提示
你知道你可以免費試用 Microsoft Defender for Office 365 Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 Defender for Office 365 的 90 天試用版。 了解誰可以註冊並試用 Microsoft Defender for Office 365。
反釣魚政策透過偵測偽造寄件人、冒充嘗試及其他欺騙性電子郵件技術,來防範釣魚攻擊。 所有 Microsoft 365 雲端信箱都具備基本的反釣魚功能,例如偽裝情報、首次接觸安全提示及未驗證的寄件人指示器。 此外,Microsoft Defender for Office 365 提供以下進階防護:
-
冒充保護:
- 防止使用者、網域及發送者冒充。
- 能夠定義受信任的發送者與網域,以減少誤報。
-
釣魚郵件門檻:
- 可自訂釣魚門檻以微調偵測。
-
基於人工智慧與機器學習的偵測:
- 透過先進演算法提升對複雜網路釣魚攻擊的偵測能力。
-
更多報導與見解:
- 進階的報告功能,以及超越基本記錄的釣魚行為可看性。
在Microsoft Defender中,反釣魚政策可於Email &協作>政策 & 規則>威脅政策>反釣魚頁面取得。 雖然預設的反釣魚政策會自動套用給所有收件人,但你也可以為特定使用者、群組或網域建立自訂政策。 本文說明所有雲端郵箱的反釣魚政策,以及 Defender for Office 365 的防釣魚政策中可用的設定。
設定反釣魚政策
要設定反釣魚政策,請參閱以下條目:
提示
作為本文的配套,請參閱我們的 安全分析器設置指南 ,檢視最佳實務並學習加強防禦、提升合規性,並自信地駕馭資安環境。 若想根據您的環境打造客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Security Analyzer 自動設定指南。
提示
作為本文的補充,我們建議登入 Microsoft 365 系統管理中心時,使用適用於端點的 Microsoft Defender 自動設定指南。 本指南會根據你的環境量身訂做體驗。 若想檢視未登入並啟用自動設定功能的最佳實務,請參考 Microsoft 365 設定指南。
所有雲端郵箱與 Defender for Office 365 的反釣魚政策比較
所有雲端信箱的反釣魚政策與 Defender for Office 365 中的反釣魚政策之間的高層差異,詳述如下表:
| 功能 | 防網路釣魚原則 所有雲端郵箱 |
防網路釣魚原則 在 Defender for Office 365 中 |
|---|---|---|
| 自動建立預設政策 | ✔ | ✔ |
| 建立自訂原則 | ✔ | ✔ |
| 常見政策設定* | ✔ | ✔ |
| 惡搞設定 | ✔ | ✔ |
| 第一個接觸安全提示 | ✔ | ✔ |
| 模擬設定 | ✔ | |
| 釣魚郵件門檻 | ✔ |
* 在預設政策中,政策名稱和描述是唯讀 (描述為空白) ,且你無法指定政策適用於誰, (預設政策適用於所有收件人) 。
常見政策設定
以下政策設定可在所有雲端郵箱的防網釣魚政策中,以及 Defender for Office 365 的防網購政策中提供:
名稱:你無法更改預設的反釣魚政策名稱。 在建立自訂反釣魚政策後,你無法在 Microsoft Defender 入口網站中重新命名該政策。
描述 你無法在預設的反釣魚政策中新增描述,但你可以新增或更改自訂政策的描述。
使用者、群組與網域 , 並排除這些使用者、群組與網域:接收者篩選以識別政策適用的內部接收者。 客製化保單至少要求一項條件。 預設政策中不包含條件與例外, (預設政策適用於所有收件人) 。 您可以使用以下收件人篩選條件與例外:
- 使用者:組織內一個或多個信箱、郵件使用者或郵件聯絡人。
-
群組:
- 指定的分發群組成員、啟用郵件的安全群組 (動態分發群組) 不支援。
- Microsoft Entra ID 中指定的Microsoft 365 群組 (動態會員群組不支援) 。
- 網域:一個或多個 Microsoft 365 中已設定 的接受網域 。 收件人的主要電子郵件地址位於指定的網域內。
條件或例外只能使用一次,但條件或例外可以包含多個值:
相同條件或例外的多個值會使用 OR 邏輯 (<例如接收者1>或<接收者2>) :
- 條件:若接收者符合 任 一指定值,則該政策將套用於該值。
- 例外:若收件人符合 任 一指定值,該政策不會套用於該值。
不同類型的例外使用或邏輯 (,例如<接收者1>、<群組1>成員或<domain1>成員) 。 如果收件人符合 任何 指定的例外值,該政策就不會套用在他們身上。
不同 類型的條件會 使用 AND 邏輯。 受益人必須符合 所有 規定條件,保單才會適用。 例如,你設定一個條件,包含以下數值:
- 使用者:
romain@contoso.com - 團體:行政人員
這項政策僅適用於
romain@contoso.com他同時也是執行團隊成員的情況。 否則,這項政策不會適用於他。- 使用者:
提示
自訂反釣魚政策中,至少需要在使用者 、群組與網域 設定中選擇一項,以識別 該政策適用的訊息接收者。 Defender for Office 365 的防釣魚政策也有冒充設定,你可以指定寄件人電子郵件地址或受冒充保護的寄件人網域,詳見本文後續說明。
惡搞設定
偽造是指電子郵件中寄件地址 (郵件客戶端顯示的寄件地址) 與電子郵件來源網域不符的情況。 欲了解更多關於偽造的資訊,請參閱 反偽裝防護。
提示
關於偽造與冒充的比較,請參見本文後面的偽 裝與冒充 章節。
以下偽裝設定可在所有雲端郵箱的防釣魚政策中,以及 Defender for Office 365 的防釣魚政策中提供:
啟用偽裝情報:開啟或關閉偽裝情報。 我們建議您保持開啟狀態。
啟用偽造智慧時,偽造 智慧洞察 會顯示被偽造的發送者,這些發送者已被偽造智慧自動偵測並允許或封鎖。 你可以手動覆寫偽造情報的判斷,允許或阻擋偵測到的偽造發送者進入洞察。 但當您這麼做時,偽造的寄件者會從偽造智慧洞察中消失,只會出現在租戶允許/封鎖名單頁面https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的偽造寄件者標籤中。 或者,你可以手動在租戶允許/封鎖清單中為偽造的寄件人建立允許或封鎖條目,即使偽裝智慧洞察從未偵測到這些訊息。 如需詳細資訊,請參閱下列文章:
注意事項
- 反欺騙保護已在 Standard 與 Strict 預設安全政策中啟用。 預設反釣魚政策和你建立的新自訂反釣魚政策中都已啟用此功能。
- 如果你的 MX 紀錄沒有指向 Microsoft 365,你不需要關閉防偽裝保護;你應該啟用增強型連接器過濾功能。 如需指示,請參閱 Exchange Online 中連接器的增強篩選。
- 關閉反偽造保護只會使複合驗證檢查的隱性偽造保護失效。 關於反偽裝防護及來源網域的 DMARC 政策 (
p=quarantine或p=rejectDMARC TXT 紀錄中) 如何影響明確的 DMARC 檢查,請參閱偽裝防護與發送者 DMARC 政策章節。
未認證寄件者指示器:僅在啟用偽造情報時,安全 提示 & 指示 區可顯示。 詳情請見下一節。
操作:對於被封鎖的偽造寄件人, (被偽造智慧自動封鎖 (複合認證 失敗加上惡意意圖) ,或在租戶允許/封鎖名單) 中手動封鎖的訊息,您也可以指定對這些訊息採取的行動:
將郵件移至收件人的 Junk Email 資料夾:預設值。 訊息會被送達信箱,並移至垃圾郵件(Junk Email)資料夾。 欲了解更多資訊,請參閱 「在雲端信箱設定垃圾郵件設定」。
隔離訊息:將訊息發送給隔離區,而非預定收件人。 如需隔離的相關資訊,請參閱下列文章:
如果你選擇 隔離該訊息,也可以選擇適用於被偽造情報保護隔離的訊息的隔離政策。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
偽裝防護與寄件者 DMARC 政策
在防釣魚政策中,你可以控制發送者 DMARC 政策中的值是否p=quarantinep=reject被遵守。 如果訊息未通過 DMARC 檢查,你可以在發送者的 DMARC 政策中指定不同的行動p=quarantinep=reject。 涉及的場景包括以下:
當郵件被偵測為偽造時,尊重 DMARC 紀錄政策:此設定會啟用對明顯電子郵件驗證失敗的發送者 DMARC 政策的尊重。 選擇此設定後,可選以下設定:
-
若偵測到訊息為偽造,且 DMARC 政策設定為 p=隔離:可用行動如下:
- 隔離訊息
- 將郵件移至收件人的垃圾郵件(Junk Email)資料夾
-
若訊息被偵測為偽造,且 DMARC 政策設定為 p=拒絕:可用動作如下:
- 隔離訊息
- 拒絕訊息
如果你選擇 將訊息 隔離作為動作,系統會使用為偽造情報保護所選的隔離政策。
-
若偵測到訊息為偽造,且 DMARC 政策設定為 p=隔離:可用行動如下:
偽造情報與發送者 DMARC 政策是否被遵守之間的關係,詳述如下表:
提示
重要的是要了解, 複合認證 失敗並不直接導致訊息被封鎖。 我們的系統採用整體評估策略,考量訊息的整體可疑性及綜合認證結果。 此方法降低了非法封鎖合法電子郵件的風險,尤其是這些網域可能不嚴格遵守電子郵件認證規範。 這種平衡的方法有助於區分真正惡意的電子郵件與未遵守標準電子郵件認證規範的合法郵件發送者。
| 尊重DMARC政策 | 尊重 DMARC 政策 關閉 | |
|---|---|---|
| 偽裝情報 | 隱性與顯性電子郵件認證失敗的分別處理:
|
如果郵件被偽造情報偵測到為偽造,反釣魚政策中的行動同時用於隱性與顯性電子郵件認證失敗。 明確的電子郵件認證失敗會忽略 p=quarantine、 p=reject、 p=none或 DMARC 政策中的其他值。 |
| 偽裝情報 關閉 | 隱含的電子郵件驗證檢查則不被使用。 明確的電子郵件認證失敗:
|
隱含的電子郵件驗證檢查則不被使用。 明確的電子郵件認證失敗:
|
注意事項
如果 Microsoft 365 網域的 MX 紀錄指向位於 Microsoft 365 前方的非 Microsoft 服務或裝置,則 Honor DMARC 政策 設定僅在接收入站訊息的連接器啟用 增強型連接器 過濾時才會套用。
客戶可透過以下方法覆蓋特定電子郵件及/或寄件人的 Honor DMARC 政策 設定:
- 管理員 或 使用者 可將寄件人加入使用者信箱中的安全寄件人名單。
- 系統管理員可以使用詐騙詐騙深入解析或租用戶允許/封鎖清單,來允許來自偽造寄件者的郵件。
- 系統管理員為所有使用者建立 Exchange 郵件流程規則 (也稱為傳輸規則),以允許這些特定寄件者的郵件。
- 管理員為所有未通過組織 DMARC 政策的拒絕郵件建立 Exchange 郵件流規則。
未認證的寄件人指示器
未經認證的寄件者指示器是偽造設定的一部分,這些設定可在所有雲端郵箱的反釣魚政策中的安全提示 & 指標區塊,以及 Defender for Office 365 的反釣魚政策中提供。 以下設定僅在啟用偽裝智慧時可用:
顯示 (?) ,用於偽造的未驗證寄件人:若訊息未通過 SPF 或 DKIM 檢測 ,且 未通過 DMARC 或 複合認證,則會在寄件人照片中加入問號。 當這個設定關閉時,問號不會被加到寄件人的照片上。
顯示「via」標籤:若寄件人地址 (電子郵件客戶端顯示的寄件人網域與 DKIM 簽章或 MAIL FROM 地址中的網域不同,則會在寄件人欄位新增「via」 (
chris@contoso.com <u>via</u> fabrikam.com標籤) ) 。 欲了解更多關於這些地址的資訊,請參閱電子郵件 訊息標準概述。
為了防止問號或「via」標籤被加到特定寄件人的訊息上,你可以選擇以下幾種方式:
- 允許偽造的寄件人進入 偽造智慧洞察 ,或手動在 租戶允許/封鎖清單中存取。 允許偽造的寄件人會阻止「via」標籤出現在寄件人訊息中,即使政策中開啟 了「顯示「via 」標籤 設定。
- 為寄件人網域設定電子郵件認證。
- 對於寄件人照片中的問號,SPF 或 DKIM 是最重要的。
- 對於「via」標籤,請確認 DKIM 簽名中的網域,或 MAIL FROM 地址是否符合 (,或是 From(寄件人)地址中) 網域的子網域。
欲了解更多資訊,請參閱「辨識可疑訊息 Outlook.com 與Outlook 網頁版
第一個接觸安全提示
Show 首次聯絡安全提示設定可在所有雲端郵箱的防釣魚政策中,以及 Defender for Office 365 的防釣魚政策中提供,且不依賴偽裝情報或冒充防護設定。 以下情境下,安全提示會向收件人展示:
- 他們第一次收到寄件人訊息
- 他們很少收到寄件人的訊息。
此功能為潛在冒充攻擊增添了額外防護層,因此我們建議您開啟此功能。
第一個聯絡安全提示由訊息 X-Forefront-Antispam-Report 標頭欄位的 9.25 SFTY 值控制。 此功能取代了建立郵件流規則 (也稱為傳輸規則) ,該規則會在訊息中加入名為 X-MS-Exchange-EnableFirstContactSafetyTip 的標頭,並附上該值 Enable ,儘管此功能仍然可用。
根據訊息中接收者的數量,首次聯絡安全提示可以是以下任一值:
單一受獎者:
你很少會收到來自 <電子郵件地址>的電子郵件。
多位得主:
有些收到這封訊息的人,通常不會收到來自 <電子郵件地址>的電子郵件。
注意事項
如果訊息有多個收件人,是否會顯示該線索以及針對誰,則是基於多數模式。 如果大多數收件人從未或很少收到寄件人的訊息,受影響的收件人會收到一些 收到這則訊息的人...... 提示。 如果你擔心這種行為會暴露一個收件人的溝通習慣給另一個收件人,就不應該啟用首次聯絡安全提示,而是繼續使用 Mail flow rules 和 X-MS-Exchange-EnableFirstContactSafetyTip 標頭。
第一次接觸安全提示並未印在S/MIME簽名訊息中。
Microsoft Defender for Office 365 防釣魚政策的專屬設定
本節描述僅在 Defender for Office 365 反釣魚政策中可用的政策設定。
注意事項
Defender for Office 365 的預設反釣魚政策為所有收件人提供偽造防護與信箱情報。 然而,其他可用的 冒充防護 功能和 釣魚郵件的門檻 並未在預設政策中設定。 要啟用所有保護功能,請修改預設的反釣魚政策或建立其他反釣魚政策。
Microsoft Defender for Office 365 防釣魚政策中的冒充設定
冒充是指發送者或寄件人在郵件中的電子郵件網域與真實寄件人或網域相似:
- 域的一個
contoso.com模擬範例為ćóntoso.com。 - 使用者冒充是使用者顯示名稱和電子郵件地址的組合。 例如,Valeria Barrios (vbarrios@contoso.com) 可能會冒充 Valeria Barrios,但使用不同的電子郵件地址。
注意事項
冒充保護會尋找相似的網域。 例如,如果你的網域是 contoso.com,我們會檢查不同的頂層網域 (.com、、 .biz、) ,以及哪怕稍微相似的網域。 例如, contosososo.com 或 contoabcdef.com 可視為對 的 contoso.com模仿嘗試。
冒名網域本可被視為合法, (網域已註冊、電子郵件認證 DNS 紀錄已設定等 ) ,但該網域的意圖是欺騙收件人。
以下章節描述的冒充設定僅在 Defender for Office 365 的反釣魚政策中提供。
使用者冒充保護
使用者冒充保護防止特定內部或外部電子郵件地址被冒 充為訊息發送者。 例如,你收到公司副總裁的電子郵件,要求你寄給她一些內部資訊。 你會做嗎? 很多人會不經思考就回覆。
你可以使用受保護的使用者來新增內部和外部寄件人電子郵件地址,以防止冒充。 這份受保護的發送者清單與政策套用的接收者清單不同, (預設政策中所有收件人的清單;特定收件人可在「共用政策設定」區塊的使用者、群組與網域設定中設定) 。
注意事項
每個防釣魚政策中最多可設定 350 名使用者作為冒充保護。
當同時啟用 「啟用信箱智慧 」和 「啟用冒充保護 智慧」時,若寄件人與收件人先前透過電子郵件溝通,使用者冒充保護將無法生效。 如果發送者與收件人從未透過電子郵件溝通,該訊息可被識別為冒充嘗試。
如果某用戶已經包含在反釣魚政策中的冒充保護中,當你嘗試將該使用者加入另一個反釣魚政策的冒充保護時,可能會出現以下錯誤:「該電子郵件地址已經存在。」此錯誤僅發生在 Defender 入口網站。 如果你在 New-AntiPhishPolicy 中使用對應的 TargetedUsersToProtect 參數,或在 Exchange Online PowerShell 中使用 Set-AntiPhishPolicy 指令檔,則不會發生錯誤。
預設情況下,無論在預設政策或自訂政策中,都不會設定任何寄件人電子郵件地址以保護冒充。
當你將內部或外部電子郵件地址加入 「保護使用者 」名單時,這些 寄件 人的訊息會受到冒充保護檢查的限制。 若訊息發送給該政策適用的收件人,則會檢查該訊息是否冒充, (所有預設政策下的收件人;自訂政策中的使用者、群組與網域接收者) 。 若偵測到寄件人電子郵件地址有冒充行為,則對冒充用戶的處理程序將被應用於該訊息。
針對偵測到的使用者冒充嘗試,可採取以下行動:
不要套用任何動作:預設動作。
將郵件重新導向其他電子郵件地址:將郵件寄給指定的收件人,而非預期收件人。
將訊息移至收件人的 Junk Email 資料夾:郵件會送達至信箱並移至 Junk Email 資料夾。 欲了解更多資訊,請參閱 「在雲端信箱設定垃圾郵件設定」。
隔離訊息:將訊息發送給隔離區,而非預定收件人。 如需隔離的相關資訊,請參閱下列文章:
如果你選擇 隔離該訊息,也可以選擇適用於被使用者冒充保護隔離的訊息的隔離政策。 隔離政策定義使用者對隔離訊息能做什麼。 欲了解更多資訊,請參閱 隔離政策的解剖。
將訊息送達並在密送(Bcc)行中加入其他地址:將訊息送達指定收件人,並靜默地將訊息送達指定的收件人。
在訊息送達前刪除:靜默刪除整封訊息,包括所有附件。
網域冒充保護
網域冒充保護防止 寄件者電子郵件地址中 的特定網域被冒充。 例如,你擁有的所有網域 (接受的網域) 或特定自訂網域 (你擁有的網域或合作夥伴網域) 。 受冒充保護的發送者網域與政策適用的接收者清單不同, (預設政策中所有接收者;特定收件人可在「共用政策設定」區塊的使用者、群組與網域設定中設定) 。
注意事項
你可以在每個反釣魚政策中指定最多 50 個自訂網域冒充保護。
當同時啟用 「啟用信箱智慧 」和 「啟用冒充保護智慧 」時,若寄件人與收件人先前透過電子郵件溝通,網域冒充保護將無法生效。 如果發送者與收件人從未透過電子郵件溝通,該訊息可被識別為冒充嘗試。
來自指定網域內發送者的訊息會受到冒充保護檢查。 若訊息發送給該政策適用的收件人,則會檢查該訊息是否冒充, (所有預設政策下的收件人;自訂政策中的使用者、群組與網域接收者) 。 如果在寄件人電子郵件地址的網域中偵測到冒充行為,則會對該訊息執行網域模擬行動。
預設情況下,無論是在預設政策或自訂政策中,都沒有設定任何發送者網域來保護冒充。
對於偵測到的網域冒充嘗試,可以使用以下操作:
不要套用任何動作:預設值。
將郵件重新導向其他電子郵件地址:將郵件寄給指定的收件人,而非預期收件人。
將訊息移至收件人的 Junk Email 資料夾:郵件會送達至信箱並移至 Junk Email 資料夾。 欲了解更多資訊,請參閱 「在雲端信箱設定垃圾郵件設定」。
隔離訊息:將訊息發送給隔離區,而非預定收件人。 如需隔離的相關資訊,請參閱下列文章:
如果你選擇 隔離該訊息,也可以選擇適用於被網域冒充保護隔離的訊息的隔離政策。 隔離政策定義使用者對隔離訊息能做什麼。 欲了解更多資訊,請參閱 隔離政策的解剖。
將訊息送達並在密送(Bcc)行中加入其他地址:將訊息送達指定收件人,並靜默地將訊息送達指定的收件人。
在訊息送達前刪除:靜默刪除整則訊息,包括所有附件。
信箱情報冒充保護
郵箱智慧利用人工智慧 (人工智慧) 來判斷用戶與其常聯絡人電子郵件的模式。
例如,Gabriela Laureano (glaureano@contoso.com) 是您公司的執行長,因此您將她加入政策中「 啟用使用者以保護 」設定中的受保護寄件人。 但保單中的一些受益人會定期與一位同樣名叫 Gabriela Laureano (glaureano@fabrikam.com) 的供應商聯繫。 因為這些收件人有與 glaureano@fabrikam.com的通訊紀錄,信箱情報不會辨識出來自 glaureano@fabrikam.com 的訊息是否為冒充 glaureano@contoso.com 嘗試。
注意事項
如果寄件人和收件人之前透過電子郵件溝通,信箱情報保護就無法發揮作用。 如果發送者與收件人從未透過電子郵件溝通,信箱情報可辨識出該訊息是冒充嘗試。
信箱智慧有兩個特定設定:
- 啟用信箱智慧:開啟或關閉信箱智慧。 此設定幫助 AI 區分來自合法與冒充的訊息。 預設情況下,這個設定是開啟的。
- 啟用智慧以防冒充:預設情況下,此設定為關閉。 為保護使用者免於冒充攻擊,請利用從信箱情報中獲得的聯絡歷史 (頻繁聯絡與無聯絡) 。 為了讓信箱智慧對偵測到的訊息採取行動,這個設定和 啟用信箱智慧 設定都必須開啟。
對於郵箱智慧偵測到的冒充嘗試,可採取以下行動:
- 不要套用任何動作:預設值。 此動作的結果與啟用 信箱智慧 但關閉智慧冒 充保護 時相同。
- 將訊息轉寄到其他電子郵件地址
- 將郵件移至收件人的垃圾郵件(Junk Email)資料夾
- 隔離訊息:如果您選擇此動作,也可以選擇適用於被郵箱情報保護隔離的郵件的隔離政策。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
- 將訊息送達並在密送(Bcc)線上新增其他地址
- 在訊息送達前刪除
冒充安全提示
當訊息被識別為冒充嘗試時,使用者會看到冒充安全提示。 以下安全提示可供參考:
顯示使用者模擬安全提示:寄件地址包含使用者模擬 保護中指定的使用者。 只有在啟用並設定「 使用者保護 」後才可用。
此安全提示由訊息 X-Forefront-Antispam-Report 標頭欄位的 9.20
SFTY值控制。 文字內容如下:<寄件> 人看起來像之前寄信給你的人,但可能不是那個人。
顯示網域模擬安全提示:From 位址包含 網域模擬保護中指定的網域。 只有在啟用並設定「 Enable domains to protect」 時才可用。
此安全提示由訊息 X-Forefront-Antispam-Report 標頭欄位的 9.19
SFTY值控制。 文字內容如下:這個寄件人可能冒充與你組織相關的網域。
顯示使用者模擬異常字元安全提示:寄件地址包含不尋常字元集, (例如數學符號與文字,或大寫與小寫字母混合,) 發送者中設定的使用者模仿 保護。 只有在啟用並設定「 使用者保護 」後才可用。 文字內容如下:
電子郵件地址
<email address>包含意想不到的字母或數字。 我們建議你不要與此訊息互動。
注意事項
以下訊息中未標示安全提示:
- S/MIME 簽名訊息。
- 你的組織設定允許的訊息。
受信任的寄件者與網域
受信任的寄件者和網域是冒充防護設定的例外。 來自指定發送者及發送者網域的訊息,政策從不將其歸類為基於冒充的攻擊。 換句話說,受保護的寄件人、受保護網域或信箱情報保護的行動,並不會套用在這些受信任的寄件人或寄件人網域上。 這些名單的最多條目上限為1,024人。
注意事項
受信任網域的條目不包含指定網域的子網域。 你需要為每個子網域新增一個條目。
如果以下寄件人發出的 Microsoft 365 系統訊息被認定為冒充嘗試,你可以將這些寄件人加入受信任的寄件人清單:
noreply@email.teams.microsoft.comnoreply@emeaemail.teams.microsoft.comno-reply@sharepointonline.com
Microsoft Defender for Office 365 反釣魚政策中的釣魚郵件門檻
以下釣魚郵件門檻僅在 Defender for Office 365 的反釣魚政策中提供。 這些閾值控制了將機器學習模型應用於網路釣魚判決訊息的敏感度:
- 1 - Standard:預設值。 對訊息採取的行動嚴重程度取決於該訊息為釣魚的信心程度 (低、中、高或非常高的信心) 。 例如,具有高度自信的訊息會被施加最嚴重的行動。 被識別為低信心的訊息,所適用的行為較輕。
- 2 - 攻擊性:被高度確定為釣魚的訊息,會被視為被高度確定。
- 3 - 更具攻擊性:對中度或高度信心被認定為釣魚的訊息,會被視為高度自信。
- 4 - 最具攻擊性:被識別為釣魚的訊息,以低、中或高的信心度被認定為。
隨著設定調高,誤報 (標記為壞) 的好訊息的機率會增加。 有關建議設定的資訊,請參閱 Microsoft Defender for Office 365 防釣魚政策中的釣魚郵件門檻。
偽裝與冒充
偽造 是指攻擊者偽造寄件者的電子郵件地址或網域,使其看起來像是可信來源。 攻擊者會操控寄件人在訊息標頭中的電子郵件地址 (也稱為寄件人地址、 5322.From 地址或 P2 寄件) ,以欺騙收件人。
- 所有雲端信箱的反釣魚防護包括透過 SPF、DKIM 及 DMARC 驗證的基本偽造偵測。
- Defender for Office 365 包含增強的偽裝智慧,以更好地偵測與緩解複雜的偽裝攻擊。
冒充 是攻擊者模仿受信任的使用者、網域或品牌,欺騙收件人相信該郵件是真實的。 例如,攻擊者常會使用實際使用者或網域名稱 (的細微變化, mithun@ćóntoso.com 而非 mithun@contoso.com) 。
- 所有雲端郵箱的反釣魚防護並不包含冒充防護。
- Defender for Office 365 包含針對使用者、網域與品牌的冒充保護,讓管理員能定義可信實體與偵測閾值。
如果攻擊者建立了相似網域並發布有效的 DNS 紀錄,冒充就能通過電子郵件認證 (SPF、DKIM 和 DMARC) 。 即使通過了驗證,攻擊者仍冒充受信任的網域或使用者,以欺騙接收者。 這種行為凸顯了 Defender 為 Office 365 提供的先進冒充保護的重要性。
欲了解電子郵件保護類型的處理順序及政策的優先順序,請參閱 電子郵件保護的順序與優先順序。