使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交給 Microsoft

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

在具有 Exchange Online 信箱的 Microsoft 365 組織中,系統管理員可以使用 Microsoft Defender 入口網站中的 [提交] 頁面,將郵件、URL 和附件提交至 Microsoft 進行分析。 系統管理員提交有兩種基本類型:

  • 管理員 起始的提交:系統管理員會從 [提交] 頁面上的索引卷標選取 [提交至 Microsoft 以進行分析],以識別及報告 (實體) 訊息、附件或 URL,如 管理員 起始的提交一節中所述。

    系統管理員報告實體之後,[提交] 頁面上對應 索引卷標上會出現一個專案, ([ 用戶回報 ] 索引標籤) 以外的任何位置。

  • 管理員 提交用戶回報的訊息:已開啟並設定內建的使用者報告體驗。 使用者回報的訊息會出現在 [提交] 頁面的 [用戶回報] 索引卷標上,系統管理員會從 [用戶回報] 索引標籤提交或重新提交訊息給 Microsoft。

    系統管理員從 [ 用戶報告 ] 索引標籤提交訊息之後,也會在 [ 提交 ] 頁面上的對應索引標籤上建立專案 (例如[ 電子郵件 ] 索引標籤) 。 用戶回報訊息的 管理員 選項一節說明這些類型的系統管理員提交。

當系統管理員提交訊息給 Microsoft 進行分析時,我們會執行下列檢查:

  • Email 驗證檢查 (電子郵件訊息僅) :電子郵件驗證在傳遞時是否通過或失敗。
  • 原則叫用:任何可能允許或封鎖傳入電子郵件到組織中的原則或覆寫相關信息,因而覆寫我們的篩選決策。
  • 承載信譽/擷取:訊息中任何URL和附件的最新檢查。
  • 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。

重要事項

在 (Microsoft 365 GCC、GCC High 和 DoD) 的美國政府組織中,系統管理員可以將電子郵件訊息提交給 Microsoft 進行分析,但郵件只會針對電子郵件驗證和原則叫用進行分析。 基於合規性原因,不會進行承載信譽、擷取和評分器分析, (不允許數據離開組織界限) 。

觀看這段短片,瞭解如何在 適用於 Office 365 的 Microsoft Defender 中使用系統管理員提交,將訊息提交給 Microsoft 進行評估。

如需 使用者 如何將訊息和檔案提交給 Microsoft 的詳細資訊,請參閱 向 Microsoft 報告訊息和檔案

如需 系統管理員 可在 Defender 入口網站中向 Microsoft 報告訊息的其他方式,請參閱 系統管理員的相關報告設定

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com/。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (只會影響Defender入口網站,而不會影響PowerShell) :安全性作業/安全性數據/回應 (管理) 安全性作業/安全性數據/只讀
    • Email & Microsoft Defender 入口網站中的共同作業許可權:安全性系統管理員安全性讀取者角色群組中的成員資格。
    • Microsoft Entra 權限:安全性系統管理員或安全性讀取角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權許可權。
  • 如果電子郵件訊息仍可在信箱中使用且尚未由使用者或系統管理員清除,則系統管理員可以提交 30 天以前的電子郵件訊息。

  • 管理員 提交會以下列速率進行節流:

    • 任何15分鐘期間的提交數目上限:150個提交
    • 24 小時內的相同提交:三個提交
    • 15 分鐘期間內的相同提交:一個提交
  • 如果組織中的 [用戶報告] 設定 會將使用者回報的郵件 (電子郵件傳送至 Microsoft Teams,而 Microsoft Teams) 以獨佔方式傳送至 Microsoft (,或除了報告信箱) 之外,我們會執行與系統管理員將郵件提交至 Microsoft 以從 提交頁面進行 分析時相同的檢查。 因此,提交或重新提交訊息給 Microsoft 僅適用於從未提交給 Microsoft 的訊息,或當您對原始決策意見反應不一致的訊息。

  • [檔案] 索引標籤僅適用於具有 Microsoft Defender 全面偵測回應 或 適用於端點的 Microsoft Defender 方案 2 的組織中的 [提交] 頁面。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱在 適用於端點的 Microsoft Defender 中提交檔案

管理員 起始的提交

提示

只要您將 [選取提交類型] 設定為正確的值,您選取 [提交至 Microsoft 進行分析] 的索引標籤就並不重要。

將可疑的電子郵件回報給 Microsoft

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

  3. 在 [ 電子郵件] 索 引標籤上,選取 [ 提交至 Microsoft 進行分析]

  4. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第一頁上,輸入下列資訊:

    • 選取提交類型:確認已選取 Email 值。

    • 新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:

      • 新增電子郵件網路訊息標識碼:GUID 值可在郵件的 X-MS-Exchange-Organization-Network-Message-Id 標頭中,或在隔離郵件的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
      • 將電子郵件檔案上傳 (.msg 或.eml) :選取 [瀏覽檔案]。 在開啟的對話框中,尋找並選取.eml或.msg檔案,然後選取 [ 開啟]
    • 選擇至少一個發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而略過掃描。

    • 為什麼要將此訊息提交給 Microsoft?:選取下列其中一個值:

      • 它看起來可疑:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6]。選取 [選取此值]。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼
        • 垃圾郵件

        選取 [下一步]

        提交誤判 (錯誤) 電子郵件給 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 選取 [封鎖來自此發件者或網域的所有電子郵件]:此選項會在 [租用戶允許/封鎖清單] 中建立發件者網域或電子郵件地址的封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 默認會選取 [寄件人 ],但您可以改為選取 [網域 ]。
      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二個頁面上完成時,請選取 [ 提交]

      選擇是否要在 [租使用者允許/封鎖清單] 中為發件者網域或電子郵件位址建立對應的封鎖專案。

  6. 選取 [完成]

幾分鐘后,[租使用者允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Sender上的 [網域 & 位址] 索引標籤上會提供封鎖專案。

將可疑的電子郵件附件回報給 Microsoft

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [Email 附件] 索引標籤

  3. 在 [Email 附件] 索引標籤上,選取 [提交至 Microsoft 進行分析]

  4. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第一頁上,輸入下列資訊:

    • 選取提交類型:確認已選取附件 Email 值。

    • 檔案:選取 [瀏覽檔案 ] 以尋找並選取要提交的檔案。

    • 為什麼要將此電子郵件附件提交給 Microsoft?:選取下列其中一個值:

      • 它看起來可疑:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6]。選取 [選取此值]。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼

        選取 [下一步]

        提交誤判 (錯誤) 電子郵件附件至 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [封鎖此檔案]:此選項會在 [租使用者允許/封鎖清單] 中建立檔案的區塊專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交]

    選擇是否要在租用戶允許/封鎖清單中為檔案建立對應的區塊專案。

  6. 選取 [完成]

幾分鐘后,[租使用者允許/封鎖] 清單 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash上的 [檔案] 索引標籤上會提供封鎖專案。

向 Microsoft 回報有問題的 URL

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [提交> & 動作]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,選取 [ URL] 索引標籤

  3. 在 [ URL] 索引標籤 上,選取 [ 提交至 Microsoft 進行分析]

  4. 在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:

    • 選取提交類型:確認已選取值 URL

    • URL:輸入完整的 URL (例如) https://www.fabrikam.com/marketing.html ,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。

    • 為什麼要將此 URL 提交給 Microsoft?:選取下列其中一個值:

      • 它看起來可疑:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6]。選取 [選取此值]。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼

        選取 [下一步]

        在 Defender 入口網站的 [提交] 頁面上,將誤 () URL 提交給 Microsoft 進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [封鎖此 URL]:此選項會在 [租使用者允許/封鎖清單] 中建立 URL 的封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入有關為何封鎖此itme的選擇性資訊。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的URL建立對應的區塊專案。

  6. 選取 [完成]

幾分鐘后,在 的 [租用戶允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Url[URL] 索引標籤上可以使用封鎖專案。

向 Microsoft 回報良好的電子郵件

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [提交> & 動作]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

  3. 在 [ 電子郵件] 索 引標籤上,選取 [ 提交至 Microsoft 進行分析]

  4. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第一頁中,輸入下列資訊:

    • 選取提交類型:確認已選取 Email 值。

    • 新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:

      • 新增電子郵件網路訊息標識碼:GUID 值可在郵件的 X-MS-Exchange-Organization-Network-Message-Id 標頭中,或在隔離郵件的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
      • 將電子郵件檔案上傳 (.msg 或.eml) :選取 [瀏覽檔案]。 在開啟的對話框中,尋找並選取.eml或.msg檔案,然後選取 [ 開啟]
    • 選擇至少一個發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而遭封鎖。

    • 為什麼要將此訊息提交給 Microsoft?:選取下列其中一個值:

      • 顯示為乾淨:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6],選取 [選取此值]。

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

    提交誤判 (良好的) 電子郵件給 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此訊息]:此選項會在 [租使用者允許/封鎖清單] 中建立訊息專案的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除允許項目:預設值為 30 天,但您可以從下列值中選取:

        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。

        對於詐騙寄件者而言,這個值沒有意義,因為詐騙寄件人的項目永遠不會過期。

      • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。 針對詐騙寄件者,您在此處輸入的任何值,不會顯示在 [租使用者允許/封鎖] 頁面上 [詐騙發件者] 索引卷標上的允許專案 清單。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二個頁面上完成時,請選取 [ 提交]

      選擇是否要為租使用者允許/封鎖清單中訊息的元素建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,相關聯的允許專案會出現在 位於 的 [租用戶允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList上的 [網域 & 位址、詐騙發件者URL檔案] 索引卷標上。

重要事項

  • 郵件流程期間會根據判斷郵件為惡意的篩選條件來新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為不正確,則會為寄件者建立允許專案, (電子郵件位址或網域) 和URL。
  • 如果篩選系統找不到寄件者電子郵件位址是惡意的,則將電子郵件訊息提交給 Microsoft 並不會在租使用者允許/封鎖清單中建立允許專案。
  • 再次遇到允許的網域或電子郵件地址、詐騙發件者、URL 或檔案 (實體) 時,會略過與實體相關聯的所有篩選條件。 對於電子郵件訊息,篩選系統仍會先評估所有其他實體,然後再進行決策。
  • 在郵件流程期間,如果來自允許網域或電子郵件地址的郵件在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查,就會傳遞來自允許寄件者電子郵件地址的郵件。
  • 根據預設,允許網域和電子郵件地址的專案存在 30 天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 Microsoft 從已移除的允許專案學習之後,除非在郵件中偵測到其他內容為惡意,否則會傳遞來自這些網域或電子郵件地址的郵件。 根據預設,允許詐騙寄件人的專案永不過期。
  • 對於網 域或用戶模擬保護不正確封鎖的訊息,不會在租使用者允許/封鎖清單中建立網域或發件者允許專案。 相反地,網域或發件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的發件人和網域] 區段。
  • 當您覆寫詐騙情報深入解析中的決策時,詐騙的發件者會變成手動允許或封鎖專案,而且只會出現在 租使用者允許/封鎖 清單 頁面上的詐騙發件者https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

向 Microsoft 回報良好的電子郵件附件

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [Email 附件] 索引標籤

  3. 在 [Email 附件] 索引標籤上,選取 [提交至 Microsoft 進行分析]

  4. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗上,輸入下列資訊:

    • 選取提交類型:確認已選取附件 Email 值。

    • 檔案:選取 [瀏覽檔案 ] 以尋找並選取要提交的檔案。

    • 為何要將訊息提交給 Microsoft?:選取下列其中一個值:

      • 顯示為乾淨:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6],選取 [選取此值]。

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

    提交誤判 (良好的) 電子郵件附件給 Microsoft,以便在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此檔案]:此選項會在 [租使用者允許/封鎖清單] 中建立檔案的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除允許項目:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二個頁面上完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的檔案建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,允許專案就會出現在 [租用戶允許/封鎖清單] 頁面上的 [檔案] 索引卷標上。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

重要事項

  • 根據預設,允許檔案的專案存在 30 天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些檔案的訊息。
  • 當在郵件流程期間再次遇到檔案時,會覆寫 安全附件 損失或檔案信譽檢查,以及所有其他檔案型篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
  • 在選取期間,會覆寫所有檔案型篩選,包括 安全附件 損損或檔案信譽檢查,讓用戶能夠存取檔案。

向 Microsoft 回報良好的 URL

針對回報為誤判的 URL,我們允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息,但不限於: www.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5www.contoso.com/abc/whatever) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要向 Microsoft 回報相同 URL 的多個變化。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [URL] 索引標籤

  3. 在 [ URL] 索引標籤 上,選取 [ 提交至 Microsoft 進行分析]

  4. 在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:

    • 選取提交類型:確認已選取值 URL

    • URL:輸入完整的 URL (例如) https://www.fabrikam.com/marketing.html ,然後在出現的方塊中選取它。 您也可以提供最上層網域 (例如, https://www.fabrikam.com/*) ,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。

    • 為什麼要將此 URL 提交給 Microsoft?:選取下列其中一個值:

      • 顯示為乾淨:如果您不確定且想要 Microsoft 做出決策,請選取 [ 提交],然後移至 [步驟 6],選取 [選取此值]。

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

        將誤判 (良好的) URL 提交給 Microsoft,以便在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此 URL]:此選項會在 [租使用者允許/封鎖清單] 中建立 URL 的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。
      • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。

      當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗的第二個頁面上完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的URL建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,允許專案便可在 的 [租用戶允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Url[URL] 索引標籤上取得。

注意事項

  • 根據預設,允許 URL 的專案存在 30 天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他內容為惡意,否則會傳遞包含這些 URL 的訊息。
  • 當郵件流程期間再次遇到 URL 時,會覆寫 安全連結 擷取或 URL 信譽檢查,以及所有其他以 URL 為基礎的篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
  • 在選取期間,會覆寫所有以URL為基礎的篩選,包括 安全連結 擷取或URL信譽檢查,讓用戶能夠存取URL上的內容。

向 Microsoft 報告 Teams 訊息

您無法從 [提交] 頁面上的 [Teams 訊息] 索引標籤提交 Teams 訊息。 將 Teams 訊息提交給 Microsoft 進行分析的唯一方式,是從 [ 用戶回報 ] 索引標籤提交用戶回報的 Teams 訊息,如本文稍後將 使用者回報的訊息提交給 Microsoft 進行分析 一節中所述。

Teams 訊息索引標籤上的專案是將用戶回報的 Teams 訊息提交給 Microsoft 的結果。 如需詳細資訊,請參閱本文稍後 的檢視已轉換的系統管理員提交 一節。

檢視電子郵件管理員提交給 Microsoft

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

在 [ 電子郵件] 索引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [電子郵件] 索引標籤上,可供系統管理員提交的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 提交名稱*
  • 發送*
  • 收件者
  • 提交者*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 傳遞/封鎖原因
  • 提交標識碼
  • 網路訊息標識碼
  • 方向
  • 寄件者 IP
  • 大量相容層級 (BCL)
  • 目的地
  • 原則動作
  • 網路釣魚模擬
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期 值。
  • 提交標識碼:指派給每個提交的 GUID 值。
  • 網路訊息標識碼
  • Sender
  • 收件者
  • 提交名稱
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
    • 垃圾郵件
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視 Teams 系統管理員提交給 Microsoft

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至提交 & 動作的 [提交>]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [Teams 訊息] 索引標籤

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 提交名稱*
  • 寄件人sup>*
  • 提交日期*
  • 提交的原因*
  • 提交者
  • 地位*
  • 結果*
  • 收件者
  • 提交標識碼
  • Teams 訊息標識碼
  • 目的地
  • 網路釣魚模擬
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • Teams 訊息標識碼
  • Sender
  • 收件者
  • Teams 訊息
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視電子郵件附件系統管理員提交給 Microsoft

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至提交 & 動作的 [提交>]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [提交] 頁面上,選取 [Email 附件] 索引標籤

[Email 附件] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [Email 附件] 索引標籤上,可供系統管理員提交使用的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 附件檔名*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 篩選結果
  • 傳遞/封鎖原因
  • 提交標識碼
  • 物件標識碼
  • 原則動作
  • 提交者
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • 附件檔名
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視 Microsoft 的 URL 系統管理員提交

在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至提交 & 動作的 [提交>] 頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [ URL] 索引標籤

在 [ URL] 索 引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [URL] 索引標籤上,可供系統管理員提交的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • Url*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 篩選結果
  • 傳遞/封鎖原因
  • 提交標識碼
  • 物件標識碼
  • 原則動作
  • 提交者
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • URL
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

管理員 提交結果詳細數據

系統管理員提交給 Microsoft 進行分析的 Email 訊息、Teams 訊息、電子郵件附件和 URL 可在 [提交] 頁面上的對應索引標籤上取得。

當您按下第一欄旁邊複選框以外的任何數據列來選取索引標籤上的專案時,原始報告專案的完整資訊、報告專案的狀態,以及所報告專案的分析結果會顯示在開啟的詳細數據飛出視窗中:

  • 寄件者在傳遞電子郵件時,電子郵件驗證是否失敗。
  • 可能影響或覆寫來自篩選系統之訊息決策的任何原則或覆寫相關信息。
  • 目前的入侵結果,可查看訊息中的 URL 或檔案是否為惡意。
  • 來自評分者的意見反應。

如果找到覆寫或原則組態,結果應該會在幾分鐘內提供。 如果電子郵件驗證中沒有問題,或傳遞未受到覆寫或原則的影響,則來自評分者的擷取和意見反應最多可能需要一天的時間。

適用於 Office 365 的 Defender 方案 2 中系統管理員提交的動作

在具有 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織中,系統管理員會在詳細數據飛出視窗中提供下列動作,該飛出視窗會在您按兩下複選框以外的數據列中的任何位置,從清單中選取項目之後開啟:

  • 開啟電子郵件實體:僅適用於 [ 電子郵件 ] 索引標籤上專案的詳細數據飛出視窗。 如需詳細資訊,請 參閱如何讀取電子郵件實體頁面

  • 採取動作:僅適用於 [ 電子郵件 ] 索引標籤上專案的詳細數據飛出視窗。 此動作會啟動電子郵件實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱您可以在 Email 實體頁面上採取的動作

  • 檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細數據。

  • 在 [ 結果詳細數據 ] 區段中,威脅總管的下列 連結可能也 可供使用,視報告專案的狀態和結果而定:

    • 在 [總管:僅限 電子郵件 ] 索引標籤中檢視此訊息。
    • 在 [總管: 僅限電子郵件] 索引標籤中搜尋類似的訊息
    • 搜尋 URL 或檔案僅 Email 附件URL 索引標籤。

用戶回報訊息的 管理員 選項

如果下列陳述成立,系統管理員可以在 [提交] 頁面的 [用戶報告] 索引標籤上查看使用者報告的內容:

附註

  • 用戶回報的郵件只會傳送給 Microsoft 或 Microsoft,而 報告信箱 會出現在 [ 用戶回報 ] 索引標籤上。雖然這些訊息已回報給 Microsoft,但系統管理員可以重新提交報告的訊息。
  • 只傳送至報告信箱的使用者報告郵件會顯示在 [ 用戶回報 ] 索引標籤上, 其 [結果 ] 值 為 [未提交至 Microsoft]。 系統管理員應該向 Microsoft 報告這些訊息以進行分析。

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [ 用戶回報 ] 索引標籤。

下列小節說明 [提交] 頁面上 [用戶報告] 索引卷標上可用的信息和動作。

檢視使用者向 Microsoft 回報的訊息

在 [ 用戶回報] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:

  • 威脅
  • 垃圾郵件
  • 無威脅
  • 類比

[提交] 頁面上 [用戶回報] 索引標籤上的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 名稱和類型*
  • 報告者*
  • 報告日期*
  • 發送*
  • 報告原因*
  • 結果*:根據 使用者回報的設定,包含所報告訊息的下列資訊:
    • 將報告的訊息傳送至>僅限Microsoft 和我的報表信箱或 Microsoft:衍生自下列分析的值:
      • 原則叫用:任何可能允許或封鎖傳入訊息的原則或覆寫相關信息,包括對篩選決策的覆寫。 結果應該會在幾分鐘內取得。 否則,來自評分者的擷取和意見反應最多可能需要一天的時間。
      • 承載信譽/失效:訊息中任何URL和檔案的最新檢查。
      • 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。
    • 將報告的訊息傳送至>僅限我的報表信箱:此值一律 不會提交給 Microsoft,因為 Microsoft 不會分析這些郵件。
  • 訊息報告標識碼
  • 網路訊息標識碼
  • Teams 訊息標識碼
  • 寄件者 IP
  • 報告來源
  • 網路釣魚模擬
  • 已轉換為系統管理員提交
  • 標示為*
  • 標示者*
  • 標示的日期
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • Sender
  • 報告者
  • 結果
  • 報告來源
  • 已轉換為系統管理員提交
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 報告日期開始日期結束日期
  • 報告者
  • 名稱
  • 訊息報告標識碼
  • 網路訊息標識碼
  • Teams 訊息標識碼
  • Sender
  • 報告原因[無威脅]、[ 網络釣魚] 和 [ 垃圾郵件] 值
  • 報告來源Microsoft 和第 三方的值。
  • 網络釣魚模擬:[ ] 和 [ 否] 值
  • 轉換為系統管理員提交:[ ] 和 [ 否] 值
  • 訊息類型EmailTeams 的值。
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

如需 [ 用戶回報 ] 索引標籤上訊息可用動作的詳細資訊,請參閱下一個子區段。

管理員 用戶回報訊息的動作

在 [ 用戶回報] 索引標籤上,使用者回報訊息的動作可在索引標籤本身或選取專案的詳細數據飛出視窗中取得:

*視訊息的本質和狀態而定,某些動作可能無法使用、直接在飛出視窗頂端提供,或是在飛出視窗頂端的 [更多動作] 下提供。

下列小節說明這些動作。

注意事項

在使用者回報可疑的訊息之後,使用者或系統管理員就無法復原訊息的報告,不論報告的郵件 (至 Microsoft 或兩者) 。 使用者可以從其 [刪除的專案] 或 [垃圾郵件] Email 資料夾復原報告的訊息。

將用戶回報的訊息提交給 Microsoft 進行分析

選取 [ 用戶回報 ] 索引標籤上的訊息之後,請使用下列其中一種方法將訊息提交給 Microsoft:

  • 在 [用戶回報] 索引標籤上:選取 [ 提交至 Microsoft 進行分析]*。

  • 在所選訊息的詳細數據飛出視窗中:選取 [提交至 Microsoft 進行分析] 或 [更多] 選項>[提交至 Microsoft] 以在飛出視窗頂端進行分析。

在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗中,根據郵件是電子郵件訊息還是 Teams 訊息,執行下列步驟:

  • Email 訊息

    • 為什麼要將此訊息提交給 Microsoft?:選取下列其中一個值:
      • 它看起來很乾淨看起來可疑:如果您不確定且想要向 Microsoft 做出決策,請選取其中一個值。

        選取 [提交],然後選取 [ 完成]

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

        在飛出視窗的下一頁上,執行下列其中一個步驟:

        • 選取 [提交],然後選取 [ 完成]

        選取此選項之後,即可使用下列設定:

        • 在之後移除允許項目:預設值為 30 天,但您可以從下列值中選取:

          • 1 天
          • 7 天
          • 30 天
          • 特定日期:最大值為從今天起的 30 天。
        • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。 針對詐騙寄件者,您在此處輸入的任何值,並不會顯示在 [租用戶允許/封鎖] 頁面上 [詐騙發件者] 索引卷標上的允許專案 清單。

        當您在飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼
        • 垃圾郵件

        選取 [下一步]

        在飛出視窗的下一頁上,執行下列其中一個步驟:

        • 選取 [提交],然後選取 [ 完成]

        選取此選項之後,即可使用下列設定:

        • 默認會選取 [寄件人 ],但您可以改為選取 [網域 ]。
        • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
          • 1 天
          • 7 天
          • 30 天
          • 永不過期
          • 特定日期:最大值為從今天起的 30 天。
        • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

        當您在飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]

    [提交給 Microsoft 進行分析] 下拉式清單中的可用動作。

  • Teams 訊息:選取下列其中一個值:

    • 我已確認其乾淨
    • 它看起來很乾淨
    • 看起來可疑

    選取其中一個值之後,選取 [ 提交],然後選取 [ 完成]

    • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

    • 網路釣魚

    • 惡意程式碼

      選取 [提交],然後選取 [ 完成]

當您從 [ 用戶回報 ] 索引標籤將使用者回報的訊息提交給 Microsoft 之後,[ 轉換為系統管理員提交 ] 的值會從 [否 ] 變成 [ ],並在 [ 提交 ] 頁面的適當索引標籤上建立對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引卷標) 。

在計劃 2 中觸發 適用於 Office 365 的 Defender 調查

  • 在 [用戶回報] 索引標籤上,選取 [提交至 Microsoft 進行分析] 上下拉式清單中的 [觸發調查]*。

提交給 Microsoft 進行分析下拉式清單中的觸發程式調查動作。

如需詳細資訊,請 參閱觸發調查

通知用戶系統管理員已提交訊息給 Microsoft

當系統管理員從 [ 用戶回報 ] 索引標籤將使用者回報的訊息提交給 Microsoft 之後,系統管理員可以使用 [標示為] 並通知 動作,將訊息標示為決策,並將範本化通知訊息傳送給報告訊息的使用者。

  • 電子郵件訊息的可用決策:

    • 找不到威脅
    • 網路釣魚
    • 垃圾郵件
  • Teams 訊息的可用決策:

    • 找不到威脅
    • 網路釣魚

如需詳細資訊,請 參閱從入口網站通知使用者

檢視已轉換的系統管理員提交

當系統管理員從 [ 用戶回報 ] 索引標籤將使用者回報的訊息提交給 Microsoft 之後, [轉換為系統管理員提交 ] 的值為 [ 是]

如果您按下名稱旁邊複選框以外的數據列中的任何位置來選取其中一則訊息,詳細數據飛出視窗會包含 [更多動作>] [檢視已轉換的系統管理員提交]

此動作會帶您前往適當索引標籤上對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引標籤) 。

適用於 Office 365 的 Defender 方案 2 中用戶回報訊息的動作

在具有 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶的組織中,可能也會在使用者回報索引卷標上使用者報告訊息的詳細數據飛出視窗中使用下列動作:

  • 僅) 開啟電子郵件實體 (電子郵件:如需詳細資訊,請參閱如何讀取電子郵件實體頁面

  • ) (電子郵件訊息採取動作:此動作會啟動電子郵件實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱您可以在 Email 實體頁面上採取的動作

  • 檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細數據。