Encomenda e precedência da proteção por e-mail

Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, o e-mail de entrada pode ser sinalizado por várias formas de proteção. Por exemplo, proteção anti-spoofing disponível para todos os clientes do Microsoft 365 e proteção de representação disponível apenas para clientes Microsoft Defender para Office 365. As mensagens também passam por várias análises de deteção de software maligno, spam, phishing, etc. Tendo em conta toda esta atividade, pode haver alguma confusão quanto à aplicação da política.

Em geral, uma política aplicada a uma mensagem é identificada no cabeçalho X-Forefront-Antispam-Report na propriedade CAT (Categoria ). Para obter mais informações, consulte Cabeçalhos de mensagem antispam.

Existem dois fatores principais que determinam que política é aplicada a uma mensagem:

• A ordem de processamento do tipo de proteção de e-mail: esta encomenda não é configurável e é descrita na seguinte tabela:

  Ordem	proteção Email	Categoria	Onde gerir
  1	Malware	CAT:MALW	Configurar políticas antimalware na EOP
  2	Phishing de alta confiança	CAT:HPHSH	Configurar políticas antispam no EOP
  3	Phishing	CAT:PHSH	Configurar políticas antispam no EOP
  4	Spam de alta confiança	CAT:HSPM	Configurar políticas antispam no EOP
  5	Spoofing	CAT:SPOOF	Informações de inteligência de spoof na EOP
  6*	Representação do utilizador (utilizadores protegidos)	CAT:UIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  7*	Representação de domínio (domínios protegidos)	CAT:DIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  8*	Informações da caixa de correio (gráfico de contactos)	CAT:GIMP	Configurar políticas anti-phishing no Microsoft Defender para Office 365
  9	Spam	CAT:SPM	Configurar políticas antispam no EOP
  10	Em massa	CAT:BULK	Configurar políticas antispam no EOP

  ^*Estas funcionalidades só estão disponíveis em políticas anti-phishing no Microsoft Defender para Office 365.

• A ordem de prioridade das políticas: a ordem de prioridade da política é apresentada na seguinte lista:

  1. As políticas antisspam, antimalware, anti-phishing, Ligações^* Seguras e Anexos^* Seguros na política de segurança predefinida Estrita (quando ativada).

  2. As políticas antisspam, antimalware, anti-phishing, Ligações^* Seguras e Anexos^* Seguros na política de segurança predefinida Padrão (quando ativada).

  3. Políticas personalizadas de antisspam, antimalware, anti-phishing, Ligações^* Seguras e Anexos^* Seguros (quando criadas).

     As políticas personalizadas recebem um valor de prioridade predefinido quando cria a política (mais recente é igual a superior), mas pode alterar o valor de prioridade em qualquer altura. Este valor de prioridade afeta a ordem pela qual as políticas personalizadas desse tipo (antisspam, antimalware, anti-phishing, etc.) são aplicadas, mas não afeta onde as políticas personalizadas são aplicadas na ordem geral.

  4. Anti phishing, Ligações Seguras e Anexos Seguros no Defender para Office 365 políticas de avaliação (quando ativada).

  5. De igual valor:

     • As políticas Ligações Seguras e Anexos Seguros na política de segurança predefinida de proteção incorporada.^*
     • As políticas predefinidas para antimalware, antisspam e anti-phishing.

     Pode configurar exceções para a política de segurança predefinida de proteção incorporada, mas não pode configurar exceções para as políticas predefinidas (aplicam-se a todos os destinatários e não pode desativá-las).

  ^*apenas Defender para Office 365.

  A ordem de prioridade é importante se tiver o mesmo destinatário intencional ou não incluído em várias políticas, porque apenas a primeira política desse tipo (antisspam, antimalware, anti-phishing, etc.) é aplicada a esse destinatário, independentemente de quantas outras políticas o destinatário esteja incluído. Nunca existe uma intercalação ou combinação das definições em múltiplas políticas para o destinatário. O destinatário não é afetado pelas definições das restantes políticas desse tipo.

Por exemplo, o grupo denominado "Executivos da Contoso" está incluído nas seguintes políticas:

• A política de segurança predefinida estrita
• Uma política antisspessoal personalizada com o valor de prioridade 0 (prioridade mais alta)
• Uma política antiss spam personalizada com o valor de prioridade 1.

Que definições de política antiss spam são aplicadas aos membros da Contoso Executives? A política de segurança predefinida estrita. As definições nas políticas antisspam personalizadas são ignoradas para os membros da Contoso Executives, porque a política de segurança predefinida Estrita é sempre aplicada primeiro.

Como outro exemplo, considere as seguintes políticas anti-phishing personalizadas no Microsoft Defender para Office 365 que se aplicam aos mesmos destinatários e uma mensagem que contém a representação do utilizador e o spoofing:

1. A mensagem é identificada como spoofing, porque o spoofing (5) é avaliado antes da representação do utilizador (6) pela ordem de processamento do tipo de proteção de e-mail.
2. A Política A é aplicada primeiro, porque tem uma prioridade superior à Política B.
3. Com base nas definições na Política A, não é tomada nenhuma ação na mensagem porque o anti-spoofing está desativado.
4. O processamento de políticas anti-phishing para todos os destinatários incluídos, pelo que a Política B nunca é aplicada aos destinatários que também estão na Política A.

Para garantir que os destinatários obtêm as definições de proteção pretendidas, utilize as seguintes diretrizes para associações a políticas:

• Atribua um número menor de utilizadores a políticas de prioridade mais alta e um número maior de utilizadores a políticas de prioridade mais baixa. Lembre-se de que as políticas predefinidas são sempre aplicadas em último lugar.
• Configure políticas de prioridade mais alta para ter definições mais rigorosas ou mais especializadas do que as políticas de prioridade inferior. Tem controlo total sobre as definições nas políticas personalizadas e as políticas predefinidas, mas não tem controlo sobre a maioria das definições nas políticas de segurança predefinidas.
• Considere utilizar menos políticas personalizadas (utilize apenas políticas personalizadas para utilizadores que necessitem de definições mais especializadas do que as políticas de segurança predefinidas Padrão ou Estritas ou as políticas predefinidas).

Apêndice

É importante compreender como o utilizador permite e bloqueia, o inquilino permite e bloqueia, e filtrar veredictos de pilha na EOP e Defender para Office 365 complementam ou contradizem uns aos outros.

• Para obter informações sobre como filtrar pilhas e como são combinadas, veja Proteção passo a passo contra ameaças no Microsoft Defender para Office 365.
• Depois de a pilha de filtragem determinar um veredicto, só então são avaliadas as políticas de inquilino e as ações configuradas.
• Se o mesmo endereço de e-mail ou domínio existir na lista de Remetentes Seguros de um utilizador e na lista de Remetentes Bloqueados, a lista remetentes seguros tem precedência.
• Se a mesma entidade (endereço de e-mail, domínio, infraestrutura de envio falsificado, ficheiro ou URL) existir numa entrada de permissão e numa entrada de bloco na Lista de Permissões/Blocos de Inquilinos, a entrada de bloco tem precedência.

O utilizador permite e bloqueia

As entradas na coleção de lista segura de um utilizador (a lista remetentes seguros, a lista Destinatários Seguros e a lista de Remetentes Bloqueados em cada caixa de correio) são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito na seguinte tabela:

• No Exchange Online, o domínio permitido na lista do Remetente Seguro poderá não funcionar se a mensagem for colocada em quarentena por qualquer uma das seguintes condições:
  • A mensagem é identificada como software maligno ou phishing de alta confiança (mensagens de phishing de alta confiança e software maligno são colocadas em quarentena).
  • As ações nas políticas antisspam são configuradas para colocar em quarentena em vez de mover correio para a pasta Email de Lixo.
  • O endereço de e-mail, URL ou ficheiro na mensagem de e-mail também está numa entrada de bloco na Lista de Permissões/Bloqueios do Inquilino.

Para obter mais informações sobre a coleção de listas seguras e as definições antissempas nas caixas de correio dos utilizadores, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online.

Inquilino permite e bloqueia

Os inquilinos permitem e os blocos são capazes de substituir alguns veredictos de pilha de filtragem, conforme descrito nas seguintes tabelas:

• Política de entrega avançada (ignorar filtragem para caixas de correio SecOps designadas e URLs de simulação de phishing):

  Veredicto da pilha de filtragem	Permissão de política de entrega avançada
  Malware	O inquilino ganha: Email entregues na caixa de correio
  Phishing de alta confiança	O inquilino ganha: Email entregues na caixa de correio
  Phishing	O inquilino ganha: Email entregues na caixa de correio
  Spam de alta confiança	O inquilino ganha: Email entregues na caixa de correio
  Spam	O inquilino ganha: Email entregues na caixa de correio
  Em massa	O inquilino ganha: Email entregues na caixa de correio
  Não é spam	O inquilino ganha: Email entregues na caixa de correio

• Regras de fluxo de correio do Exchange (também conhecidas como regras de transporte):

  Veredicto da pilha de filtragem	A regra de fluxo de correio permite*	Blocos de regras de fluxo de correio
  Malware	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing de alta confiança	O filtro ganha: Email em quarentena, exceto no encaminhamento complexo	O filtro ganha: Email em quarentena
  Phishing	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: ação de phishing na política antiss spam aplicável
  Spam de alta confiança	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Em massa	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Não é spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador

  ^* As organizações que utilizam um serviço ou dispositivo de segurança de terceiros à frente do Microsoft 365 devem considerar a utilização da Cadeia De Receção Autenticada (ARC) (contactar terceiros para disponibilidade) e a Filtragem Avançada para Conectores (também conhecida como ignorar listagem) em vez de uma regra de fluxo de correio SCL=-1. Estes métodos melhorados reduzem os problemas de autenticação de e-mail e incentivam a segurança de e-mail de defesa em profundidade .

• Lista de Permissões de IP e Lista de Bloqueios de IP nas políticas de filtro de ligação:

  Veredicto da pilha de filtragem	Lista de Permissões de IP	Lista de Blocos IP
  Malware	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing de alta confiança	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email removido silenciosamente
  Spam de alta confiança	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email removido silenciosamente
  Spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email removido silenciosamente
  Em massa	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email removido silenciosamente
  Não é spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email removido silenciosamente

• Permitir e bloquear definições em políticas antisspam:

  • Remetente e lista de domínios permitidos.
  • Remetente e lista de domínios bloqueados.
  • Bloquear mensagens de países/regiões específicos ou em idiomas específicos.
  • Bloquear mensagens com base nas definições do Filtro de Spam Avançado (ASF).

  Veredicto da pilha de filtragem	A política antiss spam permite	Blocos de política antiss spam
  Malware	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing de alta confiança	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: ação de phishing na política antiss spam aplicável
  Spam de alta confiança	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Em massa	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador
  Não é spam	O inquilino ganha: Email entregues na caixa de correio	O inquilino ganha: Email entregues na pasta de Email de Lixo do utilizador

• Permitir entradas na Lista de Permissões/Bloqueios do Inquilino: existem dois tipos de entradas de permissão:

  • O nível da mensagem permite que as entradas atuem em toda a mensagem, independentemente das entidades na mensagem. As entradas de permissão para endereços de e-mail e domínios são entradas de permissão ao nível da mensagem.
  • O nível de entidade permite que as entradas atuem sobre o veredicto de filtragem de entidades. Permitir entradas para URLs, remetentes falsificados e ficheiros são entradas de permissão ao nível da entidade. Para substituir software maligno e veredictos de phishing de alta confiança, tem de utilizar entradas de permissão ao nível da entidade, que só pode criar por submissão devido a Seguro por predefinição no Microsoft 365.

  Veredicto da pilha de filtragem	Email endereço/domínio
  Malware	O filtro ganha: Email em quarentena
  Phishing de alta confiança	O filtro ganha: Email em quarentena
  Phishing	O inquilino ganha: Email entregues na caixa de correio
  Spam de alta confiança	O inquilino ganha: Email entregues na caixa de correio
  Spam	O inquilino ganha: Email entregues na caixa de correio
  Em massa	O inquilino ganha: Email entregues na caixa de correio
  Não é spam	O inquilino ganha: Email entregues na caixa de correio

• Bloquear entradas na Lista de Permissões/Bloqueios do Inquilino:

  Veredicto da pilha de filtragem	Email endereço/domínio	Spoof	Arquivo	URL
  Malware	O filtro ganha: Email em quarentena	O filtro ganha: Email em quarentena	O inquilino ganha: Email em quarentena	O filtro ganha: Email em quarentena
  Phishing de alta confiança	O inquilino ganha: Email em quarentena	O filtro ganha: Email em quarentena	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena
  Phishing	O inquilino ganha: Email em quarentena	O inquilino ganha: ação spoof na política anti-phishing aplicável	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena
  Spam de alta confiança	O inquilino ganha: Email em quarentena	O inquilino ganha: ação spoof na política anti-phishing aplicável	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena
  Spam	O inquilino ganha: Email em quarentena	O inquilino ganha: ação spoof na política anti-phishing aplicável	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena
  Em massa	O inquilino ganha: Email em quarentena	O inquilino ganha: ação spoof na política anti-phishing aplicável	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena
  Não é spam	O inquilino ganha: Email em quarentena	O inquilino ganha: ação spoof na política anti-phishing aplicável	O inquilino ganha: Email em quarentena	O inquilino ganha: Email em quarentena

Conflito de definições de utilizador e inquilino

A tabela seguinte descreve como os conflitos são resolvidos se um e-mail for afetado pelas definições de permissão/bloqueio do utilizador e pelas definições de permissão/bloqueio do inquilino: