使用“提交”页提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件，以Microsoft

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

有关Microsoft如何存储和处理提交的详细信息， 请查看此内容。

在具有 Exchange Online 邮箱的 Microsoft 365 组织中，管理员可以使用 Microsoft Defender 门户中的 “提交 ”页将邮件、URL 和附件提交到Microsoft进行分析。 管理员提交有两种基本类型：

• 管理员发起的提交：管理员标识并报告) 实体 (的邮件、附件或 URL，方法是从“提交”页面上的选项卡中选择“提交到Microsoft进行分析”，如管理员发起的提交部分所述。

  管理员报告实体后，“ 提交 ”页上的相应选项卡上会显示一个条目， (除 “用户报告 ”选项卡) 之外的任何位置。

• 管理员提交用户报告的消息：内置 用户报告体验 已打开并配置。 用户报告的消息显示在“提交”页上的“用户报告”选项卡上，管理员将从“用户报告”选项卡提交或重新提交邮件到Microsoft。

  管理员从“ 用户报告 ”选项卡提交邮件后，还会在 “提交 ”页上的相应选项卡上创建一个条目 (，例如，“ 电子邮件 ”选项卡) 。 用户报告消息的管理员选项部分中介绍了这些类型的管理员提交。

当管理员或用户将邮件提交到Microsoft进行分析时，我们会执行以下检查：

• 电子邮件身份验证检查 (电子邮件仅) ：电子邮件身份验证在传递时是通过还是失败。
• 策略命中数：有关可能允许或阻止传入电子邮件进入组织的任何策略或替代的信息，从而覆盖我们的筛选判决。
• 有效负载信誉/引爆：对邮件中任何 URL 和附件进行最新检查。
• 评分器分析：人工评分员进行的评审，以确认邮件是否是恶意邮件。

重要

在 (Microsoft 365 GCC、GCC High 和 DoD) 的美国政府组织中，管理员可以将电子邮件提交到Microsoft进行分析，但邮件仅针对电子邮件身份验证和策略命中情况进行分析。 由于符合性原因，不执行有效负载信誉、引爆和分级器分析， (不允许数据离开组织边界) 。

观看此简短视频，了解如何使用 Microsoft Defender for Office 365 中的管理员提交将邮件提交到Microsoft进行评估。

有关 用户 如何将邮件和文件提交到Microsoft的详细信息，请参阅 向Microsoft报告邮件和文件。

有关 管理员 可在 Defender 门户中向Microsoft报告邮件的其他方法，请参阅 管理员的相关报告设置。

开始前，有必要了解什么？

• 在 打开 Microsoft Defender 门户 https://security.microsoft.com/。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR 基于角色的统一访问控制 (RBAC) (如果电子邮件 & 协作>Defender for Office 365权限处于活动状态。仅影响 Defender 门户，而不会影响 PowerShell) ：安全操作/安全数据/响应 (管理) 或安全操作/安全数据/安全数据基础知识 (读取) 。
  • Microsoft Defender 门户中的电子邮件 & 协作权限： 安全管理员 或 安全读取者 角色组中的成员身份。
  • Microsoft Entra 权限： 安全管理员 或 安全读取者 角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限 和 权限。

• 如果电子邮件在邮箱中仍可用且用户或管理员尚未清除，则管理员可以提交 30 天以前的电子邮件。

• 管理员提交按以下速率限制：

  • 任意 15 分钟期间的最大提交数：150 个提交
  • 24 小时内的相同提交：三次提交
  • 15 分钟内的相同提交：一个提交

• 如果组织中的 用户报告设置 (电子邮件发送用户报告的邮件， Microsoft Teams) 仅Microsoft (，或者除了报告邮箱) 之外，我们执行与管理员从 “提交 ”页面将邮件提交到Microsoft进行分析时相同的检查。 因此，仅对从未提交到Microsoft的邮件或不同意原始判决时，向Microsoft提交或重新提交邮件对管理员有用。

• “ 文件 ”选项卡仅在具有 Microsoft Defender XDR 或 Microsoft Defender for Endpoint 计划 2 的组织中提供“ 提交 ”页。 有关从“ 文件 ”选项卡提交文件的信息和说明，请参阅 在 Microsoft Defender for Endpoint 中提交文件。

管理员发起的提交

提示

只要将“选择提交类型”设置为正确的值，选择“提交到分析Microsoft”选项卡并不特别重要。

向Microsoft报告可疑电子邮件

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交” 页上，验证“ 电子邮件 ”选项卡是否已选中。

3. 在“ 电子邮件 ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件的第一页上，输入以下信息：

   • 选择提交类型：验证是否选择了“ 电子邮件” 值。

   • 添加网络消息 ID 或上传电子邮件文件：选择以下选项之一：

     • 添加电子邮件网络邮件 ID：GUID 值在邮件的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
     • 上传电子邮件文件 (.msg 或.eml) ：选择 “浏览文件”。 在打开的对话框中，找到并选择.eml或.msg文件，然后选择“ 打开”。

   • 选择至少一个有问题的收件人：指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否由于用户或组织策略或替代而绕过了扫描。

   • 为什么要将此消息提交到 Microsoft？：选择以下值之一：

     • 它看起来可疑：仅当不知道或不确定消息判决，并且想要从Microsoft获取判决时，才选择此值。 选择“ 提交”，然后转到“步骤 6”。

     或

     • 我已确认这是一种威胁：在所有其他情况下，在已确定消息判决为恶意消息后，选择此值。 在显示的“ 选择类别” 部分中选择以下值之一：

       • 网络钓鱼
       • 恶意软件
       • 垃圾邮件

       选择 下一步。

       

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择 “阻止来自此发件人或域的所有电子邮件：此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 默认情况下， “发件人” 处于选中状态，但你可以改为选择 “域 ”。
     • 删除块条目后：默认值为 30 天，但可以从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 永不过期
       • 特定日期：最大值为从今天开始的 30 天。
     • 阻止条目注释 (可选) ：输入有关阻止此项原因的可选信息。

     在“ 提交到分析 Microsoft”浮出控件的第二页上完成后，选择“ 提交”。

     

6. 选择“完成”。

片刻后，“租户允许/阻止列表”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Sender的“域 & 地址”选项卡上提供了阻止条目。

向Microsoft报告可疑的电子邮件附件

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交” 页上，选择“ 电子邮件附件 ”选项卡。

3. 在“ 电子邮件附件 ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件的第一页上，输入以下信息：

   • 选择提交类型：验证是否选择了 “电子邮件附件 ”值。

   • 文件：选择“浏览文件”以查找并选择要提交的文件。

   • 为什么要将此电子邮件附件提交到 Microsoft？：选择以下值之一：

     • 它看起来可疑：如果你不确定并且想要从Microsoft做出判决，请选择此值，选择 “提交”，然后转到“步骤 6”。

     或

     • 我已确认存在威胁：如果确定该项目是恶意的，请选择此值，然后在显示的“ 选择类别” 部分中选择以下值之一：

       • 网络钓鱼
       • 恶意软件

       选择 下一步。

       

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择“ 阻止此文件：此选项为租户允许/阻止列表中的文件创建阻止条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 删除块条目后：默认值为 30 天，但可以从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 永不过期
       • 特定日期：最大值为从今天开始的 30 天。
     • 阻止条目注释 (可选) ：输入有关阻止此项原因的可选信息。

     完成“ 提交到Microsoft进行分析 ”浮出控件后，选择“ 提交”。

   

6. 选择“完成”。

片刻后，“租户允许/阻止列表”页上https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash的“文件”选项卡上提供了阻止条目。

向Microsoft报告可疑 URL

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交 ”页上，选择“ URL” 选项卡。

3. 在“ URL ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件中，输入以下信息：

   • 选择提交类型：验证是否已选择值 URL 。

   • URL：输入完整的 URL (例如 https://www.fabrikam.com/marketing.html ，) ，然后在出现的框中选中它。 一次最多可以输入 50 个 URL。

   • 为什么要将此 URL 提交到 Microsoft？：选择以下值之一：

     • 它看起来可疑：如果你不确定并且想要从Microsoft做出判决，请选择此值，选择 “提交”，然后转到“步骤 6”。

     或

     • 我已确认存在威胁：如果确定该项目是恶意的，请选择此值，然后在显示的“ 选择类别” 部分中选择以下值之一：

       • 网络钓鱼
       • 恶意软件

       选择 下一步。

       

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择“ 阻止此 URL：此选项为租户允许/阻止列表中的 URL 创建阻止条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 删除块条目后：默认值为 30 天，但可以从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 永不过期
       • 特定日期：最大值为从今天开始的 30 天。
     • 阻止条目注释 (可选) ：输入有关阻止此 itme 的原因的可选信息。

     完成“ 提交到Microsoft进行分析 ”浮出控件后，选择“ 提交”。

   

6. 选择“完成”。

片刻后，块条目将位于 的“租户允许/阻止列表”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上。

向Microsoft报告良好的电子邮件

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交” 页上，验证“ 电子邮件 ”选项卡是否已选中。

3. 在“ 电子邮件 ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件的第一页中，输入以下信息：

   • 选择提交类型：验证是否选择了“ 电子邮件” 值。

   • 添加网络消息 ID 或上传电子邮件文件：选择以下选项之一：

     • 添加电子邮件网络邮件 ID：GUID 值在邮件的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
     • 上传电子邮件文件 (.msg 或.eml) ：选择 “浏览文件”。 在打开的对话框中，找到并选择.eml或.msg文件，然后选择“ 打开”。

   • 选择至少一个有问题的收件人：指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否因用户或组织策略或替代而被阻止。

   • 为什么要将此消息提交到 Microsoft？：选择以下值之一：

     • 它看起来干净：仅当不知道或不确定消息判决并且想要从Microsoft获取判决时，才选择此值。 选择“ 提交”，然后转到“步骤 6”。

     或

     • 我已确认它干净：在所有其他情况下，在已确定消息判断为干净后，选择此值。 选择 下一步。

   

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择“ 允许此消息：此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 删除允许项后：默认值为 上次使用日期后的 45 天，但可以从以下值中进行选择：

       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值为从今天开始的 30 天。

       对于欺骗发件人，此值毫无意义，因为欺骗发件人的条目永远不会过期。

       如果选择 了上次使用日期后的 45 天 ，在邮件流期间遇到恶意电子邮件时，将更新允许条目的上次使用日期。 在筛选系统确定电子邮件干净后，允许条目将保留 45 天。

     • 允许输入注释 (可选) ：输入有关允许此项的原因的可选信息。 对于欺骗发件人，此处输入的任何值不会显示在“租户允许/阻止列表”页上“欺骗发件人”选项卡上的“允许”条目中。

     在“ 提交到分析 Microsoft”浮出控件的第二页上完成后，选择“ 提交”。

     

6. 选择“完成”。

片刻后，关联的允许条目会显示在 的“租户允许/阻止列表”页上https://security.microsoft.com/tenantAllowBlockList的“域 & 地址、欺骗发件人、URL 或文件”选项卡上。

重要

• 允许条目在邮件流期间根据确定邮件是恶意邮件的筛选器添加的。 例如，如果确定发件人电子邮件地址和邮件中的 URL 是错误的，则会为发件人创建允许条目， (电子邮件地址或域) 和 URL。
• 如果筛选系统未发现发件人电子邮件地址是恶意的，则将电子邮件提交到Microsoft不会在租户允许/阻止列表中创建允许条目。
• 当再次遇到允许的域或电子邮件地址、欺骗发件人、URL 或文件 (实体) 时，将跳过与实体关联的所有筛选器。 对于电子邮件，在做出决策之前，筛选系统仍会评估所有其他实体。
• 在邮件流期间，如果来自允许的域或电子邮件地址的邮件通过筛选堆栈中的其他检查，则会传递邮件。 例如，如果邮件通过了 电子邮件身份验证检查，则会传递来自允许发件人电子邮件地址的邮件。
• 默认情况下，允许域和电子邮件地址的条目存在 30 天。 在这 30 天内，Microsoft从允许条目中学习并 删除它们或自动扩展它们。 Microsoft从已删除的允许条目中得知消息后，将传递来自这些域或电子邮件地址的邮件，除非邮件中的其他内容被检测为恶意邮件。 默认情况下，允许欺骗发件人的条目永不过期。
• 对于被 域或用户模拟保护错误阻止的消息，不会在租户允许/阻止列表中创建域或发件人的允许条目。 相反，域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
• 当覆盖欺骗智能见解中的判决时，欺骗发件人将成为手动允许或阻止条目，仅出现在 “租户允许/阻止列表” 页上的欺骗发件人上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem。

向Microsoft报告良好的电子邮件附件

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交” 页上，选择“ 电子邮件附件 ”选项卡。

3. 在“ 电子邮件附件 ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件上，输入以下信息：

   • 选择提交类型：验证是否选择了 “电子邮件附件 ”值。

   • 文件：选择“ 浏览文件 ”以查找并选择要提交的文件。

   • 为什么要将邮件提交到 Microsoft？：选择以下值之一：

     • 它看起来干净：如果你不确定并且想要从Microsoft做出判决，请选择此值，选择 “提交”，然后转到“步骤 6”。

     或

     • 我已确认它已清理：如果确定该项目干净，请选择此值，然后选择“ 下一步”。

   

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择“ 允许此文件：此选项为租户允许/阻止列表中的文件创建允许条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 删除允许项后：默认值为 上次使用日期后的 45 天，但可以从以下值中进行选择：

       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值为从今天开始的 30 天。

       如果选择 了上次使用日期后的 45 天 ，则当邮件流期间遇到恶意电子邮件附件时，将更新允许条目的上次使用日期。 在筛选系统确定电子邮件附件干净后，允许条目将保留 45 天。

     • 允许输入注释 (可选) ：输入有关允许此项的原因的可选信息。

     在“ 提交到分析 Microsoft”浮出控件的第二页上完成后，选择“ 提交”。

   

6. 选择“完成”。

片刻后，“租户允许/阻止列表”页上的“文件”选项卡上提供了允许条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

重要

• 默认情况下，允许文件的条目存在 30 天。 在这 30 天内，Microsoft从允许条目中学习并 删除它们或自动扩展它们。 Microsoft从已删除的允许条目中学习后，将传递包含这些文件的消息，除非消息中的其他内容被检测为恶意。
• 在邮件流期间再次遇到文件时， 安全附件 引爆或文件信誉检查和所有其他基于文件的筛选器将被重写。 如果筛选系统确定电子邮件中的所有其他实体都是干净的，则会传递邮件。
• 在选择过程中，将重写所有基于文件的筛选器，包括 安全附件 引爆或文件信誉检查，从而允许用户访问该文件。

向Microsoft报告正确的 URL

对于报告为误报的 URL，我们允许包含原始 URL 变体的后续消息。 例如，使用 “提交” 页报告错误阻止的 URL www.contoso.com/abc。 如果组织以后收到包含 URL 的消息 (但不限于： www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5或 www.contoso.com/abc/whatever) ，则不会基于 URL 阻止该消息。 换句话说，不需要报告同一 URL 的多个变体，因为Microsoft。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

2. 在 “提交 ”页上，选择“ URL” 选项卡

3. 在“ URL ”选项卡上，选择“ 提交到Microsoft进行分析”。

4. 在打开的 “提交到分析Microsoft ”浮出控件中，输入以下信息：

   • 选择提交类型：验证是否已选择值 URL 。

   • URL：输入完整的 URL (例如 https://www.fabrikam.com/marketing.html ，) ，然后在出现的框中选中它。 还可以提供顶级域 (例如， https://www.fabrikam.com/*) ，然后在显示的框中选择它。 最多可以同时输入 50 个 URL。

   • 为什么要将此 URL 提交到 Microsoft？：选择以下值之一：

     • 它看起来干净：如果你不确定并且想要从Microsoft做出判决，请选择此值，选择 “提交”，然后转到“步骤 6”。

     或

     • 我已确认它已清理：如果确定该项目干净，请选择此值，然后选择“ 下一步”。

       

5. 在打开的“ 提交到分析Microsoft ”浮出控件的第二页上，执行以下步骤之一：

   • 选择“提交”。

   或

   • 选择“ 允许此 URL：此选项为租户允许/阻止列表中的 URL 创建允许条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

     选择此选项后，以下设置可用：

     • 删除允许项后：默认值为 上次使用日期后的 45 天，但可以从以下值中进行选择：

       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值为从今天开始的 30 天。

       如果选择 了上次使用日期后的 45 天 ，在邮件流期间遇到恶意 URL 时，将更新允许条目的上次使用日期。 在筛选系统确定 URL 干净后，允许条目将保留 45 天。

     • 允许输入注释 (可选) ：输入有关允许此项的原因的可选信息。

     在“ 提交到分析 Microsoft”浮出控件的第二页上完成后，选择“ 提交”。

   

6. 选择“完成”。

片刻后，“租户允许/阻止列表”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上提供了允许条目。

注意

• 默认情况下，允许 URL 的条目存在 30 天。 在这 30 天内，Microsoft从允许条目中学习并 删除它们或自动扩展它们。 Microsoft从已删除的允许条目中得知消息后，将传递包含这些 URL 的消息，除非邮件中的其他内容被检测为恶意。
• 当在邮件流期间再次遇到 URL 时， 将重写安全链接 引爆或 URL 信誉检查以及所有其他基于 URL 的筛选器。 如果筛选系统确定电子邮件中的所有其他实体都是干净的，则会传递邮件。
• 在选择过程中，将覆盖所有基于 URL 的筛选器，包括 安全链接 引爆或 URL 信誉检查，允许用户访问 URL 中的内容。

在 Defender for Office 365 计划 2 中向Microsoft报告 Teams 消息

提示

向Microsoft提交 Teams 消息 目前为预览版，并非在所有组织中都可用，并且可能会发生更改。

在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在 Microsoft 365 E5) 等订阅中的 365 组织中，Microsoft组织无法从“提交”页上的“Teams 消息”选项卡提交 Teams 消息。 将 Teams 邮件提交到Microsoft进行分析的唯一方法是从“ 用户报告 ”选项卡提交用户报告的 Teams 邮件，如本文稍后将 用户报告的消息提交到Microsoft进行分析 部分中所述。

“Teams 消息”选项卡上的条目是将用户报告的 Teams 消息提交到Microsoft的结果。 有关详细信息，请参阅本文后面的 查看转换后的管理员提交 部分。

查看电子邮件管理员提交到 Microsoft

在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

在 “提交” 页上，验证“ 电子邮件 ”选项卡是否已选中。

在“ 电子邮件 ”选项卡上，可以通过选择一个可用的快速筛选器来快速筛选视图：

• Pending
• 已完成

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 提交名称^*
• 寄件人^*
• 收件人
• 提交者^*
• 提交日期^*
• 提交原因^*
• 地位^*
• 结果^*
• 传递/阻止原因
• 提交 ID
• 网络消息 ID
• 方向
• 发件人 IP
• 批量兼容级别 (BCL)
• 目标
• 策略操作
• 网络钓鱼模拟
• 标记^*：有关用户标记的详细信息，请参阅 用户标记。
• 操作

若要对条目进行分组，请选择“分组”，然后选择以下值之一：

• 原因
• 状态
• 结果
• Tags

若要取消组合条目，请选择“ 无”。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 提交日期： 开始日期 和 结束日期 值。
• 提交 ID：分配给每个提交的 GUID 值。
• 网络消息 ID
• Sender
• 收件人
• 提交名称
• 提交者
• 提交原因：以下任何值：
  • 不是垃圾
  • 显示干净
  • 出现可疑
  • 网络钓鱼
  • 恶意软件
  • 垃圾邮件。
• 状态： 挂起 和 已完成。
• 标记： 从 下拉列表中选择“全部”或“ 选择用户标记 ”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用 “导出” 将条目列表导出到 CSV 文件。

查看电子邮件管理员提交详细信息

如果在“提交”页的“电子邮件”选项卡上选择某个条目，方法是单击第一列旁边的复选框旁边的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是消息“主题”值。
• 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息，请参阅 Microsoft Defender for Office 365 中的用户标记
• 在 Defender for Office 365 中，在 Defender for Office 365 中的管理员提交操作 部分中介绍了浮出控件顶部可用的操作。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的后续部分与电子邮件提交相关：

• 结果详细信息 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 不应阻止
    • 由于用户重写而允许
    • 由于规则允许
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 查看 Exchange 邮件流规则 (传输规则)
    • 仅在 Defender for Office 365 中查看此邮件 (威胁资源管理器或实时检测)
    • 在 Defender for Office 365 (威胁资源管理器或实时检测中搜索类似邮件)

• 提交详细信息 部分：

  • 提交日期
  • 提交名称
  • 提交类型：值为 “电子邮件”。
  • 提交原因
  • 提交 ID
  • 提交者
  • 提交状态

• 允许详细信息部分：仅适用于结果值因用户替代而允许或规则允许的电子邮件提交：包含姓名 (电子邮件地址) 和类型 (发件人) 值。

详细信息浮出控件的其余部分包含“电子邮件摘要”面板的“传递详细信息”、“电子邮件详细信息”、“URL”和“附件”部分。 有关详细信息，请参阅 电子邮件摘要面板。

完成详细信息浮出控件后，选择“ 关闭”。

查看 Teams 管理员提交到 Defender for Office 365 计划 2 中的Microsoft

提示

向Microsoft提交 Teams 消息 目前为预览版，并非在所有组织中都可用，并且可能会发生更改。

在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作”& 提交>“中的”提交“页。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

在 “提交” 页上，选择“ Teams 消息 ”选项卡。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 提交名称^*
• 寄件人^*
• 提交日期^*
• 提交原因^*
• 提交者
• 地位^*
• 结果^*
• 收件人
• 提交 ID
• Teams 消息 ID
• 目标
• 网络钓鱼模拟
• 标记^*：有关用户标记的详细信息，请参阅 用户标记。

若要对条目进行分组，请选择“分组”，然后选择以下值之一：

• 原因
• 状态
• 结果
• Tags

若要取消组合条目，请选择“ 无”。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 提交日期： 开始日期 和 结束日期。
• 提交 ID：分配给每个提交的 GUID 值。
• Teams 消息 ID
• Sender
• 收件人
• Teams 消息
• 提交者
• 提交原因：以下任何值：
  • 不是垃圾
  • 显示干净
  • 出现可疑
  • 网络钓鱼
  • 恶意软件
• 状态： 挂起 和 已完成。
• 标记： 从 下拉列表中选择“全部”或“ 选择用户标记 ”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用 “导出” 将条目列表导出到 CSV 文件。

查看 Teams 管理员提交详细信息

如果在“提交”页面的“Teams 消息”选项卡上选择某个条目，方法是单击第一列旁边的复选框以外的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
• 当前消息判决。
• 消息中的链接数。
• 查看警报。 创建或更新管理员提交时，将触发警报。 选择此操作可转到警报的详细信息。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的后续部分与 Teams 提交相关：

• 提交结果 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 应该已被阻止
    • 我们未收到提交，请修复问题并重新提交
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 查看 Exchange 邮件流规则 (传输规则)

• 提交详细信息 部分：

  • 提交日期
  • 提交名称
  • 提交类型：值为 Teams
  • 提交原因
  • 提交 ID
  • 提交者
  • 提交状态

详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息，请参阅 Microsoft Defender for Office 365 计划 2 中的 Teams mMessage 实体面板。

完成详细信息浮出控件后，选择“ 关闭”。

查看电子邮件附件管理员提交到 Microsoft

在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作”& 提交>“中的”提交“页。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

在 “提交” 页上，选择“ 电子邮件附件 ”选项卡。

在“ 电子邮件附件 ”选项卡上，可以通过选择一个可用的快速筛选器来快速筛选视图：

• Pending
• 已完成

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 附件文件名^*
• 提交日期^*
• 提交原因^*
• 地位^*
• 结果^*
• 筛选判决
• 传递/阻止原因
• 提交 ID
• 对象 ID
• 策略操作
• 提交者
• 标记^*：有关用户标记的详细信息，请参阅 用户标记。
• 操作

若要对条目进行分组，请选择“分组”，然后选择以下值之一：

• 原因
• 状态
• 结果
• Tags

若要取消组合条目，请选择“ 无”。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 提交日期： 开始日期 和 结束日期。
• 提交 ID：分配给每个提交的 GUID 值。
• 附件的文件名
• 提交者
• 提交原因：以下任何值：
  • 不是垃圾
  • 显示干净
  • 出现可疑
  • 网络钓鱼
  • 恶意软件
• 状态： 挂起 和 已完成。
• 标记： 从 下拉列表中选择“全部”或“ 选择用户标记 ”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用 “导出” 将条目列表导出到 CSV 文件。

查看电子邮件附件管理员提交详细信息

如果在“提交”页面的“电子邮件附件”选项卡上选择某个条目，方法是单击第一列旁边的复选框以外的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是附件的文件名。
• 提交的 “状态” 和“ 结果” 值。
• 查看警报。 在 Defender for Office 365 中，创建或更新管理员提交时会触发警报。 选择此操作可转到警报的详细信息。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的后续部分与电子邮件附件提交相关：

• 结果详细信息 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 应该已被阻止
    • 不应阻止
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 在租户允许/阻止列表中阻止 URL/文件

• 提交详细信息 部分：

  • 提交日期
  • 提交名称
  • 提交类型：值为 File。
  • 提交原因
  • 提交 ID
  • 提交者
  • 提交状态

完成详细信息浮出控件后，选择“ 关闭”。

查看 URL 管理员提交到Microsoft

在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作”& 提交>“中的”提交“页。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

在 “提交 ”页上，选择“ URL” 选项卡。

在“ URL ”选项卡上，可以通过选择一个可用的快速筛选器来快速筛选视图：

• Pending
• 已完成

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• URL^*
• 提交日期^*
• 提交原因^*
• 地位^*
• 结果^*
• 筛选判决
• 传递/阻止原因
• 提交 ID
• 对象 ID
• 策略操作
• 提交者
• 标记^*：有关用户标记的详细信息，请参阅 用户标记。
• 操作

若要对条目进行分组，请选择“分组”，然后选择以下值之一：

• 原因
• 状态
• 结果
• Tags

若要取消组合条目，请选择“ 无”。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 提交日期： 开始日期 和 结束日期。
• 提交 ID：分配给每个提交的 GUID 值。
• URL
• 提交者
• 提交原因：以下任何值：
  • 不是垃圾
  • 显示干净
  • 出现可疑
  • 网络钓鱼
  • 恶意软件
• 状态： 挂起 和 已完成。
• 标记： 从 下拉列表中选择“全部”或“ 选择用户标记 ”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用 “导出” 将条目列表导出到 CSV 文件。

查看 URL 管理员提交详细信息

如果在“提交”页的“URL”选项卡上选择某个条目，方法是单击第一列旁边的复选框以外的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是 URL 的域。
• 提交的 “状态” 和“ 结果” 值。
• 查看警报。 在 Defender for Office 365 中，创建或更新管理员提交时会触发警报。 选择此操作可转到警报的详细信息。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的其余部分与 URL 提交相关：

• 结果详细信息 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 应该已被阻止
    • 不应阻止
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 在租户允许/阻止列表中阻止 URL/文件

• 提交详细信息 部分：

  • 提交日期
  • URL
  • 提交类型：值为 URL。
  • 提交原因
  • 提交 ID
  • 提交者
  • 提交状态

• 允许详细信息 或 阻止详细信息 部分：仅适用于 URL 被阻止或允许的 URL 提交：包含 名称 (URL 域) 和 类型 (URL) 值。

完成详细信息浮出控件后，选择“ 关闭”。

Microsoft的结果

报告项的分析结果显示在详细信息浮出控件中，当你在“提交”页面的“电子邮件”、“Teams 邮件”、“电子邮件附件”或“URL”选项卡上选择一个条目时，将打开该浮出控件：

• 发件人的电子邮件身份验证是否在发送时验证失败。
• 有关可能已影响或重写筛选系统的消息判决的任何策略或替代的信息。
• 当前引爆结果，用于查看消息中的 URL 或文件是否是恶意的。
• 评分员的反馈。

如果找到替代或策略配置，结果应在几分钟内可用。 如果电子邮件身份验证中没有问题，或者传递不受替代或策略的影响，则分级机的引爆和反馈可能需要长达一天的时间。

Defender for Office 365 中的管理员提交操作

在具有 Microsoft Defender for Office 365 (加载项许可证或包含在订阅（如 Microsoft 365 E5 或 Microsoft 365 商业高级版) ）的组织中，可通过单击复选框以外的任何位置从列表中选择条目后，在详细信息浮出控件中打开管理员提交以下操作：

• 打开电子邮件实体：仅在“ 电子邮件 ”选项卡上的条目的详细信息浮出控件中可用。 有关详细信息，请参阅 电子邮件实体页上的内容。

• 执行操作：仅在“ 电子邮件 ”选项卡上条目的详细信息浮出控件中可用。 此操作将启动“电子邮件”实体页上提供的相同操作向导。 有关详细信息，请参阅 电子邮件实体页上的操作。

• 查看警报。 创建或更新管理员提交时，将触发警报。 选择此操作可转到警报的详细信息。

• 在 “结果详细信息 ”部分中，威胁 资源管理器 的以下链接可能也可用，具体取决于报告项的状态和结果：

  • 仅在“资源管理器： 电子邮件 ”选项卡中查看此邮件。
  • 在“资源管理器：仅 电子邮件 ”选项卡中搜索类似邮件。
  • 搜索 URL 或文件：仅 电子邮件附件 或 URL 选项卡。

用户报告的邮件的管理员选项

对于电子邮件，如果以下语句为 true，则管理员可以在“提交”页上的“用户报告”选项卡上查看报告的用户：

• 用户报告的设置已打开。
• 电子邮件：用户正在使用支持的方法来报告邮件：
  • Microsoft报告消息或报告钓鱼加载项。
  • Outlook 网页版中的内置“报表”按钮。
  • 支持的第三方报告工具
• Teams 消息：已启用 Teams 消息的用户报告设置 。

注意：

• 用户报告仅发送到Microsoft或发送到Microsoft和 报告邮箱 的邮件显示在“ 用户报告 ”选项卡上。
• 仅发送到报告邮箱的用户报告邮件显示在“ 用户报告 ”选项卡上，“ 结果 ”值 未提交到Microsoft。 管理员应将这些消息报告给Microsoft进行分析。

在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在 Microsoft 365 E5) 等订阅中的组织中，管理员还可以 在 Defender for Office 365 计划 2 Microsoft Teams 中查看用户报告的消息 ， (当前预览版) 。

在具有 Defender for Office 365 计划 2 (加载项的组织中，Microsoft Teams 中的 Defender for Office 365 计划 2 ( 当前为预览版)

在 Microsoft Defender 门户中https://security.microsoft.com，转到“操作 & 提交>提交”。 或者，若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

在 “提交” 页上，选择“ 用户报告 ”选项卡。

以下小节描述了“提交”页上的“用户报告”选项卡上可用的信息和操作。

查看用户向Microsoft报告的消息

在“ 用户报告 ”选项卡上，可以通过选择一个可用的快速筛选器来快速筛选视图：

• 威胁
• 垃圾邮件
• 无威胁
• 模拟

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 名称和类型^*
• 报告者^*
• 报告日期^*
• 寄件人^*
• 报告原因^*
• 结果^*：包含基于 用户报告设置的报告消息的以下信息：
  • 将报告的消息发送到>Microsoft和我的报告邮箱 或 仅Microsoft：派生自以下分析的值：
    • 策略命中数：有关可能已允许或阻止传入消息的任何策略或替代的信息，包括对筛选判决的替代。 结果应在几分钟内可用。 否则，引爆和评分员的反馈可能需要长达一天的时间。
    • 有效负载信誉/引爆：对消息中任何 URL 和文件进行最新检查。
    • 评分器分析：由人类评分员进行评审，以确认邮件是否是恶意邮件。
  • 将报告的消息发送到>仅限我的举报邮箱：始终 不会将值提交到Microsoft，因为邮件未由Microsoft分析。
• 消息报告 ID
• 网络消息 ID
• Teams 消息 ID
• 发件人 IP
• 报告自
• 网络钓鱼模拟
• 已转换为管理员提交
• 标记为^*
• 标记者^*
• 标记为的日期
• 标记^*：有关用户标记的详细信息，请参阅 用户标记。

若要对条目进行分组，请选择“分组”，然后选择以下值之一：

• Sender
• 报告者
• 结果
• 报告自
• 已转换为管理员提交
• Tags

若要取消组合条目，请选择“ 无”。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 报告日期： 开始日期 和 结束日期。
• 报告者
• 名称
• 消息报告 ID
• 网络消息 ID
• Teams 消息 ID
• Sender
• 报告原因：值 “无威胁”、“ 网络钓鱼”和 “垃圾邮件”。
• 报告自： 值Microsoft 和第 三方。
• 网络钓鱼模拟：值为 “是” 和 “否”。
• 转换为管理员提交：值 “是” 和 “否”。
• 消息类型：可用值为：
  • 电子邮件
  • Teams 消息 (Defender for Office 365 计划 2;当前为预览版) 。
• 标记： 所有 或选择一个或多个用户标记 (包括分配给用户的优先级帐户) 。 有关用户标记的详细信息，请参阅 Microsoft Defender for Office 365 中的用户标记。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用 “导出” 将条目列表导出到 CSV 文件。

有关“ 用户报告 ”选项卡上的邮件可用的操作的详细信息，请参阅下一小节。

查看用户报告的电子邮件详细信息

如果在“提交”页的“用户报告”选项卡上选择与电子邮件相关的条目，方法是单击第一列旁边的复选框以外的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是消息“主题”值。
• 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息，请参阅 Microsoft Defender for Office 365 中的用户标记
• 用户报告的消息的管理员操作部分介绍了浮出控件顶部可用的操作。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的后续部分与用户报告的提交相关：

• 结果详细信息 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 不应阻止
    • 由于用户重写而允许
    • 由于规则允许
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 查看 Exchange 邮件流规则 (传输规则)
    • 仅在 Defender for Office 365 中查看此邮件 (威胁资源管理器或实时检测)
    • 在 Defender for Office 365 (威胁资源管理器或实时检测中搜索类似邮件)

• 报告的消息详细信息 部分：

  • 提交日期
  • 提交名称
  • 报告的原因。
  • 消息报告 ID
  • 报告者
  • 网络钓鱼模拟：值为 “是” 或 “否”。
  • 转换为管理员提交：值为 “是” 或 “否”。 有关详细信息，请参阅 查看转换后的管理员提交。

详细信息浮出控件的其余部分包含“电子邮件摘要”面板的“传递详细信息”、“电子邮件详细信息”、“URL”和“附件”部分。 有关详细信息，请参阅 电子邮件摘要面板。

提示

如果 Result 值为 网络钓鱼模拟，则详细信息浮出控件可能仅包含以下信息：

• 结果详细信息 部分
• 报告的消息详细信息 部分
• 具有以下值的电子邮件详细信息 部分：
  • 网络消息 ID
  • Sender
  • Sent date

完成详细信息浮出控件后，选择“ 关闭”。

在 Defender for Office 365 计划 2 中查看用户报告的 Teams 邮件详细信息

提示

Microsoft Teams 中邮件的用户报告 目前为预览版，并非在所有组织中都可用，并且可能会发生更改。

在 Microsoft具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在 Microsoft 365 E5) 等订阅中的 365 组织中，用户报告的 Teams 消息可在“提交”页的“用户报告”选项卡上使用。 如果按 消息类型 值 Teams 消息筛选结果，则很容易找到它们。

如果在“ 用户报告 ”选项卡上选择 Teams 消息条目，方法是单击第一列旁边的复选框旁边的行中的任意位置，将打开详细信息浮出控件。

详细信息浮出控件顶部提供以下消息信息：

• 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
• 当前消息判决。
• 消息中的链接数。
• 用户 报告的消息的管理员操作 部分介绍了可用的操作。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的后续部分与用户报告的 Teams 提交相关：

• 提交结果 部分：

  • 结果：包含提交的 Result 值。 例如：
    • 不应阻止
    • 未提交到Microsoft
  • 建议的电子邮件提交步骤：包含指向相关操作的链接。 例如：
    • 查看 Exchange 邮件流规则 (传输规则)

• 报告的消息详细信息 部分：

  • 报告日期
  • 提交名称
  • 报告的原因。
  • 消息报告 ID
  • 报告者
  • 网络钓鱼模拟：值为 “是” 或 “否”。
  • 转换为管理员提交：值为 “是” 或 “否”。 有关详细信息，请参阅 查看转换后的管理员提交。

详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息，请参阅 Microsoft Defender for Office 365 计划 2 中的 Teams mMessage 实体面板。

提示

如果 Result 值为 网络钓鱼模拟，则详细信息浮出控件可能仅包含以下信息：

• 结果详细信息 部分
• 报告的消息详细信息 部分
• 具有以下值的电子邮件详细信息 部分：
  • 网络消息 ID
  • Sender
  • Sent date

完成详细信息浮出控件后，选择“ 关闭”。

用户报告的消息的管理员操作

在“ 用户报告 ”选项卡上，用户报告的消息的操作在选项卡本身或所选条目的详细信息浮出控件中可用：

• 通过选中第一列旁边的复选框，从列表中选择邮件。 “ 用户报告 ”选项卡上提供了以下操作：

  • 提交到Microsoft进行分析
  • 标记为 并通知
  • 触发调查 (Defender for Office 365 计划 2 仅)

• 单击该复选框以外的行中的任意位置，从列表中选择邮件。 打开的详细信息浮出控件^*中提供了以下操作：

  • 提交到Microsoft进行分析
  • 标记为 并通知
  • 查看转换后的管理员提交
  • 仅限 Microsoft Defender for Office 365 中的操作：
    • 打开电子邮件实体
    • 执行操作
    • 查看警报

Defender for Office 中用户报告的邮件的操作

提示

若要查看详细信息或对其他用户报告的邮件执行操作而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

^*根据邮件的性质和状态，某些操作可能不可用，可以直接在浮出控件顶部使用，或者在浮出控件顶部的“更多操作”下提供。

以下小节介绍了这些操作。

注意

在用户报告可疑邮件后，无论报告的邮件 (到报告邮箱的位置、Microsoft或两者) ，用户或管理员都无法撤消邮件的报告。 用户可以从其“已删除邮件”或“垃圾邮件”文件夹中恢复报告的邮件。

将用户报告的消息提交到Microsoft进行分析

在“ 用户报告 ”选项卡上选择邮件后，使用以下方法之一将邮件提交到Microsoft：

• 在“用户报告”选项卡上，选择“ 提交到Microsoft进行分析”。

• 在所选邮件的详细信息浮出控件中：在浮出控件顶部选择 “提交到Microsoft进行分析 ”或 “更多”选项>“提交到Microsoft进行分析 ”。

在打开的分析浮出控件的 “提交到Microsoft ”中，根据邮件是电子邮件还是 Teams 邮件执行以下步骤：

• 电子邮件：

  • 为什么要将此消息提交到 Microsoft？：选择以下值之一：

    • 它看起来干净 或 看起来可疑：如果你不确定并且想要从Microsoft做出判决，请选择以下值之一。

      选择“ 提交”，然后选择“ 完成”。

    • 我已确认它已清理：如果确定该项目干净，请选择此值，然后选择“ 下一步”。

      在浮出控件的下一页上，执行以下步骤之一：

      • 选择“ 提交”，然后选择“ 完成”。

      或

      • 选择“ 允许此消息：此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

      选择此选项后，以下设置可用：

      • 删除允许项后：默认值为 上次使用日期后的 45 天，但可以从以下值中进行选择：
        • 1 天
        • 7 天
        • 30 天
        • 特定日期：最大值为从今天开始的 30 天。

      如果选择 了上次使用日期后的 45 天 ，在邮件流期间遇到恶意电子邮件时，将更新允许条目的上次使用日期。 在筛选系统确定电子邮件干净后，允许条目将保留 45 天。

      • 允许输入注释 (可选) ：输入有关允许此项的原因的可选信息。 对于欺骗发件人，此处输入的任何值不会显示在“租户允许/阻止列表”页上“欺骗发件人”选项卡上的“允许”条目中。

      完成浮出控件后，选择“ 提交”，然后选择“ 完成”。

    • 我已确认存在威胁：如果确定该项目是恶意的，请选择此值，然后在显示的“ 选择类别” 部分中选择以下值之一：

      • 网络钓鱼
      • 恶意软件
      • 垃圾邮件

      选择 下一步。

      在浮出控件的下一页上，执行以下步骤之一：

      • 选择“ 提交”，然后选择“ 完成”。

      或

      • 选择 “阻止来自此发件人或域的所有电子邮件：此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

      选择此选项后，以下设置可用：

      • 默认情况下， “发件人” 处于选中状态，但你可以改为选择 “域 ”。
      • 删除块条目后：默认值为 30 天，但可以从以下值中进行选择：
        • 1 天
        • 7 天
        • 30 天
        • 永不过期
        • 特定日期：最大值为从今天开始的 30 天。
      • 阻止条目注释 (可选) ：输入有关阻止此项原因的可选信息。

      完成浮出控件后，选择“ 提交”，然后选择“ 完成”。

  

• Teams 消息：选择以下值之一：

  • 我已确认其干净
  • 它看起来干净
  • 它看起来可疑

  选择其中一个值后，选择“ 提交”，然后选择“ 完成”。

  • 我已确认存在威胁：如果确定该项目是恶意的，请选择此值，然后在显示的“ 选择类别” 部分中选择以下值之一：

  • 网络钓鱼

  • 恶意软件

    选择“ 提交”，然后选择“ 完成”。

从 “用户 报告”选项卡将用户报告的邮件提交到Microsoft后， “转换为管理员提交 ”的值将从 “否 ”变为 “是”，并在“ 提交 ”页上的相应选项卡上创建相应的管理员提交条目， (例如，“ 电子邮件 ”选项卡) 。

在 Defender for Office 365 计划 2 中触发调查

• 在“用户报告”选项卡上，在“提交到Microsoft进行分析”的下拉列表中选择“触发调查”。

有关详细信息，请参阅 触发调查。

通知用户管理员向Microsoft提交的邮件

管理员 从“用户 报告”选项卡将用户报告的消息提交到Microsoft后，管理员可以使用 “标记为并通知 ”操作将邮件标记为判决，并向报告该邮件的用户发送模板通知消息。

• 电子邮件的可用判决：

  • 未发现威胁
  • 钓鱼
  • 垃圾邮件

• Teams 消息的可用判决：

  • 未发现威胁
  • 钓鱼

有关详细信息，请参阅 从门户内通知用户。

查看转换后的管理员提交

管理员 从“用户 报告”选项卡将用户报告的消息提交到Microsoft后， “转换为管理员提交 ”的值为 “是”。

如果通过单击名称旁边的复选框以外的行中的任意位置选择其中一条消息，详细信息浮出控件包含 “更多操作>”查看转换后的管理员提交。

此操作会将你带到相应选项卡上的相应管理员提交条目 (例如“ 电子邮件 ”选项卡) 。

Defender for Office 365 中用户报告的邮件的操作

在具有 Microsoft Defender for Office 365 (加载项许可证或包含在 Microsoft 365 E5 或 Microsoft 365 商业高级版) 等订阅中的组织中，在“ 用户报告 ”选项卡上的用户报告消息的详细信息浮出控件中，可能还可以使用以下操作：

• 仅) 打开电子邮件 (电子邮件实体：有关详细信息，请参阅 电子邮件实体页上的内容。

• 仅) (电子邮件执行操作：此操作将启动“电子邮件”实体页上提供的相同操作向导。 有关详细信息，请参阅 电子邮件实体页上的操作。

• 查看警报。 创建或更新管理员提交时，将触发警报。 选择此操作可转到警报的详细信息。