Políticas anti-phishing no Microsoft 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
As políticas para configurar as configurações de proteção contra phishing estão disponíveis em organizações do Microsoft 365 com caixas de correio Exchange Online, organizações EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online e Microsoft Defender para Office 365 organizações.
Exemplos de organizações Microsoft Defender para Office 365 incluem:
- Microsoft 365 Enterprise E5, Microsoft 365 Education A5 etc.
- Microsoft 365 Enterprise
- Microsoft 365 Business
- Microsoft Defender para Office 365 como complemento
As diferenças de alto nível entre as políticas anti-phishing no EOP e as políticas anti-phishing no Defender para Office 365 são descritas na tabela a seguir:
Recurso | Políticas anti-phishing no EOP |
Políticas anti-phishing em Defender para Office 365 |
---|---|---|
Política padrão criada automaticamente | ✔ | ✔ |
Criar políticas personalizadas | ✔ | ✔ |
Configurações de política comuns* | ✔ | ✔ |
Configurações de falsificação | ✔ | ✔ |
Primeira dica de segurança de contato | ✔ | ✔ |
Configurações de representação | ✔ | |
Limites avançados de phishing | ✔ |
* Na política padrão, o nome e a descrição da política são somente leitura (a descrição está em branco) e você não pode especificar a quem a política se aplica (a política padrão se aplica a todos os destinatários).
Para configurar políticas anti-phishing, confira os seguintes artigos:
- Configurar políticas anti-phishing em EOP
- Configurar políticas anti-phishing no Microsoft Defender para Office 365
O restante deste artigo descreve as configurações disponíveis em políticas anti-phishing no EOP e Defender para Office 365.
Configurações de política comuns
As seguintes configurações de política estão disponíveis em políticas anti-phishing no EOP e Defender para Office 365:
Nome: você não pode renomear a política anti-phishing padrão. Depois de criar uma política anti-phishing personalizada, você não poderá renomear a política no portal Microsoft Defender.
Descrição Você não pode adicionar uma descrição à política anti-phishing padrão, mas pode adicionar e alterar a descrição das políticas personalizadas que você cria.
Usuários, grupos e domínios: identifica destinatários internos aos quais a política anti-phishing se aplica. Esse valor é necessário em políticas personalizadas e não está disponível na política padrão (a política padrão se aplica a todos os destinatários).
Só é possível usar uma condição ou exceção uma vez; contudo, você pode especificar vários valores para a condição ou exceção. Vários valores com a mesma condição ou exceção usam a lógica OU (por exemplo, <destinatário1> ou <destinatário2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <destinatário1> e <membro do grupo 1>).
Usuários: uma ou mais caixas de correio, usuários de email ou contatos de email em sua organização.
Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
- Os Grupos do Microsoft 365 especificados.
Domínios: um ou mais dos domínios aceitos configurados no Microsoft 365. O endereço de email principal do destinatário está no domínio especificado.
Exclua esses usuários, grupos e domínios: exceções para a política. As configurações e o comportamento são exatamente como as condições:
- Usuários
- Grupos
- Domínios
Observação
Pelo menos uma seleção nas configurações Usuários, grupos e domínios é necessária em políticas anti-phishing personalizadas para identificar os destinatários de mensagens aos quais a política se aplica. As políticas anti-phishing no Defender para Office 365 também têm configurações de representação em que você pode especificar endereços de email de remetente individuais ou domínios de remetente que receberão proteção de representação, conforme descrito posteriormente neste artigo.
Vários tipos diferentes de condições ou exceções não são aditivas; eles são inclusivos. A política é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, você configura uma condição de filtro de destinatário na política com os seguintes valores:
- Usuários: romain@contoso.com
- Grupos: Executivos
A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Se ele não for membro do grupo, a política não será aplicada a ele.
Da mesma forma, se você usar o mesmo filtro de destinatário que uma exceção à política, a política não será aplicada romain@contoso.comsomente se ele também for membro do grupo Executivos. Se ele não for membro do grupo, a política ainda se aplica a ele.
Configurações de falsificação
A falsificação é quando o endereço De em uma mensagem de email (o endereço do remetente mostrado em clientes de email) não corresponde ao domínio da fonte de email. Para obter mais informações sobre falsificação, consulte Proteção anti-falsificação no Microsoft 365.
As seguintes configurações de falsificação estão disponíveis em políticas anti-phishing no EOP e Defender para Office 365:
Habilitar inteligência falsa: ativa ou desativa a inteligência falsa. É recomendável deixá-la ativada.
Quando a inteligência falsa é habilitada, o insight de inteligência falsificada mostra remetentes falsificados que foram detectados automaticamente e permitidos ou bloqueados pela inteligência falsa. Você pode substituir manualmente o veredicto de inteligência falsa para permitir ou bloquear os remetentes falsificados detectados do insight. Mas quando você faz isso, o remetente falsificado desaparece do insight de inteligência falsa e fica visível apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Ou, você pode criar manualmente permitir ou bloquear entradas para remetentes falsificados na Lista de Permissões/Blocos de Locatários, mesmo que não sejam detectadas pelo insight de inteligência falsa. Para saber mais, confira os seguintes artigos:
- Informações falsas de inteligência no EOP
- Remetentes falsificados na lista Permitir/Bloquear locatário
Observação
- A proteção anti-falsificação está habilitada nas políticas de segurança predefinidas Standard e Strict e é habilitada por padrão na política anti-phishing padrão e em novas políticas anti-phishing personalizadas que você cria.
- Você não precisará desabilitar a proteção anti-falsificação se o registro MX não apontar para o Microsoft 365; em vez disso, você habilita a Filtragem Aprimorada para Conectores. Para obter instruções, consulte Filtragem Avançada para Conectores no Exchange Online.
- Desabilitar a proteção anti-falsificação desabilita apenas a proteção de falsificação implícita contra verificações de autenticação composta . Para obter informações sobre como as verificações explícitasde DMARC são afetadas pela proteção anti-falsificação e pela configuração da política DMARC do domínio de origem (
p=quarantine
oup=reject
no registro DMARC TXT), consulte a seção Políticas DMARC de proteção e remetente spoof .
Indicadores de remetente não autenticados: disponíveis na seção Dicas de segurança & indicadores somente quando a inteligência falsa é ativada. Confira os detalhes na próxima seção.
Ações: para mensagens de remetentes falsificados bloqueados (automaticamente bloqueados por inteligência falsa (falha de autenticação composta mais intenção mal-intencionada) ou bloqueado manualmente na lista Permitir/Bloquear de Locatários, você também pode especificar a ação a ser executada nas mensagens:
Mover mensagens para as pastas junk Email dos destinatários: este é o valor padrão. A mensagem é entregue na caixa de correio e movida para a pasta Junk Email. Para obter mais informações, consulte Configurar configurações de email de lixo eletrônico em caixas de correio Exchange Online no Microsoft 365.
Colocar a mensagem em quarentena: envia a mensagem para quarentena em vez dos destinatários pretendidos. Para obter informações sobre a quarentena, consulte os seguintes artigos:
- Quarentena no Microsoft 365
- Gerenciar mensagens e arquivos em quarentena como administrador no Microsoft 365
- Localizar e liberar mensagens em quarentena como usuário no Microsoft 365
Se você selecionar Quarentena da mensagem, também poderá selecionar a política de quarentena que se aplica às mensagens que foram colocadas em quarentena pela proteção de inteligência falsa. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Políticas DMARC de proteção falsa e remetente
Em políticas anti-phishing, você pode controlar se p=quarantine
ou p=reject
os valores nas políticas DMARC do remetente são honrados. Se uma mensagem falhar nas verificações DMARC, você poderá especificar ações separadas para p=quarantine
ou p=reject
na política DMARC do remetente. As seguintes configurações estão envolvidas:
Honor DMARC record policy when the message is detect as spoof: This setting turns on honoring the sender's DMARC policy for explicit email authentication failures. Quando essa configuração é selecionada, as seguintes configurações estão disponíveis:
- Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=quarentena: as ações disponíveis serão:
- Colocar em quarentena a mensagem
- Mover a mensagem para as pastas junk Email dos destinatários
- Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=reject: as ações disponíveis serão:
- Colocar em quarentena a mensagem
- Rejeitar a mensagem
Se você selecionar Quarentena da mensagem como uma ação, a política de quarentena selecionada para proteção de inteligência falsa será usada.
- Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=quarentena: as ações disponíveis serão:
A relação entre a inteligência falsa e se as políticas DMARC do remetente são honradas é descrita na tabela a seguir:
Política de DMARC de honra ativada | Política do Honor DMARC desativada | |
---|---|---|
Spoof intelligence On | Ações separadas para falhas implícitas e explícitas de autenticação de email:
|
O Se a mensagem for detectada como falsificação por ação de inteligência falsa na política anti-phishing será usada para falhas implícitas e explícitas de autenticação de email. Falhas explícitas de autenticação por email ignoram p=quarantine , p=reject , p=none ou outros valores na política DMARC. |
Spoof intelligence Off | As verificações implícitas de autenticação de email não são usadas. Falhas explícitas de autenticação por email:
|
As verificações implícitas de autenticação de email não são usadas. Falhas explícitas de autenticação por email:
|
Observação
Se o registro MX do domínio do Microsoft 365 apontar para um serviço ou dispositivo de terceiros que esteja na frente do Microsoft 365, a configuração de política do Honor DMARC será aplicada somente se a Filtragem Aprimorada para Conectores estiver habilitada para o conector que recebe mensagens de entrada.
Os clientes podem substituir a configuração de política do Honor DMARC para mensagens de email específicas e/ou remetentes usando os seguintes métodos:
- Administradores ou usuários podem adicionar os remetentes à lista Remetentes Seguros na caixa de correio do usuário.
- Os administradores podem usar os insight de inteligência contra falsificação ou a Lista de Permissões/Bloqueios do Locatário para permitir mensagens do remetente falsificado.
- Os administradores criam uma regra de fluxo de email do Exchange (também conhecida como regra de transporte) para todos os usuários que permitem mensagens para esses remetentes específicos.
- Os administradores criam uma regra de fluxo de email do Exchange para todos os usuários para email rejeitado que falha na política DMARC da organização.
Indicadores de remetente não autenticados
Indicadores de remetente não autenticados fazem parte das configurações do Spoof que estão disponíveis na seção Dicas de segurança & indicadores em políticas anti-phishing no EOP e Defender para Office 365. As seguintes configurações só estão disponíveis quando a inteligência falsa é ativada:
Mostrar (?) para remetentes não autenticados para falsificação: adiciona um ponto de interrogação à foto do remetente na caixa De se a mensagem não passar verificações SPF ou DKIM e a mensagem não passar DMARC ou autenticação composta. Quando essa configuração é desativada, o ponto de interrogação não é adicionado à foto do remetente.
Mostrar a marca "via": adiciona a marca "via" (chris@contoso.comvia fabrikam.com) na caixa De se o domínio no endereço From (o remetente de mensagens exibido em clientes de email) for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM . Para obter mais informações sobre esses endereços, consulte Uma visão geral dos padrões de mensagem de email.
Para impedir que o ponto de interrogação ou a marca "via" seja adicionado a mensagens de remetentes específicos, você tem as seguintes opções:
- Permitir o remetente falsificado no insight de inteligência falsa ou manualmente na Lista de Permissões/Blocos do Locatário. Permitir que o remetente falsificado impeça que a marca "via" apareça em mensagens do remetente, mesmo que a configuração mostrar marca "via" seja ativada na política.
- Configure a autenticação de email para o domínio do remetente.
- Para o ponto de interrogação na foto do remetente, SPF ou DKIM são os mais importantes.
- Para a marca "via", confirme o domínio na assinatura DKIM ou o endereço MAIL FROM corresponde (ou é um subdomínio de) do domínio no endereço De.
Para obter mais informações, consulte Identificar mensagens suspeitas em Outlook.com e Outlook na Web
Primeira dica de segurança de contato
A configuração Mostrar a primeira dica de segurança de contato está disponível em organizações EOP e Defender para Office 365 e não tem dependência de inteligência falsa ou configurações de proteção contra representação. A dica de segurança é mostrada aos destinatários nos seguintes cenários:
- A primeira vez que eles recebem uma mensagem de um remetente
- Eles não costumam receber mensagens do remetente.
Essa funcionalidade adiciona uma camada extra de proteção contra possíveis ataques de representação, portanto, é recomendável ativá-la.
A primeira dica de segurança de contato é controlada pelo valor 9.25 do SFTY
campo no cabeçalho X-Forefront-Antispam-Report da mensagem. Essa funcionalidade substitui a necessidade de criar regras de fluxo de email (também conhecidas como regras de transporte) que adicionam um cabeçalho chamado X-MS-Exchange-EnableFirstContactSafetyTip pelo valor Enable
às mensagens, embora essa funcionalidade ainda esteja disponível.
Dependendo do número de destinatários na mensagem, a primeira dica de segurança de contato pode ser um dos seguintes valores:
Destinatário único:
Muitas vezes, você não recebe email do endereço> de <email.
Vários destinatários:
Algumas pessoas que receberam essa mensagem muitas vezes não recebem email do endereço> de <email.
Observação
Se a mensagem tiver vários destinatários, se a dica é mostrada e para quem se baseia em um modelo majoritário. Se a maioria dos destinatários nunca ou não receber mensagens do remetente, os destinatários afetados receberão a dica Algumas pessoas que receberam essa mensagem... Se você estiver preocupado que esse comportamento exponha os hábitos de comunicação de um destinatário para outro, você não deve habilitar a primeira dica de segurança de contato e continuar a usar regras de fluxo de email e o cabeçalho X-MS-Exchange-EnableFirstContactSafetyTip .
A primeira dica de segurança de contato não está estampada em mensagens assinadas por S/MIME.
Configurações exclusivas em políticas anti-phishing no Microsoft Defender para Office 365
Esta seção descreve as configurações de política que só estão disponíveis em políticas anti-phishing no Defender para Office 365.
Observação
A política anti-phishing padrão no Defender para Office 365 fornece proteção falsa e inteligência de caixa de correio para todos os destinatários. No entanto, os outros recursos de proteção de representação disponíveis e as configurações avançadas não estão configurados ou habilitados na política padrão. Para habilitar todos os recursos de proteção, modifique a política anti-phishing padrão ou crie políticas anti-phishing adicionais.
Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365
Representação é onde o remetente ou o domínio de email do remetente em uma mensagem é semelhante a um remetente ou domínio real:
- Um exemplo de representação do domínio contoso.com é ćóntoso.com.
- A representação do usuário é a combinação do nome de exibição do usuário e do endereço de email. Por exemplo, Valeria Barrios (vbarrios@contoso.com) pode ser representada como Valeria Barrios, mas com um endereço de email diferente.
Observação
A proteção contra representação procura domínios semelhantes. Por exemplo, se o domínio estiver contoso.com, marcar para diferentes domínios de nível superior (.com, .biz etc.), mas também domínios que são até um pouco semelhantes. Por exemplo, contosososo.com ou contoabcdef.com podem ser vistos como tentativas de representação de contoso.com.
Um domínio representado pode ser considerado legítimo (o domínio está registrado, os registros DNS de autenticação de email estão configurados etc.), exceto que a intenção do domínio é enganar os destinatários.
As configurações de representação descritas nas seções a seguir estão disponíveis apenas em políticas anti-phishing no Defender para Office 365.
Proteção de representação do usuário
A proteção de representação do usuário impede que endereços de email internos ou externos específicos sejam representados como remetentes de mensagens. Por exemplo, você recebe uma mensagem de email do vice-presidente da sua empresa solicitando que você envie algumas informações internas da empresa. Você faria isso? Muitas pessoas enviariam a resposta sem pensar.
Você pode usar usuários protegidos para adicionar endereços de email de remetente interno e externo para proteger contra representação. Essa lista de remetentes protegidos contra representação do usuário é diferente da lista de destinatários aos quais a política se aplica (todos os destinatários da política padrão; destinatários específicos conforme configurado na configuração Usuários, grupos e domínios na seção Configurações de política comum ).
Observação
Você pode especificar um máximo de 350 usuários para proteção de representação do usuário em cada política anti-phishing.
A proteção de representação do usuário não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação.
Você pode obter o erro "O endereço de email já existe" se tentar adicionar um usuário à proteção de representação do usuário quando esse endereço de email já estiver especificado para proteção de representação do usuário em outra política anti-phishing. Esse erro ocorre apenas no portal do Defender. Você não receberá o erro se usar o parâmetro TargetedUsersToProtect correspondente nos cmdlets New-AntiPhishPolicy ou Set-AntiPhishPolicy no Exchange Online PowerShell.
Por padrão, nenhum endereço de email do remetente é configurado para proteção de representação, seja na política padrão ou em políticas personalizadas.
Quando você adiciona endereços de email internos ou externos aos Usuários para proteger a lista, as mensagens desses remetentes estão sujeitas a verificações de proteção de representação. A mensagem será marcada para representação se a mensagem for enviada a um destinatário ao qual a política se aplica (todos os destinatários para a política padrão; Usuários, grupos e destinatários de domínios em políticas personalizadas). Se a representação for detectada no endereço de email do remetente, a ação para usuários representados será aplicada à mensagem.
Para tentativas de representação de usuário detectadas, as seguintes ações estão disponíveis:
Não aplique nenhuma ação: essa é a ação padrão.
Redirecione a mensagem para outros endereços de email: envia a mensagem para os destinatários especificados em vez dos destinatários pretendidos.
Mover mensagens para as pastas junk Email dos destinatários: a mensagem é entregue na caixa de correio e movida para a pasta Junk Email. Para obter mais informações, consulte Configurar configurações de email de lixo eletrônico em caixas de correio Exchange Online no Microsoft 365.
Colocar a mensagem em quarentena: envia a mensagem para quarentena em vez dos destinatários pretendidos. Para obter informações sobre a quarentena, consulte os seguintes artigos:
- Quarentena no Microsoft 365
- Gerenciar mensagens e arquivos em quarentena como administrador no Microsoft 365
- Localizar e liberar mensagens em quarentena como usuário no Microsoft 365
Se você selecionar Quarentena da mensagem, também poderá selecionar a política de quarentena que se aplica às mensagens colocadas em quarentena pela proteção de representação do usuário. As políticas de quarentena definem o que os usuários podem fazer com mensagens em quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Entregue a mensagem e adicione outros endereços à linha Bcc: entregue a mensagem aos destinatários pretendidos e entregue silenciosamente a mensagem aos destinatários especificados.
Exclua a mensagem antes de ser entregue: exclua silenciosamente toda a mensagem, incluindo todos os anexos.
Proteção de representação de domínio
A proteção de representação de domínio impede que domínios específicos no endereço de email do remetente sejam representados. Por exemplo, todos os domínios que você possui (domínios aceitos) ou domínios personalizados específicos (domínios que você possui ou domínios parceiros). Os domínios de remetente protegidos contra representação são diferentes da lista de destinatários aos quais a política se aplica (todos os destinatários da política padrão; destinatários específicos conforme configurado na configuração Usuários, grupos e domínios na seção Configurações de política comum ).
Observação
Você pode especificar um máximo de 50 domínios personalizados para proteção de representação de domínio em cada política anti-phishing.
As mensagens de remetentes nos domínios especificados estão sujeitas a verificações de proteção de representação. A mensagem será marcada para representação se a mensagem for enviada a um destinatário ao qual a política se aplica (todos os destinatários para a política padrão; Usuários, grupos e destinatários de domínios em políticas personalizadas). Se a representação for detectada no domínio do endereço de email do remetente, a ação para representação de domínio será aplicada à mensagem.
Por padrão, nenhum domínio remetente é configurado para proteção de representação, seja na política padrão ou em políticas personalizadas.
Para tentativas de representação de domínio detectadas, as seguintes ações estão disponíveis:
Não aplique nenhuma ação: esse é o valor padrão.
Redirecione a mensagem para outros endereços de email: envia a mensagem para os destinatários especificados em vez dos destinatários pretendidos.
Mover mensagens para as pastas junk Email dos destinatários: a mensagem é entregue na caixa de correio e movida para a pasta Junk Email. Para obter mais informações, consulte Configurar configurações de email de lixo eletrônico em caixas de correio Exchange Online no Microsoft 365.
Colocar a mensagem em quarentena: envia a mensagem para quarentena em vez dos destinatários pretendidos. Para obter informações sobre a quarentena, consulte os seguintes artigos:
- Quarentena no Microsoft 365
- Gerenciar mensagens e arquivos em quarentena como administrador no Microsoft 365
- Localizar e liberar mensagens em quarentena como usuário no Microsoft 365
Se você selecionar Quarentena da mensagem, também poderá selecionar a política de quarentena que se aplica às mensagens colocadas em quarentena pela proteção de representação de domínio. As políticas de quarentena definem o que os usuários podem fazer com mensagens em quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
Entregue a mensagem e adicione outros endereços à linha Bcc: entregue a mensagem aos destinatários pretendidos e entregue silenciosamente a mensagem aos destinatários especificados.
Exclua a mensagem antes de ser entregue: silenciosamente exclui toda a mensagem, incluindo todos os anexos.
Proteção de representação de inteligência de caixa de correio
A inteligência de caixa de correio usa a IA (inteligência artificial) para determinar padrões de email do usuário com seus contatos frequentes.
Por exemplo, Gabriela Laureano (glaureano@contoso.com) é a CEO da sua empresa, portanto, você a adiciona como um remetente protegido no Permitir que os usuários protejam as configurações da política. Mas, alguns dos destinatários da política se comunicam regularmente com um fornecedor que também se chama Gabriela Laureano (glaureano@fabrikam.com). Como esses destinatários têm um histórico de comunicação com glaureano@fabrikam.com, a inteligência da caixa de glaureano@fabrikam.com correio não identifica mensagens como uma tentativa de glaureano@contoso.com representação para esses destinatários.
Observação
A proteção de inteligência de caixa de correio não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação por inteligência de caixa de correio.
A inteligência da caixa de correio tem duas configurações específicas:
- Habilitar a inteligência da caixa de correio: ative ou desative a inteligência da caixa de correio. Essa configuração ajuda a IA a distinguir entre mensagens de remetentes legítimos e representados. Por padrão, essa configuração está ativada.
- Habilitar a inteligência para proteção contra representação: por padrão, essa configuração é desativada. Use o histórico de contatos aprendido com a inteligência da caixa de correio (contatos frequentes e sem contato) para ajudar a proteger os usuários contra ataques de representação. Para que a inteligência da caixa de correio tome medidas em mensagens detectadas, essa configuração e a configuração Habilitar inteligência de caixa de correio precisam ser ativadas.
Para tentativas de representação detectadas pela inteligência da caixa de correio, as seguintes ações estão disponíveis:
- Não aplique nenhuma ação: esse é o valor padrão. Essa ação tem o mesmo resultado de quando Habilitar a inteligência da caixa de correio está ativada, mas Habilitar a proteção de representação de inteligência está desativada.
- Redirecionar a mensagem para outros endereços de email
- Mover a mensagem para as pastas junk Email dos destinatários
- Colocar em quarentena a mensagem: se você selecionar essa ação, também poderá selecionar a política de quarentena que se aplica às mensagens colocadas em quarentena pela proteção de inteligência da caixa de correio. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
- Entregar a mensagem e adicionar outros endereços à linha Bcc
- Excluir a mensagem antes de ser entregue
Dicas de segurança de representação
As dicas de segurança de representação aparecem para os usuários quando as mensagens são identificadas como tentativas de representação. As seguintes dicas de segurança estão disponíveis:
Mostrar a dica de segurança de representação do usuário: o endereço De contém um usuário especificado na proteção de representação do usuário. Disponível somente se Habilitar os usuários a proteger estiver ativado e configurado.
Essa dica de segurança é controlada pelo valor 9.20 do
SFTY
campo no cabeçalho X-Forefront-Antispam-Report da mensagem. O texto diz:Esse remetente é semelhante a alguém que anteriormente lhe enviou email, mas pode não ser essa pessoa.
Mostrar dica de segurança de representação de domínio: o endereço De contém um domínio especificado na proteção de representação de domínio. Disponível somente se Habilitar domínios para proteger estiver ativado e configurado.
Essa dica de segurança é controlada pelo valor 9.19 do
SFTY
campo no cabeçalho X-Forefront-Antispam-Report da mensagem. O texto diz:Esse remetente pode estar representando um domínio associado à sua organização.
Mostrar a dica de segurança de caracteres incomuns de representação do usuário: o endereço De contém conjuntos de caracteres incomuns (por exemplo, símbolos matemáticos e texto ou uma mistura de letras maiúsculas e minúsculas) em um remetente especificado na proteção de representação do usuário. Disponível somente se Habilitar os usuários a proteger estiver ativado e configurado. O texto diz:
O endereço de
<email address>
email inclui letras ou números inesperados. Recomendamos que você não interaja com essa mensagem.
Observação
As dicas de segurança não estão estampadas nas seguintes mensagens:
- Mensagens assinadas por S/MIME.
- Mensagens permitidas pelas configurações organizacionais.
Remetentes e domínios confiáveis
Remetentes confiáveis e domínio são exceções às configurações de proteção de representação. As mensagens dos remetentes e domínios de remetente especificados nunca são classificadas como ataques baseados em representação pela política. Em outras palavras, a ação para remetentes protegidos, domínios protegidos ou proteção de inteligência de caixa de correio não é aplicada a esses remetentes confiáveis ou domínios de remetente. O limite máximo para essas listas é 1024 entradas.
Observação
Entradas de domínio confiáveis não incluem subdomínios do domínio especificado. Você precisa adicionar uma entrada para cada subdomínio.
Se as mensagens do sistema do Microsoft 365 dos seguintes remetentes forem identificadas como tentativas de representação, você poderá adicionar os remetentes à lista de remetentes confiáveis:
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
Limites avançados de phishing em políticas anti-phishing em Microsoft Defender para Office 365
Os seguintes limites avançados de phishing só estão disponíveis em políticas anti-phishing no Defender para Office 365. Esses limites controlam a confidencialidade para aplicar modelos de machine learning às mensagens para determinar um veredicto de phishing:
- 1 – Standard: esse é o valor padrão. A gravidade da ação tomada na mensagem depende do grau de confiança de que a mensagem é phishing (baixa, média, alta ou muito alta confiança). Por exemplo, as mensagens identificadas como phishing com um alto grau de confiança têm as ações mais severas aplicadas, enquanto as mensagens identificadas como phishing com baixo grau de confiança têm ações menos severas aplicadas.
- 2 – Agressivo: as mensagens identificadas como phishing com alto grau de confiança são tratadas como se fossem identificadas com um alto grau de confiança.
- 3 – Mais agressivo: as mensagens identificadas como phishing com um grau médio ou alto de confiança são tratadas como se fossem identificadas com um alto grau de confiança.
- 4 – Mais agressivo: as mensagens identificadas como phishing com baixo, médio ou alto grau de confiança são tratadas como se fossem identificadas com um grau muito alto de confiança.
A chance de falsos positivos (boas mensagens marcadas como ruins) aumenta à medida que você aumenta essa configuração. Para obter informações sobre as configurações recomendadas, consulte configurações de política anti-phishing no Microsoft Defender para Office 365.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte:Enviar e exibir comentários de