Domande frequenti su messaggi in quarantena

Per impostazione predefinita, solo gli amministratori possono gestire i messaggi messi in quarantena per il malware. Per altre informazioni, vedere Gestire i messaggi e i file in quarantena come amministratore.

Tuttavia, gli amministratori possono creare e applicare criteri di quarantena ai criteri antimalware che definiscono più funzionalità per gli utenti. Per altre informazioni, vedere Creare criteri di quarantena.

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware dai criteri antimalware, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti sono invece autorizzati a richiedere il rilascio del malware in quarantena o messaggi di phishing ad alta attendibilità.

Per impostazione predefinita, i messaggi classificati come posta indesiderata o in blocco vengono recapitati e spostati nella cartella Posta indesiderata Email dai criteri di protezione dalla posta indesiderata seguenti:

• Criteri di protezione dalla posta indesiderata predefiniti.
• Criteri di protezione dalla posta indesiderata personalizzati.
• Criteri di sicurezza predefiniti Standard.

Gli amministratori possono configurare i criteri predefiniti di protezione dalla posta indesiderata o personalizzati per mettere in quarantena la posta indesiderata o i messaggi di posta elettronica in blocco. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata in EOP.

Il criterio di sicurezza set di impostazioni Strict mette in quarantena i messaggi classificati come posta indesiderata o in blocco.

Per altre informazioni, vedere gli articoli seguenti:

• Impostazioni dei criteri di protezione dalla posta indesiderata di EOP
• Profili nei criteri di sicurezza predefiniti

Un utente deve avere un account valido per accedere ai propri messaggi in quarantena. EOP autonomo richiede che gli utenti siano rappresentati come utenti di posta elettronica in EOP (creati o creati manualmente tramite la sincronizzazione della directory). Per altre informazioni sulla gestione degli utenti in ambienti EOP autonomi, vedere Gestire gli utenti di posta elettronica in EOP autonomo.

I criteri di quarantena determinano se gli utenti possono accedere ai messaggi in quarantena e cosa possono fare a loro. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Se i criteri di quarantena richiedono agli utenti di richiedere il rilascio dei messaggi o agli amministratori di rilasciare i messaggi, un amministratore deve approvare la richiesta di rilascio o rilasciare il messaggio prima che il messaggio sia disponibile per gli utenti.

Non è possibile personalizzare i criteri di quarantena nei criteri di sicurezza predefiniti.

I criteri di quarantena definiscono se gli utenti possono accedere ai messaggi in quarantena in base al motivo per cui il messaggio è stato messo in quarantena.

Per l'accesso predefinito ai messaggi in quarantena, vedere la tabella in Trovare e rilasciare i messaggi in quarantena come utente in EOP

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware da criteri antimalware o allegati sicuri o come phishing ad alta attendibilità da criteri di protezione dalla posta indesiderata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti sono invece autorizzati a richiedere il rilascio del malware in quarantena o messaggi di phishing ad alta attendibilità.

Il criterio di quarantena predefinito denominato AdminOnlyAccessPolicy impedisce qualsiasi interazione dell'utente con i messaggi in quarantena. Per impostazione predefinita, questo criterio di quarantena viene usato per i messaggi messi in quarantena come malware o phishing con attendibilità elevata. Nei criteri personalizzati o nei criteri predefiniti per le funzionalità di protezione che supportano la quarantena dei messaggi, gli amministratori possono specificare AdminOnlyAccessPolicy come criterio di quarantena da usare.

Non è possibile impedire agli utenti finali di visualizzare o accedere alla pagina Quarantena all'indirizzo https://security.microsoft.com/quarantine.

Colonna Motivo quarantena disponibile nella scheda Email della pagina Quarantena nel portale di Defender all'indirizzo https://security.microsoft.com/quarantine?viewid=Email. I motivi comuni sono regola di trasporto, bulk, posta indesiderata, malware, phishing, phishing con attendibilità elevata o azione di Amministrazione - Blocco tipo di file. Per altre informazioni, vedere Visualizzare la posta elettronica in quarantena.

Prima di aprire un ticket di supporto su questo argomento, vedere Individuare chi ha eliminato un messaggio in quarantena.

Anche i messaggi in quarantena scadono e vengono rimossi dalla quarantena, a seconda del motivo per cui il messaggio è stato messo in quarantena. Per altre informazioni, vedere Conservazione della quarantena.

Il filtro degli allegati comuni nei criteri antimalware identifica gli allegati dei messaggi con le estensioni di file specificate (era possibile usare la corrispondenza dei tipi true). L'azione predefinita per questi rilevamenti nei criteri antimalware predefiniti e nei criteri di sicurezza predefiniti Standard e strict consiste nel rifiutare il messaggio in un report di mancato recapito (noto anche come rapporto di mancato recapito o messaggio di mancato recapito). Se il messaggio rilasciato contiene uno dei tipi di allegati di file specificati, è possibile che il messaggio sia stato restituito al mittente in un rapporto di mancato recapito.

Quando un messaggio scade dalla quarantena, non è possibile recuperarlo.

Per impostazione predefinita, i messaggi dei mittenti bloccati vengono nascosti dalla visualizzazione in quarantena (la quarantena viene filtrata in base a Non visualizzare i mittenti bloccati). Per visualizzare i messaggi provenienti da tutti i mittenti, selezionare Filtro e quindi selezionare Mostra tutti i mittenti.

• Soluzioni antivirus di terze parti, servizi di sicurezza o connettori in uscita possono causare i problemi seguenti per i messaggi rilasciati dalla quarantena:

  • Il messaggio viene messo in quarantena dopo il rilascio.
  • Il contenuto viene rimosso dal messaggio rilasciato prima che raggiunga la posta in arrivo del destinatario.
  • Il messaggio rilasciato non arriva mai nella posta in arrivo del destinatario.

  Verificare di non usare filtri di terze parti prima di aprire un ticket di supporto per questi problemi.

  Se un filtro di terze parti non impedisce al messaggio di raggiungere la posta in arrivo dell'utente e il primo tentativo di versione non funziona, gli amministratori possono provare a usare il cmdlet Release-QuarantineMessage in Exchange Online PowerShell con l'opzione Force per rilasciare il messaggio.

  Se Release-QuarantineMessage con l'opzione Force non funziona, gli amministratori devono provare a rilasciare il messaggio in una cassetta postale alternativa dopo che il filtro in base al servizio di terze parti è disattivato. Il rilascio forzato potrebbe causare il rilascio di messaggi più volte.

  Viene visualizzato un errore se si tenta di rilasciare in blocco più messaggi a tutti i destinatari ed è stata eseguita un'eliminazione dei messaggi a livello di destinatario in uno dei messaggi. L'amministratore deve rilasciare tale messaggio specifico solo al destinatario in cui non si è verificata l'eliminazione dalla quarantena.

• Le regole della posta in arrivo (create dagli utenti in Outlook o dagli amministratori che usano i cmdlet *-InboxRule in Exchange Online PowerShell) possono spostare o eliminare i messaggi dalla posta in arrivo.

• Alcune regole del flusso di posta che hanno messo in quarantena un messaggio possono causare nuovamente la quarantena del messaggio rilasciato.

• Informare gli amministratori che il routing dei messaggi di quarantena rilasciati ai destinatari onpremises può causare la perdita delle intestazioni di protezione dalla posta indesiderata, rendendo i messaggi nuovamente in quarantena dopo il rilascio.Inform admins that routing released quarantine messages to onpremises recipients can cause to lose anti-spam headers, which makes the messages land in quarantine again after release.

Gli amministratori possono usare la traccia dei messaggi per determinare se un messaggio rilasciato è stato recapitato alla posta in arrivo del destinatario.

Le soluzioni antivirus o i servizi di sicurezza di terze parti possono selezionare in modo casuale i pulsanti di azione nelle notifiche di quarantena.

Verificare di non usare filtri di terze parti prima di aprire un ticket di supporto per questo problema.

I messaggi in quarantena rilasciati hanno il valore StatoRilasciato e la proprietà Rilasciato da disponibili nella pagina Quarantena .

Gli amministratori possono anche usare il log di controllo per vedere chi ha rilasciato un messaggio dalla quarantena. Usare il valore Messaggio di quarantena rilasciata in Attività - Nomi descrittivi. Per istruzioni correlate, vedere Individuare chi ha eliminato un messaggio in quarantena.

Nel portale di Microsoft Defender è possibile selezionare e rilasciare fino a 100 messaggi alla volta.

Gli amministratori possono usare i cmdlet Get-QuarantineMessage e Release-QuarantineMessage in Exchange Online PowerShell o powershell EOP autonomo per trovare e rilasciare messaggi in quarantena in blocco e per segnalare falsi positivi in blocco.

Per le azioni bulk disponibili nella pagina Quarantena , vedere Eseguire azioni su più messaggi di posta elettronica in quarantena.

In Defender per Office 365 Piano 2 è possibile usare Esplora minacce (Esplora minacce) per eseguire operazioni di rilascio bulk più grandi (un massimo di 200.000 messaggi).

I caratteri jolly non sono supportati nel portale di Microsoft Defender. Ad esempio, quando si cerca un mittente, è necessario specificare l'indirizzo di posta elettronica completo. È tuttavia possibile usare caratteri jolly in Exchange Online PowerShell o powershell EOP autonomo.

Ad esempio, copiare il codice di PowerShell seguente nel Blocco note e salvare il file come .ps1 in un percorso facile da trovare (ad esempio, C:\Data\QuarantineRelease.ps1).

Dopo aver eseguito la connessione a Exchange Online PowerShell o Exchange Online Protection PowerShell, eseguire il comando seguente per eseguire lo script:

& C:\Data\QuarantineRelease.ps1

Lo script esegue le azioni seguenti:

• Trovare i messaggi non rilasciati che sono stati messi in quarantena come posta indesiderata da tutti i mittenti nel dominio fabrikam. Il numero massimo di risultati è 50.000 (50 pagine di 1000 risultati).
• Salvare i risultati in un file CSV.
• Rilasciare i messaggi in quarantena corrispondenti a tutti i destinatari originali.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Dopo aver rilasciato un messaggio, non è possibile rilasciarlo di nuovo.

Se le notifiche di quarantena sono abilitate nei criteri di quarantena associati, è possibile configurare le notifiche di quarantena da inviare ogni quattro ore, giornaliere o settimanali. Per altre informazioni, vedere Personalizzare tutte le notifiche di quarantena.

È anche possibile configurare le notifiche di quarantena per i messaggi interni (all'interno dell'organizzazione) solo nei criteri di quarantena.

Se i criteri di quarantena definiti per l'azione di quarantena supportata non hanno le notifiche attivate, le notifiche di quarantena non vengono inviate.

Per altre informazioni, vedere l'ultima tabella in Anatomia dei criteri di quarantena e le singole tabelle delle funzionalità in Impostazioni consigliate per EOP e Microsoft Defender per Office 365 per visualizzare quali criteri di quarantena predefiniti hanno attivato le notifiche di quarantena.

Inoltre, i criteri di protezione nei criteri di sicurezza predefiniti vengono sempre applicati prima dei criteri di protezione personalizzati. Un utente definito nei criteri di sicurezza predefiniti Standard o Strict non riceverà mai criteri di protezione personalizzati in cui i criteri di quarantena sono personalizzati per attivare le notifiche di quarantena. Per altre informazioni, vedere Impostazioni dei criteri nei criteri di sicurezza predefiniti

Le notifiche di quarantena non sono abilitate per i messaggi messi in quarantena dalle regole del flusso di posta di Exchange (regole di trasporto) o dalla prevenzione della perdita dei dati (DLP). Questi messaggi hanno i criteri di quarantena AdminOnly. Le notifiche di quarantena non vengono inoltre generate per i messaggi con criteri di quarantena DefaultFullAccess.

Vedere Personalizzare tutte le notifiche di quarantena.

Vedere la voce delle autorizzazioni qui.

Una notifica di quarantena personalizzata per una lingua diversa viene visualizzata agli utenti solo quando la lingua dell'account o della cassetta postale corrisponde alla lingua nella notifica di quarantena personalizzata.

Se un utente elimina il messaggio dal client di Teams, il messaggio non è più disponibile, quindi l'anteprima non è disponibile in quarantena per il messaggio eliminato.

Blocca mittente è disabilitato per impostazione predefinita per i messaggi in quarantena.

Per gli utenti finali, gli amministratori possono creare e assegnare criteri di quarantena personalizzati che includono l'azione Blocca mittente . Per altre informazioni, vedere [Criteri di quarantena](criteri di quarantena).

Gli amministratori vedono Blocca il mittente solo se filtrano i risultati della quarantena in base a Solo destinatario>anziché al valore predefinito Tutti gli utenti.

La versione di approvazione è stata ritirata ed è ora inclusa nella versione.

La casella Di ricerca si applica ai risultati visibili in quarantena. Per impostazione predefinita, vengono visualizzate solo le prime 100 voci fino a quando non si scorre verso il basso fino alla fine dell'elenco, che carica altri risultati.

Per filtrare i messaggi in quarantena in base all'ID messaggio Internet, il valore deve includere parentesi angolari (<>), anche in PowerShell.

I messaggi rilasciati rimangono visibili in quarantena con il valore Statorilasciato, fino a quando:

• Il periodo di conservazione della quarantena scade e il messaggio viene eliminato automaticamente.

  o

• Il messaggio viene eliminato manualmente dalla quarantena.

La registrazione di controllo deve essere attivata (è attivata per impostazione predefinita). Per altre informazioni, vedere Attivare o disattivare il controllo.

Più notifiche di quarantena o duplicate vengono inviate allo stesso utente se il parametro SendFromAliasEnabled nel cmdlet Set-OrganizationConfig in Exchange Online PowerShell è impostato sul valore $true.

Gli amministratori possono usare il messaggio di anteprima o l'intestazione Visualizza messaggio per visualizzare l'elenco completo dei destinatari.