A quarentena de email é o segundo tema mais frequente nos tickets de helpdesk de Microsoft 365 — logo a seguir à conectividade do Outlook. “O email do cliente foi para spam”, “não estou a receber emails de um fornecedor”, “como vejo o que está retido” são solicitações diárias. O Exchange Online Protection (EOP) é poderoso mas requer configuração — as definições por defeito podem ser demasiado agressivas para alguns ambientes de negócio.
Este artigo cobre o ciclo completo de gestão da quarentena: como o EOP classifica mensagens, como gerir a quarentena no portal, como configurar políticas anti-spam por nível de risco, como usar quarantine policies para controlar o que os utilizadores podem fazer, e como tratar falsos positivos de forma sistemática.
Neste artigo
- Como o EOP classifica e filtra mensagens
- Gerir a quarentena — portal e utilizadores
- Quarantine policies — controlo por nível de ameaça
- Configurar políticas anti-spam — campo a campo
- Allow e Block lists — remetentes e domínios
- Zero-Hour Auto Purge (ZAP) — o que é e como funciona
- Resolver falsos positivos — procedimento sistemático
- PowerShell — comandos de gestão de quarentena
1. Como o EOP classifica e filtra mensagens
O Exchange Online Protection (EOP) filtra todas as mensagens recebidas através de múltiplas camadas. Compreender a sequência ajuda a perceber porque é que uma mensagem legítima pode ser retida.
| # | Camada de filtragem | O que verifica |
|---|---|---|
| 1 | Connection filtering | Reputação do IP de origem — IP allow list, IP block list, Safe list Microsoft |
| 2 | Anti-malware scanning | Conteúdo da mensagem e anexos — malware, tipos de ficheiro perigosos (Common Attachments Filter) |
| 3 | Policy filtering | Regras de transporte (Transport Rules) e DLP do tenant |
| 4 | Content filtering (anti-spam + anti-phishing) | Conteúdo, cabeçalhos, SPF/DKIM/DMARC, spoof intelligence — atribui SCL (Spam Confidence Level) |
Níveis de classificação de spam (SCL) e acções por defeito
| Classificação | SCL | Acção por defeito | Utilizador pode libertar? |
|---|---|---|---|
| Spam | 5–6 | Pasta Lixo (Junk) | Sim — na própria pasta |
| High confidence spam | 7–9 | Pasta Lixo (Junk) | Sim — na própria pasta |
| Phishing | — | Pasta Lixo ou Quarentena (configurável) | Depende da quarantine policy |
| High confidence phishing | — | Quarentena sempre — não configurável | Não — apenas admins |
| Malware | — | Quarentena sempre — não configurável | Não — apenas admins |
| Bulk (BCL) | — | Pasta Lixo (threshold configurável: 1–9) | Sim — na própria pasta |
ℹ “Secure by default” da Microsoft: Desde 2024, a Microsoft aplicou o princípio secure by default que impossibilita que utilizadores libertem mensagens classificadas como high confidence phishing, independentemente da quarantine policy configurada. Esta é uma protecção forçada — apenas administradores podem libertar estes emails, e mesmo assim devem fazê-lo com cuidado.
2. Gerir a quarentena — portal e utilizadores
2.1 Acesso de administrador à quarentena
Caminho: security.microsoft.com → Email & collaboration → Review → Quarantine
Na vista de administrador, a quarentena mostra todas as mensagens de todos os utilizadores. Os filtros disponíveis permitem pesquisar por tipo (email, ficheiro, Teams), por data, por remetente, destinatário, assunto ou motivo de quarentena.
Acções disponíveis sobre mensagens em quarentena
| Acção | O que faz | Quando usar |
|---|---|---|
| Release | Entrega o email na caixa de correio do destinatário | Email confirmado como legítimo (falso positivo) |
| Release & allow sender | Entrega e adiciona o remetente à lista de permitidos | Falso positivo recorrente do mesmo remetente |
| Release & report as not junk | Entrega e reporta à Microsoft como falso positivo (melhora o modelo) | Sempre que confirmar que é um falso positivo |
| Delete | Remove permanentemente da quarentena (não recuperável) | Spam ou malware confirmado que não precisa de análise adicional |
| Preview | Permite ver o conteúdo do email antes de decidir | Para avaliar se é spam legítimo ou falso positivo |
| Download message | Descarrega o email como ficheiro .eml | Análise forense ou submissão à Microsoft |
2.2 Acesso de utilizador à quarentena
Utilizadores: security.microsoft.com/quarantine (com a sua conta M365)
Os utilizadores só vêem os seus próprios emails em quarentena e apenas podem efectuar as acções que a quarantine policy aplicada ao seu perfil permite — por exemplo, pedir libertação (que requer aprovação do administrador) ou libertar directamente (se a política o permitir para spam standard).
Notificações de quarentena para utilizadores
Por defeito, os utilizadores não recebem notificações sobre emails em quarentena. Para activar as notificações periódicas (digest por email):
- Aceder a security.microsoft.com → Email & collaboration → Policies & rules → Threat policies → Quarantine policies
- Seleccionar ou criar uma quarantine policy
- Em Quarantine notifications: activar e configurar a frequência (diária, cada 4 horas, etc.) e o idioma
- Aplicar a policy às acções da política anti-spam correspondente
3. Quarantine policies — controlo por nível de ameaça
As quarantine policies definem o que os utilizadores podem fazer com as suas próprias mensagens em quarentena, por tipo de ameaça. Permitem uma granularidade importante: o utilizador pode libertar spam standard mas não pode libertar phishing.
| Policy padrão | Permissões do utilizador | Recomendado para |
|---|---|---|
| DefaultFullAccessPolicy | Libertar, eliminar, bloquear remetente, pré-visualizar, descarregar — acesso total | Spam standard e high confidence spam — utilizadores gerem os seus falsos positivos |
| DefaultFullAccessWithNotificationPolicy | Igual ao acima + notificação por email quando uma mensagem é colocada em quarentena | Spam — com notificação activa para o utilizador |
| AdminOnlyAccessPolicy | Nenhuma — utilizadores não vêem nem interagem com mensagens em quarentena | Obrigatório para malware e high confidence phishing — não dar acesso a utilizadores |
Configuração recomendada por tipo de ameaça
| Tipo de ameaça | Acção recomendada | Quarantine policy recomendada |
|---|---|---|
| Spam (SCL 5–6) | Quarantine message | DefaultFullAccessWithNotificationPolicy |
| High confidence spam (SCL 7–9) | Quarantine message | DefaultFullAccessWithNotificationPolicy |
| Phishing | Quarantine message | DefaultFullAccessPolicy (sem notificação — não alertar utilizadores) |
| High confidence phishing | Quarantine (forçado) | AdminOnlyAccessPolicy |
| Malware | Quarantine (forçado) | AdminOnlyAccessPolicy |
4. Configurar políticas anti-spam — campo a campo
Caminho: security.microsoft.com → Email & collaboration → Policies & rules → Threat policies → Anti-spam
A política anti-spam Default aplica-se a todos os utilizadores. Para grupos específicos (ex: gestores, departamento financeiro, suporte ao cliente) é possível criar políticas customizadas com maior ou menor agressividade. A política com maior prioridade (número mais baixo) é aplicada primeiro.
| Definição | Valor recomendado | Nota |
|---|---|---|
| Spam action | Move to Junk Email folder | Padrão — utilizadores podem recuperar da pasta Lixo. Mudar para Quarantine em ambientes mais controlados |
| High confidence spam action | Quarantine message | Recomendado — alta confiança justifica quarentena em vez de pasta Lixo |
| Phishing action | Quarantine message | Sempre quarentena — phishing não deve ir para pasta Lixo |
| High confidence phishing action | Quarantine (forçado) | Não configurável — Microsoft força quarentena |
| Bulk complaint level (BCL) threshold | 6 (recomendado) — 7 para ambientes mais permissivos | Controla newsletters e email de marketing. Threshold mais baixo = mais agressivo = mais falsos positivos |
| Retain spam in quarantine | 30 dias (máximo) | Após este prazo, os emails são eliminados permanentemente e sem aviso |
| ZAP for spam | Activado | Mover retroactivamente emails já entregues que são reclassificados como spam |
| ZAP for phishing | Activado | Crítico — move retroactivamente phishing já entregue para a quarentena |
| Safety tips (spam safety tips) | Activado | Mostra banner colorido no Outlook a alertar utilizadores para emails suspeitos — boa camada de sensibilização |
5. Allow e Block lists — remetentes e domínios
Existem três níveis de allow/block lists no Exchange Online Protection, com âmbitos e comportamentos diferentes:
| Lista | Âmbito | Caminho | Comportamento |
|---|---|---|---|
| Tenant Allow/Block List | Toda a organização | security.microsoft.com → Policies → Tenant Allow/Block Lists | Recomendado — bypass ou bloqueio completo por remetente, domínio, URL, ficheiro ou IP |
| Allowed senders / domains na política anti-spam | Toda a organização | Anti-spam policy → Allowed senders / Allowed domains | Bypass da filtragem de spam. Não bypassa malware nem phishing — usar com moderação |
| Safe Senders list do utilizador | Caixa de correio individual | Outlook → Junk Email → Safe senders | Bypass apenas para aquele utilizador. Pode ser configurada centralmente via PowerShell |
⚠ Atenção ao bypass de domínios: Adicionar um domínio inteiro à lista de permitidos na política anti-spam (ex: @gmail.com ou @outlook.com) é uma má prática — cria um vector de ataque directo para phishing disfarçado nesses domínios. Usar sempre a Tenant Allow/Block List com remetentes específicos, nunca domínios inteiros de serviços públicos.
Adicionar entrada à Tenant Allow/Block List
- Aceder a security.microsoft.com → Policies & rules → Threat policies → Tenant Allow/Block Lists
- Seleccionar o separador: Senders, Spoofed senders, URLs ou Files
- Clicar em Add → indicar o endereço/domínio, seleccionar Allow ou Block
- Definir uma data de expiração — as entradas temporárias expiram automaticamente (recomendado para allows)
- Adicionar uma nota que justifique o motivo — auditoria futura
6. Zero-Hour Auto Purge (ZAP) — o que é e como funciona
O ZAP é uma funcionalidade que actua retroactivamente sobre emails já entregues nas caixas de correio. Quando o EOP recebe nova inteligência de ameaça (ex: um URL que era seguro passou a ser malicioso, ou uma campanha de spam que inicialmente passou nos filtros foi identificada), o ZAP procura mensagens já entregues que correspondam e move-as para a pasta Lixo ou quarentena.
| Tipo de ZAP | Activado por defeito? | Acção | Janela de retroactividade |
|---|---|---|---|
| ZAP para spam | Sim | Move para Junk ou quarentena (conforme política) | Últimas 48 horas |
| ZAP para phishing | Sim | Move para quarentena — sem aviso ao utilizador | Últimas 48 horas |
ℹ ZAP e utilizadores confusos: O ZAP não notifica o utilizador quando move uma mensagem. Um utilizador que recebeu um email, que leu e que de repente desapareceu da caixa de correio, pode pensar que houve um problema. Nestes casos, verificar a quarentena em security.microsoft.com/quarantine — a mensagem estará lá se o ZAP a moveu.
7. Resolver falsos positivos — procedimento sistemático
Falsos positivos — email legítimo classificado como spam — são inevitáveis. O objectivo não é eliminar os filtros, mas ter um processo de tratamento que seja rápido, documentado e que melhore progressivamente a qualidade da filtragem.
Procedimento de tratamento de falso positivo
- Verificar no Message Trace — confirmar que a mensagem foi mesmo retida e qual o motivo (FilteredAsSpam, Quarantined)
- Pré-visualizar a mensagem na quarentena antes de libertar — confirmar que é mesmo um falso positivo e não spam legítimo
- Libertar com “Release & report as not junk” — entrega o email e reporta à Microsoft para melhorar os modelos de filtragem
- Avaliar se é caso isolado ou recorrente:
- Caso isolado: libertar apenas — não alterar configurações globais por um caso único
- Recorrente (mesmo remetente/domínio): adicionar à Tenant Allow/Block List com expiração de 30–90 dias
- Sistémico (muitos remetentes do mesmo tipo): reavaliar o threshold BCL ou o nível de agressividade da política
- Documentar — registar o remetente, motivo, data e acção tomada. Revisão trimestral das entradas de allow list
Submeter falsos positivos à Microsoft
Caminho: security.microsoft.com → Email & collaboration → Submissions
O portal de Submissions permite submeter mensagens directamente à Microsoft para análise — tanto falsos positivos (spam legítimo) como falsos negativos (spam que passou nos filtros). As submissões ajudam a melhorar a inteligência global do EOP para todos os tenants.
8. PowerShell — comandos de gestão de quarentena
Ver e libertar mensagens em quarentena
Connect-ExchangeOnline -UserPrincipalName [email protected] # Listar todas as mensagens em quarentena das últimas 24h Get-QuarantineMessage -StartReceivedDate (Get-Date).AddDays(-1) -EndReceivedDate (Get-Date) | Select-Object ReceivedTime, SenderAddress, RecipientAddress, Subject, QuarantineTypes | Format-Table -AutoSize # Filtrar por destinatário específico Get-QuarantineMessage -RecipientAddress "[email protected]" -StartReceivedDate (Get-Date).AddDays(-7) -EndReceivedDate (Get-Date) # Libertar uma mensagem específica (obter Identity do resultado acima) Release-QuarantineMessage -Identity "<Message Identity GUID>" -ReleaseToAll # Libertar para um destinatário específico Release-QuarantineMessage -Identity "<Identity>" -User "[email protected]"
Gerir políticas anti-spam via PowerShell
# Ver configuração da política anti-spam padrão Get-HostedContentFilterPolicy -Identity Default | Format-List # Ver threshold BCL actual Get-HostedContentFilterPolicy -Identity Default | Select-Object BulkThreshold, SpamAction, HighConfidenceSpamAction, PhishSpamAction # Alterar acção para high confidence spam para quarentena Set-HostedContentFilterPolicy -Identity Default -HighConfidenceSpamAction Quarantine # Ver allowed senders e domains na política padrão Get-HostedContentFilterPolicy -Identity Default | Select-Object AllowedSenders, AllowedSenderDomains, BlockedSenders, BlockedSenderDomains
Adicionar Safe Sender a utilizador específico
# Adicionar remetente à Safe Senders list de um utilizador específico Set-MailboxJunkEmailConfiguration -Identity "[email protected]" ` -TrustedSendersAndDomains @{Add = "[email protected]"} # Ver configuração de junk email de uma caixa de correio Get-MailboxJunkEmailConfiguration -Identity "[email protected]" | Select-Object Enabled, TrustedSendersAndDomains, BlockedSendersAndDomains | Format-List # Verificar o estado do ZAP (confirmação que está activo) Get-HostedContentFilterPolicy -Identity Default | Select-Object ZapEnabled, PhishZapEnabled
