EOP 中的反垃圾郵件保護
提示
您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
注意事項
本主題適用於系統管理員。 如需用戶主題,請參閱 垃圾郵件篩選概觀 和 瞭解垃圾郵件和網路釣魚。
在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中,Exchange Online Protection 會自動保護電子郵件,防止垃圾郵件。
為了協助減少垃圾郵件,EOP 包含使用專屬垃圾郵件篩選的垃圾郵件保護 (也稱為 內容篩選) 技術,以識別垃圾郵件並將其與合法電子郵件分開。 EOP 垃圾郵件篩選可從我們取用者平臺的已知垃圾郵件和網路釣魚威脅和使用者意見反應中學習,Outlook.com。 系統 管理員 和 用戶 持續提供的意見反應,有助於確保 EOP 技術持續定型並加以改善。
Exchange Online Protection 使用下列垃圾郵件篩選決策來分類郵件:
- 垃圾郵件:郵件收到 的垃圾郵件信賴等級 (SCL) 為 5 或 6。
- 高信賴度垃圾郵件:訊息收到 7、8 或 9 的 SCL。
- 網路釣魚
- 高信賴度網路釣魚:根據 預設,識別為高信賴度網路釣魚的訊息一律會遭到隔離,而且使用者無法釋放自己的隔離高信賴度網路釣魚訊息,無論系統管理員所設定的任何可用設定為何。
- 大量:訊息來源符合或超過 設定的大量抱怨層級 (BCL) 閾值。
如需反垃圾郵件保護的詳細資訊,請參閱 反垃圾郵件保護常見問題
在預設的反垃圾郵件原則和自定義反垃圾郵件原則中,您可以根據這些決策來設定要採取的動作。 在 [標準] 和 [嚴格 ] 預設安全策略中,動作已設定且無法修改,如 EOP 反垃圾郵件原則設定中所述。
若要設定預設的反垃圾郵件原則,以及建立、修改和移除自定義的反垃圾郵件原則,請參閱 在 Microsoft 365 中設定反垃圾郵件原則。
提示
如果您對垃圾郵件篩選決策意見不一,您可以將郵件回報給Microsoft為誤判 (良好郵件標示為不正確的) 或誤判 (允許) 的錯誤電子郵件。 如需詳細資訊,請參閱:
- 如何向Microsoft回報可疑的電子郵件或檔案?。
- 如何使用適用於 Office 365 的 Microsoft Defender 處理 (誤判) 封鎖的合法電子郵件
- 如何使用適用於 Office 365 的 Microsoft Defender 處理傳遞給收件者的惡意電子郵件 (誤判)
反垃圾郵件郵件標頭可以告訴您為什麼郵件標示為垃圾郵件,或為何略過垃圾郵件篩選。 如需詳細資訊,請參閱反垃圾郵件標頭。
您無法完全關閉 Microsoft 365 中的垃圾郵件篩選,但您可以使用 Exchange 郵件流程規則 (也稱為傳輸規則) 略過傳入郵件的大部分垃圾郵件篩選 (例如,如果您在傳遞至 Microsoft 365) 之前,先透過第三方保護服務或裝置來路由傳送電子郵件。 如需詳細資訊,請參閱使用郵件流程規則在郵件中設定垃圾郵件信賴等級 (SCL)。
- 仍然會篩選高信賴度網路釣魚郵件訊息。 例如,EOP 中的其他功能不會受到影響 (例如,訊息一律會掃描是否有惡意代碼) 。
- 如果您需要略過 SecOps 信箱或網路釣魚模擬的垃圾郵件篩選,請勿使用郵件流程規則。 如需詳細資訊,請參閱 設定將協力廠商網路釣魚模擬傳遞給使用者,以及將未篩選的郵件傳遞至 SecOps 信箱。
在 EOP 保護內部部署 Exchange 信箱的混合式環境中,您必須設定兩個郵件流程規則 (也稱為傳輸規則,) 在內部部署 Exchange 組織中辨識新增至郵件的 EOP 垃圾郵件標頭。 如需詳細資訊,請參閱設定 EOP 以將垃圾郵件傳送到混合式環境中的垃圾郵件資料夾。
反垃圾郵件原則
反垃圾郵件原則可控制垃圾郵件篩選的可設定設定。 下列小節說明反垃圾郵件原則中的重要設定。
提示
若要查看默認原則、標準預設安全策略和 Strict 預設安全策略中的反垃圾郵件原則設定,請參閱 EOP 反垃圾郵件原則設定。
反垃圾郵件原則中的收件者篩選
收件者篩選條件會使用條件和例外狀況來識別套用原則的內部收件者。 自定義原則至少需要一個條件。 默認原則中沒有條件和例外狀況, (默認原則會套用至所有收件者) 。 您可以使用下列收件者篩選條件和例外狀況:
- 用戶:組織中的一或多個信箱、郵件使用者或郵件聯繫人。
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域:Microsoft 365 中已設定的一或多個 已接受網域 。 收件者的主要電子郵件地址位於指定的網域中。
您只能使用條件或例外狀況一次,但條件或例外狀況可以包含多個值:
相同條件或例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) :
- 條件:如果收件者符合 任何 指定的值,則會將原則套用至這些值。
- 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。
不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
反垃圾郵件原則中 BCL) (大量抱怨閾值
EOP 會將大量抱怨層級 (BCL) 值指派給來自大量發件人的輸入訊息。 來自大量寄件者的郵件也稱為 大量郵件 或 灰色郵件。
如需 BCL 的詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級。
提示
根據預設,僅 限 PowerShell 設定 MarkAsSpamBulkMail 是在 On
Exchange Online PowerShell 中的反垃圾郵件原則中。 此設定會大幅影響 符合大量標準層級的結果 (BCL) 符合或超過 篩選決策:
- MarkAsSpamBulkMail 為 On:大於或等於臨界值的 BCL 會轉換成對應至 垃圾郵件篩選決策的 SCL 6,而 大量相容層級 (BCL) 符合或超過 篩選決策的動作會對訊息採取。
- MarkAsSpamBulkMail 為 Off:訊息會加上 BCL 的戳記,但不會針對符合大量規範的層級採取 任何動作 (BCL) 符合或超過 篩選決策。 實際上,BCL 臨界值和 大容量相容層級 (BCL) 符合或超過 篩選決策動作都無關緊要。
反垃圾郵件原則中的垃圾郵件屬性
[測試模式] 設定、[增加垃圾郵件分數] 設定,以及大部分的 [標示為垃圾郵件] 設定,都是反垃圾郵件原則中進階垃圾郵件篩選 (ASF) 的一部分。
根據預設,這些設定不會在預設的反垃圾郵件原則中設定,也不會在標準或嚴格 預設安全策略中設定。
如需 ASF 設定的完整資訊,請 參閱 EOP 中的進階垃圾郵件篩選 (ASF) 設定。
此類別中可用的其他設定如下:
- 包含特定語言:指定語言中的訊息會自動識別為垃圾郵件。
- 來自下列國家/地區:來自指定國家/地區的郵件會自動識別為垃圾郵件。
根據預設,這些設定不會在預設的反垃圾郵件原則中設定,也不會在標準或嚴格 預設安全策略中設定。
反垃圾郵件原則中的動作
在自定義反垃圾郵件原則和預設的反垃圾郵件原則中,下表說明垃圾郵件篩選決策的可用動作。
- 複選標記 ( ✔ ) 表示動作可用 (並非所有動作都適用於所有) 的決策。
- 核取記號之後有星號 (*) 表示垃圾郵件篩選裁決的預設動作。
動作 垃圾郵件 高
信賴度
垃圾郵件網路釣魚 高
信賴度
網路釣魚大量 將郵件移至 [垃圾郵件] 資料夾:郵件會傳遞至信箱,並移至 [垃圾郵件] 資料夾。¹ ✔* ✔* ✔ ² ✔* 新增 X 標頭:在郵件標頭中新增 X 標頭,並將郵件傳送到信箱。
您可以在可用的 [ 新增此 X 標頭] 文字框中輸入 X 標頭功能變數名稱 (不是) 值。
針對 垃圾郵件 和 高信賴度垃圾郵件 決策,郵件會移至 [垃圾郵件] 資料夾。¹ ³✔ ✔ ✔ ✔ 在主旨列前加上文字:新增文字至郵件主旨列的開頭。 郵件會傳遞至信箱,並移至 [垃圾郵件] 資料夾。¹ ³
您可以使用此文字框,在可用 的前置詞主旨行 中輸入文字。✔ ✔ ✔ ✔ 將郵件重新導向至電子郵件地址:將郵件傳送給其他收件者,而不是預定收件者。
您可以在 [ 重新導向至此電子郵件位址 ] 方塊中指定收件者。✔ ✔ ✔ ✔ ✔ 刪除郵件:刪除整封郵件,包括所有附件。 ✔ ✔ ✔ ✔ 隔離郵件:將郵件傳送到隔離信箱,而不是傳送給預定的收件者。
您可以在出現的 [選取隔離原則] 方塊中選取或使用垃圾郵件篩選決策的預設隔離原則。⁴ 隔離原則會定義用戶能夠對隔離郵件執行的動作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構。
您可以在可用的 [ 將垃圾郵件保留在隔離區中保留此天數] 方塊中,指定郵件在隔離中保留的時間長度。✔ ✔ ✔* ✔* ⁵ ✔ 無動作 ✔ ¹ EOP 使用自己的郵件流程傳遞代理程式,將郵件路由傳送至垃圾郵件資料夾,而不是使用信箱中的垃圾郵件規則。 Exchange Online PowerShell 中 Set-MailboxJunkEmailConfiguration Cmdlet 上的 Enabled 參數會影響雲端信箱中的郵件流程。 如需詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定。
² 針對 高信賴度網络釣魚, [將郵件移至垃圾郵件] 資料夾 動作實際上已被取代。 雖然您可以選取 [ 將郵件移至垃圾郵件] 資料夾 動作,但高信賴度網路釣魚郵件一律會隔離 (相當於選取 [隔離郵件 ]) 。
³ 您可以使用值做為郵件流程規則中的條件,以篩選或路由傳送郵件。
⁴ 如果垃圾郵件篩選決策預設會隔離郵件, (當您到達頁面) 時已選取隔離 郵件 ,默認隔離原則名稱會顯示在 [ 選取隔離原則 ] 方塊中。 如果您將垃圾郵件篩選決策的動作 變更 為 隔離郵件,[選取 隔離原則 ] 方塊預設為空白。 空白值表示會使用該決策的預設隔離原則。 當您稍後檢視或編輯反垃圾郵件原則設定時,系統會顯示隔離原則名稱。 如需依預設用於垃圾郵件篩選決策之隔離原則的詳細資訊,請參閱 EOP 反垃圾郵件原則設定。
⁵ 不論隔離原則的設定方式為何,使用者都無法釋出自己被隔離為高信賴度網路釣魚的郵件。 如果原則允許用戶釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的高信賴度網路釣魚訊息。
要採取動作的組織內部訊息:控制是否要將垃圾郵件篩選和對應的決策動作套用至內部郵件, (組織內用戶之間傳送的郵件) 。 在原則中針對指定垃圾郵件篩選結果所設定的動作,是在內部使用者之間傳送的郵件上採取。 可用值包括:
- 預設值:這是預設值。 此值與選取 [高信賴度網络釣魚訊息] 相同。
- 無
- 高信賴度網路釣魚訊息
- 網路釣魚和高信賴度網路釣魚訊息
- 所有網路釣魚和高信賴度垃圾郵件訊息
- 所有網路釣魚和垃圾郵件
如需預設反垃圾郵件原則和標準和嚴格預設安全策略中所使用的預設值,請參閱 EOP 反垃圾郵件原則設定中要對專案採取動作的組織內部訊息。
在此天數內保留隔離的垃圾郵件:指定當您選取隔離郵件做為垃圾郵件篩選決策的動作時,郵件將存放在隔離中要多久的時間。 在時間週期到期之後,訊息會遭到刪除,而且無法復原。 有效值是從 1 到 30 天。
For the default values that are used in the default anti-spam policy and in the Standard and Strict preset security policies, see the Retain spam in quarantine for this many days entry in EOP anti-spam policy settings.
提示
此設定也會控制由反網路釣魚原則隔離的訊息的保留時間。 如需詳細資訊,請參閱 隔離保留。
反垃圾郵件原則中的零時差自動清除 (ZAP)
網路釣魚的 ZAP 和垃圾郵件的 ZAP 可以在郵件傳遞至 Exchange Online 信箱 之後 ,對郵件採取行動。 根據預設,網路釣魚的 ZAP 和垃圾郵件的 ZAP 會開啟,建議您將它們保留開啟。 如需詳細資訊,請參閱:
隔離反垃圾郵件原則中的原則
如果反垃圾郵件原則中的決策設定為隔離郵件,隔離原則會定義用戶能夠對這些隔離郵件執行的動作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構。
允許和封鎖反垃圾郵件原則中的清單
反垃圾郵件原則包含下列清單,可允許或封鎖特定發件者或網域:
- 允許的寄件者清單
- 允許的網域清單
- 封鎖的寄件人清單
- 封鎖的網域清單
根據預設,這些設定不會在預設的反垃圾郵件原則中設定,也不會在標準或嚴格 預設安全策略中設定。
這些清單的功能大部分已由下列專案取代:
在建立網域和 電子郵件地址的封鎖專案中封鎖網域和電子郵件地址的專案。
在反垃圾郵件原則中使用封鎖的寄件者清單或封鎖的網域清單的主要原因:[租使用者允許/封鎖清單] 中的封鎖專案也會防止組織中的使用者 將電子郵件傳送 至這些電子郵件位址或網域。
從 Microsoft Defender 入口網站 的 [提交] 頁面 回報良好的電子郵件Microsoft (您可以選擇 [ 允許具有類似屬性的電子郵件],這會在租用戶允許/封鎖清單) 中建立必要的暫存專案。
重要事項
來自允許寄件人清單或允許網域清單中專案的郵件會略過大部分的電子郵件保護 (除了惡意代碼和高信賴度網路釣魚) ,以及SPF、DKIM和 DMARC) (電子郵件驗證 檢查。 允許的寄件人清單或允許的網域清單中的專案會造成攻擊者成功將電子郵件傳遞至收件匣的高風險,否則會進行篩選。 這些清單最適合用於暫時測試。
請勿將通用網域 (例如,microsoft.com 或 office.com) 新增至允许的网域列表。 攻擊者可以輕鬆地將來自這些常見網域的詐騙訊息傳送至您的組織。
自 2022 年 9 月起,如果組織中允許的寄件者、網域或子域位於 可接受的網域 中,該發件者、網域或子域必須通過電子郵件驗證檢查,才能略過垃圾郵件篩選。
如果您要將允許的網域專案保留在清單中一段很長的時間,請告知寄件者確認其 SPF 記錄是最新的,其中包含其網域的電子郵件來源,而且其 DMARC 記錄中的原則已設定為
p=reject
。
反垃圾郵件原則的優先順序
如果 已開啟,則會先套用標準和嚴格預設安全策略,再套用任何自定義的反垃圾郵件原則或默認原則 (Strict 一律會先) 。 如果您建立多個自定義反垃圾郵件原則,您可以指定套用這些原則的順序。 套用第一個原則之後,會停止原則處理, (該收件者) 的最高優先順序原則。
如需優先順序順序以及如何評估多個原則的詳細資訊,請參閱 電子郵件保護的順序和優先順序 ,以及 預設安全策略和其他原則的優先順序順序。
預設的反垃圾郵件原則
每個組織都有名為 Default 的內建反垃圾郵件原則,具有下列屬性:
- 此原則是預設的 (IsDefault 屬性具有
True
值),且您無法刪除此項預設原則。 - 原則會自動套用至組織中的所有收件者,而且您無法將其關閉。
- 原則一律會在優先 順序 值為 [最低 ] (最後套用,而且您無法變更) 。