提示
你知道可以免费试用Office 365计划 2 Microsoft Defender 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender 进行Office 365试用。 了解谁可以在试用Office 365 Microsoft Defender上注册和试用条款。
“默认情况下安全”是一个术语,用于定义尽可能安全的默认设置。
但是,安全性需要与生产力相平衡。 此余额包括:
- 可用性:设置不应妨碍用户工作效率。
- 风险:安全性可能会阻止重要活动。
- 旧设置:出于业务原因,可能需要维护旧产品和功能的某些配置,即使新的新式设置得到了改进。
具有云邮箱的所有组织都会自动接收电子邮件保护。 此保护包括:
- 系统会自动隔离具有可疑恶意软件的Email。 反恶意软件策略使用的隔离策略控制是否通知收件人。 有关详细信息,请参阅 配置反恶意软件策略。
- 默认隔离标识为高置信度钓鱼的Email。
有关详细信息,请参阅 所有云邮箱的内置安全功能。
由于Microsoft希望默认保护客户的安全,因此某些组织替代不会应用于恶意软件或高置信度钓鱼。 这些替代包括:
- 反垃圾邮件策略中允许的发件人列表或允许的域列表。
- Outlook 安全发件人。
- 默认连接筛选器策略中的 IP 允许列表。
- Exchange 邮件流规则 (也称为) 传输规则。
使用 管理员提交 暂时允许Microsoft 365 阻止的特定邮件。
有关这些替代的详细信息,请参阅 创建发件人允许列表。
注意
使用“将邮件移动到垃圾邮件Email文件夹”作的反垃圾邮件策略将转换为“隔离邮件”作。 高置信度钓鱼 邮件的“将邮件重定向到电子邮件地址 ”作不受影响。
默认情况下,安全不是可以打开或关闭的设置。 这就是我们筛选将潜在危险邮件或不需要的邮件排除在邮箱之外的方式。 应隔离恶意软件和高置信度钓鱼邮件。 默认情况下,只有管理员可以管理隔离为恶意软件或高置信度钓鱼的邮件,还可以向隔离Microsoft报告误报。 有关详细信息,请参阅 以管理员身份管理隔离的邮件和文件。
更多信息
默认情况下,安全意味着我们会对消息采取相同的作,如果你知道邮件是恶意邮件,即使你配置了允许传递消息的异常也是如此。 我们一直对恶意软件使用此方法,现在我们将此方法扩展到高置信度钓鱼邮件。
我们的数据表明,用户单击“垃圾邮件Email”文件夹中邮件中的恶意链接的可能性是隔离邮件的 30 倍。 我们的数据还表明,对于高置信度钓鱼邮件, (标记为坏) 的良好邮件的误报率较低。 管理员可以通过管理员提交解决任何误报。
我们还确定,在反垃圾邮件策略和 Outlook 中的安全发件人中允许的发件人和允许的域列表过于广泛,造成大于好处的危害。
换句话说:作为一项安全服务,我们代表你行事,以防止用户受到威胁。
例外
只应考虑在以下方案中使用替代:
- 钓鱼模拟:模拟攻击可以帮助你在实际攻击影响组织之前识别易受攻击的用户。 若要防止网络钓鱼模拟消息被筛选,请参阅 在高级传递策略中配置非Microsoft钓鱼模拟。
- 安全/SecOps 邮箱:安全团队用来获取未筛选邮件的专用邮箱, (好的和坏的) 。 然后,Teams 可以进行评审,以查看它们是否包含恶意内容。 有关详细信息,请参阅 在高级传递策略中配置 SecOps 邮箱。
- 非Microsoft筛选器:默认情况下,仅当域的 MX 记录指向 Microsoft 365 (例如 contoso.mail.protection.outlook.com) 时,安全才适用。 如果域的 MX 记录指向非Microsoft服务或设备,则策略(包括但不限于以下方案)可能会导致发送反垃圾邮件策略检测到为高置信度钓鱼的邮件:
- 交换邮件流规则以绕过垃圾邮件筛选。
- 在用户邮箱的“ 安全发件人”列表中标识的发件人 。
- 允许租户允许/阻止列表中的条目。
- 在反垃圾邮件策略中允许的发件人列表和允许的域列表中标识的发件人。
- 连接筛选器策略允许的源 IP 地址。
- 误报:若要暂时允许Microsoft 365 阻止的某些邮件,请使用 管理员提交。 默认情况下,允许域和电子邮件地址、文件和 URL 的条目存在 30 天。 在这 30 天内,Microsoft从允许条目中学习并删除它们或自动扩展它们。 默认情况下,允许欺骗发件人的条目永不过期。