Microsoft 365 中的防網路釣魚原則

  • 文章

提示

您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款

適用於

Microsoft 365 組織提供設定防網路釣魚保護設定的原則,這些組織具有Exchange Online信箱、獨立Exchange Online Protection (EOP) 不含Exchange Online信箱的組織,以及適用於 Office 365 的 Microsoft Defender組織。

適用於 Office 365 的 Microsoft Defender組織的範例包括:

下表說明 EOP 中反網路釣魚原則與 適用於 Office 365 的 Defender 中反網路釣魚原則之間的高階差異:

功能 防網路釣魚原則
在 EOP 中		 防網路釣魚原則
in 適用於 Office 365 的 Defender
自動建立預設原則
建立自訂原則
一般原則設定*
詐騙設定
第一個連絡人安全提示
模擬設定
進階網路釣魚閾值

* 在預設原則中,原則名稱和描述是唯讀的, (描述是空白) ,而且您無法指定套用原則的物件 (預設原則會套用至所有收件者) 。

若要設定防網路釣魚原則,請參閱下列文章:

本文的其餘部分說明 EOP 和 適用於 Office 365 的 Defender 中反網路釣魚原則中可用的設定。

一般原則設定

EOP 和 適用於 Office 365 的 Defender 中的反網路釣魚原則提供下列原則設定:

  • 名稱:您無法重新命名預設的反網路釣魚原則。 建立自訂防網路釣魚原則之後,就無法在Microsoft 365 Defender入口網站中重新命名原則。

  • 描述 您無法將描述新增至預設的反網路釣魚原則,但您可以新增和變更所建立之自訂原則的描述。

  • 使用者、群組和網域:識別套用防網路釣魚原則的內部收件者。 此值在自訂原則中是必要的, (預設原則套用至所有收件者) ,則無法在預設原則中使用。

    您只能使用一個條件或一個例外狀況,但可以為條件或例外狀況指定多個值。 相同條件或例外狀況的多個值使用 OR 邏輯 (例如,<recipient1><recipient2>)。 不同的條件或例外狀況則使用 AND 邏輯 (例如,<recipient1><群組 1 的成員>)。

    • 使用者:組織中的一或多個信箱、郵件使用者或郵件連絡人。

    • 群組:

      • ) 不支援指定通訊群組的成員或啟用郵件功能的安全性群組 (動態通訊群組。
      • 指定的 Microsoft 365 群組。

    • 網域:Microsoft 365 中一或多個已設定的 已接受網域

    • 排除這些使用者、群組和網域:原則的例外狀況。 設定和行為與條件完全類似:

      • 使用者
      • 群組
      • 網域

    注意事項

    自訂反網路釣魚原則中至少需要一個[使用者、群組和網域] 設定中的選項,才能識別用原則的郵件收件者。 適用於 Office 365 的 Defender中的反網路釣魚原則也有模擬設定,您可以在其中指定將接收模擬保護的個別寄件者電子郵件地址或寄件者網域,如本文稍後所述。

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 此原則只會套用於符合所有指定收件者篩選條件的收件者。 例如,您可以使用下列值,在原則中設定收件者篩選條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 若他不是群組的成員,則原則不會套用於他。

    同樣地,如果您使用與原則例外狀況相同的收件者篩選,則只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 若他不是群組的成員,則原則仍會套用於他。

詐騙設定

詐騙是電子郵件訊息中的寄件者位址 (電子郵件用戶端中顯示的寄件者位址) 與電子郵件來源的網域不符時。 如需詐騙的詳細資訊,請參閱 Microsoft 365 中的反詐騙保護

EOP 和 適用於 Office 365 的 Defender 中的反網路釣魚原則提供下列詐騙設定:

  • 啟用詐騙情報:開啟或關閉詐騙情報。 建議您將它保持開啟。

    啟用詐騙情報時, 詐騙情報深入解析 會顯示詐騙寄件者,這些寄件者已由詐騙情報自動偵測及允許或封鎖。 您可以手動覆寫詐騙情報決策,以允許或封鎖深入解析中偵測到的詐騙寄件者。 但是當您這麼做時,詐騙寄件者會從詐騙情報深入解析中消失,而且現在只會顯示在租使用者允許/封鎖清單中的 [ 詐騙寄件者 ] 索引標籤上。 您也可以在租使用者允許/封鎖清單中手動建立詐騙寄件者的允許或封鎖專案。 如需詳細資訊,請參閱下列文章:

    注意事項

    • 根據預設,在預設的反網路釣魚原則和您建立的任何新自訂防網路釣魚原則中,會啟用反詐騙保護。
    • 如果您的 MX 記錄未指向 Microsoft 365,則不需要停用反詐騙保護;您改為啟用連接器的增強式篩選。 如需指示,請參閱 Exchange Online 中連接器的增強篩選
    • 停用反詐騙保護只會停用來自複合驗證檢查的隱含詐騙保護。 如果寄件者無法 明確檢查原則 設定為隔離或拒絕的位置,郵件仍會遭到隔離或拒絕。

  • 未經驗證的寄件者指標:只有在開啟詐騙情報時,才能在 [安全提示 & 指標 ] 區段中取得。 請參閱下一節中的詳細資料。

  • 動作:針對來自遭封鎖詐騙寄件者的訊息, (由詐騙情報自動封鎖,或在租使用者允許/封鎖清單) 中手動封鎖,您也可以指定要對郵件採取的動作:

未經驗證的寄件者指標

未經驗證的寄件者指標是 EOP 和 適用於 Office 365 的 Defender 中反網路釣魚原則中 [安全提示 & 指標] 區段中可用之詐騙設定的一部分。 只有在開啟詐騙情報時,才能使用下列設定:

  • 針對未經驗證的寄件者顯示詐騙的 (?) :如果訊息未通過 SPF 或 DKIM 檢查, 而且訊息未通過 DMARC 或 複合驗證,請在 [寄件者] 方塊中將問號新增至寄件者的相片。 當此設定關閉時,問號不會新增至寄件者的相片。

  • 顯示 「via」 標記:如果 [寄件者] 位址中的網域 (電子郵件用戶端中顯示的郵件寄件者, chris@contoso.com) 與 DKIM 簽章或郵件發件人位址中的網域不同,請透過 [寄件者] 方塊中的 fabrikam.com) 新增透過標籤 (。 如需這些位址的詳細資訊, 請參閱電子郵件訊息標準概觀

若要防止問號或透過標記新增至來自特定寄件者的訊息,您有下列選項:

  • 允許詐騙 情報深入解析 中的詐騙寄件者,或手動在 租使用者允許/封鎖清單中。 允許詐騙寄件者會防止透過 標記出現在寄件者的訊息中,即使原則中已開啟 [顯示「via」 標籤 設定也一般。
  • 設定寄件者網域的電子郵件驗證
    • 對於寄件者相片中的問號,SPF 或 DKIM 是最重要的。
    • 針對 via 標記,確認 DKIM 簽章中的網域或 MAIL FROM 位址符合 (或是 [寄件者] 位址中網域) 子域。

如需詳細資訊,請參閱識別 Outlook.com 和Outlook 網頁版中的可疑訊息

第一個連絡人安全提示

[顯示第一個連絡人安全提示] 設定可在 EOP 和適用於 Office 365 的 Defender組織中使用,且不相依于詐騙情報或模擬保護設定。 在下列案例中,安全提示會顯示給收件者:

  • 第一次從寄件者取得訊息時
  • 他們通常不會從寄件者取得訊息。

這項功能會新增額外的安全性保護層,以防範潛在的模擬攻擊,因此建議您開啟它。

第一個連絡人安全提示也會取代建立郵件流程規則的需求, (也稱為傳輸規則) ,此規則會將名為 X-MS-Exchange-EnableFirstContactSafetyTip 的標頭新增為值 Enable to messages (雖然此功能仍可在) 使用。

根據郵件中的收件者數目,第一個連絡安全提示可以是下列其中一個值:

  • 單一收件者

    您不常會收到 < 電子郵件地址 > 的電子郵件。

    一位收件者之郵件的第一個連絡人安全提示

  • 多個收件者

    有些收到此郵件的人不常會收到 < 電子郵件地址 > 的電子郵件。

    具有多個收件者的郵件第一個連絡人安全提示

如果郵件有多個收件者,則是否顯示小費,以及以多數模型為依據的收件者。 如果大部分的收件者從未或不常收到寄件者的郵件,則受影響的收件者會收到一 些收到此郵件的人員... 提示。 如果您擔心此行為會將一位收件者的通訊習慣公開給另一位收件者,您不應該啟用第一個連絡人安全提示,而是繼續使用郵件流程規則和 X-MS-Exchange-EnableFirstContactSafetyTip 標頭。

第一個連絡人安全提示不會在 S/MIME 簽署的訊息中加上戳記。

適用於 Office 365 的 Microsoft Defender中反網路釣魚原則中的獨佔設定

本節說明僅適用于適用於 Office 365 的 Defender中反網路釣魚原則的原則設定。

注意事項

適用於 Office 365 的 Defender中的預設防網路釣魚原則會為所有收件者提供詐騙保護和信箱情報。 不過,預設原則中不會設定或啟用其他可用的 模擬保護 功能和 進階設定 。 若要啟用所有保護功能,請修改預設的反網路釣魚原則,或建立其他防網路釣魚原則。

適用於 Office 365 的 Microsoft Defender中反網路釣魚原則中的模擬設定

模擬是郵件中寄件者或寄件者的電子郵件網域看起來類似于實際寄件者或網域的位置:

  • contoso.com 這個網域的網域模擬例子是 ćóntoso.com。
  • 使用者冒充是使用者顯示名稱和電子郵件地址的組合。 例如,Valeria Barrios (vbarrios@contoso.com) 可能會模擬為 Valeria Barrios,但電子郵件地址完全不同。

注意事項

模擬保護會尋找類似的網域。 例如,如果您的網域 contoso.com,我們會檢查不同的最上層網域 (.com、.biz 等) ,但網域甚至有些類似。 例如,contosososo.com 或 contoabcdef.com 可能會被視為 contoso.com 的模擬嘗試。

在註冊網域、設定電子郵件驗證 DNS 記錄等 (,模擬網域可能會被視為合法) ,但網域的目的是要收件者。

下列各節所述的模擬設定僅適用于適用於 Office 365 的 Defender中的防網路釣魚原則。

使用者模擬保護

使用者模擬保護可防止特定的內部或外部電子郵件地址模擬 為郵件寄件者。 例如,您會收到來自公司副總裁的電子郵件訊息,要求您傳送一些公司內部資訊給她。 您要這麼做嗎? 許多人會在不考慮的情況下傳送回復。

您可以使用受保護的使用者來新增內部和外部寄件者電子郵件地址,以防止模擬。 此受保護免于使用者模擬的 寄件者 清單,與原則套用至預設原則的所有 收件者 (收件者清單不同;[一般原則設定] 區段中的 [ 使用者、群組和網域 ] 設定中所設定 特定收件者) 。

注意事項

您可以在每個防網路釣魚原則中指定最多 350 個使用者的使用者模擬保護。

如果寄件者和收件者先前已透過電子郵件進行通訊,則使用者模擬保護無法運作。 如果寄件者和收件者從未透過電子郵件進行通訊,則可以將郵件識別為模擬嘗試。

如果您嘗試將使用者新增至使用者模擬保護,當該電子郵件地址已指定給另一個反網路釣魚原則中的使用者模擬保護時,您可能會收到錯誤「電子郵件地址已存在」。 此錯誤只會在 Defender 入口網站中發生。 如果您在 PowerShell 中的New-AntiPhishPolicySet-AntiPhishPolicy Cmdlet 中使用對應的TargetedUsersToProtect參數,則不會收到錯誤Exchange Online。

根據預設,預設原則或自訂原則中不會設定任何寄件者電子郵件地址來進行模擬保護。

當您將內部或外部電子郵件地址新增至 [ 要保護的使用者 ] 清單時,來自這些 寄件者的 郵件會受到模擬保護檢查。 如果郵件傳送給套用原則的收件者, (預設原則的所有收件者;如果訊息傳送給套用至預設原則的所有收件者,則會檢查郵件是否為模擬;自訂原則中的使用者、群組和網域收件者) 。 如果在寄件者的電子郵件地址中偵測到模擬,則會將模擬使用者的動作套用至郵件。

針對偵測到的使用者模擬嘗試,可以使用下列動作:

網域模擬保護

網域模擬保護可防止模擬 寄件者電子郵件地址中的 特定網域。 例如,您擁有的所有網域 (接受的網域) 或特定自訂網域 (您擁有的網域或合作夥伴網域) 。 受保護免于模擬的寄件者網域與原則套用至預設原則的所有收件者 (收件者清單不同;[一般原則設定] 區段中的 [使用者、群組和網域] 設定中所設定特定收件者) 。

注意事項

在每個防網路釣魚原則中,您可以指定最多 50 個自訂網域來進行網域模擬保護。

來自指定網域中 寄件者的 訊息會受到模擬保護檢查。 如果郵件傳送給套用原則的收件者, (預設原則的所有收件者;如果訊息傳送給套用至預設原則的所有收件者,則會檢查郵件是否為模擬;自訂原則中的使用者、群組和網域收件者) 。 如果在寄件者電子郵件地址的網域中偵測到模擬,則網域模擬的動作會套用至郵件。

根據預設,預設原則或自訂原則中不會設定任何寄件者網域進行模擬保護。

針對偵測到的網域模擬嘗試,可以使用下列動作:

信箱智慧模擬保護

信箱智慧會使用人工智慧 (AI) 來判斷使用者電子郵件模式與其經常連絡人。

例如, () 是 glaureano@contoso.com 貴公司的 CEO,因此您在 [ 啟用使用者保護 ] 原則設定中,將她新增為受保護的寄件者。 但是,原則中的某些收件者會定期與一位廠商通訊,而廠商也名為在) (glaureano@fabrikam.com 名。 由於這些收件者具有 的 glaureano@fabrikam.com 通訊歷程記錄,因此信箱智慧不會將來自 glaureano@fabrikam.com 的 glaureano@contoso.com 郵件識別為這些收件者的模擬嘗試。

注意事項

如果寄件者和收件者先前已透過電子郵件進行通訊,信箱智慧保護將無法運作。 如果寄件者和收件者從未透過電子郵件進行通訊,則信箱智慧可以將郵件識別為模擬嘗試。

信箱智慧有兩個特定設定:

  • 啟用信箱智慧:開啟或關閉信箱智慧。 此設定可協助 AI 區別郵件與合法和模擬的寄件者。 根據預設,此設定會開啟。
  • 啟用模擬保護的智慧:預設會關閉此設定。 使用從信箱智慧學習的連絡人歷程記錄, (頻繁的連絡人和沒有連絡人) 來協助保護使用者免于遭受模擬攻擊。 若要讓信箱智慧對偵測到的郵件採取動作,必須開啟此設定和 [啟用信箱智慧 ] 設定。

針對信箱智慧偵測到的模擬嘗試,可以使用下列動作:

  • 請勿套用任何動作:這是預設值。 此動作的結果與開啟 [啟用信箱智慧 ] 但 [ 啟用智慧模擬保護 ] 關閉時的結果相同。
  • 將郵件重新導向至其他電子郵件地址
  • 將郵件移至收件者的垃圾Email資料夾
  • 隔離郵件:如果您選取此動作,也可以選取套用至信箱情報保護所隔離郵件的隔離原則。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊,請參閱 隔離原則
  • 傳遞訊息,並將其他位址新增至密件副本行
  • 在訊息傳遞之前先刪除訊息

模擬安全提示

當訊息識別為模擬嘗試時,使用者會出現模擬安全提示。 有下列安全秘訣可供使用:

  • 顯示使用者模擬安全提示:寄件者位址包含 使用者模擬保護中指定的使用者。 只有在 [ 啟用使用者保護 ] 已開啟並設定時才能使用。
  • 顯示網域模擬安全提示:寄件者位址包含網 域模擬保護中指定的網域。 只有在開啟並設定 [ 啟用要保護的網域 ] 時才能使用。
  • 顯示使用者模擬不尋常的字元安全提示:寄件者位址包含不尋常的字元集 (例如,數學符號和文字,或在 使用者模擬保護中指定的寄件者中) 大寫和小寫字母的混合。 只有在 [ 啟用使用者保護 ] 已開啟並設定時才能使用。

注意事項

安全提示不會在 S/MIME 簽署的訊息中加上戳記。

受信任的寄件者和網域

受信任的寄件者和網域是模擬保護設定的例外狀況。 原則永遠不會將來自指定寄件者和寄件者網域的訊息歸類為模擬型攻擊。 換句話說,受保護的寄件者、受保護的網域或信箱智慧保護的動作不會套用至這些受信任的寄件者或寄件者網域。 這些清單的最大限制是 1024 個專案。

注意事項

受信任的網域專案不包含指定網域的子域。 您需要為每個子域新增一個專案。

如果下列寄件者的 Microsoft 365 系統訊息識別為模擬嘗試,您可以將寄件者新增至受信任的寄件者清單:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

適用於 Office 365 的 Microsoft Defender中反網路釣魚原則中的進階網路釣魚閾值

下列進階網路釣魚閾值僅適用于 適用於 Office 365 的 Defender 中的反網路釣魚原則。 這些臨界值可控制將機器學習模型套用至訊息以判斷網路釣魚決策的敏感度:

  • 1 - 標準:這是預設值。 對訊息採取的動作嚴重性取決於訊息網路釣魚的信賴程度, (低、中、高或非常高的信賴度) 。 例如,識別為具有極高信賴度之網路釣魚的訊息套用了最嚴重的動作,而識別為低信賴度網路釣魚的訊息則套用了較不嚴重的動作。
  • 2 - 積極:識別為具有高度信賴度之網路釣魚的訊息會被視為以非常高的信賴度識別。
  • 3 - 更積極:識別為具有中度或高度信賴度之網路釣魚的訊息,會被視為以非常高的信賴度來識別。
  • 4 - 最積極:識別為具有低度、中度或高度信賴度之網路釣魚的訊息,會被視為以非常高的信賴度來識別。

當您增加此設定時, (標示為不良) 良好訊息的誤判機率會增加。 如需建議設定的相關資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的反網路釣魚原則設定