Czym jest kwarantanna firmy Microsoft?

Ahona Rudra

1 rok temu

Czas czytania: 5 min

Zabezpieczenie ataków na pocztę elektroniczną jest dość skomplikowane, jednak branża cyberbezpieczeństwa i dostawcy usług poczty elektronicznej podejmują nieustanne wysiłki, aby poprawić sytuację. Kwarantanna Microsoftu jest gorsza niż oznaczenie jej jako spam, ponieważ zamierzony odbiorca nie ma pojęcia, że twój e-mail próbował do niego dotrzeć.

Kiedykolwiek wysyłasz wiadomość e-mail, chcesz, aby została ona dostarczona do zamierzonego odbiorcy, który powinien ją otworzyć i odpowiedzieć w razie potrzeby. Jednak nic z tego nie będzie miało miejsca, jeśli Twoja wiadomość zostanie poddana kwarantannie.

Polityka kwarantanny firmy Microsoft została wprowadzona w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania. Polityka określa, co użytkownicy mogą zrobić lub nie zrobić z wiadomościami poddanymi kwarantannie w zależności od tego, dlaczego e-mail został poddany kwarantannie w pierwszej kolejności. Administratorzy mogą dostosowywać ograniczenia dla użytkowników, a także aktywować powiadomienia.

Jak uzyskać dostęp do programu Microsoft Quarantine?

Możliwość dostępu do wiadomości z kwarantanny firmy Microsoft zależy od zastosowanej polityki kwarantanny. Oto jak można uzyskać do nich dostęp.

Przejdź do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com/ i wybierz kolejno Email & Collaboration > Review > Quarantine. Możesz również przejść bezpośrednio do strony kwarantanny, klikając przycisk https://security.microsoft.com/quarantine.
Następnie musisz rozwiązać wyniki, klikając na dostępny nagłówek kolumny. Możesz kliknąć dostosuj kolumny, aby zmienić następujące kolumny.

Czas otrzymany
Przedmiot:
Nadawca
Powód kwarantanny
Status zwolnienia
Rodzaj polityki
Wygasa
Odbiorca
Identyfikator komunikatu
Nazwa polityki
Rozmiar wiadomości
Poczta Kierunek

Po zakończeniu kliknij na Apply.

Czy poddanie kwarantannie oznacza usunięcie?

Nie, kwarantanna nie oznacza usunięcia. Oznacza, że wiadomość jest spamem lub jest potencjalnie złośliwa; dlatego podejrzany e-mail jest przechowywany w bezpiecznym środowisku, gdzie można go otworzyć bez ryzyka.

Powiadomienie o kwarantannie Microsoftu wyskakuje po każdych trzech dniach. Po 30 dniach (lub mniej, jeśli zmieniłeś ustawienia) jest trwale usuwany ze skrzynki.

Co powoduje, że wiadomość e-mail zostaje poddana kwarantannie?

Aby uniemożliwić użytkownikom obsługę własnych wiadomości phishingowych poddanych kwarantannie, administratorzy mogą przypisać zasady kwarantanny. Polityka może odmówić dostępu do wszystkich wiadomości poddanych kwarantannie. Kwarantanna Microsoft występuje zazwyczaj z następujących powodów:

Powód kwarantanny	Domyślny okres przechowywania	Dostosowywać czy nie?	Uwagi
Wiadomości poddane kwarantannie przez polityki antyspamowe; spam, spam o wysokim stopniu zaufania, phishing, phishing o wysokim stopniu zaufania, lub bulk.	15 dni zgodnie z domyślną polityką antyspamową kwarantanny firmy Microsoft. To jest w polityce antyspamowej utworzonej przez ciebie w PowerShell. Może również wycofać się na 30 dni w politykach antyspamowych utworzonych przez Ciebie w portalu Microsoft Defender.	Tak	Możesz obniżyć jego wartość w polityce antyspamowej.
Wiadomości poddawane kwarantannie przez polityki antyphishingowe: spoof intelligence w EOP; user impersonation, domain impersonation lub mailbox intelligence w Defender for Office 365.	30 dni	Tak	Ten okres retencji jest pod kontrolą ustawienia Quarantine Retention Period w polityce antyspamowej. Tutaj wartość dla okresu retencji jest taka sama jak pierwsza pasująca polityka antyspamowa, w której zdefiniowany jest odbiorca.
Wiadomości poddane kwarantannie przez polityki anty-malware (wiadomości zawierające złośliwe oprogramowanie).	30 dni	Nie	Po włączeniu filtrowania wspólnych załączników w politykach antymalware, załączniki w wiadomości e-mail są traktowane jako złośliwe. Jest to oparte tylko na rozszerzeniu pliku. Istnieje predefiniowana lista powszechnie wykonywanych typów plików, ale wolno Ci wprowadzać do niej zmiany.
Wiadomości poddane kwarantannie przez polityki Safe Attachments w Defenderze dla Office 365 (wiadomości ze złośliwym oprogramowaniem)	30 dni	Nie
Wiadomości poddane kwarantannie na podstawie reguł przepływu poczty: Dostarcz wiadomość do hostowanej kwarantanny (Quarantine).	30 dni	Nie
Pliki poddane kwarantannie przez Safe Attachments dla SharePoint, OneDrive i Microsoft Teams (pliki ze złośliwym oprogramowaniem).	30 dni	Nie	W tym, pliki są odrzucane z SharePoint lub OneDrive po 30 dniach. Jednak zablokowane pliki pozostają w SharePoint lub OneDrive w stanie zablokowanym.

Jak należy traktować pliki kwarantanny firmy Microsoft?

Wybierz z listy pliki poddane kwarantannie firmy Microsoft i podejmij jedno z następujących możliwych działań dostępnych w menu wysuwanym Szczegóły.

1. Zwolnij Email

Zacznij od zresetowania następujących opcji.

Dodaj nadawcę do listy dozwolonych w Twojej organizacji: Ta opcja powstrzymuje wiadomości e-mail przed poddaniem ich kwarantannie przez Microsoft.
Wybierz jedną z opcji:

Udostępnienie wszystkim odbiorcom
Zwolnij do określonych odbiorców: Wybierz odbiorców, których chcesz dodać w polu Recipient Box.

Udostępnij kopię wiadomości e-mail innym odbiorcom: Wybierz tę opcję i dodaj odbiorców.
Prześlij wiadomość do firmy Microsoft w celu poprawy wykrywalności (false positive): Jest to opcja domyślna, która zgłasza wiadomości poddane kwarantannie przez pomyłkę. Wiadomości te są podświetlane jako fałszywie pozytywne. Wiadomości uznane za spam, wiadomości masowe, phishingowe lub zawierające złośliwe oprogramowanie są również zgłaszane do zespołu Microsoft Spam Analysis Team.
Zezwalaj na wiadomości takie jak ta: Ta opcja jest domyślnie wyłączona, ale można ją aktywować, aby tymczasowo powstrzymać wiadomości o podobnych adresach URL, załącznikach i innych cechach przed błędnym poddaniem ich kwarantannie przez Microsoft. Natkniesz się na dwie opcje:

Usuń po: Wybierz przez ile dni chcesz zezwolić na takie wiadomości. Domyślnie ustawiona jest wartość 30 dni.
Opcjonalna notatka: Dodaj odpowiedni opis dla allow.

Po zakończeniu konfiguracji kliknij komunikat Release.

2. Share Email

Wprowadź jednego lub więcej odbiorców w menu wysuwanym. Są to odbiorcy, którzy otrzymają kopię wiadomości. Po dodaniu ich adresów e-mail kliknij na Udostępnij.

3. Więcej działań

Wyświetl nagłówki wiadomości: Kliknij to, jeśli chcesz zobaczyć tekst nagłówka wiadomości e-mail. Będą pod nim następujące opcje.
1. Kopiuj nagłówek wiadomości
2. Microsoft Message Header Analyzer: Aby przeanalizować pola i wartości nagłówka, kliknij łącze, wklej nagłówek wiadomości i kliknij Analizuj nagłówki.
Podgląd wiadomości: Wybierz jedną z następujących zakładek:
1. Źródło: Zobaczysz wersję HTML z wyłączonymi wszystkimi linkami.
2. Zwykły tekst: Zobaczysz treść wiadomości w zwykłym tekście.
Usuń z kwarantanny: Jeśli klikniesz Tak, wiadomość zostanie trwale usunięta bez wysyłania jej do pierwotnego odbiorcy.
Pobierz e-mail: Skonfiguruj pod nim następujące elementy:
1. Powód pobrania pliku
2. Utwórz hasło
Zablokuj nadawcę: Dodaj nadawcę do listy Blocked Senders w swojej skrzynce pocztowej.
Submit only: Zgłasza wiadomość do firmy Microsoft w celu analizy. Pod nim zobaczysz kilka opcji.

DMARC Kwarantanna Vs Reject - wyjaśnienie

Jeśli Polityka DMARC była ustawiona na p=none przez długi czas, nadszedł czas, aby zmienić ją na p=reject lub p=quarantine. Te bardziej rygorystyczne polityki zapobiegają złośliwym próbom phishingu i wyłudzeń planowanych przez podmioty stanowiące zagrożenie. Zanim jednak wdrożysz jedną z polityk DMARC, musisz zrozumieć różnice między nimi.

Kwarantanna DMARC

Po ustawieniu DMARC kwarantanna pozwalasz, aby serwer odbiorcy wiedział, jak chcesz, aby traktował nieautentyczne e-maile wysyłane z Twojej domeny. Możesz wybrać, aby poddać je kwarantannie, dostarczyć do spamu lub poddać agresywnemu filtrowaniu spamu.

Zaleca się korzystanie z tej opcji jako opcji testowej, ponieważ pozwala ona firmie na rozpoczęcie elastycznego korzystania z DMARC powoli i mniej agresywnie. Tak więc, dopóki nie będziesz pewien, że żadne właściwe wiadomości e-mail nie są poddawane błędnej kwarantannie, ustawisz swoją politykę DMARC na p=kwarantanna.

Polityka odrzucania DMARC

Polityka p=reject pozwala całkowicie zapobiec wszelkim złośliwym działaniom. Co więcej, zamierzeni odbiorcy nie są w ogóle powiadamiani o poczcie i nie ma szans, by dali się oszukać, skoro nie wylądowała ona w ich skrzynce.

Ma to jednak swój minus, ponieważ niektóre legalne e-maile mogą również zostać błędnie odrzucone. Jeśli nie monitorujesz raporty DMARC regularnie, może minąć wiele miesięcy zanim zauważysz, że legalne e-maile nie są dostarczane. Może to utrudnić produktywność, komunikację z klientami, prospektami i partnerami, wzrost sprzedaży, wysiłki marketingowe itp.

O
Latest Posts

Ahona Rudra

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.