提示
您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
適用於
本文提供 Microsoft 365 組織在 Exchange Online 中使用信箱或獨立 Exchange Online Protection (EOP) 組織,而不需要 Exchange Online 信箱之反惡意代碼保護的常見問題和解答。
如需有關隔離區的問題與解答,請參閱隔離常見問題集。
如需反垃圾郵件保護的相關問題和解答,請參閱 反垃圾郵件保護常見問題。
如需有關反詐騙保護的問題和解答,請參閱 反詐騙保護常見問題。
設定和使用服務來對抗惡意代碼的最佳做法建議為何?
請參閱 EOP 反惡意代碼原則設定。
更新惡意代碼定義的頻率為何?
每部伺服器每小時都會檢查來自我們反惡意代碼合作夥伴的新惡意代碼定義。
您有多少個反惡意代碼合作夥伴? 我可以選擇我們使用的惡意代碼引擎嗎?
我們與多個反惡意代碼技術提供者合作。 訊息會使用 Microsoft 反惡意代碼引擎、額外的簽章型引擎,以及來自多個來源的 URL 和檔案信譽掃描來掃描。 我們的合作夥伴可能會變更,但 EOP 一律會使用來自多個合作夥伴的反惡意代碼保護。 您無法選擇一個反惡意代碼引擎而非另一個。
惡意代碼掃描會在哪裡發生?
我們會在傳送至信箱或從信箱傳送的郵件中掃描惡意代碼, (傳輸中的郵件) 。 針對 Exchange Online 信箱,我們也有零時差自動清除 (ZAP) ,讓惡意代碼掃描已傳遞的郵件。 如果您從信箱重新傳送郵件,則會再次掃描 (,因為它正在傳輸) 。
如果我對反惡意代碼原則進行變更,在儲存變更之後需要多久的時間才會生效?
變更可能需要 1 小時才會生效。
服務會掃描內部訊息是否有惡意代碼?
針對具有 Exchange Online 信箱的組織,服務會掃描所有輸入和輸出訊息中的惡意代碼,包括內部收件者之間傳送的郵件。
獨立 EOP 訂用帳戶會在訊息進入或離開內部部署電子郵件組織時掃描訊息。 內部內部部署收件者之間傳送的訊息不會掃描是否有惡意代碼。 不過,您可以使用 Exchange Server 的內建反惡意代碼掃描功能。 如需詳細資訊,請參閱 Exchange Server 中的反惡意代碼保護。
服務使用的所有反惡意代碼引擎是否都已啟用啟發式掃描?
是。 啟發式掃描會掃描已知的 (簽章比對) 和未知 (可疑) 惡意代碼。
服務是否可以掃描壓縮檔 (,例如 .zip 檔案) ?
是。 反惡意代碼引擎可以鑽研壓縮 (封存) 檔案。
壓縮的附件掃描是否支援 .zip) 內 .zip 內的遞歸 (.zip,如果是的話,它有多深?
是,壓縮檔案的遞迴掃描會深入掃描許多層級。
此服務是否適用於舊版 Exchange 和非 Exchange 環境?
是,服務與伺服器無關。
什麼是零時差病毒,以及服務如何處理它?
零時差病毒是第一代、先前未知的惡意代碼變體,從未擷取或分析過。
在反惡意代碼引擎擷取並分析零時差病毒範例之後,會建立定義和唯一簽章來偵測惡意代碼。
當惡意代碼的定義或簽章存在時,就不會再被視為零時差。
如何設定服務來封鎖特定的可執行檔 (,例如我擔心可能包含惡意代碼的 \*.exe) ?
您可以啟用和設定 一般附件篩選 (也稱為 常見附件封鎖) ,如 反惡意代碼原則中的常見附件篩選中所述。
您也可以建立 Exchange 郵件流程規則 (也稱為傳輸規則) ,以封鎖任何具有可執行內容的電子郵件附件。
請遵循如何在 Exchange Online Protection 中透過檔案附件封鎖來減少惡意代碼威脅中的步驟,在 Exchange Online 中封鎖支援的檔類型中所列的檔類型,以進行郵件流程規則內容檢查。
為了增加保護,我們也建議您在郵件流程規則中使用 任何附件擴展名包含這些字詞 條件,以封鎖下列部分或所有擴充功能: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh。
為什麼特定惡意代碼會通過篩選?
您收到的惡意代碼是新的變體 (請參閱 什麼是零時差病毒,以及服務如何處理?) 。 更新惡意代碼定義所花費的時間取決於我們的反惡意代碼合作夥伴。
請記住,沒有任何使用者或系統管理員可設定的設定可以豁免電子郵件附件,使其無法由反惡意代碼保護掃描。
如何將通過篩選的惡意代碼提交給 Microsoft? 此外,如何提交認為偵測錯誤為惡意代碼的檔案?
我收到含有不熟悉附件的電子郵件訊息。 我能否不理會這個附件?
我們強烈建議您不要開啟任何無法辨識的附件。 如果您想要我們調查附件,請 向 Microsoft 報告檔案。
哪裡可以取得惡意代碼篩選器已刪除的訊息?
這些訊息包含使用中的惡意代碼,因此我們不允許存取這些訊息。 它們會遭到意外刪除。
我無法接收特定附件,因為它被誤認為惡意代碼。 我可以透過郵件流程規則允許此附件嗎?
否。 您無法使用 Exchange 郵件流程規則來略過惡意代碼篩選。 略過收件者的惡意代碼篩選的唯一方式是將信箱識別為 SecOps 信箱。 如需詳細資訊,請參閱使用 Microsoft Defender 入口網站在進階傳遞原則中設定 SecOps 信箱。
我可以取得有關惡意代碼偵測的報告數據嗎?
是,您可以在 Microsoft Defender 入口網站中存取報告。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中檢視電子郵件安全性報告。
是否有工具可用來透過服務追蹤偵測到惡意代碼的訊息?
是,郵件追蹤工具可讓您在電子郵件通過服務時加以追蹤。 如需如何使用訊息追蹤工具來瞭解為何偵測到訊息包含惡意代碼的詳細資訊,請參閱 新式 Exchange 系統管理中心的訊息追蹤。
我可以搭配使用第三方反垃圾郵件和反惡意代碼提供者與 Exchange Online 嗎?
是的。 在大部分情況下,建議您將 MX 記錄指向 (,也就是直接將電子郵件傳送至) EOP。 如果您需要先將電子郵件路由傳送至其他地方,您必須啟用 連接器的增強式篩選 ,EOP 才能在篩選決策中使用真正的訊息來源。
垃圾郵件和惡意代碼訊息是否會被調查為誰傳送垃圾郵件或被轉移到執法機關?
此服務著重於垃圾郵件和惡意代碼偵測和移除,不過我們有時可能會調查特別危險或有害的垃圾郵件或攻擊活動,並尋求攻擊。
我們通常會與法律和數位犯罪單位合作,以採取下列動作:
- 關閉垃圾郵件 Botnet。
- 封鎖攻擊者使用服務。
- 將相關信息傳遞給執法機關,以利犯罪。