Veelgestelde vragen over berichten in quarantaine

Standaard kunnen alleen beheerders berichten beheren die in quarantaine zijn geplaatst voor malware. Zie Berichten en bestanden in quarantaine beheren als beheerder voor meer informatie.

Beheerders kunnen echter quarantainebeleid maken en toepassen op antimalwarebeleidsregels waarmee meer mogelijkheden voor gebruikers worden gedefinieerd. Zie quarantainebeleid Creatie voor meer informatie.

Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst door antimalwarebeleid niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .

Standaard worden berichten die zijn geclassificeerd als spam of bulksgewijs bezorgd en verplaatst naar de map Ongewenste e-mail Email volgens het volgende antispambeleid:

• Het standaard antispambeleid.
• Aangepast antispambeleid.
• Het vooraf ingestelde standaardbeveiligingsbeleid.

Beheerders kunnen het standaard antispam- of aangepaste beleid configureren om spam of bulksgewijs e-mailberichten in quarantaine te plaatsen. Zie Antispambeleid configureren in EOP voor meer informatie.

Met het vooraf ingestelde beveiligingsbeleid strikt worden berichten die zijn geclassificeerd als spam of bulk in quarantaine geplaatst.

Zie de volgende artikelen voor meer informatie:

• EOP-instellingen voor antispambeleid
• Profielen in vooraf ingesteld beveiligingsbeleid

Een gebruiker moet een geldig account hebben om toegang te krijgen tot hun eigen berichten in quarantaine. Zelfstandige EOP vereist dat gebruikers worden weergegeven als e-mailgebruikers in EOP (handmatig gemaakt of gemaakt via adreslijstsynchronisatie). Zie E-mailgebruikers beheren in zelfstandige EOP voor meer informatie over het beheren van gebruikers in zelfstandige EOP-omgevingen.

Quarantainebeleid bepaalt of gebruikers toegang hebben tot hun berichten in quarantaine en wat ze met hen mogen doen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Als het quarantainebeleid vereist dat gebruikers de release van berichten aanvragen of beheerders verplichten om berichten vrij te geven, moet een beheerder de releaseaanvraag goedkeuren of het bericht vrijgeven voordat het bericht beschikbaar is voor gebruikers.

Quarantainebeleid bepaalt of gebruikers toegang hebben tot berichten in quarantaine op basis van waarom het bericht in quarantaine is geplaatst.

Zie de tabel in Berichten in quarantaine zoeken en vrijgeven als gebruiker in EOP voor de standaardtoegang tot berichten in quarantaine

Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst als malware niet vrijgeven door antimalware- of safe attachments-beleid, of phishing met hoge betrouwbaarheid door antispambeleid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .

Het standaard quarantainebeleid met de naam AdminOnlyAccessPolicy voorkomt interactie van gebruikers met hun in quarantaine geplaatste berichten. Dit quarantainebeleid wordt standaard gebruikt voor berichten die in quarantaine zijn geplaatst als malware of phishing met hoge betrouwbaarheid. In aangepast beleid of het standaardbeleid voor beveiligingsfuncties die quarantining-berichten ondersteunen, kunnen beheerders de AdminOnlyAccessPolicy opgeven als het quarantainebeleid dat moet worden gebruikt.

De kolom Reden voor quarantaine die beschikbaar is op het tabblad Email van de pagina Quarantaine in de Defender-portal op https://security.microsoft.com/quarantine?viewid=Email. Veelvoorkomende redenen zijn transportregel, bulk, spam, malware, phishing, phishing, phishing met hoge betrouwbaarheid of Beheer actie - blokkering van bestandstype. Zie E-mail in quarantaine weergeven voor meer informatie.

Voordat u hierover een ondersteuningsticket opent, raadpleegt u Zoeken wie een bericht in quarantaine heeft verwijderd.

Berichten in quarantaine verlopen ook en worden uiteindelijk uit quarantaine verwijderd, afhankelijk van waarom het bericht in quarantaine is geplaatst. Zie Retentie in quarantaine voor meer informatie.

Het algemene filter voor bijlagen in antimalwarebeleid identificeert berichtbijlagen met de opgegeven bestandsextensies (met true type matching was mogelijk). De standaardactie voor deze detecties in het standaard antimalwarebeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid is het weigeren van het bericht in een rapport over niet-bezorging (ook wel een NDR- of niet-bezorgdbericht genoemd). Als het vrijgegeven bericht een van de opgegeven bestandstypen bevat, is het mogelijk dat het bericht is geretourneerd naar de afzender in een NDR.

Wanneer een bericht uit quarantaine verloopt, kunt u het niet herstellen.

• Antivirusoplossingen van derden, beveiligingsservices of uitgaande connectors kunnen de volgende problemen veroorzaken voor berichten die uit quarantaine worden vrijgegeven:

  • Het bericht wordt in quarantaine geplaatst nadat het is vrijgegeven.
  • Inhoud wordt verwijderd uit het vrijgegeven bericht voordat deze het Postvak IN van de geadresseerde bereikt.
  • Het vrijgegeven bericht komt nooit binnen in het Postvak IN van de geadresseerde.

  Controleer of u geen filters van derden gebruikt voordat u een ondersteuningsticket over deze problemen opent.

• Regels voor Postvak IN (gemaakt door gebruikers in Outlook of door beheerders met behulp van de cmdlets *-InboxRule in Exchange Online PowerShell) kunnen berichten uit het Postvak IN verplaatsen of verwijderen.

Beheerders kunnen berichttracering gebruiken om te bepalen of een vrijgegeven bericht is bezorgd in het Postvak IN van de geadresseerde.

Antivirusoplossingen van derden of beveiligingsservices kunnen willekeurig actieknoppen selecteren in quarantainemeldingen.

Controleer of u geen filters van derden gebruikt voordat u een ondersteuningsticket over dit probleem opent.

In de Microsoft Defender portal kunt u maximaal 100 berichten tegelijk selecteren en vrijgeven.

Beheerders kunnen de cmdlets Get-QuarantineMessage en Release-QuarantineMessage in Exchange Online PowerShell of zelfstandige EOP PowerShell gebruiken om berichten in quarantaine bulksgewijs te zoeken en vrij te geven en om fout-positieven bulksgewijs te melden.

Jokertekens worden niet ondersteund in de Microsoft Defender-portal. Als u bijvoorbeeld een afzender zoekt, moet u het volledige e-mailadres opgeven. U kunt echter jokertekens gebruiken in Exchange Online PowerShell of zelfstandige EOP PowerShell.

Kopieer bijvoorbeeld de volgende PowerShell-code naar Kladblok en sla het bestand op als .ps1 op een locatie die u gemakkelijk kunt vinden (bijvoorbeeld C:\Data\QuarantineRelease.ps1).

Nadat u verbinding hebt gemaakt met Exchange Online PowerShell of Exchange Online Protection PowerShell, voert u de volgende opdracht uit om het script uit te voeren:

& C:\Data\QuarantineRelease.ps1

Met het script worden de volgende acties uitgevoerd:

• Zoek niet-uitgebrachte berichten die in quarantaine zijn geplaatst als spam van alle afzenders in het fabrikam-domein. Het maximum aantal resultaten is 50.000 (50 pagina's met 1000 resultaten).
• Sla de resultaten op in een CSV-bestand.
• De overeenkomende berichten in quarantaine vrijgeven aan alle oorspronkelijke geadresseerden.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Nadat u een bericht hebt vrijgegeven, kunt u het niet meer vrijgeven.

Als quarantainemeldingen zijn ingeschakeld in het bijbehorende quarantainebeleid, kunt u instellen dat quarantainemeldingen elke vier uur, dagelijks of wekelijks, worden verzonden. Zie Alle quarantainemeldingen aanpassen voor meer informatie.

Als voor het quarantainebeleid dat is gedefinieerd voor de ondersteunde quarantaineactie geen meldingen zijn ingeschakeld, worden de quarantainemeldingen niet verzonden.

Zie de laatste tabel in Anatomie van een quarantainebeleid en de afzonderlijke functietabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365 om te zien op welke standaardquarantainebeleidsregels quarantainemeldingen zijn ingeschakeld.

Bovendien worden de beveiligingsbeleidsregels in vooraf ingesteld beveiligingsbeleid altijd toegepast vóór aangepast beveiligingsbeleid. Een gebruiker die is gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid, krijgt nooit een aangepast beveiligingsbeleid waarbij het quarantainebeleid is aangepast om quarantainemeldingen in te schakelen. Zie Beleidsinstellingen in vooraf ingesteld beveiligingsbeleid voor meer informatie

Zie Alle quarantainemeldingen aanpassen.

Zie de machtigingsvermelding hier.

Een aangepaste quarantainemelding voor een andere taal wordt alleen weergegeven aan gebruikers wanneer de taal van hun account/postvak overeenkomt met de taal in de aangepaste quarantainemelding.

Als een gebruiker het bericht uit de Teams-client verwijdert, is het bericht verdwenen, zodat preview niet beschikbaar is in quarantaine voor het verwijderde bericht.