隔离邮件常见问题解答

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

适用对象

本文提供了有关 Microsoft 365 组织的隔离电子邮件的常见问题和解答,这些组织的邮箱位于 Exchange Online 中,或者没有 Exchange Online 邮箱的独立Exchange Online Protection (EOP) 组织。

注意

在 由世纪互联运营的 Microsoft 365 中,Microsoft Defender门户中当前不提供隔离。 隔离仅在经典 Exchange 管理中心 (经典 EAC) 可用。

有关反垃圾邮件保护的问题和解答,请参阅 反垃圾邮件保护常见问题解答

有关反恶意软件保护的问题和解答,请参阅 反恶意软件保护常见问题解答

有关反欺骗保护的问题和解答,请参阅 反欺骗保护常见问题解答

如何实现管理已针对恶意软件隔离的邮件?

默认情况下,只有管理员可以管理已针对恶意软件隔离的邮件。 有关详细信息,请参阅 以管理员身份管理隔离的邮件和文件

但是,管理员可以创建 隔离策略 并将其应用于为用户定义更多功能的反恶意软件策略。 有关详细信息,请参阅 创建隔离策略

无论如何配置隔离策略,用户都无法释放自己的邮件,这些邮件被反恶意软件策略隔离为恶意软件。 如果策略允许用户发布自己的隔离邮件,则允许用户 请求 释放其隔离的恶意软件或高可信度钓鱼邮件。

如何实现隔离垃圾邮件?

默认情况下,系统会按照以下反垃圾邮件策略传递分类为垃圾邮件或批量的邮件并将其移动到“垃圾邮件Email”文件夹:

  • 默认反垃圾邮件策略。
  • 自定义反垃圾邮件策略。
  • 标准预设安全策略。

管理员可以配置默认的反垃圾邮件或自定义策略来隔离垃圾邮件或批量电子邮件。 有关详细信息,请参阅在 EOP 中配置反垃圾邮件策略

严格预设安全策略隔离分类为垃圾邮件或批量的邮件。

有关详细信息,请参阅以下文章:

如何实现向用户授予对隔离区的访问权限?

用户必须具有有效的帐户才能在隔离区中访问自己的邮件。 独立 EOP 要求用户表示为 EOP 中的邮件用户, (通过目录同步) 手动创建或创建。 有关在独立 EOP 环境中管理用户的详细信息,请参阅 在独立 EOP 中管理邮件用户

隔离策略确定用户是否可以访问其隔离的邮件,以及允许他们对他们执行的操作。 有关详细信息,请参阅 隔离策略剖析

如果隔离策略要求用户请求释放邮件或要求管理员发布邮件,则管理员必须 批准发布请求释放邮件 ,然后用户才能使用邮件。

最终用户可以在隔离区中访问哪些邮件?

隔离策略根据邮件被隔离的原因定义用户是否可以访问隔离的邮件。

有关对隔离邮件的默认访问权限,请参阅在 EOP 中以用户身份查找和释放隔离邮件中的

无论如何配置 隔离 策略,用户都无法发布自己的邮件,这些邮件被反恶意软件或安全附件策略隔离为恶意软件,也不能释放反垃圾邮件策略作为 高置信度钓鱼 的邮件。 如果策略允许用户发布自己的隔离邮件,则允许用户 请求 释放其隔离的恶意软件或高可信度钓鱼邮件。

如何阻止用户访问隔离的邮件?

名为 AdminOnlyAccessPolicy 的默认隔离策略可阻止用户与其隔离邮件进行任何交互。 默认情况下,此隔离策略用于隔离为恶意软件或高置信度钓鱼的邮件。 在 支持隔离邮件的自定义策略或保护功能的默认策略中,管理员可以将 AdminOnlyAccessPolicy 指定为要使用的隔离策略。

如何实现找出邮件被隔离的原因?

Defender 门户中https://security.microsoft.com/quarantine?viewid=Email“隔离”页的“Email”选项卡上提供的“隔离原因”列。 常见原因包括传输规则批量垃圾邮件恶意软件网络钓鱼高置信度钓鱼管理员操作 - 文件类型阻止。 有关详细信息,请参阅 查看隔离的电子邮件

隔离区中缺少邮件。 他们怎么了?

在打开有关此消息的支持票证之前,请参阅 查找删除隔离邮件的人员

隔离邮件也会过期,最终会从隔离区中删除,具体取决于隔离邮件的原因。 有关详细信息,请参阅 隔离保留

反恶意软件策略中的常见附件筛选器标识具有指定文件扩展名的邮件附件, (可以使用 true 类型匹配) 。 在默认反恶意软件策略和标准和严格预设安全策略中,这些检测的默认操作是拒绝未送达报告中的邮件 (也称为 NDR 或退回邮件) 。 如果已发布的邮件包含指定的文件附件类型之一,则邮件可能已返回到 NDR 中的发件人。

当邮件从隔离区过期时,无法恢复它。

邮件已从隔离区释放,但原始收件人找不到它。 如何确定消息发生了什么情况?

  • 第三方防病毒解决方案、安全服务或出站连接器可能会导致从隔离区释放的邮件出现以下问题:

    • 消息在释放后被隔离。
    • 内容在到达收件人的收件箱之前从已发布的邮件中删除。
    • 已发布的邮件永远不会到达收件人的收件箱。

    在打开有关这些问题的支持票证之前,请验证是否未使用第三方筛选。

  • (由 Outlook 中的用户或管理员使用 PowerShell Exchange Online PowerShell 中的 *-InboxRule cmdlet 创建的收件箱规则) 可以从收件箱中移动或删除邮件。

管理员可以使用 邮件跟踪 来确定已发布的邮件是否已传递到收件人的收件箱。

消息意外从隔离区中释放。 这是什么原因?

第三方防病毒解决方案或安全服务可以随机选择 隔离通知中的操作按钮。

在打开有关此问题的支持票证之前,请验证是否未使用第三方筛选。

是否可以一次释放或报告多个隔离邮件?

在Microsoft Defender门户中,一次最多可以选择并释放 100 条消息。

管理员可以使用 Exchange Online PowerShell 或独立 EOP PowerShell 中的 Get-QuarantineMessageRelease-QuarantineMessage cmdlet 批量查找和释放隔离邮件,并批量报告误报。

搜索隔离邮件时是否支持通配符? 是否可以搜索特定域的隔离邮件?

Microsoft Defender门户中不支持通配符。 例如,搜索发件人时,需要指定完整的电子邮件地址。 但是,可以在 Exchange Online PowerShell 或独立 EOP PowerShell 中使用通配符。

例如,将以下 PowerShell 代码复制到记事本中,并将文件另存为 .ps1,以便于查找 (,例如,C:\Data\QuarantineRelease.ps1) 。

然后,连接到 Exchange Online PowerShellExchange Online Protection PowerShell 后,运行以下命令以运行脚本:

& C:\Data\QuarantineRelease.ps1

该脚本执行以下操作:

  • 查找来自 fabrikam 域中所有发件人的未发布邮件,这些邮件被隔离为垃圾邮件。 最大结果数为 50,000 (50 页,) 1000 个结果。
  • 将结果保存到 CSV 文件。
  • 向所有原始收件人释放匹配的隔离邮件。
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

释放消息后,无法再次释放它。

如何实现通知最终用户有关其隔离邮件的信息? 隔离通知的发送频率如何?

如果在关联的隔离策略中启用了隔离通知,则可以将隔离通知配置为每隔四小时、每天或每周发送一次。 有关详细信息,请参阅 自定义所有隔离通知

提示

最快、最频繁的通知计划是每四小时一次。

如果选择每四小时一次,并且邮件在最后一次通知生成 后立即 被隔离,则收件人将在四小时 后收到 隔离通知。

为什么用户未收到有关其隔离邮件的通知?

如果为 支持的隔离操作定义的隔离 策略未打开通知,则不会发送隔离通知。

有关详细信息,请参阅隔离策略剖析中的最后一个表,以及 EOP 和Microsoft Defender for Office 365的建议设置中的单个功能表,以查看哪些默认隔离策略已启用隔离通知。

此外, 预设安全 策略中的保护策略始终在自定义保护策略 之前 应用。 在标准或严格预设安全策略中定义的用户永远不会获得自定义保护策略,其中隔离策略已自定义为启用隔离通知。 有关详细信息,请参阅 预设安全策略中的策略设置

如何实现自定义隔离通知以添加自定义徽标?

管理员需要哪些权限才能从隔离区下载或释放邮件?

请参阅 此处的权限条目。

提示

使用Exchange Online权限管理隔离邮件的功能已于 2023 年 2 月结束,每MC447339。

来自其他组织的来宾管理员无法管理隔离的邮件。 管理员需要与收件人位于同一组织中。

我为特定语言创建了自定义隔离通知,但用户看不到它。 What's going on?

仅当用户的帐户/邮箱语言与自定义隔离通知中的语言匹配时,才会向用户显示其他语言的自定义隔离通知。

我无法预览隔离的 Microsoft Teams 消息。 What's going on?

如果用户从 Teams 客户端中删除邮件,该邮件将消失,因此预览版在隔离区中不适用于已删除的邮件。