Защитить атаки по электронной почте довольно сложно, однако индустрия кибербезопасности и поставщики услуг электронной почты постоянно прилагают усилия, чтобы улучшить ситуацию. Карантин Microsoft хуже, чем пометка как спам, потому что адресат не имеет понятия о том, что ваше письмо пыталось до него дойти.
Когда вы отправляете электронное письмо, вы хотите, чтобы оно было доставлено адресату, который должен открыть его и при необходимости ответить. Однако ничего этого не произойдет, если ваша электронная почта будет помещена в карантин.
Политика карантина Microsoft была введена для сдерживания распространения вредоносного ПО. Политика определяет, что пользователям разрешено делать или не делать с сообщениями, помещенными в карантин, в зависимости от того, почему электронная почта была помещена в карантин. Администраторы могут настраивать ограничения для пользователей, а также активировать уведомления.
Как получить доступ к карантину Microsoft?
Ваша возможность доступа к сообщениям карантина Microsoft зависит от применяемой политики карантина. Вот как вы можете получить к ним доступ.
- Перейдите на портал Microsoft 365 Defender по адресу https://security.microsoft.com/ и выберите Email & Collaboration > Review > Quarantine. Также можно перейти непосредственно на страницу карантина, щелкнув https://security.microsoft.com/quarantine.
- Затем нужно разрешить результаты, щелкнув по заголовку доступной колонки. Вы можете нажать настроить столбцы, чтобы изменить следующие столбцы.
- Полученное время
- Тема
- Отправитель
- Причина карантина
- Статус выпуска
- Тип политики
- Истекает
- Получатель
- Идентификатор сообщения
- Название политики
- Размер сообщения
- Почтовое направление
Нажмите кнопку Применить, когда все будет готово.
Означает ли карантин удаление?
Нет, карантин не означает удаление. Это означает, что сообщение является спамом или потенциально вредоносным; поэтому подозрительное письмо хранится в безопасной среде, где вы можете открыть его без риска.
Уведомление о карантине Microsoft появляется через каждые три дня. Он навсегда удаляется из почтового ящика через 30 дней (или меньше, если вы изменили настройки).
Что приводит к тому, что электронное письмо попадает в карантин?
Чтобы запретить пользователям работать с собственными фишинговыми письмами, помещенными в карантин, администраторы могут назначить политику карантина. Политика может запретить доступ ко всем сообщениям, помещенным в карантин. Карантин Microsoft обычно возникает по следующим причинам:
Причина карантина | Период хранения по умолчанию | Настраиваемый или нет? | Комментарии |
Сообщения, помещенные в карантин в соответствии с политикой защиты от спама; спам, спам высокой степени достоверности, фишинг, фишинг высокой степени достоверности или массовые сообщения. | 15 дней в соответствии со стандартной политикой Microsoft для карантина антиспама. Это указано в политике антиспама, созданной вами в PowerShell. Он также может сохраняться в течение 30 дней в политиках защиты от спама, созданных вами на портале Microsoft Defender. | Да | Вы можете снизить его значение в политике борьбы со спамом. |
Сообщения, помещенные в карантин с помощью антифишинговых политик: анализ ложных срабатываний в EOP; анализ вымышленного имени пользователя, вымышленного домена или почтового ящика в Defender для Office 365. | 30 дней | Да | Этот период хранения находится под контролем параметра Quarantine Retention Period в политике борьбы со спамом. Здесь значение периода хранения совпадает с первой подходящей политикой защиты от спама, в которой определен получатель. |
Сообщения, помещенные в карантин в соответствии с политиками защиты от вредоносного ПО (сообщения о вредоносном ПО). | 30 дней | Нет | Когда вы активируете фильтрацию общих вложений в политиках защиты от вредоносного ПО, вложения в электронной почте рассматриваются как злонамеренные. Это происходит только на основе расширения файла. Существует предопределенный список распространенных типов файлов, но вам разрешено вносить в него изменения. |
Сообщения, помещенные в карантин с помощью политик "Безопасные вложения" в Defender для Office 365 (сообщения с вредоносным ПО) | 30 дней | Нет | |
Сообщения, помещенные в карантин по правилам почтового потока: Доставить сообщение в размещенный карантин (Карантин). | 30 дней | Нет | |
Файлы в карантине Safe Attachments для SharePoint, OneDrive и Microsoft Teams (файлы вредоносного ПО). | 30 дней | Нет | В этом случае файлы удаляются из SharePoint или OneDrive по истечении 30 дней. Однако заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии. |
Как следует относиться к файлам карантина Microsoft?
Выберите из списка файлы Microsoft, помещенные на карантин, и выполните одно из следующих возможных действий, доступных во всплывающем окне подробностей.
1. Освободить электронную почту
Начните со сброса следующих параметров.
- Добавьте отправителя в разрешительный список вашей организации: Этот параметр предотвращает попадание писем в карантин Microsoft.
- Выберите один из вариантов:
- Выдача всем получателям
- Рассылка определенным получателям: Выберите получателей, которых вы хотите добавить в поле Получатель.
- Поделитесь копией письма с другими получателями: Выберите этот параметр и добавьте получателей.
- Отправить сообщение в Microsoft для улучшения обнаружения (ложное срабатывание): Это параметр по умолчанию, который сообщает о сообщениях, помещенных в карантин по ошибке. Эти сообщения выделяются как ложные срабатывания. О сообщениях, которые считаются спамом, массовыми, фишинговыми или содержащими вредоносное ПО, также сообщается в группу анализа спама Microsoft.
- Разрешить сообщения, подобные этому: По умолчанию эта опция отключена, но вы можете активировать ее, чтобы временно предотвратить ошибочное помещение в карантин Microsoft сообщений с похожими URL, вложениями и другими характеристиками. Вы увидите два варианта:
- Удалить после: Выберите, в течение скольких дней вы хотите разрешить такие сообщения. По умолчанию установлено значение 30 дней.
- Необязательное примечание: Добавьте соответствующее описание для пособия.
После завершения настройки нажмите на сообщение Release.
2. Поделиться электронной почтой
Введите одного или нескольких получателей во всплывающем окне. Это те адресаты, которые получат копию сообщения. Нажмите кнопку Поделиться, когда закончите добавлять их адреса электронной почты.
3. Больше действий
- Просмотр заголовков сообщений: Нажмите эту кнопку, если вы хотите просмотреть текст заголовка письма. Под ним будут следующие опции.
1. Копировать заголовок сообщения
2. Microsoft Message Header Analyzer: Чтобы проанализировать поля и значения заголовков, щелкните ссылку, вставьте заголовок сообщения и нажмите кнопку Анализировать заголовки. - Предварительный просмотр сообщений: Выберите одну из следующих вкладок:
1. Источник: Вы увидите HTML-версию со всеми отключенными ссылками.
2. Обычный текст: Вы увидите текст сообщения в виде обычного текста. - Удалить из карантина: Если вы нажмете Да, сообщение будет удалено навсегда без отправки первоначальному получателю.
- Загрузите электронную почту: Настройте под ним следующее:
1. Причина загрузки файла
2. Создать пароль - Заблокировать отправителя: Добавление отправителя в список заблокированных отправителей в вашем почтовом ящике.
- Только отправить: Передает сообщение в Microsoft для анализа. Под ним вы увидите некоторые параметры.
DMARC Карантин и отклонение - объяснение
Если ваша политика DMARC долгое время была установлена на p=none, пришло время изменить ее на p=reject или p=quarantine. Эти более строгие политики предотвращают злонамеренные попытки фишинга и мошенничества, планируемые субъектами угроз. Но прежде чем применять одну из политик DMARC, необходимо понять их различия.
Карантин DMARC
Когда вы устанавливаете DMARC карантин вы сообщаете серверу получателя, как он должен относиться к неаутентифицированным электронным письмам, отправленным с вашего домена. Вы можете выбрать, чтобы они помещались в карантин, доставлялись в спам или подвергались агрессивной фильтрации спама.
Рекомендуется использовать этот вариант в качестве тестового, так как он позволяет вашей компании начать гибко использовать свой DMARC медленно и менее агрессивно. Итак, пока вы не будете уверены, что ни одно правильное письмо не будет ошибочно помещено в карантин, установите в политике DMARC значение p=quarantine.
Политика отклонения DMARC
Политика p=reject позволяет полностью предотвратить все вредоносные действия. Более того, предполагаемые получатели вообще не уведомляются о письме, и у них нет шансов быть обманутыми, если оно не попало в их почтовый ящик.
Но у этого есть и обратная сторона: некоторые законные электронные письма также могут быть ошибочно отклонены. Если вы не отслеживаете отчеты DMARC то могут пройти месяцы, прежде чем вы обнаружите, что законные электронные письма не доставляются. Это может помешать производительности, общению с клиентами, перспективами и партнерами, росту продаж, маркетинговым усилиям и т.д.
- Изменения в NCSC Mail Check и их влияние на безопасность электронной почты в государственном секторе Великобритании - 13 декабря 2024 г.
- PowerDMARC названа лидером G2 в области программного обеспечения DMARC в 4-й раз в 2024 году - 6 декабря 2024 г.
- Угроза утечки данных и фишинг электронной почты в высшем образовании - 29 ноября 2024 г.