Ordine e precedenza della protezione della posta elettronica
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome senza cassette postali Exchange Online, la posta elettronica in ingresso potrebbe essere contrassegnata da più forme di protezione. Ad esempio, protezione anti-spoofing disponibile per tutti i clienti di Microsoft 365 e protezione della rappresentazione disponibile solo per Microsoft Defender per Office 365 clienti. I messaggi passano anche attraverso più scansioni di rilevamento per malware, posta indesiderata, phishing e così via. Data tutta questa attività, potrebbe verificarsi una certa confusione su quale criterio viene applicato.
In generale, un criterio applicato a un messaggio viene identificato nell'intestazione X-Forefront-Antispam-Report nella proprietà CAT (Category). Per ulteriori informazioni, vedere Intestazioni messaggi della protezione da posta indesiderata.
Esistono due fattori principali che determinano quali criteri vengono applicati a un messaggio:
Ordine di elaborazione per il tipo di protezione della posta elettronica: questo ordine non è configurabile ed è descritto nella tabella seguente:
*Queste funzionalità sono disponibili solo nei criteri anti-phishing in Microsoft Defender per Office 365.
Ordine di priorità dei criteri: l'ordine di priorità dei criteri viene visualizzato nell'elenco seguente:
I criteri di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti* sicuri e allegati* sicuri nei criteri di sicurezza predefiniti Strict (se abilitati).
I criteri di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti* sicuri e allegati* sicuri nei criteri di sicurezza predefiniti Standard (se abilitati).
Anti-phishing, collegamenti sicuri e allegati sicuri nei criteri di valutazione Defender per Office 365 (se abilitati).
Criteri personalizzati di protezione da posta indesiderata, antimalware, anti-phishing, collegamenti* sicuri e allegati* sicuri (al momento della creazione).
Ai criteri personalizzati viene assegnato un valore di priorità predefinito quando si crea il criterio (più recente è uguale a più alto), ma è possibile modificare il valore di priorità in qualsiasi momento. Questo valore di priorità influisce sull'ordine in cui vengono applicati criteri personalizzati di quel tipo (protezione da posta indesiderata, antimalware, anti-phishing e così via), ma non influisce sulla posizione in cui vengono applicati i criteri personalizzati nell'ordine complessivo.
Di uguale valore:
- I criteri Collegamenti sicuri e Allegati sicuri nei criteri di sicurezza* predefiniti per la protezione.
- Criteri predefiniti per antimalware, protezione dalla posta indesiderata e anti-phishing.
È possibile configurare le eccezioni ai criteri di sicurezza predefiniti per la protezione, ma non è possibile configurare le eccezioni ai criteri predefiniti (si applicano a tutti i destinatari e non è possibile disattivarli).
*Defender per Office 365 solo.
Importante
L'ordine di priorità è importante se lo stesso destinatario è incluso intenzionalmente o involontariamente in più criteri, perché solo il primo criterio di quel tipo (protezione da posta indesiderata, antimalware, anti-phishing e così via) viene applicato a tale destinatario, indipendentemente dal numero di altri criteri in cui è incluso il destinatario. Non esiste mai un'unione o una combinazione delle impostazioni in più criteri per il destinatario. Il destinatario non è interessato dalle impostazioni dei criteri rimanenti di quel tipo.
Ad esempio, il gruppo denominato "Contoso Executives" è incluso nei criteri seguenti:
- I criteri di sicurezza del set di impostazioni Strict
- Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 0 (priorità più alta)
- Criteri di protezione dalla posta indesiderata personalizzati con il valore di priorità 1.
Quali impostazioni dei criteri di protezione dalla posta indesiderata vengono applicate ai membri di Contoso Executives? Criteri di sicurezza del set di impostazioni Strict. Le impostazioni nei criteri di protezione dalla posta indesiderata personalizzati vengono ignorate per i membri di Contoso Executives, perché i criteri di sicurezza predefiniti Strict vengono sempre applicati per primi.
Come altro esempio, considerare i criteri anti-phishing personalizzati seguenti in Microsoft Defender per Office 365 applicabili agli stessi destinatari e un messaggio che contiene sia la rappresentazione utente che lo spoofing:
Nome criterio | Priorità | Rappresentazione utente | Anti-spoofing |
---|---|---|---|
Criteri A | 1 | Attivato | Disattivato |
Criterio B | 2 | Disattivato | Attivato |
- Il messaggio viene identificato come spoofing, perché lo spoofing (5) viene valutato prima della rappresentazione utente (6) nell'ordine di elaborazione per il tipo di protezione della posta elettronica.
- Il criterio A viene applicato per primo, perché ha una priorità più alta rispetto al criterio B.
- In base alle impostazioni in Criteri A, non viene eseguita alcuna azione sul messaggio perché l'anti-spoofing è disattivato.
- L'elaborazione dei criteri anti-phishing si arresta per tutti i destinatari inclusi, quindi il criterio B non viene mai applicato ai destinatari che sono anche in Criteri A.
Per assicurarsi che i destinatari ottengano le impostazioni di protezione desiderate, usare le linee guida seguenti per le appartenenze ai criteri:
- Assegnare un numero minore di utenti a criteri con priorità più alta e un numero maggiore di utenti per ridurre i criteri di priorità. Tenere presente che i criteri predefiniti vengono sempre applicati per ultimi.
- Configurare criteri con priorità più alta per avere impostazioni più rigide o più specializzate rispetto ai criteri con priorità inferiore. Si ha il controllo completo sulle impostazioni nei criteri personalizzati e nei criteri predefiniti, ma non è possibile controllare la maggior parte delle impostazioni nei criteri di sicurezza predefiniti.
- Prendere in considerazione l'uso di un minor numero di criteri personalizzati (usare solo criteri personalizzati per gli utenti che richiedono impostazioni più specializzate rispetto ai criteri di sicurezza predefiniti Standard o Strict o ai criteri predefiniti).
Appendice
È importante comprendere come l'utente consente e blocca, il tenant consente e blocca e filtra i verdetti dello stack in EOP e Defender per Office 365 integrarsi o contraddirsi a vicenda.
- Per informazioni sul filtro degli stack e sulla modalità di combinazione, vedere Protezione dettagliata dalle minacce in Microsoft Defender per Office 365.
- Dopo che lo stack di filtri determina un verdetto, solo i criteri tenant e le azioni configurate vengono valutati.
- Se lo stesso indirizzo di posta elettronica o lo stesso dominio esiste nell'elenco Mittenti attendibili di un utente e nell'elenco Mittenti bloccati, l'elenco Mittenti attendibili ha la precedenza.
- Se la stessa entità (indirizzo di posta elettronica, dominio, infrastruttura di invio spoofing, file o URL) esiste in una voce allow e in una voce di blocco nell'elenco Tenant Allow/Block, la voce di blocco ha la precedenza.
L'utente consente e blocca
Le voci nella raccolta di elenchi attendibili di un utente (l'elenco Mittenti attendibili, l'elenco Destinatari attendibili e l'elenco Mittenti bloccati in ogni cassetta postale) sono in grado di ignorare alcuni verdetti dello stack di filtri come descritto nella tabella seguente:
Verdetto dello stack di filtri | Elenco Mittenti/destinatari attendibili dell'utente | Elenco Mittenti bloccati dell'utente |
---|---|---|
Malware | Vince il filtro: Email in quarantena | Vince il filtro: Email in quarantena |
Messaggio di phishing altamente riservato | Vince il filtro: Email in quarantena | Vince il filtro: Email in quarantena |
Phishing | Vince l'utente: Email recapitato alla posta in arrivo dell'utente | Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione |
Posta indesiderata con alta confidenza | Vince l'utente: Email recapitato alla posta in arrivo dell'utente | Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione |
Posta indesiderata | Vince l'utente: Email recapitato alla posta in arrivo dell'utente | Vince il tenant: i criteri di protezione dalla posta indesiderata applicabili determinano l'azione |
Invio in blocco | Vince l'utente: Email recapitato alla posta in arrivo dell'utente | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |
Non posta indesiderata | Vince l'utente: Email recapitato alla posta in arrivo dell'utente | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |
- In Exchange Online, il dominio consentito nell'elenco Mittente sicuro potrebbe non funzionare se il messaggio viene messo in quarantena in base a una delle condizioni seguenti:
- Il messaggio viene identificato come malware o phishing ad alta attendibilità (i messaggi di phishing con attendibilità elevata e malware vengono messi in quarantena).
- Le azioni nei criteri di protezione dalla posta indesiderata vengono configurate per la quarantena anziché spostare la posta nella cartella Posta indesiderata Email.
- Anche l'indirizzo di posta elettronica, l'URL o il file nel messaggio di posta elettronica si trova in una voce di blocco nell'elenco tenant consentiti/bloccati.
Per altre informazioni sulla raccolta dell'elenco indirizzi attendibili e sulle impostazioni di protezione dalla posta indesiderata nelle cassette postali degli utenti, vedere Configurare le impostazioni di posta indesiderata nelle cassette postali Exchange Online.
Tenant consente e blocchi
I blocchi e consentono al tenant di eseguire l'override di alcuni verdetti dello stack di filtro, come descritto nelle tabelle seguenti:
Criteri di recapito avanzati (ignora il filtro per le cassette postali SecOps designate e gli URL di simulazione del phishing):
Verdetto dello stack di filtri Criteri di recapito avanzati consentiti Malware Vince il tenant: Email recapitato alla cassetta postale Messaggio di phishing altamente riservato Vince il tenant: Email recapitato alla cassetta postale Phishing Vince il tenant: Email recapitato alla cassetta postale Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Regole del flusso di posta di Exchange (note anche come regole di trasporto):
Verdetto dello stack di filtri La regola del flusso di posta consente* Blocchi delle regole del flusso di posta Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena tranne in un routing complesso Vince il filtro: Email in quarantena Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente * Le organizzazioni che usano un servizio o un dispositivo di sicurezza di terze parti davanti a Microsoft 365 devono prendere in considerazione l'uso di Authenticated Received Chain (ARC) ( contattare la terza parte per la disponibilità) e filtro avanzato per i connettori (noto anche come elenco ignorati) anziché una regola del flusso di posta SCL=-1. Questi metodi migliorati riducono i problemi di autenticazione della posta elettronica e incoraggiano la sicurezza della posta elettronica avanzata.
Elenco indirizzi IP consentiti ed elenco indirizzi IP bloccati nei criteri di filtro di connessione:
Verdetto dello stack di filtri Elenco indirizzi IP consentiti Elenco indirizzi IP bloccati Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email eliminato in modo invisibile all'utente Consenti e blocca le impostazioni nei criteri di protezione dalla posta indesiderata:
- Elenco di domini e mittenti consentiti.
- Elenco di domini e mittenti bloccati.
- Bloccare i messaggi provenienti da paesi/aree geografiche specifici o in lingue specifiche.
- Blocca i messaggi in base alle impostazioni asf (Advanced Spam Filter).
Verdetto dello stack di filtri I criteri di protezione dalla posta indesiderata consentono Blocchi dei criteri di protezione dalla posta indesiderata Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Phishing Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: azione di phishing nei criteri di protezione dalla posta indesiderata applicabili Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Vince il tenant: Email recapitato alla cartella Junk Email dell'utente Consenti voci nell'elenco tenant consentiti/bloccati: esistono due tipi di voci consentite:
- Le voci a livello di messaggio consentono di agire sull'intero messaggio, indipendentemente dalle entità nel messaggio. Le voci consentite per l'indirizzo di posta elettronica e i domini sono voci consentite a livello di messaggio. Queste voci consentono di ignorare i verdetti in blocco e di posta indesiderata e i verdetti di phishing ad alta attendibilità dai modelli di Machine Learning.
- Le voci di autorizzazione a livello di entità agiscono sul verdetto di filtro delle entità. Le voci consenti per URL, mittenti spoofed e file sono voci consentite a livello di entità. Per ignorare il malware e i verdetti di phishing ad alta attendibilità, è necessario usare le voci di autorizzazione a livello di entità, che è possibile creare tramite invio solo a causa di Secure per impostazione predefinita in Microsoft 365.
Verdetto dello stack di filtri Email indirizzo/dominio Malware Vince il filtro: Email in quarantena Messaggio di phishing altamente riservato Vince il filtro: Email in quarantena Phishing Vince il tenant: Email recapitato alla cassetta postale Posta indesiderata con alta confidenza Vince il tenant: Email recapitato alla cassetta postale Posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Invio in blocco Vince il tenant: Email recapitato alla cassetta postale Non posta indesiderata Vince il tenant: Email recapitato alla cassetta postale Voci bloccate nell'elenco tenant consentiti/bloccati:
Verdetto dello stack di filtri Email indirizzo/dominio Truffa File URL Malware Vince il filtro: Email in quarantena Vince il filtro: Email in quarantena Vince il tenant: Email in quarantena Vince il filtro: Email in quarantena Messaggio di phishing altamente riservato Vince il tenant: Email in quarantena Vince il filtro: Email in quarantena Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena Phishing Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena Posta indesiderata con alta confidenza Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena Posta indesiderata Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena Invio in blocco Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena Non posta indesiderata Vince il tenant: Email in quarantena Vince il tenant: azione spoof nei criteri anti-phishing applicabili Vince il tenant: Email in quarantena Vince il tenant: Email in quarantena
Conflitto tra impostazioni utente e tenant
La tabella seguente descrive come vengono risolti i conflitti se un messaggio di posta elettronica è interessato sia dalle impostazioni di autorizzazione/blocco dell'utente che dalle impostazioni di autorizzazione/blocco del tenant:
Tipo di tenant allow/block | Elenco Mittenti/destinatari attendibili dell'utente | Elenco Mittenti bloccati dell'utente |
---|---|---|
Voci di blocco nell'elenco tenant consentiti/bloccati per:
|
Vince il tenant: Email in quarantena | Vince il tenant: Email in quarantena |
Voci di blocco per i mittenti spoofing nell'elenco tenant consentiti/bloccati | Tenant wins: Spoof intelligence action in the applicable anti-phishing policy | Tenant wins: Spoof intelligence action in the applicable anti-phishing policy |
Criteri di recapito avanzati | Vince l'utente: Email recapitato alla cassetta postale | Vince il tenant: Email recapitato alla cassetta postale |
Bloccare le impostazioni nei criteri di protezione dalla posta indesiderata | Vince l'utente: Email recapitato alla cassetta postale | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |
Rispettare i criteri DMARC | Vince l'utente: Email recapitato alla cassetta postale | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |
Blocchi in base alle regole del flusso di posta | Vince l'utente: Email recapitato alla cassetta postale | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |
Consente di:
|
Vince l'utente: Email recapitato alla cassetta postale | Vince l'utente: Email recapitato alla cartella Junk Email dell'utente |