Políticas anti-phishing no Microsoft 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

As políticas para configurar as configurações de proteção contra phishing estão disponíveis em organizações do Microsoft 365 com caixas de correio Exchange Online, organizações EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online e Microsoft Defender para Office 365 organizações.

Exemplos de organizações Microsoft Defender para Office 365 incluem:

As diferenças de alto nível entre as políticas anti-phishing no EOP e as políticas anti-phishing no Defender para Office 365 são descritas na tabela a seguir:

Recurso Políticas anti-phishing
no EOP
Políticas anti-phishing
em Defender para Office 365
Política padrão criada automaticamente
Criar políticas personalizadas
Configurações de política comuns*
Configurações de falsificação
Primeira dica de segurança de contato
Configurações de representação
Limites avançados de phishing

* Na política padrão, o nome e a descrição da política são somente leitura (a descrição está em branco) e você não pode especificar a quem a política se aplica (a política padrão se aplica a todos os destinatários).

Para configurar políticas anti-phishing, confira os seguintes artigos:

O restante deste artigo descreve as configurações disponíveis em políticas anti-phishing no EOP e Defender para Office 365.

Configurações de política comuns

As seguintes configurações de política estão disponíveis em políticas anti-phishing no EOP e Defender para Office 365:

  • Nome: você não pode renomear a política anti-phishing padrão. Depois de criar uma política anti-phishing personalizada, você não poderá renomear a política no portal Microsoft Defender.

  • Descrição Você não pode adicionar uma descrição à política anti-phishing padrão, mas pode adicionar e alterar a descrição das políticas personalizadas que você cria.

  • Usuários, grupos e domínios: identifica destinatários internos aos quais a política anti-phishing se aplica. Esse valor é necessário em políticas personalizadas e não está disponível na política padrão (a política padrão se aplica a todos os destinatários).

    Só é possível usar uma condição ou exceção uma vez; contudo, você pode especificar vários valores para a condição ou exceção. Vários valores com a mesma condição ou exceção usam a lógica OU (por exemplo, <destinatário1> ou <destinatário2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <destinatário1> e <membro do grupo 1>).

    • Usuários: uma ou mais caixas de correio, usuários de email ou contatos de email em sua organização.

    • Grupos:

      • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
      • Os Grupos do Microsoft 365 especificados.
    • Domínios: um ou mais dos domínios aceitos configurados no Microsoft 365. O endereço de email principal do destinatário está no domínio especificado.

    • Exclua esses usuários, grupos e domínios: exceções para a política. As configurações e o comportamento são exatamente como as condições:

      • Usuários
      • Grupos
      • Domínios

    Observação

    Pelo menos uma seleção nas configurações Usuários, grupos e domínios é necessária em políticas anti-phishing personalizadas para identificar os destinatários de mensagens aos quais a política se aplica. As políticas anti-phishing no Defender para Office 365 também têm configurações de representação em que você pode especificar endereços de email de remetente individuais ou domínios de remetente que receberão proteção de representação, conforme descrito posteriormente neste artigo.

    Vários tipos diferentes de condições ou exceções não são aditivas; eles são inclusivos. A política é aplicada apenas aos destinatários que correspondem a todos os filtros de destinatário especificados. Por exemplo, você configura uma condição de filtro de destinatário na política com os seguintes valores:

    • Usuários: romain@contoso.com
    • Grupos: Executivos

    A política será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Se ele não for membro do grupo, a política não será aplicada a ele.

    Da mesma forma, se você usar o mesmo filtro de destinatário que uma exceção à política, a política não será aplicada romain@contoso.comsomente se ele também for membro do grupo Executivos. Se ele não for membro do grupo, a política ainda se aplica a ele.

Configurações de falsificação

A falsificação é quando o endereço De em uma mensagem de email (o endereço do remetente mostrado em clientes de email) não corresponde ao domínio da fonte de email. Para obter mais informações sobre falsificação, consulte Proteção anti-falsificação no Microsoft 365.

As seguintes configurações de falsificação estão disponíveis em políticas anti-phishing no EOP e Defender para Office 365:

  • Habilitar inteligência falsa: ativa ou desativa a inteligência falsa. É recomendável deixá-la ativada.

    Quando a inteligência falsa é habilitada, o insight de inteligência falsificada mostra remetentes falsificados que foram detectados automaticamente e permitidos ou bloqueados pela inteligência falsa. Você pode substituir manualmente o veredicto de inteligência falsa para permitir ou bloquear os remetentes falsificados detectados do insight. Mas quando você faz isso, o remetente falsificado desaparece do insight de inteligência falsa e fica visível apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Ou, você pode criar manualmente permitir ou bloquear entradas para remetentes falsificados na Lista de Permissões/Blocos de Locatários, mesmo que não sejam detectadas pelo insight de inteligência falsa. Para saber mais, confira os seguintes artigos:

    Observação

    • A proteção anti-falsificação está habilitada nas políticas de segurança predefinidas Standard e Strict e é habilitada por padrão na política anti-phishing padrão e em novas políticas anti-phishing personalizadas que você cria.
    • Você não precisará desabilitar a proteção anti-falsificação se o registro MX não apontar para o Microsoft 365; em vez disso, você habilita a Filtragem Aprimorada para Conectores. Para obter instruções, consulte Filtragem Avançada para Conectores no Exchange Online.
    • Desabilitar a proteção anti-falsificação desabilita apenas a proteção de falsificação implícita contra verificações de autenticação composta . Para obter informações sobre como as verificações explícitasde DMARC são afetadas pela proteção anti-falsificação e pela configuração da política DMARC do domínio de origem (p=quarantine ou p=reject no registro DMARC TXT), consulte a seção Políticas DMARC de proteção e remetente spoof .
  • Indicadores de remetente não autenticados: disponíveis na seção Dicas de segurança & indicadores somente quando a inteligência falsa é ativada. Confira os detalhes na próxima seção.

  • Ações: para mensagens de remetentes falsificados bloqueados (automaticamente bloqueados por inteligência falsa (falha de autenticação composta mais intenção mal-intencionada) ou bloqueado manualmente na lista Permitir/Bloquear de Locatários, você também pode especificar a ação a ser executada nas mensagens:

Políticas DMARC de proteção falsa e remetente

Em políticas anti-phishing, você pode controlar se p=quarantine ou p=reject os valores nas políticas DMARC do remetente são honrados. Se uma mensagem falhar nas verificações DMARC, você poderá especificar ações separadas para p=quarantine ou p=reject na política DMARC do remetente. As seguintes configurações estão envolvidas:

  • Honor DMARC record policy when the message is detect as spoof: This setting turns on honoring the sender's DMARC policy for explicit email authentication failures. Quando essa configuração é selecionada, as seguintes configurações estão disponíveis:

    • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=quarentena: as ações disponíveis serão:
      • Colocar em quarentena a mensagem
      • Mover a mensagem para as pastas junk Email dos destinatários
    • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=reject: as ações disponíveis serão:
      • Colocar em quarentena a mensagem
      • Rejeitar a mensagem

    Se você selecionar Quarentena da mensagem como uma ação, a política de quarentena selecionada para proteção de inteligência falsa será usada.

Configurações DMARC em uma política anti-phishing.

A relação entre a inteligência falsa e se as políticas DMARC do remetente são honradas é descrita na tabela a seguir:

  Política de DMARC de honra ativada Política do Honor DMARC desativada
Spoof intelligence On Ações separadas para falhas implícitas e explícitas de autenticação de email:
  • Falhas implícitas: use o Se a mensagem for detectada como falsificação por ação de inteligência falsa na política anti-phishing.
  • Falhas explícitas:
    • Política p=quarantineDMARC: use o Se a mensagem for detectada como falsificação e a política DMARC for definida como ação p=quarentena na política anti-phishing.
    • Política p=rejectDMARC: use a política Se a mensagem for detectada como falsificação e a política DMARC for definida como p=rejeitar a ação na política anti-phishing.
    • Política p=none DMARC ou outros valores: use o Se a mensagem for detectada como falsificação por ação de inteligência falsa na política anti-phishing.
O Se a mensagem for detectada como falsificação por ação de inteligência falsa na política anti-phishing será usada para falhas implícitas e explícitas de autenticação de email. Falhas explícitas de autenticação por email ignoram p=quarantine, p=reject, p=noneou outros valores na política DMARC.
Spoof intelligence Off As verificações implícitas de autenticação de email não são usadas.

Falhas explícitas de autenticação por email:
  • Política p=quarantineDMARC: use o Se a mensagem for detectada como falsificação e a política DMARC for definida como ação p=quarentena na política anti-phishing.
  • Política p=rejectDMARC: use a política Se a mensagem for detectada como falsificação e a política DMARC for definida como p=rejeitar a ação na política anti-phishing.
  • Política p=noneDMARC: a mensagem não é identificada como falsificação pelo Microsoft 365, mas outros recursos de proteção na pilha de filtragem ainda são capazes de agir na mensagem.
As verificações implícitas de autenticação de email não são usadas.

Falhas explícitas de autenticação por email:
  • Política p=quarantineDMARC: as mensagens são colocadas em quarentena.
  • Política p=rejectDMARC: as mensagens são colocadas em quarentena.
  • Política p=noneDMARC: a mensagem não é identificada como falsificação pelo Microsoft 365, mas outros recursos de proteção na pilha de filtragem ainda são capazes de agir na mensagem.

Observação

Se o registro MX do domínio do Microsoft 365 apontar para um serviço ou dispositivo de terceiros que esteja na frente do Microsoft 365, a configuração de política do Honor DMARC será aplicada somente se a Filtragem Aprimorada para Conectores estiver habilitada para o conector que recebe mensagens de entrada.

Os clientes podem substituir a configuração de política do Honor DMARC para mensagens de email específicas e/ou remetentes usando os seguintes métodos:

  • Administradores ou usuários podem adicionar os remetentes à lista Remetentes Seguros na caixa de correio do usuário.
  • Os administradores podem usar os insight de inteligência contra falsificação ou a Lista de Permissões/Bloqueios do Locatário para permitir mensagens do remetente falsificado.
  • Os administradores criam uma regra de fluxo de email do Exchange (também conhecida como regra de transporte) para todos os usuários que permitem mensagens para esses remetentes específicos.
  • Os administradores criam uma regra de fluxo de email do Exchange para todos os usuários para email rejeitado que falha na política DMARC da organização.

Indicadores de remetente não autenticados

Indicadores de remetente não autenticados fazem parte das configurações do Spoof que estão disponíveis na seção Dicas de segurança & indicadores em políticas anti-phishing no EOP e Defender para Office 365. As seguintes configurações só estão disponíveis quando a inteligência falsa é ativada:

  • Mostrar (?) para remetentes não autenticados para falsificação: adiciona um ponto de interrogação à foto do remetente na caixa De se a mensagem não passar verificações SPF ou DKIM e a mensagem não passar DMARC ou autenticação composta. Quando essa configuração é desativada, o ponto de interrogação não é adicionado à foto do remetente.

  • Mostrar a marca "via": adiciona a marca "via" (chris@contoso.comvia fabrikam.com) na caixa De se o domínio no endereço From (o remetente de mensagens exibido em clientes de email) for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM . Para obter mais informações sobre esses endereços, consulte Uma visão geral dos padrões de mensagem de email.

Para impedir que o ponto de interrogação ou a marca "via" seja adicionado a mensagens de remetentes específicos, você tem as seguintes opções:

  • Permitir o remetente falsificado no insight de inteligência falsa ou manualmente na Lista de Permissões/Blocos do Locatário. Permitir que o remetente falsificado impeça que a marca "via" apareça em mensagens do remetente, mesmo que a configuração mostrar marca "via" seja ativada na política.
  • Configure a autenticação de email para o domínio do remetente.
    • Para o ponto de interrogação na foto do remetente, SPF ou DKIM são os mais importantes.
    • Para a marca "via", confirme o domínio na assinatura DKIM ou o endereço MAIL FROM corresponde (ou é um subdomínio de) do domínio no endereço De.

Para obter mais informações, consulte Identificar mensagens suspeitas em Outlook.com e Outlook na Web

Primeira dica de segurança de contato

A configuração Mostrar a primeira dica de segurança de contato está disponível em organizações EOP e Defender para Office 365 e não tem dependência de inteligência falsa ou configurações de proteção contra representação. A dica de segurança é mostrada aos destinatários nos seguintes cenários:

  • A primeira vez que eles recebem uma mensagem de um remetente
  • Eles não costumam receber mensagens do remetente.

Essa funcionalidade adiciona uma camada extra de proteção contra possíveis ataques de representação, portanto, é recomendável ativá-la.

A primeira dica de segurança de contato é controlada pelo valor 9.25 do SFTY campo no cabeçalho X-Forefront-Antispam-Report da mensagem. Essa funcionalidade substitui a necessidade de criar regras de fluxo de email (também conhecidas como regras de transporte) que adicionam um cabeçalho chamado X-MS-Exchange-EnableFirstContactSafetyTip pelo valor Enable às mensagens, embora essa funcionalidade ainda esteja disponível.

Dependendo do número de destinatários na mensagem, a primeira dica de segurança de contato pode ser um dos seguintes valores:

  • Destinatário único:

    Muitas vezes, você não recebe email do endereço> de <email.

    A primeira dica de segurança de contato para mensagens com um destinatário

  • Vários destinatários:

    Algumas pessoas que receberam essa mensagem muitas vezes não recebem email do endereço> de <email.

    A primeira dica de segurança de contato para mensagens com vários destinatários

Observação

Se a mensagem tiver vários destinatários, se a dica é mostrada e para quem se baseia em um modelo majoritário. Se a maioria dos destinatários nunca ou não receber mensagens do remetente, os destinatários afetados receberão a dica Algumas pessoas que receberam essa mensagem... Se você estiver preocupado que esse comportamento exponha os hábitos de comunicação de um destinatário para outro, você não deve habilitar a primeira dica de segurança de contato e continuar a usar regras de fluxo de email e o cabeçalho X-MS-Exchange-EnableFirstContactSafetyTip .

A primeira dica de segurança de contato não está estampada em mensagens assinadas por S/MIME.

Configurações exclusivas em políticas anti-phishing no Microsoft Defender para Office 365

Esta seção descreve as configurações de política que só estão disponíveis em políticas anti-phishing no Defender para Office 365.

Observação

A política anti-phishing padrão no Defender para Office 365 fornece proteção falsa e inteligência de caixa de correio para todos os destinatários. No entanto, os outros recursos de proteção de representação disponíveis e as configurações avançadas não estão configurados ou habilitados na política padrão. Para habilitar todos os recursos de proteção, modifique a política anti-phishing padrão ou crie políticas anti-phishing adicionais.

Configurações de representação em políticas anti-phishing no Microsoft Defender para Office 365

Representação é onde o remetente ou o domínio de email do remetente em uma mensagem é semelhante a um remetente ou domínio real:

  • Um exemplo de representação do domínio contoso.com é ćóntoso.com.
  • A representação do usuário é a combinação do nome de exibição do usuário e do endereço de email. Por exemplo, Valeria Barrios (vbarrios@contoso.com) pode ser representada como Valeria Barrios, mas com um endereço de email diferente.

Observação

A proteção contra representação procura domínios semelhantes. Por exemplo, se o domínio estiver contoso.com, marcar para diferentes domínios de nível superior (.com, .biz etc.), mas também domínios que são até um pouco semelhantes. Por exemplo, contosososo.com ou contoabcdef.com podem ser vistos como tentativas de representação de contoso.com.

Um domínio representado pode ser considerado legítimo (o domínio está registrado, os registros DNS de autenticação de email estão configurados etc.), exceto que a intenção do domínio é enganar os destinatários.

As configurações de representação descritas nas seções a seguir estão disponíveis apenas em políticas anti-phishing no Defender para Office 365.

Proteção de representação do usuário

A proteção de representação do usuário impede que endereços de email internos ou externos específicos sejam representados como remetentes de mensagens. Por exemplo, você recebe uma mensagem de email do vice-presidente da sua empresa solicitando que você envie algumas informações internas da empresa. Você faria isso? Muitas pessoas enviariam a resposta sem pensar.

Você pode usar usuários protegidos para adicionar endereços de email de remetente interno e externo para proteger contra representação. Essa lista de remetentes protegidos contra representação do usuário é diferente da lista de destinatários aos quais a política se aplica (todos os destinatários da política padrão; destinatários específicos conforme configurado na configuração Usuários, grupos e domínios na seção Configurações de política comum ).

Observação

Você pode especificar um máximo de 350 usuários para proteção de representação do usuário em cada política anti-phishing.

A proteção de representação do usuário não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação.

Você pode obter o erro "O endereço de email já existe" se tentar adicionar um usuário à proteção de representação do usuário quando esse endereço de email já estiver especificado para proteção de representação do usuário em outra política anti-phishing. Esse erro ocorre apenas no portal do Defender. Você não receberá o erro se usar o parâmetro TargetedUsersToProtect correspondente nos cmdlets New-AntiPhishPolicy ou Set-AntiPhishPolicy no Exchange Online PowerShell.

Por padrão, nenhum endereço de email do remetente é configurado para proteção de representação, seja na política padrão ou em políticas personalizadas.

Quando você adiciona endereços de email internos ou externos aos Usuários para proteger a lista, as mensagens desses remetentes estão sujeitas a verificações de proteção de representação. A mensagem será marcada para representação se a mensagem for enviada a um destinatário ao qual a política se aplica (todos os destinatários para a política padrão; Usuários, grupos e destinatários de domínios em políticas personalizadas). Se a representação for detectada no endereço de email do remetente, a ação para usuários representados será aplicada à mensagem.

Para tentativas de representação de usuário detectadas, as seguintes ações estão disponíveis:

Proteção de representação de domínio

A proteção de representação de domínio impede que domínios específicos no endereço de email do remetente sejam representados. Por exemplo, todos os domínios que você possui (domínios aceitos) ou domínios personalizados específicos (domínios que você possui ou domínios parceiros). Os domínios de remetente protegidos contra representação são diferentes da lista de destinatários aos quais a política se aplica (todos os destinatários da política padrão; destinatários específicos conforme configurado na configuração Usuários, grupos e domínios na seção Configurações de política comum ).

Observação

Você pode especificar um máximo de 50 domínios personalizados para proteção de representação de domínio em cada política anti-phishing.

As mensagens de remetentes nos domínios especificados estão sujeitas a verificações de proteção de representação. A mensagem será marcada para representação se a mensagem for enviada a um destinatário ao qual a política se aplica (todos os destinatários para a política padrão; Usuários, grupos e destinatários de domínios em políticas personalizadas). Se a representação for detectada no domínio do endereço de email do remetente, a ação para representação de domínio será aplicada à mensagem.

Por padrão, nenhum domínio remetente é configurado para proteção de representação, seja na política padrão ou em políticas personalizadas.

Para tentativas de representação de domínio detectadas, as seguintes ações estão disponíveis:

Proteção de representação de inteligência de caixa de correio

A inteligência de caixa de correio usa a IA (inteligência artificial) para determinar padrões de email do usuário com seus contatos frequentes.

Por exemplo, Gabriela Laureano (glaureano@contoso.com) é a CEO da sua empresa, portanto, você a adiciona como um remetente protegido no Permitir que os usuários protejam as configurações da política. Mas, alguns dos destinatários da política se comunicam regularmente com um fornecedor que também se chama Gabriela Laureano (glaureano@fabrikam.com). Como esses destinatários têm um histórico de comunicação com glaureano@fabrikam.com, a inteligência da caixa de glaureano@fabrikam.com correio não identifica mensagens como uma tentativa de glaureano@contoso.com representação para esses destinatários.

Observação

A proteção de inteligência de caixa de correio não funcionará se o remetente e o destinatário tiverem se comunicado anteriormente por email. Se o remetente e o destinatário nunca se comunicarem por email, a mensagem poderá ser identificada como uma tentativa de representação por inteligência de caixa de correio.

A inteligência da caixa de correio tem duas configurações específicas:

  • Habilitar a inteligência da caixa de correio: ative ou desative a inteligência da caixa de correio. Essa configuração ajuda a IA a distinguir entre mensagens de remetentes legítimos e representados. Por padrão, essa configuração está ativada.
  • Habilitar a inteligência para proteção contra representação: por padrão, essa configuração é desativada. Use o histórico de contatos aprendido com a inteligência da caixa de correio (contatos frequentes e sem contato) para ajudar a proteger os usuários contra ataques de representação. Para que a inteligência da caixa de correio tome medidas em mensagens detectadas, essa configuração e a configuração Habilitar inteligência de caixa de correio precisam ser ativadas.

Para tentativas de representação detectadas pela inteligência da caixa de correio, as seguintes ações estão disponíveis:

  • Não aplique nenhuma ação: esse é o valor padrão. Essa ação tem o mesmo resultado de quando Habilitar a inteligência da caixa de correio está ativada, mas Habilitar a proteção de representação de inteligência está desativada.
  • Redirecionar a mensagem para outros endereços de email
  • Mover a mensagem para as pastas junk Email dos destinatários
  • Colocar em quarentena a mensagem: se você selecionar essa ação, também poderá selecionar a política de quarentena que se aplica às mensagens colocadas em quarentena pela proteção de inteligência da caixa de correio. As políticas de quarentena definem o que os usuários podem fazer para mensagens em quarentena e se os usuários recebem notificações de quarentena. Para obter mais informações, consulte Anatomia de uma política de quarentena.
  • Entregar a mensagem e adicionar outros endereços à linha Bcc
  • Excluir a mensagem antes de ser entregue

Dicas de segurança de representação

As dicas de segurança de representação aparecem para os usuários quando as mensagens são identificadas como tentativas de representação. As seguintes dicas de segurança estão disponíveis:

  • Mostrar a dica de segurança de representação do usuário: o endereço De contém um usuário especificado na proteção de representação do usuário. Disponível somente se Habilitar os usuários a proteger estiver ativado e configurado.

    Essa dica de segurança é controlada pelo valor 9.20 do SFTY campo no cabeçalho X-Forefront-Antispam-Report da mensagem. O texto diz:

    Esse remetente é semelhante a alguém que anteriormente lhe enviou email, mas pode não ser essa pessoa.

  • Mostrar dica de segurança de representação de domínio: o endereço De contém um domínio especificado na proteção de representação de domínio. Disponível somente se Habilitar domínios para proteger estiver ativado e configurado.

    Essa dica de segurança é controlada pelo valor 9.19 do SFTY campo no cabeçalho X-Forefront-Antispam-Report da mensagem. O texto diz:

    Esse remetente pode estar representando um domínio associado à sua organização.

  • Mostrar a dica de segurança de caracteres incomuns de representação do usuário: o endereço De contém conjuntos de caracteres incomuns (por exemplo, símbolos matemáticos e texto ou uma mistura de letras maiúsculas e minúsculas) em um remetente especificado na proteção de representação do usuário. Disponível somente se Habilitar os usuários a proteger estiver ativado e configurado. O texto diz:

    O endereço de <email address> email inclui letras ou números inesperados. Recomendamos que você não interaja com essa mensagem.

Observação

As dicas de segurança não estão estampadas nas seguintes mensagens:

  • Mensagens assinadas por S/MIME.
  • Mensagens permitidas pelas configurações organizacionais.

Remetentes e domínios confiáveis

Remetentes confiáveis e domínio são exceções às configurações de proteção de representação. As mensagens dos remetentes e domínios de remetente especificados nunca são classificadas como ataques baseados em representação pela política. Em outras palavras, a ação para remetentes protegidos, domínios protegidos ou proteção de inteligência de caixa de correio não é aplicada a esses remetentes confiáveis ou domínios de remetente. O limite máximo para essas listas é 1024 entradas.

Observação

Entradas de domínio confiáveis não incluem subdomínios do domínio especificado. Você precisa adicionar uma entrada para cada subdomínio.

Se as mensagens do sistema do Microsoft 365 dos seguintes remetentes forem identificadas como tentativas de representação, você poderá adicionar os remetentes à lista de remetentes confiáveis:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Limites avançados de phishing em políticas anti-phishing em Microsoft Defender para Office 365

Os seguintes limites avançados de phishing só estão disponíveis em políticas anti-phishing no Defender para Office 365. Esses limites controlam a confidencialidade para aplicar modelos de machine learning às mensagens para determinar um veredicto de phishing:

  • 1 – Standard: esse é o valor padrão. A gravidade da ação tomada na mensagem depende do grau de confiança de que a mensagem é phishing (baixa, média, alta ou muito alta confiança). Por exemplo, as mensagens identificadas como phishing com um alto grau de confiança têm as ações mais severas aplicadas, enquanto as mensagens identificadas como phishing com baixo grau de confiança têm ações menos severas aplicadas.
  • 2 – Agressivo: as mensagens identificadas como phishing com alto grau de confiança são tratadas como se fossem identificadas com um alto grau de confiança.
  • 3 – Mais agressivo: as mensagens identificadas como phishing com um grau médio ou alto de confiança são tratadas como se fossem identificadas com um alto grau de confiança.
  • 4 – Mais agressivo: as mensagens identificadas como phishing com baixo, médio ou alto grau de confiança são tratadas como se fossem identificadas com um grau muito alto de confiança.

A chance de falsos positivos (boas mensagens marcadas como ruins) aumenta à medida que você aumenta essa configuração. Para obter informações sobre as configurações recomendadas, consulte configurações de política anti-phishing no Microsoft Defender para Office 365.