Zprávy Microsoft 365 o uložení e-mailu do karantény

2025-12-25

Bezpečnostní tým CSIRT-CUNI poměrně často dostává upozornění na podezřelé e-maily. Vyskytují se v české i v anglické verzi a vypadají takto:

Česká verze:

m365 karantena cz

Anglická verze:

m365 karantena en

Co je na nich podezřelého:

informují o zadržení určitého e-mailu do “karantény” a nabízí možnost jeho uvolnění
na to, aby se příjemce k zadrženému e-mailu dostal, má omezený čas
příjemce o žádné “karanténě” neslyšel a nevyžádal si zasílání těchto e-mailů
zatím všechny takové e-maily, se kterými se příjemce setkal, byly pokusy o podvod

Je to tedy podvod nebo ne?

Systém Microsoft 365, který Univerzita Karlova používá, opravdu některé e-maily vyhodnocuje jako nebezpečné a dává je proto do “karantény”. To znamená, že příjemci vůbec nepřijdou. Nemá je v “Doručené poště” a nenajde je ani ve složkách “Nevyžádaná pošta” nebo “Odstraněná pošta”. Aby se příjemce dozvěděl o tom, že takový e-mail nedostal, posílá mu systém Microsoft 365 tato oznámení. Začala chodit přibližně v půlce října 2025, kdy tato funkce byla zapnuta pro všechny uživatele centrálního Microsoft 365 tenantu Univerzity Karlovy.

Jak poznat, že nejde o podvod:

Autoři podvodných e-mailů (phishingu) velmi rádi tyto e-maily napodobují. Dejte si proto velký pozor. Pokud podle uvedeného předmětu a odesílatele spadlo do karantény opravdu něco nebezpečného nebo něco co nechcete, mail ignorujte. Pokud se rozhodnete si zprávu z karantény vyžádat, tak napřed pečlivě ověřte tyto věci:

V české verzi:

jméno odesílatele musí být “ÚVT - ISMB - No-reply”
adresa odesílatele musí být “noreply-ismb@cuni.cz”
odkaz pod tlačítkem “Zkontrolovat zprávu” musí začínat https://security.microsoft.com/quarantine?…
odkaz pod tlačítkem “Vyžádat uvolnění” musí obsahovat “…quarantine.dataservice.protection.outlook.com/…“

Anglická verze:

jméno odesílatele musí být “ÚVT - ISMB - No-reply”
adresa odesílatele musí být “uvt-noreply@cunicz.onmicrosoft.com”
odkaz pod tlačítkem Review Message musí začínat https://security.microsoft.com/quarantine?…
odkaz pod tlačítkem Request Release musí obsahovat “…quarantine.dataservice.protection.outlook.com/…“

Pokud si nejste jisti, přepošlete nám e-mail na adresu abuse@cuni.cz k ověření. Rádi to uděláme.

Na závěr za CSIRT-CUNI tým chci poděkovat všem, co nám upozornění na podezřelé e-maily posílají. Jsou to pro nás cenné informace a opatrnosti není nikdy dost!