Ordine e precedenza della protezione della posta elettronica

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome senza cassette postali Exchange Online, la posta elettronica in ingresso potrebbe essere contrassegnata da più forme di protezione. Ad esempio, protezione anti-spoofing disponibile per tutti i clienti di Microsoft 365 e protezione della rappresentazione disponibile solo per Microsoft Defender per Office 365 clienti. I messaggi passano anche attraverso più scansioni di rilevamento per malware, posta indesiderata, phishing e così via. Data tutta questa attività, potrebbe verificarsi una certa confusione su quale criterio viene applicato.

In generale, un criterio applicato a un messaggio viene identificato nell'intestazione X-Forefront-Antispam-Report nella proprietà CAT (Category). Per ulteriori informazioni, vedere Intestazioni messaggi della protezione da posta indesiderata.

Esistono due fattori principali che determinano quali criteri vengono applicati a un messaggio:

• Ordine di elaborazione per il tipo di protezione della posta elettronica: questo ordine non è configurabile ed è descritto nella tabella seguente:

  Ordine	protezione Email	Categoria	Dove gestire
  1	Malware	CAT:MALW	Configurare i criteri antimalware in EOP
  2	Messaggio di phishing altamente riservato	CAT:HPHSH	Configurare criteri di protezione dalla posta indesiderata in EOP
  3	Phishing	CAT:PHSH	Configurare criteri di protezione dalla posta indesiderata in EOP
  4	Posta indesiderata con alta confidenza	CAT:HSPM	Configurare criteri di protezione dalla posta indesiderata in EOP
  5	Spoofing	CAT:SPOOF	Informazioni dettagliate sull'intelligence spoofing in EOP
  6*	Rappresentazione utente (utenti protetti)	CAT:UIMP	Configurare i criteri anti-phishing in Microsoft Defender per Office 365
  7*	Rappresentazione di dominio (domini protetti)	CAT:DIMP	Configurare i criteri anti-phishing in Microsoft Defender per Office 365
  8*	Intelligence per le cassette postali (grafo dei contatti)	CAT:GIMP	Configurare i criteri anti-phishing in Microsoft Defender per Office 365
  9	Posta indesiderata	CAT:SPM	Configurare criteri di protezione dalla posta indesiderata in EOP
  10	Invio in blocco	CAT:BULK	Configurare criteri di protezione dalla posta indesiderata in EOP

  ^*Queste funzionalità sono disponibili solo nei criteri anti-phishing in Microsoft Defender per Office 365.

• Ordine di priorità dei criteri: l'ordine di priorità dei criteri viene visualizzato nell'elenco seguente:

  1. I criteri di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti^* sicuri e allegati^* sicuri nei criteri di sicurezza predefiniti Strict (se abilitati).

  2. I criteri di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti^* sicuri e allegati^* sicuri nei criteri di sicurezza predefiniti standard (se abilitati).

  3. Anti-phishing, collegamenti sicuri e allegati sicuri nei criteri di valutazione Defender per Office 365 (se abilitati).

  4. Criteri personalizzati di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti^* sicuri e allegati^* sicuri (al momento della creazione).

     Ai criteri personalizzati viene assegnato un valore di priorità predefinito quando si crea il criterio (più recente è uguale a più alto), ma è possibile modificare il valore di priorità in qualsiasi momento. Questo valore di priorità influisce sull'ordine in cui vengono applicati criteri personalizzati di quel tipo (protezione da posta indesiderata, antimalware, anti-phishing e così via), ma non influisce sulla posizione in cui vengono applicati i criteri personalizzati nell'ordine complessivo.

  5. Di uguale valore:

     • I criteri Collegamenti sicuri e Allegati sicuri nei criteri di sicurezza^* predefiniti per la protezione.
     • Criteri predefiniti per antimalware, protezione dalla posta indesiderata e anti-phishing.

     È possibile configurare le eccezioni ai criteri di sicurezza predefiniti per la protezione, ma non è possibile configurare le eccezioni ai criteri predefiniti (si applicano a tutti i destinatari e non è possibile disattivarli).

  ^*Defender per Office 365 solo.

  L'ordine di priorità è importante se lo stesso destinatario è incluso intenzionalmente o involontariamente in più criteri, perché solo il primo criterio di quel tipo (protezione da posta indesiderata, antimalware, anti-phishing e così via) viene applicato a tale destinatario, indipendentemente dal numero di altri criteri in cui è incluso il destinatario. Non esiste mai un'unione o una combinazione delle impostazioni in più criteri per il destinatario. Il destinatario non è interessato dalle impostazioni dei criteri rimanenti di quel tipo.

Ad esempio, il gruppo denominato "Contoso Executives" è incluso nei criteri seguenti:

• I criteri di sicurezza del set di impostazioni Strict
• Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 0 (priorità più alta)
• Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 1.

Quali impostazioni dei criteri di protezione dalla posta indesiderata vengono applicate ai membri di Contoso Executives? Criteri di sicurezza del set di impostazioni Strict. Le impostazioni nei criteri di protezione dalla posta indesiderata personalizzati vengono ignorate per i membri di Contoso Executives, perché i criteri di sicurezza predefiniti Strict vengono sempre applicati per primi.

Come altro esempio, considerare i criteri anti-phishing personalizzati seguenti in Microsoft Defender per Office 365 applicabili agli stessi destinatari e un messaggio che contiene sia la rappresentazione utente che lo spoofing:

Nome criterio	Priorità	Rappresentazione utente	Anti-spoofing
Criteri A	1	Attivato	Disattivato
Criterio B	2	Disattivato	Attivato

1. Il messaggio viene identificato come spoofing, perché lo spoofing (5) viene valutato prima della rappresentazione utente (6) nell'ordine di elaborazione per il tipo di protezione della posta elettronica.
2. Il criterio A viene applicato per primo, perché ha una priorità più alta rispetto al criterio B.
3. In base alle impostazioni in Criteri A, non viene eseguita alcuna azione sul messaggio perché l'anti-spoofing è disattivato.
4. L'elaborazione dei criteri anti-phishing si arresta per tutti i destinatari inclusi, quindi il criterio B non viene mai applicato ai destinatari che sono anche in Criteri A.

Per assicurarsi che i destinatari ottengano le impostazioni di protezione desiderate, usare le linee guida seguenti per le appartenenze ai criteri:

• Assegnare un numero minore di utenti a criteri con priorità più alta e un numero maggiore di utenti per ridurre i criteri di priorità. Tenere presente che i criteri predefiniti vengono sempre applicati per ultimi.
• Configurare criteri con priorità più alta per avere impostazioni più rigide o più specializzate rispetto ai criteri con priorità inferiore. Si ha il controllo completo sulle impostazioni nei criteri personalizzati e nei criteri predefiniti, ma non è possibile controllare la maggior parte delle impostazioni nei criteri di sicurezza predefiniti.
• Prendere in considerazione l'uso di un minor numero di criteri personalizzati (usare solo criteri personalizzati per gli utenti che richiedono impostazioni più specializzate rispetto ai criteri di sicurezza predefiniti Standard o Strict o ai criteri predefiniti).

Appendice

È importante comprendere come l'utente consente e blocca, il tenant consente e blocca e filtra i verdetti dello stack in EOP e Defender per Office 365 integrarsi o contraddirsi a vicenda.

• Per informazioni sul filtro degli stack e sulla modalità di combinazione, vedere Protezione dettagliata dalle minacce in Microsoft Defender per Office 365.
• Dopo che lo stack di filtri determina un verdetto, solo i criteri tenant e le azioni configurate vengono valutati.
• Se lo stesso indirizzo di posta elettronica o lo stesso dominio esiste nell'elenco Mittenti attendibili di un utente e nell'elenco Mittenti bloccati, l'elenco Mittenti attendibili ha la precedenza.
• Se la stessa entità (indirizzo di posta elettronica, dominio, infrastruttura di invio spoofing, file o URL) esiste in una voce allow e in una voce di blocco nell'elenco Tenant Allow/Block, la voce di blocco ha la precedenza.

L'utente consente e blocca

Le voci nella raccolta di elenchi attendibili di un utente (l'elenco Mittenti attendibili, l'elenco Destinatari attendibili e l'elenco Mittenti bloccati in ogni cassetta postale) sono in grado di ignorare alcuni verdetti dello stack di filtri come descritto nella tabella seguente:

Verdetto dello stack di filtri	Elenco Mittenti/destinatari attendibili dell'utente	Elenco Mittenti bloccati dell'utente
Malware	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
Messaggio di phishing altamente riservato	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
Phishing	Vince l'utente: Email recapitato alla posta in arrivo dell'utente	Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione
Posta indesiderata con alta confidenza	Vince l'utente: Email recapitato alla posta in arrivo dell'utente	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Posta indesiderata	Vince l'utente: Email recapitato alla posta in arrivo dell'utente	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Invio in blocco	Vince l'utente: Email recapitato alla posta in arrivo dell'utente	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Non posta indesiderata	Vince l'utente: Email recapitato alla posta in arrivo dell'utente	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente

Per altre informazioni sulla raccolta dell'elenco indirizzi attendibili e sulle impostazioni di protezione dalla posta indesiderata nelle cassette postali degli utenti, vedere Configurare le impostazioni di posta indesiderata nelle cassette postali Exchange Online.

Tenant consente e blocchi

I blocchi e consentono al tenant di eseguire l'override di alcuni verdetti dello stack di filtro, come descritto nelle tabelle seguenti:

• Criteri di recapito avanzati (ignora il filtro per le cassette postali SecOps designate e gli URL di simulazione del phishing):

  Verdetto dello stack di filtri	Criteri di recapito avanzati consentiti
  Malware	Vince il tenant: Email recapitato alla cassetta postale
  Messaggio di phishing altamente riservato	Vince il tenant: Email recapitato alla cassetta postale
  Phishing	Vince il tenant: Email recapitato alla cassetta postale
  Posta indesiderata con alta confidenza	Vince il tenant: Email recapitato alla cassetta postale
  Posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale
  Invio in blocco	Vince il tenant: Email recapitato alla cassetta postale
  Non posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale

• Regole del flusso di posta di Exchange (note anche come regole di trasporto):

  Verdetto dello stack di filtri	La regola del flusso di posta consente*	Blocchi delle regole del flusso di posta
  Malware	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
  Messaggio di phishing altamente riservato	Vince il filtro: Email in quarantena tranne in un routing complesso	Vince il filtro: Email in quarantena
  Phishing	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili
  Posta indesiderata con alta confidenza	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Invio in blocco	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Non posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente

  ^* Le organizzazioni che usano un servizio o un dispositivo di sicurezza di terze parti davanti a Microsoft 365 devono prendere in considerazione l'uso di Authenticated Received Chain (ARC) ( contattare la terza parte per la disponibilità) e filtro avanzato per i connettori (noto anche come elenco ignorati) anziché una regola del flusso di posta SCL=-1. Questi metodi migliorati riducono i problemi di autenticazione della posta elettronica e incoraggiano la sicurezza della posta elettronica avanzata.

• Elenco indirizzi IP consentiti ed elenco indirizzi IP bloccati nei criteri di filtro di connessione:

  Verdetto dello stack di filtri	Elenco indirizzi IP consentiti	Elenco indirizzi IP bloccati
  Malware	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
  Messaggio di phishing altamente riservato	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
  Phishing	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email eliminato in modo invisibile all'utente
  Posta indesiderata con alta confidenza	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email eliminato in modo invisibile all'utente
  Posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email eliminato in modo invisibile all'utente
  Invio in blocco	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email eliminato in modo invisibile all'utente
  Non posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email eliminato in modo invisibile all'utente

• Consenti e blocca le impostazioni nei criteri di protezione dalla posta indesiderata:

  • Elenco di domini e mittenti consentiti.
  • Elenco di domini e mittenti bloccati.
  • Bloccare i messaggi provenienti da paesi/aree geografiche specifici o in lingue specifiche.
  • Blocca i messaggi in base alle impostazioni asf (Advanced Spam Filter).

  Verdetto dello stack di filtri	I criteri di protezione dalla posta indesiderata consentono	Blocchi dei criteri di protezione dalla posta indesiderata
  Malware	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
  Messaggio di phishing altamente riservato	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena
  Phishing	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili
  Posta indesiderata con alta confidenza	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Invio in blocco	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente
  Non posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cartella Junk Email dell'utente

• Consenti voci nell'elenco tenant consentiti/bloccati:

  Verdetto dello stack di filtri	Email indirizzo/dominio
  Malware	Vince il filtro: Email in quarantena
  Messaggio di phishing altamente riservato	Vince il filtro: Email in quarantena
  Phishing	Vince il tenant: Email recapitato alla cassetta postale
  Posta indesiderata con alta confidenza	Vince il tenant: Email recapitato alla cassetta postale
  Posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale
  Invio in blocco	Vince il tenant: Email recapitato alla cassetta postale
  Non posta indesiderata	Vince il tenant: Email recapitato alla cassetta postale

• Voci bloccate nell'elenco tenant consentiti/bloccati:

  Verdetto dello stack di filtri	Email indirizzo/dominio	Parodia	File	URL
  Malware	Vince il filtro: Email in quarantena	Vince il filtro: Email in quarantena	Vince il tenant: Email in quarantena	Vince il filtro: Email in quarantena
  Messaggio di phishing altamente riservato	Vince il tenant: Email in quarantena	Vince il filtro: Email in quarantena	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
  Phishing	Vince il tenant: Email in quarantena	Vince il tenant: azione spoof nei criteri anti-phishing applicabili	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
  Posta indesiderata con alta confidenza	Vince il tenant: Email in quarantena	Vince il tenant: azione spoof nei criteri anti-phishing applicabili	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
  Posta indesiderata	Vince il tenant: Email in quarantena	Vince il tenant: azione spoof nei criteri anti-phishing applicabili	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
  Invio in blocco	Vince il tenant: Email in quarantena	Vince il tenant: azione spoof nei criteri anti-phishing applicabili	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
  Non posta indesiderata	Vince il tenant: Email in quarantena	Vince il tenant: azione spoof nei criteri anti-phishing applicabili	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena

Conflitto tra impostazioni utente e tenant

La tabella seguente descrive come vengono risolti i conflitti se un messaggio di posta elettronica è interessato sia dalle impostazioni di autorizzazione/blocco dell'utente che dalle impostazioni di autorizzazione/blocco del tenant:

Tipo di tenant allow/block	Elenco Mittenti/destinatari attendibili dell'utente	Elenco Mittenti bloccati dell'utente
Voci di blocco nell'elenco tenant consentiti/bloccati per: Email indirizzi e domini File URL	Vince il tenant: Email in quarantena	Vince il tenant: Email in quarantena
Voci di blocco per i mittenti spoofing nell'elenco tenant consentiti/bloccati	Tenant wins: Spoof intelligence action in the applicable anti-phishing policy	Tenant wins: Spoof intelligence action in the applicable anti-phishing policy
Criteri di recapito avanzati	Vince l'utente: Email recapitato alla cassetta postale	Vince il tenant: Email recapitato alla cassetta postale
Bloccare le impostazioni nei criteri di protezione dalla posta indesiderata	Vince l'utente: Email recapitato alla cassetta postale	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Rispettare i criteri DMARC	Vince l'utente: Email recapitato alla cassetta postale	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Blocchi in base alle regole del flusso di posta	Vince l'utente: Email recapitato alla cassetta postale	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente
Consente di: Regole del flusso di posta Elenco indirizzi IP consentiti (criteri di filtro connessione) Elenco di domini e mittenti consentiti (criteri di protezione dalla posta indesiderata) Elenco di tenant consentiti/bloccati	Vince l'utente: Email recapitato alla cassetta postale	Vince l'utente: Email recapitato alla cartella Junk Email dell'utente