使用“提交”页提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件,以Microsoft
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
有关Microsoft如何存储和处理提交的详细信息,检查此内容。
在Microsoft具有Exchange Online邮箱的 365 个组织中,管理员可以使用Microsoft Defender门户中的“提交”页将邮件、URL 和附件提交到Microsoft进行分析。 管理员提交有两种基本类型:
管理员发起的提交:管理员从“提交”页面上的选项卡中选择“
提交到Microsoft进行分析”,标识并报告) 实体 (的邮件、附件或 URL,如管理员发起的提交部分所述。管理员报告实体后,“ 提交 ”页上的相应选项卡上会显示一个条目, (除 “用户报告 ”选项卡) 之外的任何位置。
管理员提交用户报告的消息:已打开并配置内置用户报告体验。 用户报告的消息显示在“提交”页上的“用户报告”选项卡上,管理员将从“用户报告”选项卡提交或重新提交邮件到Microsoft。
管理员从“ 用户报告 ”选项卡提交邮件后,还会在 “提交 ”页上的相应选项卡上创建一个条目 (,例如,“ 电子邮件 ”选项卡) 。 用户报告的消息的管理员选项部分中介绍了这些类型的管理员提交。
当管理员或用户将邮件提交到Microsoft进行分析时,我们会执行以下检查:
- Email身份验证检查仅 (电子邮件) :电子邮件身份验证在传递时是通过还是失败。
- 策略命中数:有关可能允许或阻止传入电子邮件进入组织的任何策略或替代的信息,从而覆盖我们的筛选判决。
- 有效负载信誉/引爆:对邮件中任何 URL 和附件进行最新检查。
- 评分器分析:人工评分员进行的评审,以确认邮件是否是恶意邮件。
重要
在 (Microsoft 365 GCC、GCC High 和 DoD) 的美国政府组织中,管理员可以将电子邮件提交到Microsoft进行分析,但邮件仅针对电子邮件身份验证和策略命中情况进行分析。 由于符合性原因,不执行有效负载信誉、引爆和分级器分析, (不允许数据离开组织边界) 。
观看此简短视频,了解如何使用Microsoft Defender for Office 365中的管理员提交将消息提交到Microsoft进行评估。
有关 用户 如何将邮件和文件提交到Microsoft的详细信息,请参阅 向Microsoft报告邮件和文件。
有关 管理员 可在 Defender 门户中向Microsoft报告邮件的其他方法,请参阅 管理员的相关报告设置。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com/。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
-
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为
活动。仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/安全数据/响应 (管理) 或安全操作/安全数据/安全数据基础知识 (读取) 。 - Email & Microsoft Defender门户中的协作权限:安全管理员或安全读取者角色组中的成员身份。
- Microsoft Entra权限:安全管理员或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限和权限。
-
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为
如果电子邮件在邮箱中仍可用且用户或管理员尚未清除,则管理员可以提交 30 天以前的电子邮件。
管理员提交按以下速率限制:
- 任意 15 分钟期间的最大提交数:150 个提交
- 24 小时内的相同提交:三次提交
- 15 分钟内的相同提交:一个提交
如果组织中的 “用户报告”设置 (电子邮件发送用户报告邮件, Microsoft Teams) 以独占方式Microsoft (,或者除了报告邮箱) 之外,我们还会执行与管理员从“ 提交 ”页面向Microsoft提交邮件以供分析时相同的检查。 因此,仅对从未提交到Microsoft的邮件或不同意原始判决时,向Microsoft提交或重新提交邮件对管理员有用。
“文件”选项卡仅在具有Microsoft Defender XDR或计划 2 Microsoft Defender for Endpoint的组织中提供“提交”页。 有关从“文件”选项卡提交文件的信息和说明,请参阅在 Microsoft Defender for Endpoint 中提交文件。
管理员发起的提交
提示
只要将“选择提交类型”设置为正确的值,选择“提交到分析Microsoft”选项卡并不特别重要。
向Microsoft报告可疑电子邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件的第一页上,输入以下信息:
选择提交类型:验证是否选择了Email值。
添加网络消息 ID 或上传电子邮件文件:选择以下选项之一:
- 添加电子邮件网络邮件 ID:GUID 值在 X-MS-Exchange-Organization-Network-Message-Id 标头或邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
- 上传电子邮件文件 (.msg 或.eml) :选择 “浏览文件”。 在打开的对话框中,找到并选择.eml或.msg文件,然后选择“ 打开”。
至少选择一个有问题的收件人:指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否由于用户或组织策略或替代而绕过了扫描。
为什么要将此消息提交到 Microsoft?:选择以下值之一:
- 它看起来可疑:仅当不知道或不确定消息判决,并且想要从Microsoft获取判决时,才选择此值。 选择“ 提交”,然后转到“步骤 6”。
或
我已确认这是一种威胁:在所有其他情况下,在已确定消息判决为恶意消息后,选择此值。 在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
- 垃圾邮件
选择 下一步。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择 “阻止来自此发件人或域的所有电子邮件:此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 默认情况下, “发件人” 处于选中状态,但你可以改为选择 “域 ”。
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
在“ 提交到分析 Microsoft”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Sender的“域 & 地址”选项卡上提供了阻止条目。
向Microsoft报告可疑的电子邮件附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件的第一页上,输入以下信息:
选择提交类型:验证是否已选择附件Email值。
文件:选择“浏览文件”
以查找并选择要提交的文件。为什么要将此电子邮件附件提交到 Microsoft?:选择以下值之一:
- 它看起来可疑:如果你不确定并且想要从Microsoft做出判决,请选择此值,选择 “提交”,然后转到“步骤 6”。
或
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
选择 下一步。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 阻止此文件:此选项为租户允许/阻止列表中的文件创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
完成“ 提交到Microsoft进行分析 ”浮出控件后,选择“ 提交”。
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash的“文件”选项卡上提供了阻止条目。
向Microsoft报告可疑 URL
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡。
在“ URL ”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件中,输入以下信息:
选择提交类型:验证是否已选择值 URL 。
URL:输入完整的 URL (例如
https://www.fabrikam.com/marketing.html,) ,然后在出现的框中选中它。 一次最多可以输入 50 个 URL。为什么要将此 URL 提交到 Microsoft?:选择以下值之一:
- 它看起来可疑:如果你不确定并且想要从Microsoft做出判决,请选择此值,选择 “提交”,然后转到“步骤 6”。
或
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
选择 下一步。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 阻止此 URL:此选项为租户允许/阻止列表中的 URL 创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此 itme 的原因的可选信息。
完成“ 提交到Microsoft进行分析 ”浮出控件后,选择“ 提交”。
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上提供了阻止条目。
向Microsoft报告良好的电子邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件的第一页中,输入以下信息:
选择提交类型:验证是否选择了Email值。
添加网络消息 ID 或上传电子邮件文件:选择以下选项之一:
- 添加电子邮件网络邮件 ID:GUID 值在邮件的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
- 上传电子邮件文件 (.msg 或.eml) :选择 “浏览文件”。 在打开的对话框中,找到并选择.eml或.msg文件,然后选择“ 打开”。
至少选择一个有问题的收件人:指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否因用户或组织策略或替代而被阻止。
为什么要将此消息提交到 Microsoft?:选择以下值之一:
- 它看起来干净:仅当不知道或不确定消息判决并且想要从Microsoft获取判决时,才选择此值。 选择“ 提交”,然后转到“步骤 6”。
或
- 我已确认它干净:在所有其他情况下,在已确定消息判断为干净后,选择此值。 选择 下一步。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此消息:此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
删除允许项后:默认值为 上次使用日期后的 45 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
对于欺骗发件人,此值毫无意义,因为欺骗发件人的条目永远不会过期。
如果选择 了上次使用日期后的 45 天 ,在邮件流期间遇到恶意电子邮件时,将更新允许条目的上次使用日期。 在筛选系统确定电子邮件干净后,允许条目将保留 45 天。 对于所有其他值,允许在定义的日期 (1 天、 7 天、 30 天或 特定日期) 。
允许输入注释 (可选) :输入有关允许此项的原因的可选信息。 对于欺骗发件人,此处输入的任何值不会显示在“租户允许/阻止Lists”页上“欺骗发件人”选项卡上的“允许”条目中。
在“ 提交到分析 Microsoft”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,关联的允许条目会显示在“租户允许/阻止Lists”页上的“域 & 地址”、“欺骗发件人”、“URL”或“文件”选项卡上https://security.microsoft.com/tenantAllowBlockList。
重要
- 允许条目在邮件流期间根据确定邮件是恶意邮件的筛选器添加的。 例如,如果确定发件人电子邮件地址和邮件中的 URL 是错误的,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
- 如果筛选系统未发现发件人电子邮件地址是恶意的,则将电子邮件提交到Microsoft不会在租户允许/阻止列表中创建允许条目。
- 当再次遇到允许的域或电子邮件地址、欺骗发件人、URL 或文件 (实体) 时,将跳过与实体关联的所有筛选器。 对于电子邮件,在做出决策之前,筛选系统仍会评估所有其他实体。
- 在邮件流期间,如果来自允许的域或电子邮件地址的邮件通过筛选堆栈中的其他检查,则会传递邮件。 例如,如果邮件通过了 电子邮件身份验证检查,则会传递来自允许发件人电子邮件地址的邮件。
- 默认情况下,在筛选系统确定实体是干净的,然后删除允许条目后,域和电子邮件地址的允许条目将保留 45 天。 对于其他所有值(例如 1 天、7 天、30 天),允许条目在定义的日期过期。 默认情况下,允许欺骗发件人的条目永不过期。
- 对于被 域或用户模拟保护错误阻止的消息,不会在租户允许/阻止列表中创建域或发件人的允许条目。 相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
- 当覆盖欺骗智能见解中的判决时,欺骗发件人将成为手动允许或阻止条目,仅出现在 的租户允许/阻止Lists页上的欺骗发件人上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem。
向Microsoft报告良好的电子邮件附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件上,输入以下信息:
选择提交类型:验证是否已选择附件Email值。
文件:选择“ 浏览文件 ”以查找并选择要提交的文件。
为什么要将邮件提交到 Microsoft?:选择以下值之一:
- 它看起来干净:如果你不确定并且想要从Microsoft做出判决,请选择此值,选择 “提交”,然后转到“步骤 6”。
或
- 我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“ 下一步”。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此文件:此选项为租户允许/阻止列表中的文件创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
删除允许项后:默认值为 上次使用日期后的 45 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
如果选择 了上次使用日期后的 45 天 ,则当邮件流期间遇到恶意电子邮件附件时,将更新允许条目的上次使用日期。 在筛选系统确定电子邮件附件干净后,允许条目将保留 45 天。 对于其他所有值(例如 1 天、7 天、30 天),允许条目在定义的日期过期。
允许输入注释 (可选) :输入有关允许此项的原因的可选信息。
在“ 提交到分析 Microsoft”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,“租户允许/阻止列表”页上的“文件”选项卡上提供了允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
重要
向Microsoft报告正确的 URL
对于报告为误报的 URL,我们允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL www.contoso.com/abc。 如果组织以后收到包含 URL 的消息 (但不限于: www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5或 www.contoso.com/abc/whatever) ,则不会基于 URL 阻止该消息。 换句话说,不需要报告同一 URL 的多个变体,因为Microsoft。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡
在“ URL ”选项卡上,选择“
提交到Microsoft进行分析”。在打开的 “提交到分析Microsoft ”浮出控件中,输入以下信息:
选择提交类型:验证是否已选择值 URL 。
URL:输入完整的 URL (例如
https://www.fabrikam.com/marketing.html,) ,然后在出现的框中选中它。 还可以提供顶级域 (例如,https://www.fabrikam.com/*) ,然后在显示的框中选择它。 最多可以同时输入 50 个 URL。为什么要将此 URL 提交到 Microsoft?:选择以下值之一:
- 它看起来干净:如果你不确定并且想要从Microsoft做出判决,请选择此值,选择 “提交”,然后转到“步骤 6”。
或
我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“ 下一步”。
在打开的“ 提交到分析Microsoft ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此 URL:此选项为租户允许/阻止列表中的 URL 创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
删除允许项后:默认值为 上次使用日期后的 45 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
如果选择 了上次使用日期后的 45 天 ,在邮件流期间遇到恶意 URL 时,将更新允许条目的上次使用日期。 在筛选系统确定 URL 干净后,允许条目将保留 45 天。 对于其他所有值(例如 1 天、7 天、30 天),允许条目在定义的日期过期。
允许输入注释 (可选) :输入有关允许此项的原因的可选信息。
在“ 提交到分析 Microsoft”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上提供了允许条目。
注意
向计划 2 中的Defender for Office 365 Microsoft报告 Teams 消息
提示
向Microsoft提交 Teams 消息 目前为预览版,并非在所有组织中都可用,并且可能会发生更改。
在Microsoft 365 个组织中,Microsoft Defender for Office 365计划 2 (加载项许可证或包含在订阅(如 Microsoft 365 E5) )中,不能从“提交”页上的“Teams 消息”选项卡提交 Teams 消息。 将 Teams 邮件提交到Microsoft进行分析的唯一方法是从“ 用户报告 ”选项卡提交用户报告的 Teams 邮件,如本文稍后将 用户报告的消息提交到Microsoft进行分析 部分中所述。
“Teams 消息”选项卡上的条目是将用户报告的 Teams 消息提交到Microsoft的结果。 有关详细信息,请参阅本文后面的 查看转换后的管理员提交 部分。
查看电子邮件管理员提交到 Microsoft
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”
以更改显示的列。 默认值标有星号(*):
- 提交名称*
- 寄件人*
- 收件人
- 提交者*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 传递/阻止原因
- 提交 ID
- 网络消息 ID
- 方向
- 发件人 IP
- 批量兼容级别 (BCL)
- 目标
- 策略操作
- 网络钓鱼模拟
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”
,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 
筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期 值。
- 提交 ID:分配给每个提交的 GUID 值。
- 网络消息 ID
- Sender
- 收件人
- 提交名称
- 提交者
-
提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 垃圾邮件。
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 
清除筛选器”。
使用 
“导出” 将条目列表导出到 CSV 文件。
查看电子邮件管理员提交详细信息
如果在“提交”页面的“电子邮件”选项卡上选择某个条目,方法是单击第一列旁边的检查框以外的行中的任意位置,将打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是消息“主题”值。
- 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记
- 在 Defender for Office 365中,浮出控件顶部可用的操作在 Defender for Office 365 中对管理员提交的操作部分进行介绍。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用
浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的后续部分与电子邮件提交相关:
结果详细信息 部分:
-
结果:包含提交的 Result 值。 例如:
- 不应阻止
- 由于用户重写而允许
- 由于规则允许
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 查看 Exchange 邮件流规则 (传输规则)
- 在资源管理器中查看此消息 (威胁资源管理器或仅Defender for Office 365实时检测)
- 在资源管理器 (威胁资源管理器中搜索类似消息,或者在仅) Defender for Office 365中搜索实时检测
-
结果:包含提交的 Result 值。 例如:
提交详细信息 部分:
- 提交日期
- 提交名称
- 提交类型:值Email。
- 提交原因
- 提交 ID
- 提交者
- 提交状态
允许详细信息部分:仅适用于结果值因用户替代而允许或规则允许的电子邮件提交:包含姓名 (电子邮件地址) 和类型 (发件人) 值。
其余的详细信息浮出控件包含“传递详细信息”、“Email详细信息”、“URL”和“附件”部分,这些部分属于Email摘要面板。 有关详细信息,请参阅Email摘要面板。
完成详细信息浮出控件后,选择“ 关闭”。
在计划 2 中查看 Teams 管理员提交到Defender for Office 365 Microsoft
提示
向Microsoft提交 Teams 消息 目前为预览版,并非在所有组织中都可用,并且可能会发生更改。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,选择“ Teams 消息 ”选项卡。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 提交名称*
- 寄件人*
- 提交日期*
- 提交原因*
- 提交者
- 地位*
- 结果*
- 收件人
- 提交 ID
- Teams 消息 ID
- 目标
- 网络钓鱼模拟
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- Teams 消息 ID
- Sender
- 收件人
- Teams 消息
- 提交者
-
提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看 Teams 管理员提交详细信息
如果在“提交”页的“Teams 邮件”选项卡上选择一个条目,方法是单击第一列旁边的“检查”框以外的行中的任意位置,则会打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
- 当前消息判决。
- 消息中的链接数。
-
查看警报。 创建或更新管理员提交时,将触发警报。 选择此操作可转到警报的详细信息。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的后续部分与 Teams 提交相关:
提交结果 部分:
-
结果:包含提交的 Result 值。 例如:
- 应该已被阻止
- 我们未收到提交,请修复问题并重新提交
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 查看 Exchange 邮件流规则 (传输规则)
-
结果:包含提交的 Result 值。 例如:
提交详细信息 部分:
- 提交日期
- 提交名称
- 提交类型:值为 Teams
- 提交原因
- 提交 ID
- 提交者
- 提交状态
详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息,请参阅计划 2 中的 Teams mMessage 实体面板Microsoft Defender for Office 365。
完成详细信息浮出控件后,选择“ 关闭”。
查看电子邮件附件管理员提交到 Microsoft
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 附件文件名*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 筛选判决
- 传递/阻止原因
- 提交 ID
- 对象 ID
- 策略操作
- 提交者
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- 附件的文件名
- 提交者
-
提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看电子邮件附件管理员提交详细信息
如果在“提交”页面的“Email附件”选项卡上选择某个条目,方法是单击第一列旁边的检查框以外的行中的任意位置,将打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是附件的文件名。
- 提交的 “状态” 和“ 结果” 值。
-
查看警报。 在 Defender for Office 365 中创建或更新管理员提交时,会触发警报。 选择此操作可转到警报的详细信息。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的后续部分与电子邮件附件提交相关:
结果详细信息 部分:
-
结果:包含提交的 Result 值。 例如:
- 应该已被阻止
- 不应阻止
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 在租户允许/阻止列表中阻止 URL/文件
-
结果:包含提交的 Result 值。 例如:
提交详细信息 部分:
- 提交日期
- 提交名称
- 提交类型:值为 File。
- 提交原因
- 提交 ID
- 提交者
- 提交状态
完成详细信息浮出控件后,选择“ 关闭”。
查看 URL 管理员提交到Microsoft
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡。
在“ URL ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- URL*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 筛选判决
- 传递/阻止原因
- 提交 ID
- 对象 ID
- 策略操作
- 提交者
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- URL
- 提交者
-
提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看 URL 管理员提交详细信息
如果在“提交”页的“URL”选项卡上选择某个条目,方法是单击第一列旁边的“检查”框以外的行中的任意位置,将打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是 URL 的域。
- 提交的 “状态” 和“ 结果” 值。
-
查看警报。 在 Defender for Office 365 中创建或更新管理员提交时,会触发警报。 选择此操作可转到警报的详细信息。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的其余部分与 URL 提交相关:
结果详细信息 部分:
-
结果:包含提交的 Result 值。 例如:
- 应该已被阻止
- 不应阻止
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 在租户允许/阻止列表中阻止 URL/文件
-
结果:包含提交的 Result 值。 例如:
提交详细信息 部分:
- 提交日期
- URL
- 提交类型:值为 URL。
- 提交原因
- 提交 ID
- 提交者
- 提交状态
允许详细信息 或 阻止详细信息 部分:仅适用于 URL 被阻止或允许的 URL 提交:包含 名称 (URL 域) 和 类型 (URL) 值。
完成详细信息浮出控件后,选择“ 关闭”。
Microsoft的结果
报告项的分析结果显示在详细信息浮出控件中,当你在“提交”页的“电子邮件”、“Teams 邮件Email附件或URL”选项卡上选择条目时,将打开该浮出控件:
- 发件人的电子邮件身份验证是否在发送时验证失败。
- 有关可能已影响或重写筛选系统的消息判决的任何策略或替代的信息。
- 当前引爆结果,用于查看消息中的 URL 或文件是否是恶意的。
- 评分员的反馈。
如果找到替代或策略配置,结果应在几分钟内可用。 如果电子邮件身份验证中没有问题,或者传递不受替代或策略的影响,则分级机的引爆和反馈可能需要长达一天的时间。
Defender for Office 365中管理员提交的操作
在具有Microsoft Defender for Office 365 (加载项许可证或包含在Microsoft 365 E5或Microsoft 365 商业高级版) 等订阅中的组织中,以下操作可用于管理员提交的详细信息浮出控件,在从列表中选择条目后打开单击行中除“检查”框以外的任意位置:
打开电子邮件实体:仅在“ 电子邮件 ”选项卡上的条目的详细信息浮出控件中可用。 有关详细信息,请参阅Email实体页上的内容。
执行操作:仅在“ 电子邮件 ”选项卡上条目的详细信息浮出控件中可用。 此操作将启动Email实体页上提供的相同操作向导。 有关详细信息,请参阅Email实体页上的操作。-
查看警报。 创建或更新管理员提交时,将触发警报。 选择此操作可转到警报的详细信息。
在 “结果详细信息 ”部分中,威胁 资源管理器 的以下链接可能也可用,具体取决于报告项的状态和结果:
- 仅在“资源管理器: 电子邮件 ”选项卡中查看此邮件。
- 在“资源管理器:仅 电子邮件 ”选项卡中搜索类似邮件。
- 搜索 URL 或文件:仅Email附件或 URL 选项卡。
用户报告的消息的管理员选项
对于电子邮件,如果以下语句为 true,则管理员可以在“提交”页上的“用户报告”选项卡上查看报告的用户:
- 用户报告的设置已打开。
- Email消息:用户使用支持的方法来报告邮件:
- Teams 消息:已启用 Teams 消息的用户报告设置 。
注意:
- 用户报告仅发送到Microsoft或发送到Microsoft和 报告邮箱 的邮件显示在“ 用户报告 ”选项卡上。
- 仅发送到报告邮箱的用户报告邮件显示在“ 用户报告 ”选项卡上,“ 结果 ”值 未提交到Microsoft。 管理员应将这些消息报告给Microsoft进行分析。
在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在订阅(如 Microsoft 365 E5) )中的组织中,管理员还可以在计划 2 Defender for Office 365 Microsoft Teams 中查看用户报告的消息, (当前预览版) 。
在具有Defender for Office 365计划 2 (加载项的组织中,Defender for Office 365计划 2 Microsoft Teams 中的用户报告的消息 (当前为预览版)
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,选择“ 用户报告 ”选项卡。
以下小节描述了“提交”页上的“用户报告”选项卡上可用的信息和操作。
查看用户向Microsoft报告的消息
在“ 用户报告 ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- 威胁
- 垃圾邮件
- 无威胁
- 模拟
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 名称和类型*
- 报告者*
- 报告日期*
- 寄件人*
- 报告原因*
-
结果*:包含基于 用户报告设置的报告消息的以下信息:
-
将报告的消息发送到>Microsoft和我的报告邮箱 或 仅Microsoft:派生自以下分析的值:
- 策略命中数:有关可能已允许或阻止传入消息的任何策略或替代的信息,包括对筛选判决的替代。 结果应在几分钟内可用。 否则,引爆和评分员的反馈可能需要长达一天的时间。
- 有效负载信誉/引爆:对消息中任何 URL 和文件进行最新检查。
- 评分器分析:由人类评分员进行评审,以确认邮件是否是恶意邮件。
- 将报告的消息发送到>仅限我的举报邮箱:始终 不会将值提交到Microsoft,因为邮件未由Microsoft分析。
-
将报告的消息发送到>Microsoft和我的报告邮箱 或 仅Microsoft:派生自以下分析的值:
- 消息报告 ID
- 网络消息 ID
- Teams 消息 ID
- 发件人 IP
- 报告自
- 网络钓鱼模拟
- 已转换为管理员提交
- 标记为*
- 标记者*
- 标记为的日期
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- Sender
- 报告者
- 结果
- 报告自
- 已转换为管理员提交
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 报告日期: 开始日期 和 结束日期。
- 报告者
- 名称
- 消息报告 ID
- 网络消息 ID
- Teams 消息 ID
- Sender
- 报告原因:值 “无威胁”、“ 网络钓鱼”和 “垃圾邮件”。
- 报告自: 值Microsoft 和第 三方。
- 网络钓鱼模拟:值为 “是” 和 “否”。
- 转换为管理员提交:值 “是” 和 “否”。
-
消息类型:可用值为:
- 电子邮件
- Teams 消息 (Defender for Office 365 计划 2;当前为预览版) 。
- 标记: 所有 或选择一个或多个用户标记 (包括分配给用户的优先级帐户) 。 有关用户标记的详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
有关“ 用户报告 ”选项卡上的邮件可用的操作的详细信息,请参阅下一小节。
查看用户报告的电子邮件详细信息
如果在“提交”页的“用户报告”选项卡上选择与电子邮件相关的条目,方法是单击第一列旁边的“检查”框以外的行中的任意位置,将打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是消息“主题”值。
- 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记
- 用户报告的消息的管理员操作部分介绍了浮出控件顶部可用的操作。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的后续部分与用户报告的提交相关:
结果详细信息 部分:
-
结果:包含提交的 Result 值。 例如:
- 不应阻止
- 由于用户重写而允许
- 由于规则允许
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 查看 Exchange 邮件流规则 (传输规则)
- 在资源管理器中查看此消息 (威胁资源管理器或仅Defender for Office 365实时检测)
- 在资源管理器 (威胁资源管理器中搜索类似消息,或者在仅) Defender for Office 365中搜索实时检测
-
结果:包含提交的 Result 值。 例如:
报告的消息详细信息 部分:
- 提交日期
- 提交名称
- 报告的原因。
- 消息报告 ID
- 报告者
- 网络钓鱼模拟:值为 “是” 或 “否”。
- 转换为管理员提交:值为 “是” 或 “否”。 有关详细信息,请参阅 查看转换后的管理员提交。
其余的详细信息浮出控件包含“传递详细信息”、“Email详细信息”、“URL”和“附件”部分,这些部分属于Email摘要面板。 有关详细信息,请参阅Email摘要面板。
提示
如果 Result 值为 网络钓鱼模拟,则详细信息浮出控件可能仅包含以下信息:
- 结果详细信息 部分
- 报告的消息详细信息 部分
-
使用以下值Email详细信息部分:
- 网络消息 ID
- Sender
- Sent date
完成详细信息浮出控件后,选择“ 关闭”。
在计划 2 中查看用户报告的 Teams 消息详细信息Defender for Office 365
提示
Microsoft Teams 中邮件的用户报告 目前为预览版,并非在所有组织中都可用,并且可能会发生更改。
在 Microsoft Microsoft Defender for Office 365计划 2 (加载项许可证或包含在订阅(如 Microsoft 365 E5) )的 365 个组织中,用户报告的 Teams 消息位于提交页面的“用户报告”选项卡上。 如果按 消息类型 值 Teams 消息筛选结果,则很容易找到它们。
如果在“用户报告”选项卡上选择 Teams 邮件条目,方法是单击第一列旁边的检查框以外的行中的任意位置,将打开详细信息浮出控件。
详细信息浮出控件顶部提供以下消息信息:
- 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
- 当前消息判决。
- 消息中的链接数。
- 用户报告的消息的管理员操作部分介绍了可用的操作。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他提交的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的后续部分与用户报告的 Teams 提交相关:
提交结果 部分:
-
结果:包含提交的 Result 值。 例如:
- 不应阻止
- 未提交到Microsoft
-
建议的电子邮件提交步骤:包含指向相关操作的链接。 例如:
- 查看 Exchange 邮件流规则 (传输规则)
-
结果:包含提交的 Result 值。 例如:
报告的消息详细信息 部分:
- 报告日期
- 提交名称
- 报告的原因。
- 消息报告 ID
- 报告者
- 网络钓鱼模拟:值为 “是” 或 “否”。
- 转换为管理员提交:值为 “是” 或 “否”。 有关详细信息,请参阅 查看转换后的管理员提交。
详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息,请参阅计划 2 中的 Teams mMessage 实体面板Microsoft Defender for Office 365。
提示
如果 Result 值为 网络钓鱼模拟,则详细信息浮出控件可能仅包含以下信息:
- 结果详细信息 部分
- 报告的消息详细信息 部分
-
使用以下值Email详细信息部分:
- 网络消息 ID
- Sender
- Sent date
完成详细信息浮出控件后,选择“ 关闭”。
用户报告的消息的管理员操作
在“ 用户报告 ”选项卡上,用户报告的消息的操作在选项卡本身或所选条目的详细信息浮出控件中可用:
通过选择第一列旁边的“检查”框,从列表中选择邮件。 “ 用户报告 ”选项卡上提供了以下操作:
-
提交到Microsoft进行分析 -
标记为 并通知 - 仅) 触发调查 (Defender for Office 365 计划 2
-
单击行中除“检查”框以外的任意位置,从列表中选择邮件。 打开的详细信息浮出控件*中提供了以下操作:
-
提交到Microsoft进行分析
-
标记为 并通知
-
查看转换后的管理员提交 -
仅Microsoft Defender for Office 365中的操作:
-
打开电子邮件实体
-
执行操作
-
查看警报
-
-
Defender for Office 中用户报告的邮件的操作
提示
若要查看详细信息或对其他用户报告的邮件执行操作而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
*根据邮件的性质和状态,某些操作可能不可用,可以直接在浮出控件顶部使用,或者在浮出控件顶部的“更多操作”下
提供。
以下小节介绍了这些操作。
注意
在用户报告可疑邮件后,无论报告的邮件 (到报告邮箱的位置、Microsoft或两者) ,用户或管理员都无法撤消邮件的报告。 用户可以从其“已删除邮件”或“垃圾邮件”Email文件夹中恢复报告的邮件。
将用户报告的消息提交到Microsoft进行分析
在“ 用户报告 ”选项卡上选择邮件后,使用以下方法之一将邮件提交到Microsoft:
在“用户报告”选项卡上,选择“
提交到Microsoft进行分析”。在所选邮件的详细信息浮出控件中:在浮出控件顶部选择 “提交到Microsoft进行分析 ”或
“更多”选项>“提交到Microsoft进行分析 ”。
在打开的分析浮出控件的 “提交到Microsoft ”中,根据邮件是电子邮件还是 Teams 邮件执行以下步骤:
Email消息:
-
为什么要将此消息提交到 Microsoft?:选择以下值之一:
它看起来干净 或 看起来可疑:如果你不确定并且想要从Microsoft做出判决,请选择以下值之一。
选择“ 提交”,然后选择“ 完成”。
我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“ 下一步”。
在浮出控件的下一页上,执行以下步骤之一:
- 选择“ 提交”,然后选择“ 完成”。
或
- 选择“ 允许此消息:此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
-
删除允许项后:默认值为 上次使用日期后的 45 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
如果选择 了上次使用日期后的 45 天 ,在邮件流期间遇到恶意电子邮件时,将更新允许条目的上次使用日期。 在筛选系统确定电子邮件干净后,允许条目将保留 45 天。 对于其他所有值(例如 1 天、7 天、30 天),允许条目在定义的日期过期。
- 允许输入注释 (可选) :输入有关允许此项的原因的可选信息。 对于欺骗发件人,此处输入的任何值不会显示在“租户允许/阻止Lists”页上“欺骗发件人”选项卡上的“允许”条目中。
完成浮出控件后,选择“ 提交”,然后选择“ 完成”。
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
- 垃圾邮件
选择 下一步。
在浮出控件的下一页上,执行以下步骤之一:
- 选择“ 提交”,然后选择“ 完成”。
或
- 选择 “阻止来自此发件人或域的所有电子邮件:此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 默认情况下, “发件人” 处于选中状态,但你可以改为选择 “域 ”。
-
删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
完成浮出控件后,选择“ 提交”,然后选择“ 完成”。
-
为什么要将此消息提交到 Microsoft?:选择以下值之一:
Teams 消息:选择以下值之一:
- 我已确认其干净
- 它看起来干净
- 它看起来可疑
选择其中一个值后,选择“ 提交”,然后选择“ 完成”。
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
网络钓鱼
恶意软件
选择“ 提交”,然后选择“ 完成”。
从 “用户 报告”选项卡将用户报告的邮件提交到Microsoft后, “转换为管理员提交 ”的值将从 “否 ”变为 “是”,并在“ 提交 ”页上的相应选项卡上创建相应的管理员提交条目, (例如,“ 电子邮件 ”选项卡) 。
在 Defender for Office 365 计划 2 中触发调查
-
在“用户报告”选项卡上,在“提交到Microsoft进行分析”的下拉列表中选择“触发调查”。
有关详细信息,请参阅 触发调查。
通知用户管理员向Microsoft提交的邮件
管理员 从“用户 报告”选项卡将用户报告的消息提交到Microsoft后,管理员可以使用 “标记为并通知 ”操作将邮件标记为判决,并向报告该邮件的用户发送模板通知消息。
电子邮件的可用判决:
- 未发现威胁
- 钓鱼
- 垃圾邮件
Teams 消息的可用判决:
- 未发现威胁
- 钓鱼
有关详细信息,请参阅 从门户内通知用户。
查看转换后的管理员提交
管理员 从“用户 报告”选项卡将用户报告的消息提交到Microsoft后, “转换为管理员提交 ”的值为 “是”。
如果通过单击名称旁边的检查框以外的任何位置选择其中一条消息,详细信息浮出控件包含“更多操作>”查看转换后的管理员提交。
此操作会将你带到相应选项卡上的相应管理员提交条目 (例如“ 电子邮件 ”选项卡) 。
Defender for Office 365中用户报告的消息的操作
在具有Microsoft Defender for Office 365 (加载项许可证或包含在Microsoft 365 E5或Microsoft 365 商业高级版) 等订阅中的组织中,还可以在“用户报告”选项卡上的用户报告消息的详细信息浮出控件中使用以下操作:
-
仅) 打开电子邮件实体 (电子邮件:有关详细信息,请参阅Email实体页上的内容。
-
仅) (电子邮件执行操作:此操作将启动Email实体页上提供的相同操作向导。 有关详细信息,请参阅Email实体页上的操作。
-
查看警报。 创建或更新管理员提交时,将触发警报。 选择此操作可转到警报的详细信息。