Proteção antispam no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Observação

Este tópico destina-se a administradores. Para obter tópicos de usuário final, consulte Visão geral do Filtro de Email lixo eletrônico e saiba mais sobre lixo eletrônico e phishing.

No Microsoft 365 com caixas de correio no Exchange Online ou em organizações autônomas da Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, as mensagens de email são automaticamente protegidas contra spam (lixo eletrônico) pela EOP.

Para ajudar a reduzir o lixo eletrônico, o EOP inclui a proteção contra lixo eletrônico que usa tecnologias proprietárias de filtragem de spam (também conhecidas como filtragem de conteúdo) para identificar e separar o lixo eletrônico do email legítimo. A filtragem de spam EOP aprende com ameaças conhecidas de spam e phishing e comentários do usuário de nossa plataforma de consumidor, Outlook.com. Comentários contínuos de administradores e usuários ajudam a garantir que as tecnologias EOP sejam continuamente treinadas e aprimoradas.

A EOP usa os seguintes vereditos de filtragem de spam para classificar mensagens:

• Spam: a mensagem recebeu um nível de confiança de spam (SCL) de 5 ou 6.
• Spam de alta confiança: a mensagem recebeu uma SCL de 7, 8 ou 9.
• Phishing
• Phishing de alta confiança: como parte da segurança por padrão, as mensagens identificadas como phishing de alta confiança são sempre colocadas em quarentena e os usuários não podem liberar suas próprias mensagens de phishing de alta confiança em quarentena, independentemente de qualquer configuração disponível que os administradores configurem.
• Em massa: a fonte da mensagem atendeu ou excedeu o nível de reclamação em massa configurado (BCL). Limite.

Para obter mais informações sobre proteção anti-spam, consulte as perguntas frequentes sobre proteção contra spam

Na política anti-spam padrão e em políticas anti-spam personalizadas, você pode configurar as ações a serem tomadas com base nesses veredictos. Nas políticas de segurança predefinidas Standard e Strict, as ações já estão configuradas e inmodificáveis, conforme descrito nas configurações de política anti-spam do EOP.

Para configurar a política anti-spam padrão e criar, modificar e remover políticas anti-spam personalizadas, consulte Configurar políticas anti-spam no Microsoft 365.

Dica

Se você discordar do veredicto de filtragem de spam, poderá relatar a mensagem à Microsoft como um falso positivo (bom email marcado como ruim) ou um falso negativo (email incorreto permitido). Para saber mais, veja:

• Como fazer relatar um email ou arquivo suspeito para a Microsoft?.
• Como lidar com emails legítimos sendo bloqueados (falso positivo), usando Microsoft Defender para Office 365
• Como lidar com emails mal-intencionados entregues a destinatários (falsos negativos), usando Microsoft Defender para Office 365

Os cabeçalhos de mensagem anti-spam podem dizer por que uma mensagem foi marcada como spam ou por que ela pulou a filtragem de spam. Para obter mais informações, consulte Cabeçalhos de mensagem antispam.

Você não pode desativar completamente a filtragem de spam no Microsoft 365, mas pode usar regras de fluxo de email do Exchange (também conhecidas como regras de transporte) para ignorar a maioria das filtragem de spam em mensagens de entrada (por exemplo, se você rotear email por meio de um serviço ou dispositivo de proteção de terceiros antes da entrega ao Microsoft 365). Para obter mais informações, consulte Use as regras de fluxo de e-mails para definir o nível de confiança de spam (SCL) nas mensagens.

• As mensagens de phishing de alta confiança ainda são filtradas. Outros recursos no EOP não são afetados (por exemplo, as mensagens são sempre examinadas para malware).
• Se você precisar ignorar a filtragem de spam nas caixas de correio SecOps ou simulações de phishing, não use as regras de fluxo de e-mails. Para obter mais informações, consulte Configure a entrega de simulações de phishing de terceiros para usuários e mensagens não filtradas nas caixas de correio SecOps.

Em ambientes híbridos em que o EOP protege as caixas de correio locais do Exchange, você precisa configurar duas regras de fluxo de email (também conhecidas como regras de transporte) em sua organização local do Exchange para reconhecer os cabeçalhos de spam EOP adicionados às mensagens. Para obter detalhes, confira Configurar o EOP para enviar spam para a pasta Lixo Eletrônico em ambientes híbridos.

Políticas antispam

As políticas anti spam controlam as configurações configuráveis para filtragem de spam. As configurações importantes em políticas anti-spam são descritas nas subseções a seguir.

Dica

Para ver as configurações de política anti-spam na política padrão, a política de segurança predefinida standard e a política de segurança predefinida estrita, consulte Configurações de política anti-spam do EOP.

Filtros de destinatário em políticas anti-spam

Os filtros de destinatário usam condições e exceções para identificar os destinatários internos aos quais a política se aplica. Pelo menos uma condição é necessária em políticas personalizadas. Condições e exceções não estão disponíveis na política padrão (a política padrão se aplica a todos os destinatários). Você pode usar os seguintes filtros de destinatário para condições e exceções:

• Usuários: uma ou mais caixas de correio, usuários de email ou contatos de email na organização.
• Grupos:
  • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
  • Os Grupos do Microsoft 365 especificados.
• Domínios: um ou mais dos domínios aceitos configurados no Microsoft 365. O endereço de email principal do destinatário está no domínio especificado.

Você pode usar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

• Vários valores da mesma condição ou exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

  • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.
  • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.

• Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

• Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

  • Usuários: romain@contoso.com
  • Grupos: Executivos

  A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

BCL (limite de reclamação em massa) em políticas anti-spam

O EOP atribui um valor BCL (nível de reclamação em massa) a mensagens de entrada de remetentes em massa. Mensagens de remetentes em massa também são conhecidas como email em massa ou email cinza.

Para obter mais informações sobre BCL, consulte BCL (nível de reclamação em massa) no EOP.

Dica

Por padrão, a configuração do PowerShell somente MarkAsSpamBulkMail está On em políticas anti-spam no Exchange Online PowerShell. Essa configuração afeta drasticamente os resultados de um veredicto de filtragem de nível em massa (BCL) atendido ou excedido :

• MarkAsSpamBulkMail está Ativado: um BCL maior ou igual ao valor limite é convertido em um SCL 6 que corresponde a um veredicto de filtragem de Spam, e a ação para o BCL (nível em conformidade com a massa) atingiu ou excedeu o veredicto de filtragem é tomada na mensagem.
• MarkAsSpamBulkMail está desativado: a mensagem é carimbada com o BCL, mas nenhuma ação é tomada para um veredicto de filtragem atendido ou excedido em nível em massa (BCL ). Na verdade, o limite BCL e o BCL (nível de conformidade em massa) atendidos ou excedidos são irrelevantes.

Propriedades de spam em políticas anti-spam

As configurações de modo de teste , as configurações aumentar a pontuação de spam e a maioria das configurações de Marca como spam fazem parte da ASF (Filtragem Avançada de Spam) em políticas anti-spam.

Essas configurações não são configuradas na política anti-spam padrão por padrão ou nas políticas de segurança predefinidas Standard ou Strict.

Para obter informações completas sobre as configurações do ASF, consulte Configurações avançadas de Filtro de Spam (ASF) no EOP.

As outras configurações disponíveis nesta categoria são:

• Contém idiomas específicos: as mensagens nos idiomas especificados são identificadas automaticamente como spam.
• Desses países*: as mensagens dos países especificados são automaticamente identificadas como spam.

Essas configurações não são configuradas na política anti-spam padrão por padrão ou nas políticas de segurança predefinidas Standard ou Strict.

Ações em políticas anti-spam

• Em políticas anti-spam personalizadas e na política anti-spam padrão, as ações disponíveis para veredictos de filtragem de spam são descritas na tabela a seguir.

  • Uma marca de marcar ( ✔ ) indica que a ação está disponível (nem todas as ações estão disponíveis para todos os veredictos).
  • Um asterisco ( ^* ) após a marca de seleção indica a ação padrão para o veredito de filtragem de spam.

  Ação	Spam	Alto confiança spam	Phishing	Alto confiança phishing	Em massa
  Mover a mensagem para a pasta Junk Email: a mensagem é entregue na caixa de correio e movida para a pasta Junk Email.¹	✔*	✔*	✔	²	✔*
  Adicionar cabeçalho X: adiciona um cabeçalho X ao cabeçalho da mensagem e entrega a mensagem à caixa de correio. Insira o nome do campo de cabeçalho X (não o valor) na caixa de texto Adicionar este cabeçalho X disponível. Para veredictos de spam de spam de alta confiança e spam, a mensagem é movida para a pasta Junk Email.¹ ³	✔	✔	✔		✔
  Preceder a linha de assunto com texto: adiciona o texto ao início da linha de assunto da mensagem. A mensagem é entregue na caixa de correio e movida para a pasta lixo eletrônico.¹ ³ Insira o texto na linha de assunto prefixo disponível com esta caixa de texto .	✔	✔	✔		✔
  Redirecionar mensagem para endereço de email: envia a mensagem para outros destinatários em vez de enviá-la aos destinatários pretendidos. Especifique os destinatários na caixa Redirecionar para este endereço de email .	✔	✔	✔	✔	✔
  Excluir mensagem: exclui silenciosamente a mensagem inteira, incluindo todos os anexos.	✔	✔	✔		✔
  Mensagem em quarentena: envia a mensagem para a quarentena em vez de enviá-la aos destinatários pretendidos. Você seleciona ou usa a política de quarentena padrão para o veredicto de filtragem de spam na caixa Selecionar política de quarentena que aparece.⁴ As políticas de quarentena definem o que os usuários podem fazer com mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena. Especifique quanto tempo as mensagens são mantidas em quarentena na caixa Reter spam disponível em quarentena para esta caixa de muitos dias .	✔	✔	✔*	✔* ⁵	✔
  Nenhuma ação					✔

  ¹ EOP usa seu próprio agente de entrega de fluxo de email para encaminhar mensagens para a pasta Junk Email em vez de usar a regra de lixo eletrônico na caixa de correio. O parâmetro Habilitado no cmdlet Set-MailboxJunkEmailConfiguration no Exchange Online PowerShell tem efeito sobre o fluxo de email em caixas de correio de nuvem. Para obter mais informações, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online.

  ² Para phishing de alta confiança, a ação de pasta Mover para Junk Email é efetivamente preterida. Embora você possa selecionar a ação de pasta Mover para Lixo eletrônico Email, as mensagens de phishing de alta confiança são sempre colocadas em quarentena (equivalente à seleção de mensagem de quarentena).

  ³ Você pode usar o valor como condição nas regras de fluxo de email para filtrar ou rotear a mensagem.

  ⁴ Se o veredicto de filtragem de spam colocar mensagens em quarentena por padrão (a mensagem de quarentena já está selecionada quando você chegar à página), o nome da política de quarentena padrão será mostrado na caixa Selecionar política de quarentena . Se você alterar a ação de um veredicto de filtragem de spam para mensagem de quarentena, a caixa Selecionar política de quarentena ficará em branco por padrão. Um valor em branco significa que a política de quarentena padrão para esse veredicto é usada. Quando você visualiza ou edita as configurações da política anti-spam, o nome da política de quarentena é mostrado. Para obter mais informações sobre as políticas de quarentena usadas por padrão para veredictos de filtro de spam, consulte Configurações de política anti-spam do EOP.

  ⁵ Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de phishing de alta confiança em quarentena.

• Mensagens intra-organizacionais para agir: controla se a filtragem de spam e as ações de veredicto correspondentes são aplicadas a mensagens internas (mensagens enviadas entre usuários dentro da organização). A ação configurada na política para os veredictos de filtro de spam especificados é tomada em mensagens enviadas entre usuários internos. Os valores disponíveis são:

  • Padrão: esse é o valor padrão. Esse valor é o mesmo que selecionar mensagens de phishing de alta confiança.
  • Nenhum
  • Mensagens de phishing de alta confiança
  • Mensagens de phishing e phishing de alta confiança
  • Todas as mensagens de spam de phishing e alta confiança
  • Todas as mensagens de phishing e spam

  Para os valores padrão usados na política anti-spam padrão e nas políticas de segurança predefinidas Standard e Strict, consulte as mensagens intra-organizacionais para agir na entrada nas configurações de política anti-spam do EOP.

• Manter spam em quarentena por esse número de dias: especifica por quanto tempo manter a mensagem em quarentena se você selecionar Colocar mensagem em quarentena como ação para um veredito de filtragem de spam. Depois que o período expirar, a mensagem será excluída e não poderá ser recuperada. O valor válido é de 1 a 30 dias.

  Para os valores padrão que são usados na política anti-spam padrão e nas políticas de segurança predefinidas Standard e Strict, consulte o Spam de retenção em quarentena para esta entrada de muitos dias nas configurações de política anti-spam do EOP.

  Dica

  Essa configuração também controla por quanto tempo as mensagens que foram colocadas em quarentena por políticas anti-phishing são retidas. Para obter mais informações, consulte Retenção de quarentena.

ZAP (limpeza automática) de zero hora em políticas anti-spam

O ZAP para phishing e ZAP para spam é capaz de agir em mensagens depois de serem entregues em caixas de correio Exchange Online. Por padrão, o ZAP para phishing e ZAP para spam está ativado e é recomendável deixá-los ligados. Para saber mais, veja:

• ZAP (limpeza automática) de zero hora para phishing
• ZAP (limpeza automática) de zero hora para phishing de alta confiança
• ZAP (limpeza automática) de hora zero para spam

Políticas de quarentena em políticas anti-spam

Se o veredicto na política anti-spam for configurado para colocar mensagens em quarentena, as políticas de quarentena definirão o que os usuários podem fazer com essas mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.

Permitir e bloquear listas em políticas anti-spam

As políticas anti-spam contêm as seguintes listas para permitir ou bloquear remetentes ou domínios específicos:

• A lista de remetentes permitidos
• A lista de domínios permitidos
• A lista de remetentes bloqueados
• A lista de domínios bloqueados

Essas configurações não são configuradas na política anti-spam padrão por padrão ou nas políticas de segurança predefinidas Standard ou Strict.

A funcionalidade dessas listas foi largamente substituída por:

• Bloquear entradas para domínios e endereços de email nas entradas criar blocos para domínios e endereços de email.

  O main motivo para usar a lista de remetentes bloqueados ou a lista de domínios bloqueados em políticas anti-spam: bloquear entradas na Lista de Permissões/Blocos de Locatários também impede que os usuários da organização enviem email para esses endereços de email ou domínios.

• Relatar um bom email à Microsoft a partir da página Envios no portal do Microsoft Defender (em que você pode optar por Permitir emails com atributos semelhantes, o que cria as entradas temporárias necessárias na Lista de Permissões/Blocos do Locatário).

  Importante

  Mensagens de entradas na lista de remetentes permitidos ou na lista de domínios permitidos ignoram a maioria das proteções de email (exceto malware e phishing de alta confiança) e verificações de autenticação por email (SPF, DKIM e DMARC). As entradas na lista de remetentes permitidos ou na lista de domínios permitidos criam um alto risco de invasores entregarem email com êxito para a caixa de entrada que, de outra forma, seria filtrada. Essas listas são mais usadas apenas para testes temporários.

  Nunca adicione domínios comuns (por exemplo, microsoft.com ou office.com) à lista de domínios permitidos. Os invasores podem facilmente enviar mensagens falsificadas desses domínios comuns para sua organização.

  A partir de setembro de 2022, se um remetente, domínio ou subdomínio permitido estiver em um domínio aceito em sua organização, esse remetente, domínio ou subdomínio deverá passar verificações de autenticação por email para ignorar a filtragem de spam.

  Se você quiser manter uma entrada de domínio permitida na lista por um longo período de tempo, diga ao remetente para verificar se o registro do SPF está atualizado com fontes de email para seu domínio e que a política em seu registro DMARC está definida como p=reject.

Prioridade das políticas anti-spam

Se estiverem ativadas, as políticas de segurança predefinidas Standard e Strict serão aplicadas antes de qualquer política anti-spam personalizada ou da política padrão (Strict é sempre a primeira). Se você criar várias políticas anti-spam personalizadas, poderá especificar a ordem em que elas são aplicadas. O processamento de política para depois que a primeira política é aplicada (a política de maior prioridade para esse destinatário).

Para obter mais informações sobre a ordem de precedência e como várias políticas são avaliadas, consulte Ordem e precedência de proteção por email e Ordem de precedência para políticas de segurança predefinidas e outras políticas.

Política antispam padrão

Cada organização tem uma política anti-spam interna chamada Default que tem as seguintes propriedades:

• A política é a padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.
• A política é aplicada automaticamente a todos os destinatários da organização e você não pode desativá-la.
• A política é sempre aplicada por último (o valor de prioridade é mais baixo e você não pode alterá-la).