使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交給 Microsoft
提示
您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款。
在具有Exchange Online信箱的 Microsoft 365 組織中,系統管理員可以使用Microsoft Defender入口網站中的 [提交] 頁面,將郵件、URL 和附件提交至 Microsoft 進行分析。 系統管理員提交有兩種基本類型:
管理員起始的提交:系統管理員會從 [提交] 頁面上的索引標籤選取 [提交至 Microsoft 以進行分析],以識別並報告 (實體) (
訊息、附件或 URL,如管理員起始的提交一節中所述。
系統管理員報告實體之後,[提交] 頁面上對應 的 索引標籤上會出現一個專案, ([ 使用者回報 ] 索引標籤) 以外的任何位置。
管理員提交使用者回報的訊息:已開啟並設定內建的使用者報告體驗。 使用者回報的訊息會出現在 [提交] 頁面的 [使用者回報] 索引標籤上,系統管理員會從 [使用者回報] 索引標籤提交或重新提交訊息給 Microsoft。
系統管理員從 [ 使用者報告 ] 索引標籤提交訊息之後,也會在 [ 提交 ] 頁面上的對應索引標籤上建立專案 (例如[ 電子郵件 ] 索引標籤) 。 使用者回報訊息的管理員選項一節說明這些類型的系統管理員提交。
當系統管理員提交訊息給 Microsoft 進行分析時,我們會執行下列檢查:
- Email驗證檢查 (電子郵件訊息僅) :電子郵件驗證在傳遞時是否通過或失敗。
- 原則叫用:任何可能允許或封鎖傳入電子郵件到組織中的原則或覆寫相關資訊,因而覆寫我們的篩選決策。
- 承載信譽/擷取:訊息中任何 URL 和附件的最新檢查。
- 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。
重要事項
在 (Microsoft 365 GCC、GCC High 和 DoD) 的美國政府組織中,系統管理員可以將電子郵件訊息提交給 Microsoft 進行分析,但郵件只會針對電子郵件驗證和原則叫用進行分析。 基於合規性原因,不會進行承載信譽、擷取和評分器分析, (不允許資料離開組織界限) 。
觀看這段短片,瞭解如何在適用於 Office 365 的 Microsoft Defender中使用系統管理員提交,將訊息提交給 Microsoft 進行評估。
如需 使用者 如何將訊息和檔案提交給 Microsoft 的詳細資訊,請參閱 向 Microsoft 報告訊息和檔案。
如需 系統管理員 可在 Defender 入口網站中向 Microsoft 報告訊息的其他方式,請參閱 系統管理員的相關報告設定。
開始之前有哪些須知?
您會在 開啟Microsoft Defender入口網站 https://security.microsoft.com/ 。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission 。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- & Email Microsoft Defender入口網站中的共同作業許可權:安全性系統管理員或安全性讀取者角色群組中的成員資格。
- Microsoft Entra許可權:安全性系統管理員或安全性讀取者角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
如果電子郵件訊息仍可在信箱中使用且尚未由使用者或系統管理員清除,則系統管理員可以提交 30 天以前的電子郵件訊息。
管理員提交會以下列速率進行節流:
- 任何 15 分鐘期間的提交數目上限:150 個提交
- 24 小時內的相同提交:三個提交
- 15 分鐘期間內的相同提交:一個提交
如果組織中的 [使用者報告] 設定 會將使用者回報的郵件 (電子郵件傳送至 Microsoft Teams,而 Microsoft Teams) 以獨佔方式傳送至 Microsoft (,或除了報告信箱) 之外,我們會執行與系統管理員將郵件提交至 Microsoft 以從 提交頁面進行 分析時相同的檢查。 因此,提交或重新提交訊息給 Microsoft 僅適用于從未提交給 Microsoft 的訊息,或當您對原始決策意見反應不一致的訊息。
[檔案]索引標籤僅適用于具有Microsoft Defender 全面偵測回應或適用於端點的 Microsoft Defender方案 2 的組織中的 [提交] 頁面。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱在 適用於端點的 Microsoft Defender 中提交檔案。
管理員起始的提交
提示
只要您將 [選取提交類型] 設定為正確的值,您選 取 [提交至 Microsoft 進行分析] 的索引標籤就並不重要。
將可疑的電子郵件回報給 Microsoft
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。
在 [電子郵件] 索引標籤上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:
選取提交類型:確認已選取Email值。
新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:
- 新增電子郵件網路訊息識別碼:GUID 值可在郵件的 X-MS-Exchange-Organization-Network-Message-Id 標頭中,或在隔離郵件的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
- 將電子郵件檔案上傳 (.msg 或 .eml) :選取 [流覽檔案]。 在開啟的對話方塊中,尋找並選取 .eml 或 .msg 檔案,然後選取 [ 開啟]。
選擇發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而略過掃描。
選取提交給 Microsoft 的原因:確認 已封鎖 (選取 False 負) 。
電子郵件應該已分類為:選取 [網路釣魚]、[ 惡意程式碼] 或 [ 垃圾郵件]。 如果您不確定,請使用最佳的判斷。
封鎖來自此寄件者或網域的所有電子郵件:選取此選項可在 [租使用者允許/封鎖清單] 中建立寄件者網域或電子郵件地址的封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
選取此選項之後,即可使用下列設定:
- 預設會選取 [寄件者 ],但您可以改為選取 [網域 ]。
- 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 90 天
- 永不過期
- 特定日期:最大值為從今天起的 90 天。
- 封鎖專案注意事項:輸入有關為何封鎖此電子郵件的選擇性資訊。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,[租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList?viewid=Sender 上的 [網域 & 位址] 索引標籤上會提供封鎖專案。
將可疑的電子郵件附件回報給 Microsoft
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [提交]頁面上,選取 [Email附件] 索引卷標。
在 [Email附件] 索引標籤上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗上,輸入下列資訊:
選取提交類型:確認已選取附件Email值。
檔案:選取
[流覽檔案] 以尋找並選取要提交的檔案。
選取提交給 Microsoft 的原因:確認 已封鎖 (選取 False 負) 。
電子郵件應該已分類為:選取 [網路釣魚 ] 或 [ 惡意程式碼]。 如果您不確定,請使用最佳的判斷。
封鎖此檔案:選取此選項可為租使用者允許/封鎖清單中的檔案建立區塊專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
選取此選項之後,即可使用下列設定:
在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 90 天
- 永不過期
- 特定日期:最大值為從今天起的 90 天。
封鎖專案注意事項:輸入有關為何封鎖此檔案的選擇性資訊。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,在 的 [租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash 的 [檔案] 索引標籤上可以使用封鎖專案。
向 Microsoft 回報有問題的 URL
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,選取 [ URL] 索引卷 標。
在 [URL] 索引卷標上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:
選取提交類型:確認已選取值 URL 。
URL:輸入完整的 URL (例如)
https://www.fabrikam.com/marketing.html
,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。選取提交給 Microsoft 的原因:確認 已封鎖 (選取 False 負) 。
電子郵件應該已分類為:選取 [網路釣魚 ] 或 [ 惡意程式碼]。 如果您不確定,請使用最佳的判斷。
封鎖此 URL:選取此選項可為租使用者允許/封鎖清單中的 URL 建立封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
選取此選項之後,即可使用下列設定:
在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 90 天
- 永不過期
- 特定日期:最大值為從今天起的 90 天。
封鎖專案注意事項:輸入有關為何封鎖此 URL 的選擇性資訊。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,即可在 的 [租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList?viewid=Url 的[URL] 索引標籤上使用封鎖專案。
向 Microsoft 回報良好的電子郵件
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。
在 [電子郵件] 索引標籤上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:
選取提交類型:確認已選取Email值。
新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:
- 新增電子郵件網路訊息識別碼:GUID 值可在郵件的 X-MS-Exchange-Organization-Network-Message-Id 標頭中,或在隔離郵件的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
- 將電子郵件檔案上傳 (.msg 或 .eml) :選取 [流覽檔案]。 在開啟的對話方塊中,尋找並選取 .eml 或 .msg 檔案,然後選取 [ 開啟]。
選擇發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而遭封鎖。
選取提交給 Microsoft 的原因:選取 [ 不應該被封鎖 (誤判) ,然後設定下列設定:
允許具有類似屬性的電子郵件 (URL、寄件者等.) :開啟此設定
。
在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
對於詐騙寄件者而言,這個值沒有意義,因為詐騙寄件者的專案永遠不會過期。
允許輸入附注:輸入有關為何允許和提交此電子郵件訊息的選擇性資訊。
針對詐騙寄件者,您在此處輸入的任何值,不會顯示在 [租使用者允許/封鎖清單] 頁面上 [詐騙寄件者] 索引標籤上的允許專案中。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,相關聯的允許專案會出現在 位於 的 [租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList 上的 [網域 & 位址]、[詐騙寄件者]、[URL] 或 [檔案]索引標籤上。
重要事項
- 郵件流程期間會根據判斷郵件為惡意的篩選準則來新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的 URL 判斷為不正確,則會為寄件者建立允許專案, (電子郵件地址或網域) 和 URL。
- 如果篩選系統找不到寄件者電子郵件地址是惡意的,則將電子郵件訊息提交給 Microsoft 並不會在租使用者允許/封鎖清單中建立允許專案。
- 再次遇到允許的網域或電子郵件地址、詐騙寄件者、URL 或檔案 (實體) 時,會略過與實體相關聯的所有篩選準則。 對於電子郵件訊息,篩選系統仍會先評估所有其他實體,然後再進行決策。
- 在郵件流程期間,如果來自允許網域或電子郵件地址的郵件在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查,就會傳遞來自允許寄件者電子郵件地址的郵件。
- 根據預設,允許網域和電子郵件地址的專案存在 30 天。 在這 30 天內,Microsoft 會從允許專案中學習並 移除這些專案,或自動加以擴充。 Microsoft 從已移除的允許專案學習之後,除非在郵件中偵測到其他內容為惡意,否則會傳遞來自這些網域或電子郵件地址的郵件。 根據預設,允許詐騙寄件者的專案永不過期。
- 對於網 域或使用者模擬保護不正確封鎖的訊息,不會在租使用者允許/封鎖清單中建立網域或寄件者允許專案。 相反地,網域或寄件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的寄件者和網域] 區段。
- 當您覆寫詐騙情報深入解析中的決策時,詐騙的寄件者會變成手動允許或封鎖專案,且只會出現在 位於 的 [租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem 上的詐騙寄件者上。
向 Microsoft 回報良好的電子郵件附件
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [提交]頁面上,選取 [Email附件] 索引卷標。
在 [Email附件] 索引標籤上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [ 提交至 Microsoft 進行分析 ] 飛出視窗上,輸入下列資訊:
選取提交類型:確認已選取附件Email值。
檔案:選取 [流覽檔案 ] 以尋找並選取要提交的檔案。
選取提交給 Microsoft 的原因:選取 [ 不應該被封鎖 (誤判) ,然後設定下列設定:
允許此檔案:開啟此設定
。
在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
允許輸入注意事項:輸入有關為何允許和提交此檔案的選擇性資訊。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,允許專案就會出現在 [租使用者允許/封鎖清單] 頁面上的 [檔案] 索引標籤上。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
重要事項
- 根據預設,允許檔案的專案存在 30 天。 在這 30 天內,Microsoft 會從允許專案中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些檔案的訊息。
- 當在郵件流程期間再次遇到檔案時,會覆寫 安全附件 損失或檔案信譽檢查,以及所有其他檔案型篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
- 在選取期間,會覆寫所有檔案型篩選,包括 安全附件 損損或檔案信譽檢查,讓使用者能夠存取檔案。
向 Microsoft 回報良好的 URL
針對回報為誤判的 URL,我們允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的 URL www.contoso.com/abc
。 如果您的組織稍後收到包含 URL (的訊息,但不限於: www.contoso.com/abc
、 www.contoso.com/abc?id=1
、 www.contoso.com/abc/def/gty/uyt?id=5
或 www.contoso.com/abc/whatever
) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要向 Microsoft 回報相同 URL 的多個變化。
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,選取 [ URL] 索引卷 標
在 [URL] 索引卷標上,選取 [
提交至 Microsoft 進行分析]。
在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,輸入下列資訊:
選取提交類型:確認已選取值 URL 。
URL:輸入完整的 URL (例如)
https://www.fabrikam.com/marketing.html
,然後在出現的方塊中選取它。 您也可以提供最上層網域 (例如,https://www.fabrikam.com/*
) ,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。選取提交給 Microsoft 的原因:選取 [ 不應該被封鎖 (誤判) ,然後設定下列設定:
允許此 URL:開啟此設定
。
在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
允許輸入附注:輸入有關為何允許和提交此 URL 的選擇性資訊。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]。
幾分鐘後,允許專案便可在 的 [租使用者允許/封鎖清單] 頁面 https://security.microsoft.com/tenantAllowBlockList?viewid=Url 的[URL] 索引標籤上取得。
注意事項
- 根據預設,允許 URL 的專案存在 30 天。 在這 30 天內,Microsoft 會從允許專案中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他內容為惡意,否則會傳遞包含這些 URL 的訊息。
- 當郵件流程期間再次遇到 URL 時,會覆寫 安全連結 擷取或 URL 信譽檢查,以及所有其他以 URL 為基礎的篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
- 在選取期間,會覆寫所有以 URL 為基礎的篩選,包括 安全連結 擷取或 URL 信譽檢查,讓使用者能夠存取 URL 上的內容。
向 Microsoft 報告 Teams 訊息
您無法從 [提交] 頁面上的[Teams 訊息] 索引標籤提交 Teams 訊息。 將 Teams 訊息提交給 Microsoft 進行分析的唯一方式,是從 [ 使用者回報 ] 索引標籤提交使用者回報的 Teams 訊息,如本文稍後將 使用者回報的訊息提交給 Microsoft 進行分析 一節中所述。
Teams 訊息索引卷標上的專案是將使用者回報的 Teams 訊息提交給 Microsoft 的結果。 如需詳細資訊,請參閱本文稍後 的檢視已轉換的系統管理員提交 一節。
檢視電子郵件管理員提交給 Microsoft
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。
在 [ 電子郵件] 索引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:
- 擱置
- 已完成
您可以按一下可用的資料行標頭來排序專案。 選 取 [自訂資料行]以變更顯示的資料行。 預設值會標上星號 (*):
- 提交名稱*
- 寄件者*
- 收件者
- 提交日期*
- 提交的原因*
- 原始決策*
- 地位*
- 結果*
- 傳遞/封鎖原因
- 提交識別碼
- 網路訊息識別碼
- 方向
- 寄件者 IP
- 大量相容層級 (BCL)
- 目的地
- 原則動作
- 提交者
- 網路釣魚模擬
- 標籤* :如需使用者標籤的詳細資訊,請參閱使用者標籤。
- 動作
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- 原因
- 原始決策
- 狀態
- 結果
- 標記
若要取消專案群組,請選取 [ 無]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 提交日期: 開始日期 和 結束日期 值。
- 提交標識符:指派給每個提交的 GUID 值。
- 網路訊息識別碼
- Sender
- 收件者
- 提交名稱
- 提交者
- 提交的原因:下列任何值:
- 不是垃圾郵件
- 網路釣魚
- 惡意程式碼
- 垃圾郵件。
- 狀態: 暫止 和 已完成。
- 標籤: 全部 或從下拉式清單中選取 使用者標籤 。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [導出] 將專案清單匯出至 CSV 檔案。
檢視 Teams 系統管理員提交給 Microsoft
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交提交] 的 [提交> ]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,選取 [Teams 訊息] 索引卷 標。
您可以按一下可用的資料行標頭來排序專案。 選 取 [自訂資料行]以變更顯示的資料行。 預設值會標上星號 (*):
- 提交名稱*
- 寄件者sup > *
- 提交日期*
- 提交的原因*
- 提交者
- 地位*
- 結果*
- 收件者
- 提交識別碼
- Teams 訊息識別碼
- 目的地
- 網路釣魚模擬
- 標籤* :如需使用者標籤的詳細資訊,請參閱使用者標籤。
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- 原因
- 原始決策
- 狀態
- 結果
- 標記
若要取消專案群組,請選取 [ 無]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 提交日期: 開始日期 和 結束日期。
- 提交標識符:指派給每個提交的 GUID 值。
- Teams 訊息
- 提交者
- 提交的原因:下列任何值:
- 不是垃圾郵件
- 網路釣魚
- 惡意程式碼
- 狀態: 暫止 和 已完成。
- 標籤: 全部 或從下拉式清單中選取 使用者標籤 。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [導出] 將專案清單匯出至 CSV 檔案。
檢視電子郵件附件系統管理員提交給 Microsoft
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交提交] 的 [提交> ]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission 。
在 [提交]頁面上,選取 [Email附件] 索引卷標。
在[Email附件] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:
- 擱置
- 已完成
您可以按一下可用的資料行標頭來排序專案。 選 取 [自訂資料行]以變更顯示的資料行。 預設值會標上星號 (*):
- 附件檔案名*
- 提交日期*
- 提交的原因*
- 地位*
- 結果*
- 篩選結果
- 傳遞/封鎖原因
- 提交識別碼
- 物件識別碼
- 原則動作
- 提交者
- 標籤* :如需使用者標籤的詳細資訊,請參閱使用者標籤。
- 動作
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- 原因
- 原始決策
- 狀態
- 結果
- 標記
若要取消專案群組,請選取 [ 無]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 提交日期: 開始日期 和 結束日期。
- 提交標識符:指派給每個提交的 GUID 值。
- 附件檔名
- 提交者
- 提交的原因:下列任何值:
- 不是垃圾郵件
- 網路釣魚
- 惡意程式碼
- 垃圾郵件。
- 狀態: 暫止 和 已完成。
- 標籤: 全部 或從下拉式清單中選取 使用者標籤 。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [導出] 將專案清單匯出至 CSV 檔案。
檢視 Microsoft 的 URL 系統管理員提交
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交提交] 的 [提交> ]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,選取 [ URL] 索引卷 標。
在 [ URL] 索 引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:
- 擱置
- 已完成
您可以按一下可用的資料行標頭來排序專案。 選 取 [自訂資料行]以變更顯示的資料行。 預設值會標上星號 (*):
- Url*
- 提交日期*
- 提交的原因*
- 地位*
- 結果*
- 篩選結果
- 傳遞/封鎖原因
- 提交識別碼
- 物件識別碼
- 原則動作
- 提交者
- 標籤* :如需使用者標籤的詳細資訊,請參閱使用者標籤。
- 動作
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- 原因
- 原始決策
- 狀態
- 結果
- 標記
若要取消專案群組,請選取 [ 無]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 提交日期: 開始日期 和 結束日期。
- 提交標識符:指派給每個提交的 GUID 值。
- URL
- 提交者
- 提交的原因:下列任何值:
- 不是垃圾郵件
- 網路釣魚
- 惡意程式碼
- 垃圾郵件
- 狀態: 暫止 和 已完成。
- 標籤: 全部 或從下拉式清單中選取 使用者標籤 。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [導出] 將專案清單匯出至 CSV 檔案。
管理員提交結果詳細資料
系統管理員提交給 Microsoft 進行分析的Email訊息、Teams 訊息、電子郵件附件和 URL 可在 [提交] 頁面上的對應索引標籤上取得。
當您按一下第一欄旁邊核取方塊以外的任何資料列來選取索引標籤上的專案時,原始報告專案的完整資訊、報告專案的狀態,以及所報告專案的分析結果會顯示在開啟的詳細資料飛出視窗中:
- 寄件者在傳遞電子郵件時,電子郵件驗證是否失敗。
- 可能影響或覆寫來自篩選系統之訊息決策的任何原則或覆寫相關資訊。
- 目前的入侵結果,可查看訊息中的 URL 或檔案是否為惡意。
- 來自評分者的意見反應。
如果找到覆寫或原則組態,結果應該會在幾分鐘內提供。 如果電子郵件驗證中沒有問題,或傳遞未受到覆寫或原則的影響,則來自評分者的擷取和意見反應最多可能需要一天的時間。
適用於 Office 365 的 Defender方案 2 中系統管理員提交的動作
在具有適用於 Office 365 的 Microsoft Defender方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織中,系統管理員會在詳細資料飛出視窗中提供下列動作,該飛出視窗會在您從清單中按一下核取方塊以外的任何位置選取專案之後開啟:
開啟電子郵件實體:僅適用于 [ 電子郵件 ] 索引標籤上專案的詳細資料飛出視窗。 如需詳細資訊,請 參閱如何讀取電子郵件實體頁面。
採取動作:僅適用于 [ 電子郵件 ] 索引標籤上專案的詳細資料飛出視窗。 此動作會啟動電子郵件實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱您可以在Email實體頁面上採取的動作。
檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細資料。
在 [ 結果詳細資料 ] 區段中,威脅總管的下列 連結可能也 可供使用,視報告專案的狀態和結果而定:
- 在 [總管:僅限 電子郵件 ] 索引標籤中檢視此訊息。
- 在 [總管: 僅限電子郵件] 索引標籤中搜尋類似的訊息。
- 搜尋 URL 或檔案:僅Email附件或URL 索引標籤。
使用者回報訊息的管理員選項
如果下列陳述成立,系統管理員可以在 [提交] 頁面的 [使用者報告] 索引標籤上查看使用者報告的內容:
- 使用者回報的設定已開啟。
- Email訊息:您使用支援的方法讓使用者報告訊息:
- Microsoft 報表訊息或報表網路釣魚增益集。
- Outlook 網頁版中的內建 [報表] 按鈕。
- 支援的協力廠商報告工具
- Teams 訊息:已開啟 Teams 訊息的使用者報告設定 。
附註:
- 使用者回報的郵件只會傳送給 Microsoft 或 Microsoft,而 報告信箱 會出現在 [ 使用者回報 ] 索引標籤上。雖然這些訊息已回報給 Microsoft,但系統管理員可以重新提交報告的訊息。
- 只傳送至報告信箱的使用者報告郵件會顯示在 [ 使用者回報 ] 索引標籤上, 其 [結果 ] 值 為 [未提交至 Microsoft]。 系統管理員應該向 Microsoft 報告這些訊息以進行分析。
在 Microsoft Defender 入口網站中 https://security.microsoft.com ,移至 [動作 & 提交>提交]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission 。
在 [ 提交] 頁面上,選取 [ 使用者回報 ] 索引標籤。
下列小節說明 [提交] 頁面上 [使用者報告] 索引標籤上可用的資訊和動作。
檢視使用者向 Microsoft 回報的訊息
在 [ 使用者回報] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:
- 威脅
- 垃圾郵件
- 無威脅
- 類比
您可以按一下可用的資料行標頭來排序專案。 選 取 [自訂資料行]以變更顯示的資料行。 預設值會標上星號 (*):
- 名稱和類型*
- 報告者*
- 報告日期*
- 寄件者*
- 報告原因*
- 原始決策*
- 結果* :根據使用者回報的設定,包含所報告訊息的下列資訊:
- 將報告的訊息傳送至>僅限Microsoft 和我的報表信箱或 Microsoft:衍生自下列分析的值:
- 原則叫用:任何可能允許或封鎖傳入訊息的原則或覆寫相關資訊,包括對篩選決策的覆寫。 結果應該會在幾分鐘內取得。 否則,來自評分者的擷取和意見反應最多可能需要一天的時間。
- 承載信譽/失效:訊息中任何 URL 和檔案的最新檢查。
- 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。
- 將報告的訊息傳送至>僅限我的報表信箱:此值一律不會提交給 Microsoft,因為 Microsoft 不會分析這些郵件。
- 將報告的訊息傳送至>僅限Microsoft 和我的報表信箱或 Microsoft:衍生自下列分析的值:
- 訊息報告識別碼
- 網路訊息識別碼
- Teams 訊息識別碼
- 寄件者 IP
- 報告來源
- 網路釣魚模擬
- 已轉換為系統管理員提交
- 標示為*
- 標示者
- 標示的日期
- 標籤* :如需使用者標籤的詳細資訊,請參閱使用者標籤。
若要將專案分組,請選取 [ 群組],然後選取下列其中一個值:
- Sender
- 報告者
- 原始決策
- 結果
- 報告來源
- 已轉換為系統管理員提交
- 標記
若要取消專案群組,請選取 [ 無]。
若要篩選項目,請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 報告日期: 開始日期 和 結束日期。
- 報告者
- 名稱
- 訊息報告識別碼
- 網路訊息識別碼
- Teams 訊息識別碼
- Sender
- 報告原因: [無威脅]、[ 網路釣魚] 和 [ 垃圾郵件] 值。
- 報告來源: Microsoft 和第 三方的值。
- 網路釣魚模擬:[ 是 ] 和 [ 否] 值。
- 轉換為系統管理員提交:[ 是 ] 和 [ 否] 值。
- 訊息類型:Email和Teams的值。
- 標籤: 全部 或從下拉式清單中選取 使用者標籤 。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選 取[清除篩選]。
使用 [導出] 將專案清單匯出至 CSV 檔案。
如需 [ 使用者回報 ] 索引標籤上訊息可用動作的詳細資訊,請參閱下一個子區段。
使用者回報訊息的管理員動作
在 [ 使用者回報] 索引標籤上,使用者回報訊息的動作可在索引標籤本身或選取專案的詳細資料飛出視窗中取得:
選取第一個資料行旁邊的核取方塊,從清單中選取訊息。 [ 使用者報告 ] 索引標籤上提供下列動作:
按一下核取方塊以外的資料列中的任何位置,從清單中選取訊息。 下列動作可在開啟的詳細資料飛出視窗中取得 * :
提交至 Microsoft 進行分析
標示為 並通知
檢視已轉換的系統管理員提交
- 僅適用於 Office 365 的 Microsoft Defender方案 2 中的動作:
開啟電子郵件實體
採取動作
檢視警示
提示
若要查看其他使用者回報訊息的詳細資料或採取動作,而不需離開詳細資料飛出視窗,請使用
飛出視窗頂端的 [上一個專案] 和 [下一步] 專案。
*視訊息的本質和狀態而定,某些動作可能無法使用、直接在飛出視窗頂端提供,或是在飛出視窗頂端的 [更多動作] 下 提供。
下列小節說明這些動作。
注意事項
在使用者回報可疑的訊息之後,使用者或系統管理員就無法復原訊息的報告,不論報告的郵件 (至 Microsoft 或兩者) 。 使用者可以從其 [刪除的專案] 或 [垃圾郵件] Email資料夾復原報告的訊息。
將使用者回報的訊息提交給 Microsoft 進行分析
選取 [ 使用者回報 ] 索引標籤上的訊息之後,請使用下列其中一種方法將訊息提交給 Microsoft:
在 [使用者回報] 索引標籤上:選取 [
提交至 Microsoft 進行分析]*。
在所選訊息的詳細資料飛出視窗中:選
取 [提交至 Microsoft 進行分析] 或
[更多] 選項>
[提交至 Microsoft] 以在飛出視窗頂端進行分析。
在 [ 提交至 Microsoft 進行分析] 下拉式清單中,選取下列其中一個值:
電子郵件訊息的可用值:
報表清除:在開啟的對話方塊中,檢閱或設定下列設定:
允許具有類似屬性的電子郵件 (URL、寄件者等 ) :選取此選項可在租使用者允許/封鎖清單中新增對應的允許專案。 下列為可用的設定:
- 在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
- 允許輸入附注:輸入有關為何封鎖此電子郵件的選擇性資訊。
當您在 [以清除方式 提交訊息至 Microsoft ] 對話方塊中完成時,請選取 [ 提交]。
- 在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
報告網路釣魚、 報告惡意程式碼 或 報告垃圾郵件:這些選項在開啟的對話方塊中具有相同的選項:
封鎖來自此寄件者或網域的所有電子郵件:選取此選項可在租使用者允許/封鎖清單中新增寄件者或網域封鎖專案。 下列為可用的設定:
- 選 取 [寄件者 ] 或 [網域]。
- 在之後移除允許專案:預設值為 30 天,但您可以從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
當您在對話方塊中完成時,請選取 [ 提交]。
觸發程式調查:僅適用於 Office 365 的 Defender方案 2。 如需詳細資訊,請 參閱觸發調查。
Teams 訊息的可用值:當您選取下列其中一個值時,沒有其他選項可用:
- 報表清除
- 報告網路釣魚
- 報告惡意程式碼
當您從 [ 使用者回報 ] 索引標籤將使用者回報的訊息提交給 Microsoft 之後,[ 轉換為系統管理員提交 ] 的值會從 [否 ] 變成 [ 是],並在 [ 提交 ] 頁面的適當索引標籤上建立對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引標籤) 。
通知使用者系統管理員已提交訊息給 Microsoft
當系統管理員從 [使用者回報] 索引標籤將使用者回報的訊息提交給 Microsoft 之後,系統管理員可以使用 [標示為] 並通知動作,將訊息標示為決策,並將範本化通知訊息傳送給報告訊息的使用者。
電子郵件訊息的可用決策:
- 找不到威脅
- 網路釣魚
- 垃圾郵件
Teams 訊息的可用決策:
- 找不到威脅
- 網路釣魚
如需詳細資訊,請 參閱從入口網站通知使用者。
檢視已轉換的系統管理員提交
當系統管理員從 [ 使用者回報 ] 索引標籤將使用者回報的訊息提交給 Microsoft 之後, [轉換為系統管理員提交 ] 的值為 [ 是]。
如果您按一下名稱旁邊核取方塊以外的資料列中的任何位置來選取其中一則訊息,詳細資料飛出視窗會包含 [更多動作>
] [檢視已轉換的系統管理員提交]。
此動作會帶您前往適當索引標籤上對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引標籤) 。
適用於 Office 365 的 Defender方案 2 中使用者回報訊息的動作
在適用於 Office 365 的 Microsoft Defender方案 2 (附加元件授權或包含在Microsoft 365 E5) 等訂用帳戶的組織中,使用者回報訊息的詳細資料飛出視窗中也可以使用下列動作:使用者回報的索引標籤:
僅) 開啟電子郵件實體 (電子郵件:如需詳細資訊,請參閱如何讀取電子郵件實體頁面。
僅) (電子郵件訊息採取動作:此動作會啟動電子郵件實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱您可以在Email實體頁面上採取的動作。
檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細資料。
意見反應
提交並檢視相關的意見反應