Exchange Online Protection 中的大量發件人深入解析
注意事項
本文所述的功能目前處於預覽狀態,並非所有組織都提供,而且可能會變更。
在 Microsoft 365 組織中,具有 Exchange Online 信箱或獨立 Exchange Online Protection (EOP) 沒有 Exchange Online 信箱的組織,Microsoft Defender 入口網站中的大量發件者深入解析可讓您查看在反垃圾郵件原則中目前大量閾值層級識別為大量電子郵件,並根據大量發件者閾值和大量發件者質量的變更來模擬已識別出的大量電子郵件與允許的大量電子郵件。
EOP 會將大量抱怨層級 (BCL) 值指派給來自大量發件人的輸入訊息。 較高的 BCL 值表示大量訊息較有可能是垃圾郵件。 反垃圾郵件原則中的大量電子郵件閾值會使用指定的 BCL 值來識別大量郵件,並針對它們採取動作。 如需 BCL 的詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級。
大量寄件者深入解析具有下列功能:
- 檢視過去 60 天內每個 BCL 層級 (1 到 9) 識別為大量郵件的數目。
- 模擬大量電子郵件閾值的變更,並檢視所傳遞訊息數目與預設反垃圾郵件或自定義反垃圾郵件原則識別為大量訊息的結果,您可以在其中設定 BCL 閾值。 您無法在標準或嚴格 預設安全策略中設定 BCL 閾值。
- 檢視受大量電子郵件閾值影響之郵件發件人的相關信息,包括根據寄件者的質量進行篩選。
本文說明如何在 Microsoft Defender 入口網站中使用大量發件人深入解析。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 大量發件者深入解析 頁面,請使用 https://security.microsoft.com/senderinsights。
如果Microsoft 365 網域的 MX 記錄指向第三方服務或裝置,大量模擬和偵測可能無法正確運作。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用中的電子郵件 & 共同作業>。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
- 新增、修改和刪除原則: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- 原則的只讀存取權:全域 讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
Microsoft權限:下列角色中的成員資格可為使用者提供Microsoft 365 中其他功能的必要許可權 和 許可權:
- 新增、修改和刪除原則: 組織管理* 或 安全性系統管理員 角色中的成員資格。
- 原則的只讀存取權:全域 讀取者 或 安全性讀取者 角色中的成員資格。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
如需反垃圾郵件原則的建議設定,請參閱 EOP 反垃圾郵件原則設定。
提示
如果收件者也包含在 標準或嚴格預設安全策略中,則會忽略預設或自定義反垃圾郵件原則中的設定。 如需詳細資訊,請參閱 電子郵件保護的順序和優先順序。
反垃圾郵件原則中的 大量閾值 會決定用來將訊息識別為大量訊息的 BCL 閾值。 例如, 大量臨界值 7 表示 BCL 值為 7、8 或 9 的訊息會識別為大量。 大量郵件的狀況取決於大量 符合規範的層級, (BCL) 在 反垃圾郵件原則中符合或超過動作 (,例如, 將郵件移至垃圾郵件資料夾、 隔離或 刪除郵件) 。 為了簡單起見,在大量發件人深入解析中會 封鎖 將訊息識別為大量訊息並對其採取動作。
在 Microsoft Defender 入口網站中開啟大量發件人深入解析
大量寄件者深入解析可在下列位置取得:
在預設反垃圾郵件原則或自訂反垃圾郵件原則的屬性中:
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則] 區段中的 [電子郵件 &> 共同作業原則 & 規則>威脅原則>反垃圾郵件]。 或者,若要直接移至 [反垃圾郵件原則 ] 頁面,請使用 https://security.microsoft.com/antispam。
在 [反垃圾郵件 原則] 頁面上,選取自定義的反垃圾郵件原則 ([類型 ] 值為 [ 自定義反垃圾郵件 原則) 或名為 [反垃圾郵件輸入原則] 的預設反壟 圾郵件原則 (默認) 按兩下第一個數據行旁邊複選框以外的任何位置。
在開啟的詳細數據飛出視窗中,選取 [大量電子郵件閾值] & 垃圾郵件屬性一節底部的 [編輯垃圾郵件閾值和屬性]。
在開啟的 [垃圾郵件閾值和屬性 ] 飛出視窗中,大量發件者深入解析包含組織中所有反垃圾郵件原則在過去 60 天內偵測到之所有大量電子郵件的下列資訊:
在 [ 電子郵件 & 共同作業報告和深入解析 頁面上:
在 Microsoft Defender 入口網站 https://security.microsoft.com中,移至 [ 報告>電子郵件 & 共同作業 ] 區段 >[電子郵件 & 共同作業報告和深入解析]。 或者,若要直接移至 [電子郵件 & 共同作業報告和深入解析 ] 頁面,請使用 https://security.microsoft.com/emailandcollabreport。
在 [ 電子郵件 & 共同作業報告和深入解 析] 頁面上,移至 [ 電子郵件 & 共同作業深入解析] 區段,並尋找 大量發件者深入解析。
若要檢視大量偵測和發件人的詳細資訊,請選 取 [檢視大量發件人深入解析 ] 或 [檢視詳細數據 ] 以開啟 [大量發件者深入解析 ] 頁面。
檢視大量寄件人深入解析頁面
您可以使用下列方法來取得 大量發件者深入解析 頁面:
- 直接在 https://security.microsoft.com/senderinsights。
- 當您從 [反垃圾郵件原則] 頁面的自定義反垃圾郵件原則詳細數據或預設的反垃圾郵件原則頁面中,從 [壟圾郵件閾值] 和 [屬性] 飛出視窗中選取 [檢視大量發件人深入解析]https://security.microsoft.com/antispam。
- 當您在 的 [電子郵件 & 共同作業報告和深入解析] 頁面上,從 [大量發件者] 深入解析卡片中選取 [檢視詳細數據] https://security.microsoft.com/emailandcollabreport時。
執行模擬之前,頁面中間數據表中的值會指出下列值:
- 大量抱怨層級 (BCL) :可能的 BCL 值範圍 (1 到 9) 。
- 所有電子郵件:在每個 BCL 值識別的訊息總數 (其中有些可能是 0) 。
-
以目前的 BCL 閾值傳遞:已傳遞的訊息數目 (未識別為每個 BCL 值的大量) :
- 如果 BCL 值小於 目前大量電子郵件閾值 ,則會傳遞訊息 (未識別為大量) :
- [ 目前 BCL 傳遞] 閾值 和 [ 所有電子郵件 ] 值都相同。
- 在 目前 BCL 閾值傳遞 的 值符合 目前設定值所傳遞的電子郵件 。
- 如果 BCL 值大於或等於 目前大量電子郵件閾值 ,則會將訊息識別為大量和封鎖。
- BCL 值 的目前 BCL 臨界值 為 0。
- [ 所有電子郵件] 值符合 目前 BCL 閾值所識別的電子郵件 。
- 如果 BCL 值小於 目前大量電子郵件閾值 ,則會傳遞訊息 (未識別為大量) :
- 以新的 BCL 閾值傳遞:執行模擬 之後 未識別為大量電子郵件的訊息數目。 在您執行模擬之前,此值沒有意義。
若要執行模擬,請在頁面上使用下列元素:
- [無法修改 的目前大量電子郵件閾值 ] 滑桿會根據您如何移至 大量發件人深入解析 頁面來顯示目前的 BCL 臨界值:
- 直接:BCL 閾值為 7。
- 從反垃圾郵件原則的屬性:BCL 閾值是反垃圾郵件原則中的目前值。
- [新增大量電子郵件閾值] 滑桿可讓您模擬在傳遞或封鎖的郵件上增加和減少 BCL 閾值的影響。
- [ 模擬傳送者品質閾值 ] 滑桿會指定要在 BCL 更新模擬中使用的良好/錯誤發件者可信度閾值。 較高的值表示以更可靠的寄件者為基礎的模擬 BCL 臨界值結果。 傳 送者的模擬發件者品質閾值 是以下列因素為基礎:
- 過去與寄件者互動。
- 寄件者發出的訊息頻率。
- 系統管理員或使用者對於寄件者訊息的意見反應。
選取 [新增大量電子郵件閾值 ] 和 [ 模擬發件人品質閾值 ] 之後,選取 [ 模擬]:
- 頁面會更新為目前和新的模擬 BCL 閾值層級的封鎖與允許訊息數目。
- 頁面底部會更新為可識別為大量寄件人的相關信息。
在大量寄件人深入解析頁面上檢視大量發件人的相關信息
頁面底部的大量發件者詳細數據表包含大量寄件人的相關數據,其訊息已識別為大量。
當您第一次開啟 大量發件者深入解析 頁面時,如果 目前的大量電子郵件閾值 和 模擬發件者品質閾值 在執行任何模擬之前已經產生大量電子郵件識別,數據表可能會包含發件者數據。
否則,傳送者會包含在寄件者詳細數據表中,以您執行模擬之後的 目前大量電子郵件閾值 和 模擬發件者品質閾值 為基礎。
對於寄件者詳細數據表中的專案,一律可以使用下列數據行:
- 寄件者:寄件者的電子郵件位址。
- BCL
- 模擬傳送者品質閾值
寄件者詳細數據表中的其餘數據行取決於執行模擬之後, 目前大量電子郵件閾值 與 新增大量電子郵件閾值 之間的關聯性:
新的大量電子郵件閾值 等於 目前的大量電子郵件閾值:
- 潛在誤判
- 潛在誤判
若要篩選結果,請選取 [ 所有發件者] ,然後選取下列其中一個值:
- 潛在誤判:只會顯示 潛在誤 判為 True 的寄件者。
- 潛在誤判:只會顯示 潛在誤判 為 True 的寄件者。
新的大量電子郵件閾值 小於 目前的大量電子郵件閾值:
- 已封鎖新的寄件者
- 潛在誤判
若要篩選結果,請選取 [ 所有發件者] ,然後選取下列其中一個值:
- 已封鎖新的寄件者:只會顯示新寄件者封鎖的寄件者為 True。
- 潛在誤判:只會顯示 潛在誤 判為 True 的寄件者。
新的大量電子郵件閾值 大於 目前的大量電子郵件閾值:
- 允許新的寄件者
- 潛在誤判
若要篩選結果,請選取 [ 所有發件者] ,然後選取下列其中一個值:
- 允許新的寄件者:只會顯示 新寄件者允許 為 True 的寄件者。
- 潛在誤判:只會顯示 潛在誤判 為 True 的寄件者。
若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [ 搜尋] 方 塊和對應的值來尋找數據表中的特定寄件者。
使用 [匯 出] 將目前顯示的寄件人清單儲存至 CSV 檔案。 默認檔名是大量發件人深入解析 - Microsoft Defender.csv,預設位置是本機 Downloads 資料夾。 如果導出的檔案已經存在於該位置,則檔名會遞增 (例如大量發件者深入解析 - Microsoft Defender (1) .csv) 。
在大量寄件人深入解析頁面上檢視大量發件人的詳細資訊
若要從 [大量發件人深入解析] 頁面底部的寄件者詳細數據表檢視特定寄 件者的 詳細數據,請按兩下第一個數據行旁邊複選框以外的任何數據列。 開啟 的寄件者詳細資料 飛出視窗包含下列有關寄件者的資訊:
- 寄件者:寄件者的電子郵件位址。
- 訊息:寄件者傳送的訊息數目。
- 收件匣中的訊息:從傳送者傳遞至使用者收件匣的訊息數目。
- 隔離或垃圾郵件中的郵件:寄件者傳送至使用者垃圾郵件資料夾或遭到隔離的郵件數目。
-
系統管理員設定:管理允許或封鎖寄件者是否 允許和封鎖租使用者允許/封鎖清單中的有效值為:
- 允許:郵件寄件者有允許專案存在。
- 封鎖:郵件寄件者有封鎖專案存在。
- 使用者允許的郵件:已在使用者信箱中新增 [安全發件者] 列表的發件者訊息數目。
- 使用者封鎖的郵件:已在使用者信箱中新增 [封鎖的寄件者] 列表的發件者訊息數目。
- 誤判提交:從發件者提交為良好郵件的郵件數目意外遭到封鎖。
- 誤判提交:從發件者送出的郵件數目,因為不小心傳遞了不正確的郵件。
- 使用者從垃圾郵件移至收件匣
- 使用者從收件匣移至垃圾郵件
- 使用者刪除的訊息
- 系統管理員隔離的郵件
- 系統管理員已將電子郵件從收件匣移至垃圾郵件
- 系統管理員刪除的訊息