配置独立 EOP 的最佳做法

请遵循这些针对独立Exchange Online Protection (EOP) 的最佳做法建议，以便为成功做好准备并避免常见的配置错误。 本文假定你已完成设置过程。 如果还没有完成 EOP 安装，请参阅设置 EOP 服务。

使用测试域

在高容量生产域上实施服务功能前，建议你使用测试域、子域或低容量域来尝试这些服务功能。

同步收件人

如果组织在本地 Active Directory环境中具有现有用户帐户，则可以将这些帐户同步到云中的Microsoft Entra ID。 建议使用目录同步。 若要详细了解使用目录同步的具体优势以及安装步骤，请参阅在 EOP 中管理邮件用户。

推荐设置

我们使安全管理员能够自定义其安全设置，以满足其组织的需求。 尽管一般情况下，建议在 EOP 和Microsoft Defender for Office 365有两个安全级别：标准和严格。 EOP 和Microsoft Defender for Office 365安全性的建议设置中列出了这些设置。

杂项/非策略设置

这些设置涵盖安全策略之外的一系列功能。

安全功能名称	Standard	严格	评论
设置 SPF 以防止欺骗	是	是
使用 DKIM 在 Office 365 中验证从自定义域发送的出站电子邮件	是	是
使用 DMARC 验证 Office 365 中的电子邮件	是	是	将 用于 action=quarantine Standard 和 action=reject Strict。
部署 报告邮件加载项 或 报告钓鱼加载项 ，以改进可疑电子邮件的最终用户报告	是	是
计划恶意软件和垃圾邮件报告	是	是
应禁止或监视自动转发到外部域	是	是
应启用统一审核	是	是
与邮箱的 IMAP 连接	Disabled	Disabled
与邮箱的 POP 连接	Disabled	Disabled
经过身份验证的 SMTP 提交	Disabled	Disabled	POP3 和 IMAP4 客户端以及生成和发送电子邮件的应用程序和设备需要经过身份验证的客户端 SMTP 提交 (也称为客户端 SMTP 提交或 SMTP 身份验证) 。 有关全局或选择性地启用和禁用 SMTP 身份验证的说明，请参阅在 Exchange Online 中启用或禁用经过身份验证的客户端 SMTP 提交。
与邮箱的 EWS 连接	Disabled	Disabled	Outlook 使用 Exchange Web Services 进行闲/忙、外出设置和日历共享。 如果无法全局禁用 EWS，则可以使用以下选项： 如果客户端支持新式身份验证 (新式身份验证) ，请使用身份验证 策略 阻止 EWS 使用基本身份验证。 使用 客户端访问规则 将 EWS 限制为特定用户或源 IP 地址。 控制全局或每个用户对特定应用程序的 EWS 访问。 有关说明，请参阅 在 Exchange 中控制对 EWS 的访问。 报告消息加载项和报告钓鱼加载项在受支持的环境中默认使用 REST，但如果 REST 不可用，则会回退到 EWS。 使用 REST 的受支持环境包括： Exchange Online Exchange 2019 或 Exchange 2016 当前来自 Microsoft 365 订阅或一次性购买 Outlook 2019 的 Outlook for Windows。 Microsoft 365 订阅或 2016 年或更高版本的一次性购买的当前 Outlook for Mac Outlook for Mac。 IOS 和 Android 版 Outlook Outlook 网页版
PowerShell 连接	Disabled	Disabled	适用于邮箱用户或邮件用户， (Get-User cmdlet) 返回的用户对象。
使用 欺骗智能 将发件人添加到允许列表	是	是
基于目录的边缘阻止 (DBEB)	已启用	已启用	域类型 = 权威
为所有管理员帐户设置多重身份验证	已启用	已启用

疑难解答

使用管理中心中的报表排查一般问题和趋势。 使用消息跟踪工具来查找有关邮件的单点数据。 有关报告的详细信息，请参阅 Exchange Online Protection 中的报告和邮件跟踪。 若要详细了解消息跟踪工具，请参阅 Exchange Online 中的消息跟踪。

向 Microsoft 报告误报和误报

为了帮助改进每个人的服务中的垃圾邮件筛选，应报告误报 (标记为坏) 的良好电子邮件， () Microsoft 进行分析时允许的错误电子邮件的误报。 有关详细信息，请参见向 Microsoft 报告邮件和文件。

创建邮件流规则

创建邮件流规则 (也称为传输规则) 或自定义筛选器以满足业务需求。

在对生产部署新规则时，首先选择测试模式之一，以查看规则的效果。 如果规则能够按照你预期的方式工作，则将规则模式更改为“强制”。

在部署新规则时，考虑添加附加操作“生成事件报告”，以监视正在运行的规则。

在组织同时包括本地 Exchange 和 Exchange Online 的混合环境中，请考虑在邮件流规则中使用的条件。 如果希望规则应用于整个组织，请确保使用本地 Exchange 和 Exchange Online 中都可用的条件。 虽然大多数条件在这两个环境中都可用，但有一些条件仅在一个环境或另一个环境中可用。 有关详细信息，请参阅 Exchange Online 中的邮件流规则 (传输规则) 。