Proteggere per impostazione predefinita in Office 365
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
"Secure by default" è un termine usato per definire le impostazioni predefinite più sicure possibile.
Tuttavia, la sicurezza deve essere bilanciata con la produttività. Ciò può includere il bilanciamento tra:
- Usabilità: le impostazioni non devono ostacolare la produttività degli utenti.
- Rischio: la sicurezza potrebbe bloccare attività importanti.
- Impostazioni legacy: alcune configurazioni per i prodotti e le funzionalità meno recenti potrebbero dover essere mantenute per motivi aziendali, anche se vengono migliorate le nuove impostazioni moderne.
Le organizzazioni di Microsoft 365 con cassette postali in Exchange Online sono protette da Exchange Online Protection (EOP). Questa protezione include:
- Email con malware sospetto viene automaticamente messo in quarantena. Se i destinatari ricevono notifiche sui messaggi di malware in quarantena sono controllati dai criteri di quarantena e dalle impostazioni nei criteri antimalware. Per altre informazioni, vedere Configurare i criteri antimalware in EOP.
- Email identificato come phishing con attendibilità elevata viene gestito in base all'azione dei criteri di protezione dalla posta indesiderata. Vedere Configurare i criteri di protezione dalla posta indesiderata in EOP.
Per altre informazioni su EOP, vedere panoramica Exchange Online Protection.
Poiché Microsoft vuole proteggere i clienti per impostazione predefinita, alcune sostituzioni dei tenant non vengono applicate per malware o phishing ad alta attendibilità. Queste sostituzioni includono:
- Elenchi di mittenti consentiti o elenchi di domini consentiti (criteri di protezione dalla posta indesiderata)
- Mittenti attendibili di Outlook
- Elenco indirizzi IP consentiti (filtro delle connessioni)
- Regole del flusso di posta di Exchange (note anche come regole di trasporto)
Se si vuole consentire temporaneamente determinati messaggi ancora bloccati da Microsoft, eseguire questa operazione usando gli invii di amministratore.
Altre informazioni su queste sostituzioni sono disponibili in Creare elenchi di mittenti attendibili.
Nota
L'azione Sposta messaggio in posta indesiderata Email cartella per un verdetto di posta elettronica di phishing con attendibilità elevata nei criteri di protezione dalla posta indesiderata di EOP è stata deprecata. I criteri di protezione dalla posta indesiderata che usano questa azione per i messaggi di phishing con attendibilità elevata vengono convertiti in messaggi di quarantena. L'azione Reindirizza messaggio all'indirizzo di posta elettronica per i messaggi di phishing con attendibilità elevata non è interessata.
Proteggere per impostazione predefinita non è un'impostazione che può essere attivata o disattivata, ma è il modo in cui il filtro funziona automaticamente per mantenere i messaggi potenzialmente pericolosi o indesiderati fuori dalle cassette postali. I messaggi di phishing con attendibilità elevata e malware devono essere messi in quarantena. Per impostazione predefinita, solo gli amministratori possono gestire i messaggi messi in quarantena come malware o phishing ad alta attendibilità e possono anche segnalare falsi positivi a Microsoft da questa posizione. Per altre informazioni, vedere Gestione dei messaggi e dei file in quarantena come amministratore in EOP.
Altre informazioni sul motivo per cui stiamo facendo questo
Lo spirito di sicurezza per impostazione predefinita è: si sta eseguendo la stessa azione sul messaggio che si farebbe se si conoscesse il messaggio dannoso, anche quando un'eccezione configurata avrebbe altrimenti consentito il recapito del messaggio. Questo è lo stesso approccio che abbiamo sempre usato sul malware e ora stiamo estendendo questo stesso comportamento ai messaggi di phishing ad alta attendibilità.
I dati indicano che un utente ha una probabilità 30 volte maggiore di fare clic su un collegamento dannoso nei messaggi nella cartella Email indesiderata rispetto alla quarantena. I dati indicano anche che la frequenza di falsi positivi (messaggi validi contrassegnati come non validi) per i messaggi di phishing con attendibilità elevata è molto bassa e gli amministratori possono risolvere eventuali falsi positivi con invii di amministratori.
È stato anche stabilito che il mittente consentito e gli elenchi di domini consentiti nei criteri di protezione dalla posta indesiderata e mittenti attendibili in Outlook erano troppo ampi e causavano più danni che benefici.
Per dirla in un altro modo: come servizio di sicurezza, stiamo agendo per conto dell'utente per impedire che gli utenti vengano compromessi.
Eccezioni
È consigliabile usare le sostituzioni solo negli scenari seguenti:
- Simulazioni di phishing: gli attacchi simulati possono aiutare a identificare gli utenti vulnerabili prima che un attacco reale influenzi l'organizzazione. Per evitare che i messaggi di simulazione di phishing vengano filtrati, vedere Configurare simulazioni di phishing di terze parti nei criteri di recapito avanzati.
- Cassette postali di sicurezza/SecOps: cassette postali dedicate usate dai team di sicurezza per ottenere messaggi non filtrati (sia buoni che non validi). I team possono quindi esaminare per verificare se contengono contenuto dannoso. Per altre informazioni, vedere Configurare le cassette postali SecOps nei criteri di recapito avanzati.
- Filtri di terze parti: secure per impostazione predefinita si applica solo quando il record MX per il dominio punta a Microsoft 365 (contoso.mail.protection.outlook.com). Se il record MX per il dominio punta a un altro servizio o dispositivo prima che la posta venga recapitata a Microsoft 365, i metodi seguenti possono comportare il recapito di messaggi rilevati come phishing con attendibilità elevata dal filtro della posta indesiderata di Microsoft 365 alle caselle di posta in arrivo degli utenti:
- Regole del flusso di posta di Exchange per ignorare il filtro della posta indesiderata.
- Mittenti identificati nell'elenco Mittenti attendibili nelle cassette postali utente.
- Consenti voci nell'elenco tenant consentiti/bloccati.
- Mittenti identificati nell'elenco mittenti consentiti e nell'elenco dei domini consentiti nei criteri di protezione dalla posta indesiderata.
- Falsi positivi: per consentire temporaneamente determinati messaggi ancora bloccati da Microsoft, usare gli invii di amministratore. Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Per impostazione predefinita, le voci consentite per i mittenti contraffatti non scadono mai.