为第三方网络钓鱼模拟和将电子邮件传递到 SecOps 邮箱配置高级传递策略
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
为了在默认情况下保护组织安全,Exchange Online Protection (EOP) 不允许对标识为恶意软件或高可信度钓鱼的邮件绕过安全列表或筛选。 但是,有些特定方案需要传递未筛选的消息。 例如:
- 第三方网络钓鱼模拟:模拟攻击有助于在实际攻击影响组织之前识别和训练易受攻击的用户。
- 安全操作 (SecOps) 邮箱:安全团队用来收集和分析未筛选邮件的专用邮箱, (好坏) 。
使用 EOP 中的 高级传递策略 来防止 筛选这些特定方案中 的入站消息。。 高级传递策略可确保这些方案中的消息实现以下结果:
- EOP 中的筛选器和Defender for Office 365对这些消息不执行任何操作。 仅对 SecOps 邮箱绕过恶意软件筛选。
- 零小时清除 (ZAP) 垃圾邮件和网络钓鱼不对这些邮件采取任何操作。 仅 SecOps 邮箱绕过用于恶意软件的 ZAP。
- Defender for Office 365 中的安全链接不会在单击时阻止或引爆这些邮件中的指定 URL。 URL 仍会包装,但不会被阻止。
- Defender for Office 365中的安全附件不会引爆这些邮件中的附件。
- 对于这些方案,不会触发默认系统警报。
- DEFENDER FOR OFFICE 365中的 AIR 和 聚类分析 会忽略这些消息。
- 特别是针对第三方网络钓鱼模拟:
- 管理员提交会生成自动响应,指出该邮件是钓鱼模拟活动的一部分,不是真正的威胁。 不会触发警报和 AIR。 管理员提交体验将这些消息显示为模拟威胁。
- 当用户使用 Outlook 网页版 中的内置“报告”按钮或 Microsoft 报告消息或报告钓鱼加载项来报告钓鱼模拟邮件时,系统不会生成警报、调查或事件。 链接或文件不会引爆,但消息会显示在“提交”页面的“用户报告”选项卡上。
由高级传递策略标识的消息不是安全威胁,因此这些消息标有系统替代。 管理员体验将这些邮件显示为钓鱼模拟或 SecOps 邮箱系统替代。 管理员可以使用这些值在以下体验中筛选和分析消息:
- 威胁资源管理器 (资源管理器) 或Defender for Office 365中的实时检测:管理员可以根据系统覆盖源进行筛选,并选择“钓鱼模拟”或“SecOps 邮箱”。
- Email实体页:管理员可以在“替代 () 部分的租户替代下查看由 SecOps 邮箱或网络钓鱼模拟组织策略允许的邮件。
- 威胁防护状态报告:管理员可以在下拉菜单中按系统替代按查看数据进行筛选,然后选择以查看由于网络钓鱼模拟系统替代而允许的消息。 若要查看 SecOps 邮箱替代允许的邮件,可以在 图表细分原因 下拉列表中选择按传递位置 的图表细分 。
- Microsoft Defender for Endpoint中的高级搜寻:钓鱼模拟和 SecOps 邮箱系统替代是 EmailEvents 中 OrgLevelPolicy 中的选项。
- 市场活动视图:管理员可以筛选系统替代源,并选择“钓鱼模拟”或“SecOps 邮箱”。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “高级传递 ”页,请使用 https://security.microsoft.com/advanceddelivery。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全性设置 (读取) 。
- Email & Microsoft Defender门户中的协作权限和Exchange Online权限:
- Create、修改或删除高级传递策略中的配置设置:Email &协作 RBAC 中的安全管理员角色组中的成员身份和 Exchange Online RBAC 中的组织管理角色组中的成员身份。
- 对高级传递策略的只读访问权限:Email &协作 RBAC 中的全局读取者或安全读取者角色组中的成员身份。
- Exchange Online RBAC 中的仅查看组织管理。
- Microsoft Entra权限:全局管理员、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供 Microsoft 365 中其他功能的所需权限和权限。
使用Microsoft Defender门户在高级传递策略中配置 SecOps 邮箱
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中Email &协作>策略 & 规则>威胁策略>高级交付。 或者,若要直接转到 “高级传递 ”页,请使用 https://security.microsoft.com/advanceddelivery。
在 “高级传递 ”页上,验证是否选择了“ SecOps 邮箱 ”选项卡。
在“SecOps 邮箱”选项卡上,选择页面的“无 SecOps 邮箱配置”区域中的“添加”按钮。
如果“SecOps 邮箱”选项卡上已有条目,请选择“编辑”
(“添加”按钮不可用) 。在打开的“添加 SecOps 邮箱”浮出控件中,通过执行以下步骤之一,输入要指定为 SecOps 邮箱的现有Exchange Online邮箱:
单击框中,让邮箱列表解析,然后选择邮箱。
单击框中,开始键入邮箱的标识符 (名称、显示名称、别名、电子邮件地址、帐户名称等 ) ,然后从结果中选择邮箱 (显示名称) 。
根据需要重复执行此步骤(次数不限)。 不允许使用通讯组。
若要删除现有值,请选择值旁边的“删除
”。
完成“ 添加 SecOps 邮箱 ”浮出控件后,选择“ 添加”。
查看 “对 SecOps 邮箱的更改”替代保存 的浮出控件中的信息,然后选择“ 关闭”。
返回到 “SecOps 邮箱 ”选项卡,现在列出了配置的 SecOps 邮箱条目:
- “ 显示名称” 列包含邮箱的显示名称。
- Email列包含每个条目的电子邮件地址。
- 若要将条目列表从普通间距更改为精简间距,请选择“
将列表间距更改为精简或正常”,然后选择“ 
压缩列表”。
使用 Microsoft Defender 门户修改或删除高级传递策略中的 SecOps 邮箱
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中Email &协作>策略 & 规则>威胁策略>高级交付。 或者,若要直接转到 “高级传递 ”页,请使用 https://security.microsoft.com/advanceddelivery。
在 “高级传递 ”页上,验证是否选择了“ SecOps 邮箱 ”选项卡。
在 “SecOps 邮箱 ”选项卡上,选择“
编辑”。在“编辑打开的 SecOps 邮箱”浮出控件中,添加或删除邮箱,如使用Microsoft Defender门户在高级传递策略中配置 SecOps 邮箱部分中的步骤 3 中所述。
若要删除所有邮箱,请选择每个值旁边的“删除
”,直到不再选择邮箱。完成 “编辑 SecOps 邮箱” 浮出控件后,选择“ 保存”。
查看 “对 SecOps 邮箱的更改”替代保存 的浮出控件中的信息,然后选择“ 关闭”。
返回到 “SecOps 邮箱 ”选项卡,将显示配置的 SecOps 邮箱条目。 如果删除了所有条目,则列表为空。
使用Microsoft Defender门户在高级传递策略中配置第三方网络钓鱼模拟
若要配置第三方钓鱼模拟,需要提供以下信息:
- 至少一个 域:来自 MAIL FROM 地址的域 (也称为
5321.MailFrom地址、P1 发件人或信封发件人) ,用于邮件的 SMTP 传输 或 网络钓鱼模拟供应商指定的 DKIM 域。 - 至少一个 发送 IP。
- 对于非电子邮件钓鱼模拟 (例如 Microsoft Teams 消息、Word文档或 Excel 电子表格) ,可以选择标识模拟 URL,以允许在单击时不应被视为真实威胁:URL 不会阻止或引爆,并且不会生成 URL 单击警报或生成的事件。 单击时会包装 URL,但不会阻止它们。
必须至少有一个 域 和一个 发送 IP 匹配,但不维护值之间的关联。
如果 MX 记录未指向 Microsoft 365,则标头中的 Authentication-results IP 地址必须与高级传递策略中的 IP 地址匹配。 如果 IP 地址不匹配,则可能需要 为连接器配置增强筛选 ,以便检测到正确的 IP 地址。
注意
连接器增强筛选不适用于复杂电子邮件路由方案中的第三方钓鱼模拟 (例如,来自 Internet 的电子邮件将路由到 Microsoft 365,然后路由到本地环境或第三方安全服务,然后返回到 Microsoft 365) 。 EOP 无法识别消息源的真实 IP 地址。 请勿尝试通过将本地或第三方发送基础结构的 IP 地址添加到第三方网络钓鱼模拟来绕过此限制。 这样做可以有效地绕过任何模拟第三方网络钓鱼模拟中指定的域的 Internet 发件人的垃圾邮件筛选。
目前,第三方网络钓鱼模拟的高级传递策略不支持同一组织内的模拟 (DIR:INT) ,尤其是在混合邮件流中通过 Microsoft 365 之前的Exchange Server网关路由电子邮件时。 若要解决此问题,可以使用以下选项:
- Create一个专用的发送连接器,该连接器不会将网络钓鱼模拟消息作为内部验证。
- 配置钓鱼模拟以绕过Exchange Server基础结构,并将邮件直接路由到 Microsoft 365 MX 记录 (例如 contoso-com.mail.protection.outlook.com) 。
- 尽管可以在 反垃圾邮件策略 中将组织内部邮件扫描设置为“无”,但我们不建议使用此选项,因为它会影响其他电子邮件。
如果你使用的是内置保护预设安全策略,或者自定义安全链接策略具有“不重写 URL,仅启用通过 SafeLinks API 进行检查”设置,则单击保护时间不会将电子邮件中的钓鱼模拟链接视为Outlook 网页版、Outlook for iOS 和 Android、Outlook for Windows v16.0.15317.10000 或更高版本的威胁,Outlook for Macv16.74.23061100 或更高版本。 如果使用的是较旧版本的 Outlook,请考虑禁用自定义安全链接策略中的 “不重写 URL,仅通过 SafeLinks API 进行检查 ”设置。
将网络钓鱼模拟 URL 添加到安全链接策略中的 “不要重写电子邮件中的以下 URL ”部分可能会导致 URL 单击出现不必要的警报。 电子邮件中的钓鱼模拟 URL 在邮件流期间和单击时自动允许。
目前,SecOps 邮箱的高级传递策略不支持组织内部邮件 (DIR:INT) ,这些邮件将被隔离。 解决方法是,可以对不隔离组织内部邮件的 SecOps 邮箱使用单独的反垃圾邮件策略。 不建议对所有邮箱禁用组织内部保护。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中Email &协作>策略 & 规则>威胁策略>高级交付。 或者,若要直接转到 “高级传递 ”页,请使用 https://security.microsoft.com/advanceddelivery。
在 “高级传递 ”页上,选择“ 钓鱼模拟 ”选项卡。
在“钓鱼模拟”选项卡上,在页面的“无第三方钓鱼模拟”配置区域中选择“添加”按钮。
如果“钓鱼模拟”选项卡上已有条目,请选择“编辑”
(“添加”按钮不可用) 。在打开的 “添加第三方钓鱼模拟 ”浮出控件中,配置以下设置:
域:展开此设置并输入至少一个电子邮件地址域,方法是在框中单击,输入值 (例如,contoso.com) ,然后按 ENTER 键或选择框下方显示的值。 根据需要重复执行此步骤(次数不限)。 最多可以添加 50 个条目。 使用下列值之一:
- 地址中的
5321.MailFrom域 (也称为邮件的 SMTP 传输中使用的 邮件发件人 地址、P1 发件人或信封发件人) 。 - 网络钓鱼模拟供应商指定的 DKIM 域。
- 地址中的
发送 IP:展开此设置并输入至少一个有效的 IPv4 地址,方法是单击框中,输入值,然后按 Enter 键或选择框下方显示的值。 根据需要重复执行此步骤(次数不限)。 最多可以添加 10 个条目。 有效值包含:
- 单个 IP:例如 192.168.1.1。
- IP 范围:例如 192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。
允许的模拟 URL:电子邮件钓鱼模拟中的链接不需要此设置。 使用此设置可以选择性地识别 非电子邮件 钓鱼模拟中的链接 (Teams 邮件或 Office 文档中的链接,) 单击时不应将其视为真实威胁。
通过展开此设置、单击框、输入值,然后按 Enter 键或选择框下方显示的值来添加 URL 条目。 最多可以添加 30 个条目。 有关 URL 语法,请参阅 租户允许/阻止列表的 URL 语法。
若要删除现有域、IP 或 URL 值,请选择值旁边的“删除
”。请考虑下面的示例:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;- 连接 IP 地址为 172.17.17.7。
- 邮件发件人地址 (
smtp.mailfrom) 中的域 contoso.com。 - contoso-simulation.com DKIM 域
header.d() 。
从示例中,可以使用以下组合之一来配置第三方网络钓鱼模拟:
域:contoso.com
发送 IP:172.17.17.7域:contoso-simulation.com
发送 IP:172.17.17.7完成 “添加第三方钓鱼模拟 ”浮出控件后,选择“ 添加”。
查看 网络钓鱼模拟更改覆盖保存 的浮出控件中的信息,然后选择“ 关闭”。
返回到“ 钓鱼模拟 ”选项卡,现在列出了配置的第三方钓鱼模拟条目:
- “ 值 ”列包含域、IP 地址或 URL 条目。
- “类型”列包含每个条目的“发送 IP”、“域”或“允许的模拟 URL”值。
- “日期”列显示条目的创建时间。
- 若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用Microsoft Defender门户修改或删除高级传递策略中的第三方网络钓鱼模拟
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中Email &协作>策略 & 规则>威胁策略>高级交付。 或者,若要直接转到 “高级传递 ”页,请使用 https://security.microsoft.com/advanceddelivery。
在 “高级传递 ”页上,选择“ 钓鱼模拟 ”选项卡。
在“ 钓鱼模拟 ”选项卡上,选择“
编辑”。在“编辑打开的第三方网络钓鱼模拟”浮出控件中,添加或删除域、发送 IP 和模拟 URL 的条目,如使用Microsoft Defender门户配置高级传递策略部分中的步骤 3 中所述。
若要删除所有条目,请选择每个值旁边的“删除
”,直到不再选择域、IP 或 URL。完成 “编辑第三方钓鱼模拟 ”浮出控件后,选择“ 保存”。
查看 网络钓鱼模拟更改覆盖保存 的浮出控件中的信息,然后选择“ 关闭”。
返回到“ 钓鱼模拟 ”选项卡,将显示配置的第三方钓鱼模拟条目。 如果删除了所有条目,则列表为空。
需要绕过筛选的其他方案
除了高级传递策略可以帮助你的两种方案外,还有一些其他方案可能需要绕过邮件筛选:
第三方筛选器:如果域的 MX 记录未指向Office 365 (邮件首先路由到其他位置) ,则默认情况下,安全将不可用。 如果要添加保护,则需要启用连接器的增强筛选 (也称为 跳过列表) 。 有关详细信息,请参阅使用Exchange Online使用第三方云服务管理邮件流。 如果不希望连接器的增强筛选,请使用邮件流规则 (也称为传输规则) 绕过 Microsoft 筛选已由第三方筛选评估的邮件。 有关详细信息,请参阅 使用邮件流规则在邮件中设置 SCL。
审核中的误报:你可能希望 暂时 允许错误地标识为坏消息 (误报) 通过 管理员提交报告,但 Microsoft 仍在分析这些邮件。 与所有替代一样,我们 强烈建议 这些津贴是暂时的。
高级传递策略中 SecOps 邮箱的 PowerShell 过程
在 PowerShell 中,高级传递策略中 SecOps 邮箱的基本元素包括:
- SecOps 替代策略:由 *-SecOpsOverridePolicy cmdlet 控制。
- SecOps 重写规则:由 *-ExoSecOpsOverrideRule cmdlet 控制。
此行为具有以下结果:
- 首先创建策略,然后创建标识该规则适用的策略的规则。
- 从 PowerShell 中删除策略时,也会删除相应的规则。
- 从 PowerShell 中删除规则时,不会删除相应的策略。 需要手动删除相应的策略。
使用 PowerShell 配置 SecOps 邮箱
在 PowerShell 中的高级传递策略中配置 SecOps 邮箱是一个两步过程:
- Create SecOps 替代策略。
- Create SecOps 替代规则,该规则指定应用该规则的策略。
步骤 1:使用 PowerShell 创建 SecOps 替代策略
在 Exchange Online PowerShell 中,使用以下语法:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
无论指定的 Name 值如何,策略名称都是 SecOpsOverridePolicy,因此你也可以使用该值。
此示例创建 SecOps 邮箱策略。
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
有关详细语法和参数信息,请参阅 New-SecOpsOverridePolicy。
步骤 2:使用 PowerShell 创建 SecOps 替代规则
在 Exchange Online PowerShell 中运行以下命令:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
无论指定的名称值如何,规则名称都将为 _Exe:SecOpsOverrid:<GUID\> [sic],其中 <GUID> 是唯一的 GUID 值 (例如 312c23cf-0377-4162-b93d-6548a9977efb9) 。
有关详细语法和参数信息,请参阅 New-ExoSecOpsOverrideRule。
使用 PowerShell 查看 SecOps 替代策略
在 Exchange Online PowerShell 中,此示例返回有关唯一的 SecOps 邮箱策略的详细信息。
Get-SecOpsOverridePolicy
有关详细语法和参数信息,请参阅 Get-SecOpsOverridePolicy。
使用 PowerShell 查看 SecOps 替代规则
在 Exchange Online PowerShell 中,此示例返回有关 SecOps 替代规则的详细信息。
Get-ExoSecOpsOverrideRule
尽管上一个命令应仅返回一个规则,但结果中也可能包含挂起删除的规则。
此示例标识 (一个) 和任何无效规则的有效规则。
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
识别无效规则后,可以使用 Remove-ExoSecOpsOverrideRule cmdlet 将其删除,如 本文稍后所述。
有关详细语法和参数信息,请参阅 Get-ExoSecOpsOverrideRule。
使用 PowerShell 修改 SecOps 替代策略
在 Exchange Online PowerShell 中,使用以下语法:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
本示例将 添加到 secops2@contoso.com SecOps 替代策略。
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
注意
如果存在关联的有效 SecOps 替代规则,则规则中的电子邮件地址也会更新。
有关详细语法和参数信息,请参阅 Set-SecOpsOverridePolicy。
使用 PowerShell 修改 SecOps 替代规则
Set-ExoSecOpsOverrideRule cmdlet 不会修改 SecOps 替代规则中的电子邮件地址。 若要修改 SecOps 替代规则中的电子邮件地址,请使用 Set-SecOpsOverridePolicy cmdlet。
有关详细语法和参数信息,请参阅 Set-ExoSecOpsOverrideRule。
使用 PowerShell 删除 SecOps 替代策略
在 Exchange Online PowerShell 中,此示例删除了 SecOps 邮箱策略和相应的规则。
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
有关详细语法和参数信息,请参阅 Remove-SecOpsOverridePolicy。
使用 PowerShell 删除 SecOps 替代规则
在 Exchange Online PowerShell 中,使用以下命令:
删除任何 SecOps 替代规则:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule删除指定的 SecOps 替代规则:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
有关详细语法和参数信息,请参阅 Remove-ExoSecOpsOverrideRule。
高级交付策略中第三方网络钓鱼模拟的 PowerShell 过程
在 PowerShell 中,高级交付策略中第三方网络钓鱼模拟的基本元素包括:
- 网络钓鱼模拟替代策略:由 *-PhishSimOverridePolicy cmdlet 控制。
- 网络钓鱼模拟替代规则:由 *-ExoPhishSimOverrideRule cmdlet 控制。
- 允许 (未阻止) 钓鱼模拟 URL:由 *-TenantAllowBlockListItems cmdlet 控制。
注意
如前所述,基于电子邮件的网络钓鱼模拟中的链接不需要标识 URL。 可以选择性地识别 非电子邮件 钓鱼模拟中的链接 (Teams 邮件或 Office 文档中的链接,) 单击时不应将其视为真实威胁。
此行为具有以下结果:
- 首先创建策略,然后创建标识该规则适用的策略的规则。
- 可以分别修改策略和规则中的设置。
- 从 PowerShell 中删除策略时,也会删除相应的规则。
- 从 PowerShell 中删除规则时,不会删除相应的策略。 需要手动删除相应的策略。
使用 PowerShell 配置第三方钓鱼模拟
在 PowerShell 中配置第三方网络钓鱼模拟是一个多步骤过程:
- Create网络钓鱼模拟替代策略。
- Create网络钓鱼模拟替代规则,该规则指定:
- 规则应用于的策略。
- 钓鱼模拟消息的源 IP 地址。
- (可选)在 非电子邮件 钓鱼模拟中标识网络钓鱼模拟 URL, (Teams 邮件或 Office 文档中的链接,) 单击时不应将其视为真实威胁。
步骤 1:使用 PowerShell 创建钓鱼模拟替代策略
在 Exchange Online PowerShell 中,此示例创建网络钓鱼模拟替代策略。
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
无论指定的 Name 值是什么,策略名称都是 PhishSimOverridePolicy,因此你也可以使用该值。
有关详细语法和参数信息,请参阅 New-PhishSimOverridePolicy。
步骤 2:使用 PowerShell 创建钓鱼模拟替代规则
在 Exchange Online PowerShell 中,使用以下语法:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
无论指定的名称值如何,规则名称都将为 _Exe:PhishSimOverr:<GUID\> [sic],其中 <GUID> 是唯一的 GUID 值, (例如 6fed4b63-3563-495d-a481-b24a311f8329) 。
有效的 IP 地址条目是以下值之一:
- 单个 IP:例如 192.168.1.1。
- IP 范围:例如 192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。
此示例使用指定的设置创建钓鱼模拟替代规则。
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
有关详细语法和参数信息,请参阅 New-ExoPhishSimOverrideRule。
步骤 3: (可选) 使用 PowerShell 识别允许的网络钓鱼模拟 URL
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
有关 URL 语法的详细信息,请参阅 租户允许/阻止列表的 URL 语法
本示例为指定的第三方网络钓鱼模拟 URL 添加了 URL 允许条目,该 URL 不会过期。
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListItems。
使用 PowerShell 查看钓鱼模拟替代策略
在 Exchange Online PowerShell 中,此示例返回有关唯一网络钓鱼模拟替代策略的详细信息。
Get-PhishSimOverridePolicy
有关详细语法和参数信息,请参阅 Get-PhishSimOverridePolicy。
使用 PowerShell 查看钓鱼模拟替代规则
在 Exchange Online PowerShell) 中,此示例返回有关钓鱼模拟替代规则的详细信息。
Get-ExoPhishSimOverrideRule
尽管上一个命令应仅返回一个规则,但任何等待删除的规则也可能包含在结果中。
此示例标识 (一个) 和任何无效规则的有效规则。
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
识别无效规则后,可以使用 Remove-ExoPhishSimOverrideRule cmdlet 将其删除,如 本文稍后所述。
有关详细语法和参数信息,请参阅 Get-ExoPhishSimOverrideRule。
使用 PowerShell 查看允许的钓鱼模拟 URL 条目
在 Exchange Online PowerShell 中运行以下命令:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListItems。
使用 PowerShell 修改钓鱼模拟替代策略
在 Exchange Online PowerShell 中,使用以下语法:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
此示例禁用钓鱼模拟替代策略。
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
有关详细语法和参数信息,请参阅 Set-PhishSimOverridePolicy。
使用 PowerShell 修改钓鱼模拟替代规则
在 Exchange Online PowerShell 中,使用以下语法:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
或
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
使用 Get-ExoPhishSimOverrideRule cmdlet 查找 <PhishSimOverrideRuleIdentity> 值。 规则名称使用以下语法: _Exe:PhishSimOverr:<GUID\> [sic],其中 <GUID> 是唯一的 GUID 值, (例如 6fed4b63-3563-495d-a481-b24a311f8329) 。
此示例使用以下设置修改 (可能仅) 钓鱼模拟替代规则:
- blueyonderairlines.com 添加域条目。
- 删除 IP 地址条目 192.168.1.55。
这些更改不会影响规则中的现有条目。
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
有关详细语法和参数信息,请参阅 Set-ExoPhishSimOverrideRule。
使用 PowerShell 修改允许的网络钓鱼模拟 URL 条目
不能直接修改 URL 值。 可以 删除现有 URL 条目 并 添加新 URL 条目 ,如本文所述。
在 Exchange Online PowerShell 中,若要修改允许的钓鱼模拟 URL 条目的其他属性 (例如到期日期或注释) ,请使用以下语法:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
可以通过条目的 URL 值 (Entries 参数) 或 Get-TenantAllowBlockListItems cmdlet 的输出 (Ids 参数) 的 Identity 值来标识要修改的条目。
此示例修改了指定条目的到期日期。
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListItems。
使用 PowerShell 删除网络钓鱼模拟替代策略
在 Exchange Online PowerShell 中,此示例删除了钓鱼模拟替代策略和相应的规则。
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
有关详细语法和参数信息,请参阅 Remove-PhishSimOverridePolicy。
使用 PowerShell 删除钓鱼模拟替代规则
在 Exchange Online PowerShell 中,使用以下命令:
删除任何钓鱼模拟替代规则:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule删除指定的钓鱼模拟替代规则:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
有关详细语法和参数信息,请参阅 Remove-ExoPhishSimOverrideRule。
使用 PowerShell 删除允许的钓鱼模拟 URL 条目
在 Exchange Online PowerShell 中,使用以下语法:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
可以通过条目的 URL 值 (Entries 参数) 或 Get-TenantAllowBlockListItems cmdlet 的输出 (Ids 参数) 的 Identity 值来标识要修改的条目。
此示例修改了指定条目的到期日期。
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListItems。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈