O e-mail permanece como o principal vetor de ataque contra organizações de qualquer porte. Phishing direcionado, anexos com macro maliciosa, URLs que apontam para páginas de credencial falsificadas e fraudes do tipo Business Email Compromise chegam diariamente à caixa de entrada de colaboradores comuns. Quando uma dessas mensagens atinge o destinatário e a engenharia social funciona, o impacto vai além de uma máquina comprometida: operação interrompida, transferências bancárias fraudulentas, vazamento de dados sujeito a notificação sob LGPD e desgaste com clientes e fornecedores envolvidos.

As Políticas de Ameaças do Microsoft Defender for Office são a camada de defesa que opera diretamente sobre esse vetor. Enquanto controles como Conditional Access, autenticação multifator e auditoria protegem o tenant nos bastidores, as políticas de ameaças inspecionam o conteúdo que efetivamente chega ao usuário final: corpo da mensagem, anexos, links e comportamento do remetente. Para a organização, é a barreira que reduz o volume de incidentes de segurança, protege transações financeiras em andamento e preserva a reputação dos domínios usados em comunicação externa.

A configuração adequada dessa camada produz três efeitos diretos no negócio. Diminui o número de chamados de suporte gerados por mensagens maliciosas que passaram por filtros básicos. Reduz a probabilidade de fraude bem-sucedida em negociações comerciais ativas. Posiciona a organização em conformidade com requisitos de proteção de e-mail exigidos por contratos corporativos, certificações de segurança e apólices de seguro cibernético. Este artigo cobre cada política disponível, como ela opera, o que o usuário percebe quando ela atua e o que precisa ser configurado para que a proteção entregue resultado em ambiente de produção.

Estrutura da seção Políticas de Ameaças

O painel em security.microsoft.com > E-mail e colaboração > Políticas e regras > Políticas de ameaças organiza todos os controles que inspecionam mensagens, anexos e cliques no Exchange Online, Teams, OneDrive e SharePoint. A interface é dividida em três blocos:

Políticas de modelo. Inclui as Preset Security Policies (Standard e Strict), que aplicam configurações recomendadas pela Microsoft em todas as políticas de uma vez, e o Configuration Analyzer, que compara o estado atual do tenant com as recomendações Standard ou Strict.

Políticas individuais. Cinco controles específicos: Anti-phishing, Antispam, Antimalware, Anexos Seguros e Links Seguros. Cada uma protege contra um tipo específico de ameaça e pode ser configurada com escopos, exceções e ações diferentes.

Regras. Inclui a Tenant Allow/Block List, as configurações de autenticação de e-mail (DKIM, DMARC, ARC), a Entrega Avançada e a Filtragem Avançada.

Configuração inicial com Preset Security Policies

A primeira ação ao configurar Defender for Office em um novo tenant não é criar política customizada. É aplicar uma das duas Preset Security Policies disponíveis.

Standard aplica configurações balanceadas, com proteção robusta contra phishing, spam e malware sem gerar volume excessivo de falsos positivos. Recomendado para todos os usuários da organização como linha de base.

Strict aplica tolerâncias (thresholds) mais agressivas: tolerância menor para spam, mais mensagens enviadas para quarentena, alertas em situações borderline. Recomendado para administradores, diretoria, financeiro e qualquer perfil de alto valor para um atacante.

A Microsoft atualiza os parâmetros dessas presets periodicamente conforme novos vetores de ataque aparecem. Aplicar Standard ou Strict significa receber essas atualizações sem precisar revisar política manualmente a cada ciclo.

Política customizada só se justifica quando há um caso de uso que Standard ou Strict não cobre, como exclusão de um remetente legítimo que cai recorrentemente na quarentena ou tratamento diferenciado para um domínio parceiro específico.

Política de Anti-phishing

A política de Anti-phishing protege contra três cenários distintos: spoofing (alguém enviando como gerente@empresa.com.br sem estar autorizado), impersonation de domínio (o atacante registra um domínio parecido como empressa.com.br com dois "s") e impersonation de usuário (display name "Carlos Erutan" com endereço de origem completamente diferente).

A configuração protege especificamente usuários e domínios listados como Protected Users e Protected Domains. Para uma organização brasileira típica, a lista mínima de Protected Users inclui CEO, diretores, financeiro e qualquer pessoa autorizada a aprovar transferências. A lista de Protected Domains inclui o domínio próprio e os domínios de parceiros críticos cujos nomes seriam alvo natural de imitação.

Mailbox Intelligence é o componente que aprende o padrão de comunicação de cada caixa: quem normalmente envia para quem, em que horários, com que assuntos. Quando uma mensagem foge desse padrão de forma significativa, recebe um indicador de risco. Esse comportamento depende de algumas semanas de dados para estabilizar.

Como o usuário percebe no Outlook

Quando o Anti-phishing identifica suspeita de impersonation, o Outlook exibe um banner de aviso no topo da mensagem, com texto similar a "Este remetente não costuma enviar e-mails para você" ou "Este e-mail parece suspeito". O usuário vê o aviso antes mesmo de começar a ler o conteúdo. Em campanhas de phishing direcionado, esse banner é frequentemente o sinal que impede o clique.

Política de Antispam

A política de Antispam aplica análise de conteúdo, reputação de remetente e heurísticas para classificar cada mensagem em categorias: limpa, spam, alta confiança spam, phishing ou phishing de alta confiança. Cada categoria pode ter ação diferente: entregar normalmente, mover para Lixo Eletrônico, enviar para quarentena ou rejeitar.

Outbound spam policy é o controle frequentemente ignorado. Ela limita quantas mensagens uma caixa pode enviar por hora e o que acontece quando o limite é ultrapassado. O cenário que justifica essa política é uma conta comprometida sendo usada para enviar phishing a partir do seu domínio. Sem outbound spam policy adequada, o atacante envia milhares de mensagens antes que alguém perceba, queimando a reputação do domínio.

Controle de Redirecionamento Externo de E-mail

Esse é o controle menos visível e mais crítico contra Business Email Compromise. Quando um atacante consegue acesso à caixa de uma vítima, a primeira ação geralmente não é roubar dados de imediato. É configurar uma regra de inbox que encaminha automaticamente para um endereço externo todas as mensagens com palavras-chave específicas: "fatura", "boleto", "transferência", "pagamento".

A vítima não percebe nada porque a mensagem original continua chegando na caixa dela. O atacante recebe cópia em paralelo, identifica negociações em andamento e intervém em pontos específicos, geralmente trocando dados bancários em comunicações financeiras.

O Microsoft 365 oferece controle direto sobre esse cenário em duas camadas:

A configuração Automatic forwarding rules controla se os usuários podem criar regras de encaminhamento para endereços externos. As opções são On (permitido), Off (bloqueado pelo sistema) ou Automatic (deixar o Microsoft decidir). A recomendação para a maioria das organizações é Off. Caso haja necessidade legítima pontual (um diretor que precisa encaminhar e-mails para um assistente externo durante uma viagem), a exceção pode ser criada por usuário ou por grupo, em vez de manter a permissão aberta para todos.

Configuração em Email e colaboração > Políticas e regras > Políticas de ameaças > Antispam > Outbound > seção "Automatic forwarding rules".

White e Black List

Na mesma seção é possível manter listas próprias de permissão e bloqueio para remetentes e domínios. O caminho de acesso é E-mail e colaboração > Políticas e regras > Políticas de ameaças > Lista de Permissões/Bloqueios do Locatário.

O recurso é útil quando o administrador identifica padrões que o filtro automático não está pegando: um domínio de origem que repete tentativas de phishing contra a organização, um remetente comprometido que continua enviando após ter sido marcado como limpo, ou um parceiro legítimo cujo e-mail cai recorrentemente na quarentena por características do conteúdo. Cada entrada aceita uma anotação explicando o motivo da inclusão e um prazo de validade, o que evita que a lista cresça de forma descontrolada e perca rastreabilidade ao longo do tempo. A recomendação é usar essa lista para decisões pontuais e fundamentadas, sempre acompanhadas de justificativa registrada, e não como substituto da filtragem automática que já opera sobre reputação e conteúdo.

Política de Antimalware

A política de Antimalware bloqueia anexos com malware conhecido e tipos de arquivo considerados perigosos. A lista padrão de tipos bloqueados inclui executáveis, scripts e arquivos com macro que historicamente são vetores comuns: .exe, .bat, .scr, .vbs, .ps1, entre outros.

A configuração permite ampliar essa lista para tipos específicos que a organização nunca utiliza legitimamente. Em ambientes que nunca recebem ISOs ou arquivos de máquina virtual por e-mail, adicionar .iso, .img e .vhdx à lista de bloqueio elimina um vetor recorrente em campanhas recentes.

Como o usuário percebe no Outlook

Quando uma mensagem com anexo bloqueado é entregue, o anexo é removido e substituído por um arquivo de texto explicando o bloqueio. O corpo da mensagem chega normalmente, mas com aviso visível de que houve substituição. O remetente legítimo, ao ser informado, pode reenviar o conteúdo por outro meio. Em ataques reais, a mensagem original costuma vir de remetente comprometido e o conteúdo nunca é reenviado.

Política de Anexos Seguros

O Anti-malware inspeciona conteúdo conhecido. O Anexos Seguros (Safe Attachments) vai além: abre cada anexo em um ambiente isolado da Microsoft (sandbox) e observa o comportamento antes de entregar a mensagem ao destinatário. Macros que tentam baixar conteúdo da internet, scripts que tentam executar PowerShell, payloads que tentam abrir comunicação com servidores externos são identificados pelo comportamento, não pela assinatura.

A análise leva entre alguns segundos e poucos minutos. Durante esse período, a mensagem fica retida. A política permite escolher entre entregar a mensagem original imediatamente e analisar o anexo em paralelo (Dynamic Delivery), ou reter a mensagem inteira até a análise concluir (Block).

O Safe Attachments também opera em SharePoint, OneDrive e Teams. Arquivos enviados nessas plataformas passam pela mesma análise antes de ficarem disponíveis para download.

Política de Links Seguros

O Links Seguros (Safe Links) reescreve cada URL recebida por e-mail para passar primeiro pelo serviço de verificação da Microsoft. Quando o usuário clica em um link https://exemplo-malicioso.com.br/login, o navegador é direcionado para https://nam01.safelinks.protection.outlook.com/?url=https://exemplo-malicioso.com.br/login&data=.... O serviço da Microsoft inspeciona o destino no momento do clique e, se for malicioso, exibe a página vermelha de bloqueio em vez de seguir para o endereço original.

A diferença crítica em relação a um filtro de URL estático é que a verificação acontece no momento do clique, não no momento do recebimento. Atacantes recorrentemente usam URLs limpas no envio e ativam o payload malicioso depois que a mensagem já foi entregue, para escapar de filtros tradicionais.

O Safe Links pega esse cenário porque inspeciona o estado atual da URL.

O Safe Links também opera em Teams (links em chat e canais) e em aplicativos Office (links em documentos do Word, PowerPoint e Excel).

Time of Click Protection é a configuração que garante essa inspeção contínua. Deve ficar habilitada em todas as políticas.

Como o usuário percebe

Quando o link é seguro, o redirecionamento é transparente: o usuário clica e a página de destino abre normalmente. Quando o link é malicioso, aparece uma tela vermelha de bloqueio da Microsoft explicando que o destino foi identificado como ameaça. Em ambos os casos, há registro de evento no log de auditoria para análise posterior.

Lista de Permissões e Bloqueios do Locatário

A Tenant Allow/Block List é a ferramenta mais flexível e a mais frequentemente usada de forma incorreta. Ela permite definir, em quatro categorias, entradas específicas que devem sempre ser permitidas ou sempre bloqueadas pelo sistema:

Domínios e endereços. Bloquear ou permitir remetentes específicos por e-mail completo ou domínio inteiro.

Remetentes spoofed. Permitir spoofing legítimo (caso de uma agência de marketing que envia em nome do domínio principal usando infraestrutura própria) ou bloquear spoofing identificado pelo sistema.URLs. Bloquear ou permitir URLs específicas, com suporte a wildcards.

Arquivos (hash). Bloquear arquivos por hash conhecido, útil quando um malware específico foi identificado e precisa ser bloqueado em todo o tenant.

O erro mais comum no uso dessa lista é tratá-la como filtro de spam genérico. Adicionar dezenas de remetentes à lista de bloqueio por terem enviado uma mensagem indesejada cria manutenção crescente sem resultado proporcional. O sistema de antispam baseado em reputação e análise de conteúdo já faz esse trabalho melhor, dinamicamente.

A lista deve ser usada para entradas específicas, justificadas e documentadas. Cada entrada permite registrar uma anotação explicando o motivo da inclusão, o que evita que, dois anos depois, ninguém saiba por que aquele domínio foi bloqueado.

TTL. Cada entrada tem prazo de validade (30 dias, 90 dias ou indefinido). Entradas temporárias devem usar prazos curtos. Entradas permanentes, como bloqueio de domínio claramente malicioso, podem ficar indefinidas.

Mapeamento entre tipos de ataque e camadas de defesa

A relação entre cenário de ataque e qual política intercepta é direta. Entender esse mapeamento ajuda a justificar configuração e a responder rapidamente quando uma camada falha.

Fontes Oficiais Microsoft Learn

• Visão geral do Microsoft Defender for Office 365
• Preset Security Policies
• Anti-phishing Policies
• Safe Links
• Safe Attachments
• Tenant Allow/Block List
• Controlling external email forwarding
• Zero-hour Auto Purge
• Configuration Analyzer