=reject lub p=quarantine. Te bardziej rygorystyczne polityki zapobiegają złośliwym próbom phishingu i wyłudzeń planowanych przez podmioty stanowiące zagrożenie. Zanim jednak wdrożysz jedną z polityk DMARC, musisz zrozumieć różnice między nimi.
Kwarantanna DMARC
Po ustawieniu opcji DMARC quarantine pozwalasz serwerowi odbiorcy wiedzieć, jak mają traktować nieuwierzytelnione wiadomości e-mail wysyłane z Twojej domeny. Możesz wybrać poddanie ich kwarantannie, dostarczenie do spamu lub poddanie agresywnemu filtrowaniu spamu.
Zaleca się korzystanie z tej opcji jako opcji testowej, ponieważ pozwala ona firmie na rozpoczęcie elastycznego korzystania z DMARC powoli i mniej agresywnie. Tak więc, dopóki nie będziesz pewien, że żadne właściwe wiadomości e-mail nie są poddawane błędnej kwarantannie, ustawisz swoją politykę DMARC na p=kwarantanna.
Polityka odrzucania DMARC
Polityka p=reject pozwala całkowicie zapobiec wszelkim złośliwym działaniom. Co więcej, zamierzeni odbiorcy nie są w ogóle powiadamiani o poczcie i nie ma szans, by dali się oszukać, skoro nie wylądowała ona w ich skrzynce.
Ma to jednak swój minus, ponieważ niektóre legalne e-maile mogą również zostać błędnie odrzucone. Jeśli nie monitorujesz raporty DMARC regularnie, może minąć wiele miesięcy zanim zauważysz, że legalne e-maile nie są dostarczane. Może to utrudnić produktywność, komunikację z klientami, prospektami i partnerami, wzrost sprzedaży, wysiłki marketingowe itp.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- PowerDMARC współpracuje z Loons Group w celu wzmocnienia bezpieczeństwa poczty elektronicznej w Katarze - 13 marca 2025 r.
- Email phishing i anonimowość online: Czy można całkowicie ukryć się przed napastnikami w Darknecie? - 10 marca 2025 r.
- Czym jest DNS Hijacking: Wykrywanie, zapobieganie i łagodzenie skutków - 7 marca 2025 r.
