Что такое карантин Microsoft?

Возможность доступа к сообщениям карантина Microsoft зависит от применяемой политики карантина.
Защитить атаки по электронной почте довольно сложно, однако индустрия кибербезопасности и поставщики услуг электронной почты постоянно прилагают усилия, чтобы улучшить ситуацию. Карантин Microsoft хуже, чем пометка как спам, потому что адресат не имеет понятия о том, что ваше письмо пыталось до него дойти.
Когда вы отправляете электронное письмо, вы хотите, чтобы оно было доставлено адресату, который должен открыть его и при необходимости ответить. Однако ничего этого не произойдет, если ваша электронная почта будет помещена в карантин.
Политика карантина Microsoft была введена для сдерживания распространения вредоносного ПО. Политика определяет, что пользователям разрешено делать или не делать с сообщениями, помещенными в карантин, в зависимости от того, почему электронная почта была помещена в карантин. Администраторы могут настраивать ограничения для пользователей, а также активировать уведомления.
Ваша возможность доступа к сообщениям карантина Microsoft зависит от применяемой политики карантина. Вот как вы можете получить к ним доступ.
Нажмите кнопку Применить, когда все будет готово.
Нет, карантин не означает удаление. Это означает, что сообщение является спамом или потенциально вредоносным; поэтому подозрительное письмо хранится в безопасной среде, где вы можете открыть его без риска.
Уведомление о карантине Microsoft появляется через каждые три дня. Он навсегда удаляется из почтового ящика через 30 дней (или меньше, если вы изменили настройки).
Чтобы запретить пользователям работать с собственными фишинговыми письмами, помещенными в карантин, администраторы могут назначить политику карантина. Политика может запретить доступ ко всем сообщениям, помещенным в карантин. Карантин Microsoft обычно возникает по следующим причинам:
Причина карантина | Период хранения по умолчанию | Настраиваемый или нет? | Комментарии |
Сообщения, помещенные в карантин в соответствии с политикой защиты от спама; спам, спам высокой степени достоверности, фишинг, фишинг высокой степени достоверности или массовые сообщения. | 15 дней в соответствии со стандартной политикой Microsoft для карантина антиспама. Это указано в политике антиспама, созданной вами в PowerShell.
Он также может сохраняться в течение 30 дней в политиках защиты от спама, созданных вами на портале Microsoft Defender. |
Да | Вы можете снизить его значение в политике борьбы со спамом. |
Сообщения, помещенные в карантин с помощью антифишинговых политик: анализ ложных срабатываний в EOP; анализ вымышленного имени пользователя, вымышленного домена или почтового ящика в Defender для Office 365. | 30 дней | Да | Этот период хранения находится под контролем параметра Quarantine Retention Period в политике борьбы со спамом.
Здесь значение периода хранения совпадает с первой подходящей политикой защиты от спама, в которой определен получатель. |
Сообщения, помещенные в карантин в соответствии с политиками защиты от вредоносного ПО (сообщения о вредоносном ПО). | 30 дней | Нет | Когда вы активируете фильтрацию общих вложений в политиках защиты от вредоносного ПО, вложения в электронной почте рассматриваются как злонамеренные. Это происходит только на основе расширения файла. Существует предопределенный список распространенных типов файлов, но вам разрешено вносить в него изменения. |
Сообщения, помещенные в карантин с помощью политик "Безопасные вложения" в Defender для Office 365 (сообщения с вредоносным ПО) | 30 дней | Нет | |
Сообщения, помещенные в карантин по правилам почтового потока: Доставить сообщение в размещенный карантин (Карантин). | 30 дней | Нет | |
Файлы, помещенные в карантин с помощью Safe Attachments для SharePoint, OneDrive и Microsoft Teams (файлы с вредоносным ПО). | 30 дней | Нет | В этом случае файлы удаляются из SharePoint или OneDrive по истечении 30 дней. Однако заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии. |
Выберите из списка файлы Microsoft, помещенные на карантин, и выполните одно из следующих возможных действий, доступных во всплывающем окне подробностей.
Начните со сброса следующих параметров.
После завершения настройки нажмите на сообщение Release.
Введите одного или нескольких получателей во всплывающем окне. Это те адресаты, которые получат копию сообщения. Нажмите кнопку Поделиться, когда закончите добавлять их адреса электронной почты.
Если ваша политика DMARC долгое время была установлена на p=none, пришло время изменить ее на p=reject или p=quarantine. Эти более строгие политики предотвращают злонамеренные попытки фишинга и мошенничества, планируемые субъектами угроз. Но прежде чем применять одну из политик DMARC, необходимо понять их различия.
Когда вы устанавливаете DMARC карантин вы сообщаете серверу-получателю, как он должен относиться к неаутентифицированным письмам, отправленным с вашего домена. Вы можете выбрать, чтобы они помещались в карантин, доставлялись в спам или подвергались агрессивной фильтрации спама.
Рекомендуется использовать этот вариант в качестве тестового, так как он позволяет вашей компании начать гибко использовать свой DMARC медленно и менее агрессивно. Итак, пока вы не будете уверены, что ни одно правильное письмо не будет ошибочно помещено в карантин, установите в политике DMARC значение p=quarantine.
Политика p=reject позволяет полностью предотвратить все вредоносные действия. Более того, предполагаемые получатели вообще не уведомляются о письме, и у них нет шансов быть обманутыми, если оно не попало в их почтовый ящик.
Но у этого есть и обратная сторона: некоторые законные электронные письма также могут быть ошибочно отклонены. Если вы не отслеживаете отчеты DMARC то могут пройти месяцы, прежде чем вы обнаружите, что законные электронные письма не доставляются. Это может помешать производительности, общению с клиентами, перспективами и партнерами, росту продаж, маркетинговым усилиям и т.д.
Инструменты
Продукт
Компания