Este documento descreve o design técnico, escopo funcional, requisitos, compatibilidade e funcionamento end-to-end do complemento Botão de Reporte de Phishing para Microsoft Outlook em ambientes On-Premise.
O complemento é destinado a organizações que não utilizam Exchange Online nem Azure Active Directory, e que precisam de uma solução local para reportar e-mails suspeitos diretamente no Outlook.
O complemento permite que os usuários:
Reportem e-mails suspeitos ou de phishing diretamente no Outlook.
Enviem informações relevantes do e-mail ao backend da Whalemate.
Recebam feedback visual imediato sobre o status do reporte.
O complemento não inclui:
Integração com Microsoft Graph.
Autenticação via Azure AD, OAuth ou MSAL.
Encaminhamento automático do e-mail original para a pasta de spam.
Acesso completo aos headers estendidos do e-mail.
Correlação automática com campanhas de phishing enviadas anteriormente.
Essas limitações são inerentes ao modelo de Office Add-ins em ambientes On-Premise.
O complemento utiliza uma arquitetura simples cliente–servidor, sem dependências de serviços em nuvem da Microsoft.
Outlook Add-in (Cliente)
Backend Whalemate (Servidor)
Não existem componentes intermediários nem serviços de terceiros.
Tipo: Office Add-in (MailApp)
UI: Task Pane
Tecnologia: Office.js
Execução: Cliente Outlook (On-Premise)
O complemento é acionado por uma ação manual do usuário (“Report Phishing”) sobre um e-mail selecionado.
O add-in pode acessar apenas os dados expostos por Office.context.mailbox.item, incluindo:
Endereço de e-mail do remetente
Domínio do remetente
Endereço de e-mail do usuário que reporta
Data e hora do reporte
Data e hora de envio do e-mail suspeito
Corpo do e-mail (HTML e texto plano)
Links contidos no corpo do e-mail
Devido ao contexto On-Premise:
❌ Sem acesso aos headers completos do e-mail
❌ Sem acesso a anexos em binário
❌ Sem Microsoft Graph
❌ Sem Azure AD / MSAL
❌ Sem tokens fortes de identidade (JWT)
Essas limitações impedem, por exemplo, a correlação de reportes com campanhas anteriores baseadas em headers personalizados.
POST https://back.whalemate.com/api/public/reported-email-microsoft-webhook
Ao receber um reporte, o backend:
Registra o evento de reporte.
Armazena as informações do e-mail reportado.
Exibe o reporte na interface SOC da Whalemate.
Opcionalmente encaminha as informações para e-mails configurados pela organização.
Fluxo lógico do reporte:
O usuário seleciona um e-mail suspeito no Outlook.
O usuário clica em Report Phishing.
O add-in:
Obtém o item selecionado.
Extrai metadados e conteúdo disponíveis.
Envia o payload ao backend da Whalemate via HTTPS.
O backend processa e armazena o reporte.
O usuário recebe feedback visual (sucesso ou erro).
[Usuário]
|
v
[Outlook On-Prem]
|
| Office Add-in (Office.js)
v
[Botão Report Phishing]
|
| HTTPS POST
v
[Backend Whalemate]
|
+--> SOC / UI
+--> Encaminhamento para e-mails configurados
Plataforma / Cliente | Add-in On-Premise | Add-in com MSAL (M365) |
|---|---|---|
Outlook Windows 2010 ou anterior | ❌ Não suportado | ❌ Não suportado |
Outlook 2013 (SP1) | ✅ Suportado | ❌ Não suportado |
Outlook 2016 | ✅ Suportado | ✅ Suportado |
Outlook 2019 | ✅ Suportado | ✅ Suportado |
Outlook 2021 | ✅ Suportado | ✅ Suportado |
Outlook Microsoft 365 (Windows) | ✅ Suportado | ✅ Suportado |
Outlook Web (OWA) | ✅ Suportado | ✅ Suportado |
Outlook Mac (Office 2016+) | ❌ Não suportado | ✅ Suportado |
Clientes POP–IMAP genéricos | ❌ Não suportado | ❌ Não suportado |
Outlook com suporte a Office Add-ins (Office.js)
Permissão para instalação de add-ins personalizados
Conectividade HTTPS de saída para o backend da Whalemate
Endpoint HTTPS público
Suporte a payloads JSON
Armazenamento seguro das informações reportadas
O add-in não executa código nativo no cliente.
Não há persistência local de dados.
Toda a comunicação ocorre via HTTPS.
Não são utilizadas credenciais Microsoft nem tokens de autenticação.
O acesso aos dados é limitado ao e-mail selecionado pelo usuário.
‼️Este complemento foi projetado especificamente para ambientes On-Premise, priorizando simplicidade, compatibilidade e segurança dentro das limitações do modelo de extensibilidade do Outlook.
Quais informações são enviadas quando um usuário reporta um e-mail?
Na implementação Outlook On-Premise, o reporte inclui:
Endereço de e-mail do remetente
Domínio do remetente
E-mail do usuário que realizou o reporte
Data e hora do reporte
Data e hora de envio do e-mail suspeito
Corpo do e-mail (HTML e raw)
Links presentes na mensagem
Devido às limitações do ambiente on-premise, não são incluídos headers completos nem anexos, pois essas APIs não estão disponíveis sem Microsoft Graph.
Os reportes sempre são vinculados a uma campanha de phishing?
Não necessariamente. Na versão On-Premise, o add-in não tem acesso aos headers do e-mail, o que impede identificar o campaign_id presente no header X-Mailgun-Tag.
Por esse motivo:
O evento de reporte pode ser registrado normalmente.
Mas nem sempre pode ser associado automaticamente a uma campanha específica.
Essa é uma limitação do modo On-Premise sem Microsoft Graph.
O botão pode excluir automaticamente o e-mail reportado?
Não. Na implementação On-Premise, o add-in não possui acesso ao Microsoft Graph nem às APIs do Exchange, portanto não pode executar ações no mailbox do usuário, como:
excluir e-mails
mover mensagens para spam
executar ações remotas
Por esse motivo, o apagamento físico do e-mail a partir do SIEM não está disponível nessa versão.
Essa funcionalidade requer integração com Microsoft Graph ou Exchange Online.