電子郵件保護的順序和優先順序

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎？ 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在Microsoft 365 個具有 Exchange Online 或獨立 Exchange Online Protection (EOP 信箱的組織) 沒有 Exchange Online 信箱的組織中，輸入電子郵件可能會受到多種形式的保護。 例如，適用於所有Microsoft 365客戶的反詐騙保護，以及僅供 適用於 Office 365 的 Microsoft Defender 客戶使用的模擬保護。 訊息也會通過惡意代碼、垃圾郵件、網路釣魚等的多個偵測掃描。假設有所有這些活動，套用哪一個原則可能會有些混淆。

一般而言，套用至訊息的原則會在 CAT (Category ) 屬性的 X-Forefront-Antispam-Report 標頭中識別。 如需詳細資訊，請參閱反垃圾郵件標頭。

有兩個主要因素可決定要將哪一個原則套用至訊息：

• 電子郵件保護類型的處理順序：此順序無法設定，如下表所述：

  順序	電子郵件保護	類別	要管理的位置
  1	惡意程式碼	CAT:MALW	在 EOP 中設定反惡意代碼原則
  2	高信賴度網路釣魚	CAT:HPHSH	在 EOP 中設定反垃圾郵件原則
  3	網路釣魚	CAT:PHSH	在 EOP 中設定反垃圾郵件原則
  4	高信賴度的垃圾郵件	CAT:HSPM	在 EOP 中設定反垃圾郵件原則
  5	詐騙	CAT:SPOOF	EOP 中的詐騙情報深入解析
  6*	用戶模擬 (受保護的使用者)	CAT:UIMP	在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則
  7*	網域模擬 (受保護的網域)	CAT:DIMP	在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則
  8*	信箱智慧 (連絡圖形)	CAT:GIMP	在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則
  9	垃圾郵件	CAT:SPM	在 EOP 中設定反垃圾郵件原則
  10	大量	CAT:BULK	在 EOP 中設定反垃圾郵件原則

  ^*這些功能僅適用於 適用於 Office 365 的 Microsoft Defender 中的反網路釣魚原則。

• 原則的優先順序順序：原則優先順序如下列清單所示：

  1. [嚴格] 默認安全策略中的反垃圾郵件、反惡意代碼、反網络釣魚、安全連結^*和安全附件^*原則 (啟用時) 。

  2. 啟用) 時，標準預設安全策略中的反垃圾郵件、反惡意代碼、反網路釣魚、安全連結^*和安全附件^*原則 (。

  3. 建立) 時，會 (自定義反垃圾郵件、反惡意代碼、反網路釣魚、安全連結^*和安全附件^* 原則。

     當您建立原則時，自定義原則會被指派預設優先順序值 (較新的原則等於較高的) ，但您可以隨時變更優先順序值。 此優先順序值會影響套用該類型之 自定義 原則 (反垃圾郵件、反惡意代碼、反網路釣魚等 ) 的順序，但不會影響以整體順序套用自定義原則的位置。

  4. 啟用) 時，適用於 Office 365 的 Defender 評估原則中的防網路釣魚、安全連結和安全附件 (。

  5. 值相等：

     • 內建保護預設安全策略中的安全連結和安全附件原則^*。
     • 反惡意代碼、反垃圾郵件和反網路釣魚的默認原則。

     您可以設定內建保護預設安全策略的例外狀況，但無法設定預設原則的例外狀況 (套用至所有收件者，而且您無法將它們關閉) 。

  ^*僅 適用於 Office 365 的 Defender。

  如果您有相同的收件者刻意或無意中包含在多個原則中，優先順序順序很重要，因為 只有 該類型的第一個原則 (反垃圾郵件、反惡意代碼、反網路釣魚等 ) 套用至該收件者，不論收件者包含多少其他原則。 收件者絕對不會合併或合併多個原則中的設定。 收件者不受該類型其餘原則的設定影響。

例如，名為 「Contoso Executive」 的群組包含在下列原則中：

• 嚴格預設安全策略
• 優先順序值為 0 (最高優先順序的自定義反垃圾郵件原則)
• 優先順序值為 1 的自定義反垃圾郵件原則。

哪些反垃圾郵件原則設定會套用至 Contoso 主管的成員？ 嚴格預設安全策略。 Contoso 主管的成員會忽略自定義反垃圾郵件原則中的設定，因為一律會先套用 Strict 預設安全策略。

另一個範例是，請考慮 適用於 Office 365 的 Microsoft Defender 中適用於相同收件者的下列自定義防網路釣魚原則，以及包含用戶模擬和詐騙的訊息：

原則名稱	優先順序	使用者模擬	反詐騙
原則 A	1	開啟	關閉
原則 B	2	關閉	開啟

1. 訊息會識別為詐騙，因為在用戶模擬 (6) 之前，會先評估詐騙 (5) ，然後再針對電子郵件保護類型進行處理。
2. 原則 A 會先套用，因為它的優先順序高於原則 B。
3. 根據原則 A 中的設定，訊息不會採取任何動作，因為反詐騙功能已關閉。
4. 所有包含的收件者都會停止處理防網路釣魚原則，因此原則 B 永遠不會套用至同樣在原則 A 中的收件者。

若要確定收件者取得您想要的保護設定，請使用下列原則成員資格指導方針：

• 將較少的使用者指派給較高的優先順序原則，並將較多的使用者指派給較低的優先順序原則。 請記住，默認原則一律會最後套用。
• 設定較高的優先順序原則，以擁有比較低優先順序原則更嚴格或更特殊的設定。 您可以完全控制自定義原則和默認原則中的設定，但無法控制預設安全策略中的大部分設定。
• 請考慮使用較少的自定義原則 (只針對需要比標準或嚴格預設安全策略更特殊化設定的使用者使用自定義原則，或使用默認原則) 。

附錄

請務必瞭解使用者如何允許和封鎖、租使用者允許和封鎖，以及在 EOP 中篩選堆疊決策，並 適用於 Office 365 的 Defender 彼此互補或互相相互對應。

• 如需篩選堆疊及其組合方式的相關信息，請參閱 適用於 Office 365 的 Microsoft Defender 中的逐步威脅防護。
• 篩選堆棧決定決策之後，只有租用戶原則及其設定的動作才會評估。
• 如果使用者的 [安全發件者] 清單和 [封鎖的寄件者] 清單中有相同的電子郵件位址或網域，則會優先使用 [安全發件者] 清單。
• 如果相同的實體 (電子郵件位址、網域、詐騙傳送基礎結構、檔案或 URL) 存在於 [租使用者允許/封鎖清單] 中的允許專案和封鎖專案中，則區塊專案會優先。

用戶允許和封鎖

使用者 安全清單集合 中的專案 (每個信箱上的 [安全發件者] 清單、[安全收件者] 清單和 [封鎖的發件者] 清單) 可以覆寫一些篩選堆棧決策，如下表所述：

篩選堆疊決策	使用者的安全寄件者/收件者清單	使用者的封鎖寄件者清單
惡意程式碼	篩選優先：Email 隔離	篩選優先：Email 隔離
高信賴度網路釣魚	篩選優先：Email 隔離	篩選優先：Email 隔離
網路釣魚	用戶獲勝：Email 傳遞至使用者的收件匣	租用戶優先：適用的反垃圾郵件原則會決定動作
高信賴度的垃圾郵件	用戶獲勝：Email 傳遞至使用者的收件匣	租用戶優先：適用的反垃圾郵件原則會決定動作
垃圾郵件	用戶獲勝：Email 傳遞至使用者的收件匣	租用戶優先：適用的反垃圾郵件原則會決定動作
大量	用戶獲勝：Email 傳遞至使用者的收件匣	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾
非垃圾郵件	用戶獲勝：Email 傳遞至使用者的收件匣	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾

• 在 Exchange Online 中，如果郵件遭到下列任何條件隔離，安全寄件者清單中的網域允許可能無法運作：
  • 郵件會識別為惡意代碼或高信賴度網路釣魚， (惡意代碼和高信賴度網路釣魚訊息會隔離) 。
  • 反垃圾郵件原則中的動作會設定為隔離，而不是將郵件移至垃圾郵件 Email資料夾。
  • 電子郵件訊息中的電子郵件位址、URL 或檔案也位於 租用戶允許/封鎖清單中的封鎖專案中。

如需有關使用者信箱上之安全清單集合和反垃圾郵件設定的詳細資訊，請參閱設定 Exchange Online 信箱上的垃圾郵件設定。

租用戶允許和封鎖

租用戶允許和區塊能夠覆寫某些篩選堆疊決策，如下表所述：

• 進階傳遞原則 (略過所指定 SecOps 信箱和網路釣魚模擬 URL 的篩選) ：

  篩選堆疊決策	進階傳遞原則允許
  惡意程式碼	租用戶優先：Email 傳遞至信箱
  高信賴度網路釣魚	租用戶優先：Email 傳遞至信箱
  網路釣魚	租用戶優先：Email 傳遞至信箱
  高信賴度的垃圾郵件	租用戶優先：Email 傳遞至信箱
  垃圾郵件	租用戶優先：Email 傳遞至信箱
  大量	租用戶優先：Email 傳遞至信箱
  非垃圾郵件	租用戶優先：Email 傳遞至信箱

• Exchange 郵件流程規則 (也稱為傳輸規則) ：

  篩選堆疊決策	郵件流程規則允許*	郵件流程規則區塊
  惡意程式碼	篩選優先：Email 隔離	篩選優先：Email 隔離
  高信賴度網路釣魚	篩選優先：Email 隔離，但複雜路由除外	篩選優先：Email 隔離
  網路釣魚	租用戶優先：Email 傳遞至信箱	租用戶獲勝：適用的反垃圾郵件原則中的網路釣魚動作
  高信賴度的垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶優先：Email 傳遞至使用者的垃圾郵件 Email資料夾
  垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶優先：Email 傳遞至使用者的垃圾郵件 Email資料夾
  大量	租用戶優先：Email 傳遞至信箱	租用戶優先：Email 傳遞至使用者的垃圾郵件 Email資料夾
  非垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶優先：Email 傳遞至使用者的垃圾郵件 Email資料夾

  ^* 在 Microsoft 365 之前使用第三方安全性服務或裝置的組織，應該考慮使用 已驗證的接收鏈結 (ARC) ( 連絡第三方以取得可用性) 和 連接器的增強式篩選 (也稱為略過清單) ，而不是 SCL=-1 郵件流程規則。 這些改良的方法可減少電子郵件驗證問題，並鼓勵 深層防禦 電子郵件安全性。

• 線上篩選原則中的IP允許清單和IP封鎖清單：

  篩選堆疊決策	IP 允許清單	IP 封鎖清單
  惡意程式碼	篩選優先：Email 隔離	篩選優先：Email 隔離
  高信賴度網路釣魚	篩選優先：Email 隔離	篩選優先：Email 隔離
  網路釣魚	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 以無訊息方式捨棄
  高信賴度的垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 以無訊息方式捨棄
  垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 以無訊息方式捨棄
  大量	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 以無訊息方式捨棄
  非垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 以無訊息方式捨棄

• 允許和封鎖 反垃圾郵件原則中的設定：

  • 允許的寄件人和網域清單。
  • 封鎖的寄件人和網域清單。
  • 封鎖來自特定國家/地區或特定語言的訊息。
  • 根據 進階垃圾郵件篩選器 (ASF) 設定來封鎖訊息。

  篩選堆疊決策	反垃圾郵件原則允許	反垃圾郵件原則區塊
  惡意程式碼	篩選優先：Email 隔離	篩選優先：Email 隔離
  高信賴度網路釣魚	篩選優先：Email 隔離	篩選優先：Email 隔離
  網路釣魚	租用戶優先：Email 傳遞至信箱	租用戶獲勝：適用的反垃圾郵件原則中的網路釣魚動作
  高信賴度的垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 傳遞至使用者的垃圾 Email 資料夾
  垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 傳遞至使用者的垃圾 Email 資料夾
  大量	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 傳遞至使用者的垃圾 Email 資料夾
  非垃圾郵件	租用戶優先：Email 傳遞至信箱	租用戶獲勝：Email 傳遞至使用者的垃圾 Email 資料夾

• 允許租使用者允許/封鎖清單中的項目：允許專案有兩種類型：

  • 不論訊息中的實體為何，訊息層級都允許專案對整個訊息採取行動。 電子郵件地址和網域的允許專案是郵件層級允許專案。
  • 實體層級允許專案對實體的篩選決策採取行動。 允許 URL、詐騙發件人和檔案的項目是實體層級允許專案。 若要覆寫惡意代碼和高信賴度網路釣魚決策，您需要使用實體層級允許專案，您只能在 Microsoft 365 中根據預設，透過提交來建立這些專案。

  篩選堆疊決策	Email 位址/網域
  惡意程式碼	篩選優先：Email 隔離
  高信賴度網路釣魚	篩選優先：Email 隔離
  網路釣魚	租用戶優先：Email 傳遞至信箱
  高信賴度的垃圾郵件	租用戶優先：Email 傳遞至信箱
  垃圾郵件	租用戶優先：Email 傳遞至信箱
  大量	租用戶優先：Email 傳遞至信箱
  非垃圾郵件	租用戶優先：Email 傳遞至信箱

• 封鎖租使用者允許/封鎖清單中的專案：

  篩選堆疊決策	Email 位址/網域	惡搞	檔案	URL
  惡意程式碼	篩選優先：Email 隔離	篩選優先：Email 隔離	租用戶獲勝：Email 隔離	篩選優先：Email 隔離
  高信賴度網路釣魚	租用戶獲勝：Email 隔離	篩選優先：Email 隔離	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
  網路釣魚	租用戶獲勝：Email 隔離	租用戶獲勝：適用的反網路釣魚原則中的詐騙動作	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
  高信賴度的垃圾郵件	租用戶獲勝：Email 隔離	租用戶獲勝：適用的反網路釣魚原則中的詐騙動作	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
  垃圾郵件	租用戶獲勝：Email 隔離	租用戶獲勝：適用的反網路釣魚原則中的詐騙動作	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
  大量	租用戶獲勝：Email 隔離	租用戶獲勝：適用的反網路釣魚原則中的詐騙動作	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
  非垃圾郵件	租用戶獲勝：Email 隔離	租用戶獲勝：適用的反網路釣魚原則中的詐騙動作	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離

使用者和租用戶設定衝突

下表說明當電子郵件同時受到使用者允許/封鎖設定和租用戶允許/封鎖設定影響時，如何解決衝突：

租用戶允許/封鎖的類型	使用者的安全寄件者/收件者清單	使用者的封鎖寄件者清單
針對下列項目封鎖租使用者允許/封鎖清單中的專案： Email 位址和網域 檔案 URL	租用戶獲勝：Email 隔離	租用戶獲勝：Email 隔離
在租用戶允許/封鎖清單中封鎖詐騙寄件人的專案	租用戶獲勝：適用的反網路釣魚原則中的詐騙情報動作	租用戶獲勝：適用的反網路釣魚原則中的詐騙情報動作
進階傳遞原則	用戶獲勝：Email 傳遞至信箱	租用戶優先：Email 傳遞至信箱
封鎖反垃圾郵件原則中的設定	用戶獲勝：Email 傳遞至信箱	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾
遵守 DMARC 原則	用戶獲勝：Email 傳遞至信箱	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾
依郵件流程規則封鎖	用戶獲勝：Email 傳遞至信箱	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾
允許者： 郵件流程規則 IP 允許清單 (連線篩選原則) 反垃圾郵件原則 (允許的寄件人和網域清單) 租用戶允許/封鎖清單	用戶獲勝：Email 傳遞至信箱	用戶獲勝：Email 傳遞至使用者的垃圾郵件 Email資料夾