Ochrona poczty w Microsoft 365 – antyspam i Safe Links krok po kroku

Dlaczego domyślna ochrona poczty w Microsoft 365 nie wystarczy

Microsoft 365 zawiera Exchange Online Protection (EOP) w każdym planie biznesowym, ale domyślne ustawienia są skonfigurowane zachowawczo – priorytetem jest dostarczalność wiadomości, nie maksymalna ochrona. Oznacza to, że wiele zaawansowanych zagrożeń może bez przeszkód trafić do skrzynek pracowników.

Według danych Microsoft ponad 90% cyberataków zaczyna się od wiadomości e-mail. Atakujący stosują coraz bardziej wyrafinowane metody: spersonalizowany phishing, fałszowanie tożsamości nadawców (spoofing) czy złośliwe załączniki ukryte w dokumentach Office. Standardowy filtr antyspamowy nie zawsze poradzi sobie z atakami typu zero-day lub kampaniami precyzyjnie skierowanymi na konkretną firmę.

Ręczna konfiguracja polityk ochrony poczty to nie opcja – to konieczność. Dobra wiadomość: Microsoft udostępnia gotowe szablony i rekomendacje, które możesz wdrożyć w ciągu kilku godzin, nawet bez rozległej wiedzy technicznej. Wystarczy wiedzieć, gdzie patrzeć i co zmieniać.

Exchange Online Protection – jak działa i co oferuje

Exchange Online Protection to wielowarstwowy filtr działający w chmurze, zanim wiadomość trafi do skrzynki odbiorczej. Wchodzi w skład każdego planu Microsoft 365 i stanowi pierwszą linię obrony. Składa się z kilku mechanizmów:

• Filtr antyspamowy – ocenia każdą wiadomość i przypisuje jej wynik SCL (Spam Confidence Level). Im wyższy wynik, tym większe prawdopodobieństwo, że wiadomość to spam.
• Ochrona przed złośliwym oprogramowaniem – skanuje załączniki pod kątem znanych zagrożeń na podstawie sygnatur wirusów.
• Ochrona przed phishingiem – wykrywa próby podszywania się pod znane marki i zaufane domeny.
• Spoof intelligence – identyfikuje wiadomości, w których nadawca fałszuje domenę, i blokuje je lub oznacza jako podejrzane.

Centrum zarządzania to Microsoft Defender Portal dostępny pod adresem security.microsoft.com. Przejdź do sekcji E-mail i współpraca → Zasady i reguły → Zasady zagrożeń, aby zarządzać wszystkimi politykami ochrony poczty w jednym miejscu.

Warto pamiętać, że sam EOP nie obejmuje zaawansowanych funkcji – analizy załączników w piaskownicy (sandbox) ani weryfikacji linków w czasie rzeczywistym. Te wymagają Microsoft Defender for Office 365 Plan 1, wliczonego w plan Microsoft 365 Business Premium lub dostępnego jako płatny dodatek do niższych planów.

Konfiguracja polityk antyspamowych i antyphishingowych krok po kroku

Otwórz Zasady zagrożeń → Zasady dotyczące ochrony przed spamem i edytuj domyślną politykę przychodzącą. Oto kluczowe ustawienia do weryfikacji i dostosowania:

1. Próg masowej poczty e-mail (BCL) – ustaw na 5 (domyślnie 7). Niższy próg skutecznie ogranicza niechciane newslettery i reklamy w skrzynkach pracowników.
2. Akcja dla spamu – wybierz Przenieś wiadomość do folderu Wiadomości-śmieci lub Kwarantanna wiadomości dla spamu o wysokim stopniu pewności (SCL 9).
3. Akcja dla phishingu – ustaw na Kwarantanna wiadomości. Phishing nigdy nie powinien trafiać bezpośrednio do skrzynki odbiorczej.
4. Lista bezpiecznych nadawców – ogranicz do absolutnego minimum. Nadmiar wyjątków tworzy luki w ochronie, które atakujący mogą wykorzystać.

Następnie przejdź do Zasady ochrony przed wyłudzaniem informacji i włącz:

• Ochrona przed personalizacją (impersonation) – dodaj kluczowych pracowników (dyrektor, CFO, dział IT) oraz własne domeny do listy chronionych tożsamości.
• Analiza skrzynek pocztowych – AI analizuje wzorce komunikacji i wykrywa wiadomości odbiegające od normy dla danego pracownika.
• Wskazówki dotyczące bezpieczeństwa – wyświetlaj pracownikom ostrzeżenia o wiadomościach od nieznanych lub podszywających się nadawców.

Wskazówka dla administratora: Skorzystaj z opcji Zasady wstępnie skonfigurowane i wybierz szablon Ścisłe ustawienia wstępne. Automatycznie dostosuje on wszystkie polityki zgodnie z rekomendacjami Microsoft – to najszybszy sposób na wdrożenie solidnej ochrony bez ręcznej konfiguracji każdego parametru.

Safe Attachments i Safe Links – zaawansowana ochrona krok po kroku

Microsoft Defender for Office 365 Plan 1 dodaje dwie kluczowe warstwy ochrony, niedostępne w standardowym EOP. Każda wymaga osobnej konfiguracji – nie włączają się automatycznie po aktywacji planu.

Konfiguracja Bezpiecznych załączników (Safe Attachments):

1. Przejdź do Zasady zagrożeń → Bezpieczne załączniki i kliknij Utwórz.
2. Wybierz akcję Dynamiczne dostarczanie – pracownik odbiera wiadomość od razu, a załącznik pojawia się po zakończeniu analizy w piaskownicy. Minimalizuje opóźnienia przy zachowaniu pełnej ochrony.
3. Włącz opcję Bezpieczne załączniki dla SharePoint, OneDrive i Microsoft Teams – chroni pliki udostępniane przez te platformy współpracy.
4. Zastosuj politykę do wszystkich użytkowników lub wybranych grup – bez przypisania polityka nie działa.

Konfiguracja Bezpiecznych łączy (Safe Links):

1. Przejdź do Zasady zagrożeń → Bezpieczne łącza i utwórz nową politykę.
2. Zaznacz Sprawdzaj adresy URL w czasie rzeczywistym pod kątem złośliwych linków – weryfikacja następuje w momencie kliknięcia, nie tylko przy dostarczaniu wiadomości.
3. Włącz Nie zezwalaj użytkownikom na klikanie do oryginalnego adresu URL – blokuje ominięcie ochrony przez ręczną edycję przepisanego linku.
4. Włącz Śledź kliknięcia użytkowników – dane o kliknięciach są kluczowe podczas dochodzenia po incydencie bezpieczeństwa.
5. Dodaj zaufane domeny wewnętrzne do listy wyjątków, aby uniknąć zbędnych opóźnień w dostępie do własnych systemów.

Ważne: Zarówno polityki Safe Links, jak i Safe Attachments wymagają jawnego przypisania do użytkowników lub grup. Sprawdź sekcję Użytkownicy i grupy w ustawieniach każdej nowo utworzonej polityki.

Zarządzanie kwarantanną – co robić z zablokowanymi wiadomościami

Kwarantanna to izolowane miejsce, w którym trafiają wiadomości uznane za niebezpieczne lub podejrzane. Domyślnie tylko administratorzy mają do niej dostęp – warto to zmienić, aby odciążyć dział IT i umożliwić pracownikom samodzielne odzyskiwanie fałszywych trafień (false positives).

Konfiguracja zasad kwarantanny krok po kroku:

1. Przejdź do Zasady zagrożeń → Zasady kwarantanny.
2. Utwórz politykę z uprawnieniami NotifyEndUser – pracownicy będą automatycznie powiadamiani e-mailem o wiadomościach oczekujących w kwarantannie.
3. Skonfiguruj częstotliwość powiadomień na raz dziennie – zbyt częste powiadomienia irytują użytkowników, zbyt rzadkie powodują, że ważne wiadomości giną w kwarantannie.
4. Przyznaj pracownikom prawo do przeglądania i zwalniania kwarantanny spamowej, ale nie phishingowej – ta powinna pozostać wyłącznie w gestii administratora.
5. Przypisz politykę do zasad antyspamowych i antyphishingowych w ich ustawieniach.

Dobre praktyki zarządzania kwarantanną:

• Przeglądaj kwarantannę co najmniej raz w tygodniu pod kątem fałszywych trafień.
• Nigdy nie zwalniaj wiadomości z kwarantanny phishingowej bez szczegółowej weryfikacji – nawet jeśli nadawca wydaje się znajomy.
• Korzystaj z opcji Zgłoś wiadomość jako czystą dla fałszywych trafień – to systematycznie uczy filtry Microsoftu i poprawia ich skuteczność.
• Czas retencji kwarantanny ustaw na 30 dni – to domyślna i maksymalna wartość dla większości typów zagrożeń.

Monitoring i raportowanie – jak mierzyć skuteczność ochrony poczty

Konfiguracja to dopiero początek. Skuteczna ochrona poczty wymaga regularnego monitorowania raportów dostępnych w Microsoft Defender Portal. Na co warto zwrócić uwagę:

• Raport stanu ochrony przed zagrożeniami – pokazuje liczbę wykrytych spamów, phishingów i złośliwego oprogramowania w czasie. Gwałtowny wzrost liczby wykryć może sygnalizować trwającą kampanię ataku wymierzoną w Twoją firmę.
• Raport przepływu poczty – identyfikuje problemy z dostarczaniem wiadomości, nieoczekiwane odrzucenia i anomalie w ruchu pocztowym.
• Raport kliknięć Safe Links – pokazuje, którzy pracownicy klikali potencjalnie niebezpieczne linki i czy zostały one zablokowane.
• Explorer zagrożeń (Threat Explorer) – zaawansowane narzędzie do śledzenia konkretnych kampanii phishingowych, analizy złośliwych plików i przeprowadzania dochodzenia po incydencie.

Warto uruchomić Symulator ataków dostępny w sekcji Szkolenia i symulacje. To wbudowane narzędzie umożliwia przeprowadzanie kontrolowanych kampanii phishingowych wśród pracowników – bez ryzyka i z pełnym raportem wyników. Regularne symulacje zmniejszają podatność firmy na phishing nawet o 70% w ciągu roku.

Skonfiguruj alerty w sekcji Alerty, aby automatycznie otrzymywać powiadomienia o gwałtownym wzroście liczby phishingów, podejrzanym przekierowaniu skrzynki pocztowej czy masowym usuwaniu wiadomości przez pracownika. Szybka reakcja na alerty może zdecydować o tym, czy incydent pozostanie incydentem, czy przerodzi się w poważny wyciek danych.