Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.
Van toepassing op
- Exchange Online Protection
- Microsoft Defender for Office 365 Plan 1 en abonnement 2
- Microsoft Defender XDR
Dit artikel bevat veelgestelde vragen en antwoorden over antimalwarebeveiliging voor Microsoft 365-organisaties met postvakken in Exchange Online, of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken.
Zie Veelgestelde vragen over quarantaine voor vragen en antwoorden over de quarantaine.
Zie Veelgestelde vragen over antispambeveiliging voor vragen en antwoorden over antispambeveiliging.
Zie Veelgestelde vragen over beveiliging tegen adresvervalsing voor vragen en antwoorden over anti-adresvervalsing.
Wat zijn aanbevelingen voor aanbevolen procedures voor het configureren en gebruiken van de service om malware te bestrijden?
Hoe vaak worden de malwaredefinities bijgewerkt?
Elke server controleert elk uur op nieuwe malwaredefinities van onze antimalwarepartners.
Hoeveel antimalwarepartners hebt u? Kan ik kiezen welke malware-engines we gebruiken?
We hebben partnerschappen met meerdere providers van antimalwaretechnologie. Berichten worden gescand met de antimalware-engines van Microsoft, een extra engine op basis van handtekeningen en URL- en bestandsreputatiescans van meerdere bronnen. Onze partners zijn onderhevig aan wijzigingen, maar EOP maakt altijd gebruik van antimalwarebeveiliging van meerdere partners. U kunt niet de ene antimalware-engine boven de andere kiezen.
Waar vindt het scannen van malware plaats?
We scannen op malware in berichten die worden verzonden naar of verzonden vanuit een postvak (berichten in transit). Voor Exchange Online postvakken hebben we ook zero-hour auto purge (ZAP) voor malware om berichten te scannen die al zijn bezorgd. Als u een bericht opnieuw verzendt vanuit een postvak, wordt het opnieuw gescand (omdat het onderweg is).
Als ik een wijziging aanbrengt in een antimalwarebeleid, hoe lang duurt het dan nadat ik mijn wijzigingen heb opgeslagen voordat ze van kracht worden?
Het kan tot 1 uur duren voordat de wijzigingen van kracht worden.
Scant de service interne berichten op malware?
Voor organisaties met Exchange Online postvakken scant de service op malware in alle binnenkomende en uitgaande berichten, inclusief berichten die tussen interne geadresseerden worden verzonden.
Een zelfstandig EOP-abonnement scant berichten wanneer ze de on-premises e-mailorganisatie binnenkomen of verlaten. Berichten die tussen interne on-premises geadresseerden worden verzonden, worden niet gescand op malware. U kunt echter de ingebouwde functies voor antimalwarescans van Exchange Server gebruiken. Zie Antimalwarebeveiliging in Exchange Server voor meer informatie.
Hebben alle antimalware-engines die door de service worden gebruikt heuristisch scannen ingeschakeld?
Ja. Heuristische scans scannen op zowel bekende (handtekeningovereenkomst) als onbekende (verdachte) malware.
Kan de service gecomprimeerde bestanden (zoals .zip bestanden) scannen?
Ja. De antimalware-engines kunnen inzoomen op gecomprimeerde (archief)bestanden.
Ondersteunt het scannen van gecomprimeerde bijlagen recursief (.zip binnen een .zip binnen een .zip) en zo ja, hoe diep gaat het?
Ja, recursief scannen van gecomprimeerde bestanden scant veel lagen diep.
Werkt de service met verouderde Exchange-versies en niet-Exchange-omgevingen?
Ja, de service is serverneutraal.
Wat is een zero-day virus en hoe wordt het verwerkt door de service?
Een zero-day virus is een eerste generatie, voorheen onbekende variant van malware die nooit is vastgelegd of geanalyseerd.
Nadat een zero-day-virusvoorbeeld is vastgelegd en geanalyseerd door onze antimalware-engines, wordt er een definitie en unieke handtekening gemaakt om de malware te detecteren.
Wanneer er een definitie of handtekening voor de malware bestaat, wordt deze niet langer beschouwd als zero-day.
Hoe kan ik de service zo configureren dat specifieke uitvoerbare bestanden (zoals \*.exe) worden geblokkeerd die mogelijk malware bevatten?
U kunt het algemene bijlagefilter (ook wel algemene bijlageblokkering genoemd) inschakelen en configureren, zoals beschreven in Algemene bijlagenfilters in antimalwarebeleidsregels.
U kunt ook een Exchange-e-mailstroomregel (ook wel transportregel genoemd) maken waarmee e-mailbijlagen met uitvoerbare inhoud worden geblokkeerd.
Volg de stappen in Malwarebedreigingen verminderen via het blokkeren van bestandsbijlagen in Exchange Online Protection om de bestandstypen te blokkeren die worden vermeld in Ondersteunde bestandstypen voor inhoudsinspectie van e-mailstroomregels in Exchange Online.
Voor een betere beveiliging raden we u ook aan om de bijlage bestandsextensie bevat deze woorden voorwaarde in e-mailstroomregels te gebruiken om sommige of alle van de volgende extensies te blokkeren: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Waarom is een specifieke malware voorbij de filters gekomen?
De malware die u hebt ontvangen, is een nieuwe variant (zie Wat is een zero-day-virus en hoe wordt dit verwerkt door de service?). De tijd die nodig is voor een update van een malwaredefinitie is afhankelijk van onze antimalwarepartners.
Houd er rekening mee dat geen enkele door de gebruiker of beheerder configureerbare instelling e-mailbijlagen kan uitsluiten van het scannen door antimalwarebeveiliging.
Hoe kan ik malware indienen die de filters heeft overschreden naar Microsoft? Hoe kan ik ook een bestand indienen waarvan ik denk dat het onjuist is gedetecteerd als malware?
Ik heb een e-mailbericht met een onbekende bijlage ontvangen. Is dit malware of kan ik deze bijlage negeren?
U wordt aangeraden geen bijlagen te openen die u niet herkent. Als u wilt dat wij de bijlage onderzoeken, meldt u het bestand aan Microsoft.
Waar kan ik berichten krijgen die zijn verwijderd door de malwarefilters?
De berichten bevatten actieve schadelijke code en daarom staat u geen toegang tot deze berichten toe. Ze zijn onherstelbaar verwijderd.
Ik kan een specifieke bijlage niet ontvangen omdat deze ten onrechte wordt geïdentificeerd als malware. Kan ik deze bijlage via e-mailstroomregels toestaan?
Nee. U kunt exchange-e-mailstroomregels niet gebruiken om malwarefilters over te slaan. De enige manier om malwarefilters voor een ontvanger over te slaan, is door het postvak te identificeren als een SecOps-postvak. Zie De Microsoft Defender portal gebruiken om SecOps-postvakken te configureren in het geavanceerde leveringsbeleid voor meer informatie.
Kan ik rapportagegegevens over malwaredetecties ophalen?
Ja, u hebt toegang tot rapporten in de Microsoft Defender-portal. Zie Beveiligingsrapporten voor e-mail weergeven in de Microsoft Defender-portal voor meer informatie.
Is er een hulpprogramma dat ik kan gebruiken om een bericht met malware te volgen via de service?
Ja, met het hulpprogramma voor berichttracering kunt u e-mailberichten volgen terwijl ze de service passeren. Zie Berichttracering in het moderne Exchange-beheercentrum voor meer informatie over het gebruik van het hulpprogramma voor berichttracering om erachter te komen waarom een bericht is gedetecteerd dat malware bevat.
Kan ik een externe antispam- en antimalwareprovider gebruiken met Exchange Online?
Ja. In de meeste gevallen raden we u aan om uw MX-records te verwijzen naar (dat wil gezegd, e-mail rechtstreeks bezorgen bij) EOP. Als u uw e-mail eerst ergens anders naartoe wilt routeren, moet u Verbeterde filtering voor connectors inschakelen, zodat EOP de werkelijke berichtbron kan gebruiken bij het filteren van beslissingen.
Worden spam- en malwareberichten onderzocht door wie ze heeft verzonden, of worden ze overgedragen aan wetshandhavingsinstanties?
De service richt zich op het detecteren en verwijderen van spam en malware, hoewel we af en toe bijzonder gevaarlijke of schadelijke spam- of aanvalscampagnes kunnen onderzoeken en de daders kunnen achtervolgen.
We werken vaak samen met onze juridische en digitale misdaadeenheden om de volgende acties uit te voeren:
- Een spambotnet verwijderen.
- Blokkeren dat een aanvaller de service kan gebruiken.
- Geef de informatie door aan de politie voor strafrechtelijke vervolging.