反恶意软件保护常见问题解答

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

适用对象

本文提供有关Microsoft 365 组织的反恶意软件保护的常见问题和解答,这些组织的邮箱位于 Exchange Online 中,或者没有 Exchange Online 邮箱的独立Exchange Online Protection (EOP) 组织。

有关隔离的问题和解答,请参阅隔离常见问题解答

有关反垃圾邮件保护的问题和解答,请参阅 反垃圾邮件保护常见问题解答

有关反欺骗保护的问题和解答,请参阅 反欺骗保护常见问题解答

配置和使用服务对抗恶意软件的最佳做法建议是什么?

恶意软件定义多久更新一次?

每个服务器每小时都会从反恶意软件合作伙伴处检查新的恶意软件定义。

你有多少反恶意软件合作伙伴? 是否可以选择使用哪些恶意软件引擎?

从 2024 年 7 月开始,仅使用Microsoft反恶意软件引擎扫描邮件。

恶意软件扫描发生在何处?

我们会扫描发送到邮箱或从邮箱发送的邮件中的恶意软件, (传输) 的邮件。 对于Exchange Online邮箱,我们还提供了零小时自动清除 (ZAP) ,以便恶意软件扫描已传递的邮件。 如果从邮箱重新发送邮件,则会 (再次扫描该邮件,因为它正在传输) 。

如果我对反恶意软件策略进行更改,保存更改后需要多长时间才能生效?

更改可能需要长达 1 小时才能生效。

服务是否扫描内部邮件中的恶意软件?

对于具有Exchange Online邮箱的组织,该服务会扫描所有入站和出站邮件(包括内部收件人之间发送的邮件)中的恶意软件。

独立 EOP 订阅在邮件进入或离开本地电子邮件组织时扫描邮件。 内部本地收件人之间发送的邮件不会扫描恶意软件。 但是,可以使用 Exchange Server 的内置反恶意软件扫描功能。 有关详细信息,请参阅 Exchange Server 中的反恶意软件保护

是否已启用启发式扫描?

是。 针对已知 (签名匹配) 和未知 (可疑) 恶意软件的启发式扫描扫描。

服务是否可以扫描压缩文件 (,例如 .zip 文件) ?

是。 反恶意软件可以钻取到压缩 (存档) 文件。

压缩附件扫描是否支持 .zip) 内 .zip 内的递归 (.zip?如果是,它有多深?

是的,压缩文件的递归扫描会扫描许多层。

该服务是否适用于旧版 Exchange 和非 Exchange 环境?

是的,该服务与服务器无关。

什么是零日病毒,服务如何处理它?

零日病毒是第一代以前未知的恶意软件变体,从未被捕获或分析过。

反恶意软件引擎捕获和分析零日病毒样本后,将创建一个定义和唯一签名来检测恶意软件。

如果存在恶意软件的定义或签名,则不再将其视为零天。

如何配置服务以阻止特定可执行文件 (,例如我担心可能包含恶意软件的 \*.exe) ?

可以启用和配置 通用附件筛选器 (也称为 通用附件阻止) 如 反恶意软件策略中的常见附件筛选器中所述。

还可以创建 Exchange 邮件流规则 (也称为传输规则) ,用于阻止包含可执行内容的任何电子邮件附件。

按照如何通过Exchange Online Protection中的文件附件阻止来减少恶意软件威胁中的步骤,阻止Exchange Online中邮件流规则内容检查支持的文件类型中列出的文件类型。

为了增强保护,我们还建议使用 任何附件文件扩展名 在邮件流规则中包含这些字词条件来阻止以下部分或所有扩展: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

为什么特定恶意软件会通过筛选器?

你收到的恶意软件是一个新的变体 (请参阅 什么是零日病毒以及服务如何处理它?) 。 恶意软件定义更新所需的时间取决于反恶意软件合作伙伴。

请记住,任何用户或管理员可配置的设置都无法免除反恶意软件保护扫描电子邮件附件。

如何将通过筛选器的恶意软件提交到Microsoft? 此外,如何提交我认为被错误检测为恶意软件的文件?

我收到了一封带有不熟悉附件的电子邮件。 或可以忽略此附件吗?

强烈建议不要打开任何无法识别的附件。 如果希望我们调查附件, 请将文件报告给Microsoft

在哪里可以获取恶意软件筛选器删除的邮件?

这些消息包含活动的恶意代码,因此我们不允许访问这些消息。 它们被不加告人地删除。

我无法接收特定附件,因为它被错误地标识为恶意软件。 是否可以通过邮件流规则允许此附件通过?

不正确。 不能使用 Exchange 邮件流规则跳过恶意软件筛选。 跳过收件人的恶意软件筛选的唯一方法是将邮箱标识为 SecOps 邮箱。 有关详细信息,请参阅使用 Microsoft Defender 门户在高级传递策略中配置 SecOps 邮箱

是否可以获取有关恶意软件检测的报告数据?

是的,可以在Microsoft Defender门户中访问报表。 有关详细信息,请参阅在 Microsoft Defender 门户中查看电子邮件安全报告

是否有可用于通过服务跟踪检测到恶意软件的消息的工具?

存在,邮件跟踪工具让您能够跟踪通过该服务传递的电子邮件。 有关如何使用邮件跟踪工具找出邮件被检测到包含恶意软件的原因的详细信息,请参阅 新式 Exchange 管理中心中的邮件跟踪

是否可以将第三方反垃圾邮件和反恶意软件提供商与Exchange Online配合使用?

是。 在大多数情况下,建议将 MX 记录指向 (即直接将电子邮件传递到) EOP。 如果需要先将电子邮件路由到其他位置,则需要 为连接器启用增强筛选 ,以便 EOP 可以在筛选决策中使用真正的邮件源。

正在调查垃圾邮件和恶意软件邮件的发送者,还是被转移到执法实体?

该服务侧重于垃圾邮件和恶意软件的检测和删除,但我们偶尔可能会调查特别危险或破坏性的垃圾邮件或攻击活动,并追捕肇事者。

我们经常与我们的法律和数字犯罪部门合作采取以下行动:

  • 关闭垃圾邮件僵尸网络。
  • 阻止攻击者使用服务。
  • 将信息传递给执法部门进行刑事起诉。

详细信息