提示
你知道你可以免費試用 適用於 Office 365 的 Microsoft Defender Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 適用於 Office 365 的 Defender 的 90 天試用版。 了解誰可以註冊並試用 適用於 Office 365 的 Microsoft Defender。
在所有擁有雲端信箱的組織中,多重保護功能可能會標記入信。 例如,所有 Microsoft 365 用戶都能享有的防偽裝保護,以及僅限 Office 365 用戶使用的 Microsoft Defender 模擬防護。 訊息也會經過多次偵測掃描,以偵測惡意軟體、垃圾郵件、釣魚等。鑑於這些活動,可能會對適用哪種政策感到混淆。
一般而言,對訊息套用的政策會在 CAT (Category) 屬性的 X-Forefront-Antispam-Report 標頭中識別。 如需詳細資訊,請參閱反垃圾郵件標頭。
決定對訊息適用哪種政策有兩個主要因素:
電子郵件保護類型的處理順序:此順序不可設定,詳見下表:
順序 電子郵件保護 類別 管理地點 1 惡意程式碼 CAT:MALW設定反惡意程式碼原則 2 高信賴度網路釣魚 CAT:HPHSH設定反垃圾郵件原則 3 網路釣魚 CAT:PHSH設定反垃圾郵件原則 4 高信賴度的垃圾郵件 CAT:HSPM設定反垃圾郵件原則 5 詐騙 CAT:SPOOF偽裝情報洞察 6* 使用者冒充 (保護使用者) CAT:UIMP在 適用於 Office 365 的 Microsoft Defender 中設定反釣魚政策 7* 受保護網域 (的網域模擬) CAT:DIMP在 適用於 Office 365 的 Microsoft Defender 中設定反釣魚政策 8* 郵箱智慧 (聯絡圖) CAT:GIMP在 適用於 Office 365 的 Microsoft Defender 中設定反釣魚政策 9 垃圾郵件 CAT:SPM設定反垃圾郵件原則 10 大量 CAT:BULK設定反垃圾郵件原則 *這些功能僅在 適用於 Office 365 的 Microsoft Defender 的反釣魚政策中提供。
政策的優先順序:政策優先順序如下所示:
嚴格預設安全政策中的反垃圾郵件、反惡意軟體、防釣魚、安全連結*及安全附件*政策在啟用) 時 (。
Standard預設的安全 (政策中,) 啟用時,的反垃圾郵件、反惡意軟體、防釣魚、安全連結*及安全附件*政策。
Defender 中的反釣魚、安全連結和安全附件,Office 365評估政策啟用後 () 。
自訂的反垃圾郵件、反惡意軟體、防釣魚、安全連結*及安全附件* 政策 () 。
自訂威脅政策在建立政策時會被分配預設優先權值 (新版) 較高,但你可以隨時更改優先權值。 此優先權值會影響該類型威脅政策的應用順序, (反垃圾郵件、反惡意軟體、反釣魚等 ) 。 優先權值不會影響自訂威脅政策依處理順序套用的位置,如前表所述。
同等價值:
- 內建 保護預設安全政策*中的安全連結與安全附件政策。
- 預設的反惡意軟體、反垃圾郵件及反釣魚政策。
你可以設定內建保護預設的安全政策例外,但無法設定預設威脅政策的例外, (它們適用於所有收件人,也無法) 關閉。
*Defender 只適用於 Office 365。
重要事項
如果同一收件人被有意或無意地包含在多個政策中,優先順序會產生影響,因為 該收件人 ( 反垃圾郵件、反惡意軟體、反釣魚等政策的第一個政策會套用 ) 該收件人,無論該收件人包含多少其他政策。 接收方從不會合併或合併多個政策的設定。 接收方不受該類型剩餘政策設定的影響。
例如,名為「Contoso Executives」的團體包含在以下政策中:
- 嚴格預設安全政策
- 優先權值為 0 (最高優先權的自訂反垃圾郵件政策)
- 自訂的反垃圾郵件政策,優先權值為 1.
Contoso Executives 成員會適用哪些反垃圾郵件政策設定? 嚴格預設的安全政策。 自訂反垃圾郵件政策中的設定對 Contoso Executives 成員會被忽略,因為嚴格預設的安全政策總是優先套用。
再舉一個例子,考慮以下針對相同收件人的 適用於 Office 365 的 Microsoft Defender 自訂反釣魚政策,以及包含使用者冒充與偽造的訊息:
| 原則名稱 | 優先順序 | 使用者模擬 | 反欺騙 |
|---|---|---|---|
| 政策A | 1 | 開啟 | 關閉 |
| 政策B | 2 | 關閉 | 開啟 |
- 該訊息被識別為偽造,因為偽造) (在使用者冒充前評估, (6) ,依電子郵件保護類型的處理順序。
- 政策 A 優先執行,因為它優先權高於政策 B。
- 根據政策 A 的設定,因為反欺騙功能已關閉,訊息不會被採取任何行動。
- 所有包含的收件人都會停止處理反釣魚政策,因此政策B永遠不會套用在同時屬於政策A的收件人身上。
為確保受助人獲得您想要的保護設定,請使用以下政策會員指引:
- 將較少的使用者分配到較高優先權的政策,並將更多使用者分配到較低優先權的政策。 記住,預設威脅政策總是最後才套用。
- 將高優先權政策設定為比低優先權政策更嚴格或更專門化的設定。 你可以完全控制自訂威脅政策和預設威脅政策的設定,但對預設安全政策中的大多數設定則無法控制。
- 考慮減少自訂政策 (只對需要比 Standard 或 Strict 預設安全政策更專門的使用者使用自訂政策,或預設威脅政策) 。
附錄
了解使用者允許與阻擋、組織允許與阻擋,以及所有雲端信箱內建安全功能中的過濾堆疊判定,以及 適用於 Office 365 的 Defender 中如何互補或矛盾,是非常重要的。
- 關於過濾堆疊及其組合的資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的逐步威脅防護。
- 過濾堆疊決定結果後,組織政策及其設定的動作才會被評估。
- 如果同一電子郵件地址或網域存在於使用者的安全寄件人名單與被封鎖寄件人名單中,則安全寄件人名單將優先。
- 若同一實體的電子郵件地址、網域、偽造的發送基礎設施、檔案或網址 () 存在於租戶允許/封鎖清單中的允許條目與封鎖條目中,則封鎖條目將優先。
- 對於惡意軟體和高信心度的釣魚判斷,你無法直接在租戶允許/封鎖清單中建立允許條目。 請使用提交https://security.microsoft.com/reportsubmission頁面,將電子郵件、電子郵件附件或網址提交給 Microsoft。 在選擇 「我已確認是乾淨」後,你可以選擇 「允許此訊息」、「 允許此檔案 」或 「允許此網址 」,來建立網域、電子郵件地址、檔案或網址的允許條目。
- 如果你在 防惡意軟體政策的常見附件過濾器中使用檔案類型,允許同一個檔案出現在租戶允許/封鎖名單或 Exchange 郵件流規則 (也稱為傳輸規則) 不會覆寫該判決。
使用者允許與阻擋
使用者安全 清單集合 中的條目 (每個信箱上的安全寄件人清單、安全收件人清單及被封鎖寄件人清單) 能覆蓋以下表格所述的部分過濾堆疊判斷:
| 過濾堆疊的結論 | 使用者的安全寄件人/收件人清單 | 使用者的封鎖寄件人名單 |
|---|---|---|
| 惡意程式碼 | 過濾器勝出:Email 被隔離 | 過濾器勝出:Email 被隔離 |
| 高信賴度網路釣魚 | 過濾器勝出:Email 被隔離 | 過濾器勝出:Email 被隔離 |
| 網路釣魚 | 使用者獲勝:Email 送達使用者收件匣 | 組織勝出:適用的反垃圾郵件政策決定行動 |
| 高信賴度的垃圾郵件 | 使用者獲勝:Email 送達使用者收件匣 | 組織勝出:適用的反垃圾郵件政策決定行動 |
| 垃圾郵件 | 使用者獲勝:Email 送達使用者收件匣 | 組織勝出:適用的反垃圾郵件政策決定行動 |
| 大量 | 使用者獲勝:Email 送達使用者收件匣 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |
| 不是垃圾郵件 | 使用者獲勝:Email 送達使用者收件匣 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |
- 在 Exchange Online 中,如果以下任一情境隔離該訊息,安全寄件人清單中的網域允許可能無法運作:
- 該訊息被識別為惡意軟體或高信心釣魚攻擊 (惡意軟體會被隔離) 。
- 反垃圾郵件政策中的動作設定為隔離郵件,而非將郵件移至垃圾郵件(Junk Email)資料夾。
- 電子郵件中的電子郵件地址、網址或檔案也會在 租戶允許/封鎖清單的區塊條目中。
欲了解更多關於安全名單收集及使用者信箱反垃圾郵件設定的資訊,請參閱 「在雲端信箱設定垃圾郵件設定」。
組織允許與阻隔
組織允許與區塊能覆蓋部分過濾堆疊判定,詳見以下表格:
進階投遞政策 (跳過對指定 SecOps 信箱及釣魚模擬網址的過濾,) :
過濾堆疊的結論 進階投遞政策允許 惡意程式碼 組織獲勝:Email 送達信箱 高信賴度網路釣魚 組織獲勝:Email 送達信箱 網路釣魚 組織獲勝:Email 送達信箱 高信賴度的垃圾郵件 組織獲勝:Email 送達信箱 垃圾郵件 組織獲勝:Email 送達信箱 大量 組織獲勝:Email 送達信箱 不是垃圾郵件 組織獲勝:Email 送達信箱 交換郵件流規則 (亦稱為傳輸規則) :
過濾堆疊的結論 郵件流規則允許* 郵件流程規則區塊 惡意程式碼 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 高信賴度網路釣魚 篩選器勝出:Email 除了複雜路由外被隔離 過濾器勝出:Email 被隔離 網路釣魚 組織獲勝:Email 送達信箱 過濾勝出:適用的反垃圾郵件政策中的釣魚行動 高信賴度的垃圾郵件 組織獲勝:Email 送達信箱 篩選勝出:Email 已送達至使用者的 Junk Email 資料夾 垃圾郵件 組織獲勝:Email 送達信箱 篩選勝出:Email 已送達至使用者的 Junk Email 資料夾 大量 組織獲勝:Email 送達信箱 篩選勝出:Email 已送達至使用者的 Junk Email 資料夾 不是垃圾郵件 組織獲勝:Email 送達信箱 組織勝出:Email 送達至使用者的 Junk Email 資料夾 * 在 Microsoft 365 前使用非Microsoft安全服務或裝置的組織,應考慮使用 Authenticated Received Chain (ARC) (聯絡服務查詢可用性) 及 增強型連接器過濾(Enhanced Filtering for Connectors (也稱為跳過列表) ,取代 SCL=-1 郵件流規則。 這些改良方法減少電子郵件認證問題,並促進 深入防 衛的電子郵件安全防護。
連線 過濾中的 IP 允許清單與 IP 封鎖清單:
過濾堆疊的結論 IP 允許清單 IP 封鎖名單 惡意程式碼 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 高信賴度網路釣魚 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 網路釣魚 組織獲勝:Email 送達信箱 組織勝利:Email 默默被放棄 高信賴度的垃圾郵件 組織獲勝:Email 送達信箱 組織勝利:Email 默默被放棄 垃圾郵件 組織獲勝:Email 送達信箱 組織勝利:Email 默默被放棄 大量 組織獲勝:Email 送達信箱 組織勝利:Email 默默被放棄 不是垃圾郵件 組織獲勝:Email 送達信箱 組織勝利:Email 默默被放棄 反 垃圾郵件政策中的允許與封鎖設定:
- 允許發送者和網域清單。
- 被封鎖的寄件人和網域清單。
- 封鎖來自特定國家/地區或特定語言的訊息。
- 根據 反垃圾郵件政策中的 ASF) 設定,根據進階垃圾郵件過濾器 ( 封鎖訊息。
過濾堆疊的結論 反垃圾郵件政策允許 反垃圾郵件政策封鎖 惡意程式碼 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 高信賴度網路釣魚 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 網路釣魚 組織獲勝:Email 送達信箱 組織勝出:適用的反垃圾郵件政策中的釣魚行動 高信賴度的垃圾郵件 組織獲勝:Email 送達信箱 組織勝出:Email 送達至使用者的 Junk Email 資料夾 垃圾郵件 組織獲勝:Email 送達信箱 組織勝出:Email 送達至使用者的 Junk Email 資料夾 大量 組織獲勝:Email 送達信箱 組織勝出:Email 送達至使用者的 Junk Email 資料夾 不是垃圾郵件 組織獲勝:Email 送達信箱 組織勝出:Email 送達至使用者的 Junk Email 資料夾 租戶允許/封鎖清單中的允許條目:允許條目有兩種類型:
- 訊息層級 允許條目對整個訊息進行行動,無論訊息中的實體為何。 電子郵件地址和網域的允許條目是訊息層級的允許條目。 這些系統允許條目覆蓋大量與垃圾判決,以及機器學習模型的高信心釣魚判斷。
- 實體層級 允許條目對實體的過濾裁決產生作用。 網址、偽造寄件者和檔案的允許條目是實體層級的允許條目。 要破解惡意軟體和高信心的釣魚判斷,你需要使用實體層級的允許條目,且預設有 安全機制,只能透過提交方式建立。
過濾堆疊的結論 Email 地址/網域 惡意程式碼 過濾器勝出:Email 被隔離 高信賴度網路釣魚 過濾器勝出:Email 被隔離 網路釣魚 組織獲勝:Email 送達信箱 高信賴度的垃圾郵件 組織獲勝:Email 送達信箱 垃圾郵件 組織獲勝:Email 送達信箱 大量 組織獲勝:Email 送達信箱 不是垃圾郵件 組織獲勝:Email 送達信箱 -
過濾堆疊的結論 Email 地址/網域 惡搞 檔案 URL 惡意程式碼 過濾器勝出:Email 被隔離 過濾器勝出:Email 被隔離 組織獲勝:Email 被隔離 過濾器勝出:Email 被隔離 高信賴度網路釣魚 組織獲勝:Email 被隔離 過濾器勝出:Email 被隔離 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離 網路釣魚 組織獲勝:Email 被隔離 組織勝出:適用的反釣魚政策中的偽裝行動 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離 高信賴度的垃圾郵件 組織獲勝:Email 被隔離 組織勝出:適用的反釣魚政策中的偽裝行動 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離 垃圾郵件 組織獲勝:Email 被隔離 組織勝出:適用的反釣魚政策中的偽裝行動 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離 大量 組織獲勝:Email 被隔離 組織勝出:適用的反釣魚政策中的偽裝行動 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離 不是垃圾郵件 組織獲勝:Email 被隔離 組織勝出:適用的反釣魚政策中的偽裝行動 組織獲勝:Email 被隔離 組織獲勝:Email 被隔離
當使用者與組織設定衝突時
下表說明了當使用者允許/封鎖設定與組織允許/封鎖設定同時影響訊息時,衝突如何解決:
| 組織類型允許/區塊 | 使用者的安全寄件人/收件人清單 | 使用者的封鎖寄件人名單 |
|---|---|---|
租戶允許/封鎖清單中的區塊條目如下:
|
組織獲勝:Email 被隔離 | 組織獲勝:Email 被隔離 |
| 租戶允許/封鎖清單中偽造寄件者的封鎖條目 | 組織勝出:在適用的反釣魚政策中偽造情報行動 | 組織勝出:在適用的反釣魚政策中偽造情報行動 |
| 進階投遞政策 | 使用者獲勝:Email 送達信箱 | 組織獲勝:Email 送達信箱 |
| 反垃圾郵件政策中的封鎖設定 | 使用者獲勝:Email 送達信箱 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |
| 尊重 DMARC 政策 | 使用者獲勝:Email 送達信箱 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |
| 郵件流規則下的封鎖 | 使用者獲勝:Email 送達信箱 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |
允許者:
|
使用者獲勝:Email 送達信箱 | 使用者獲勝:Email 已送達至使用者的 Junk Email 資料夾 |