在 Microsoft Defender for Office 365 中配置反钓鱼策略
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在具有Microsoft Defender for Office 365的组织中,防钓鱼策略提供以下类型的保护:
- Exchange Online Protection (EOP) 中提供的相同反欺骗保护。 有关详细信息,请参阅 欺骗设置。
- 防模拟保护,防止其他类型的网络钓鱼攻击。 有关详细信息,请参阅 Microsoft Defender for Office 365 中反钓鱼策略中的“独占”设置。
默认的防钓鱼策略会自动应用于所有收件人。 为了提高粒度,还可以创建自定义反钓鱼策略,这些策略适用于组织中的特定用户、组或域。
可以在Microsoft Defender门户或 PowerShell Exchange Online 配置反钓鱼策略。
有关组织中没有Defender for Office 365的防钓鱼策略过程,请参阅在 EOP 中配置反钓鱼策略。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
-
- 添加、修改和删除策略: 组织管理 或 安全管理员 角色组中的成员身份。
- 对策略的只读访问权限:全局读取者、安全读取者或仅查看组织管理角色组中的成员身份。
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
有关Defender for Office 365中反钓鱼策略的建议设置,请参阅Defender for Office 365设置中的反钓鱼策略。
提示
如果Standard或严格预设安全策略中也包含收件人,则忽略默认或自定义反钓鱼策略中的设置。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
应用新的或更新的策略最多需要 30 分钟。
使用Microsoft Defender门户创建防钓鱼策略
在 Microsoft Defender 门户中https://security.microsoft.com,转到策略部分中Email &协作>策略& 规则>威胁策略>反钓鱼。 若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在“防钓鱼”页上,选择“创建”以打开新的防钓鱼策略向导。
在 “策略名称 ”页上,配置以下设置:
- 名称:输入策略的唯一描述性名称。
- 说明:输入策略的可选说明。
在 “策略名称 ”页上完成操作后,选择“ 下一步”。
在 “用户、组和域 ”页上,确定策略应用于 (收件人条件的内部收件人) :
- 用户:指定的邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:组织中具有指定接受域主电子邮件地址的所有收件人。
单击相应的框,开始键入值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户或组,输入星号 (*) ,以查看所有可用值。
只能使用一次条件,但条件可以包含多个值:
同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
排除这些用户、组和域: 若要为策略应用于的内部收件人添加例外 (收件人例外),请选择此选项并配置例外。
只能使用一次异常,但该异常可以包含多个值:
- 同一异常的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
- 不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
完成 “用户、组和域 ”页后,选择“ 下一步”。
在 “网络钓鱼阈值 & 保护 ”页上,配置以下设置:
钓鱼电子邮件阈值:使用滑块选择以下值之一:
- 1 - Standard (这是默认值。)
- 2 - 积极
- 3 - 更积极
- 4 - 最积极
有关此设置的详细信息,请参阅 Microsoft Defender for Office 365 中的反钓鱼策略中的高级钓鱼阈值。
模拟:这些设置是策略的条件,用于标识要单独或按入站邮件发件人地址中的域) 查找 (的特定发件人。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的防钓鱼策略中的模拟设置。
使用户能够保护:默认情况下不会选择此设置。 若要启用用户模拟保护,请选择“检查”框,然后选择“管理 (nn) 发件人 () ”链接。 在下一页上标识用户模拟检测的操作。
可以通过组合显示名称和电子邮件地址来标识要保护的内部和外部发件人。
选择“ 添加用户”。 在打开的 “添加用户 ”浮出控件中,执行以下步骤:
内部用户:单击“ 添加有效电子邮件 ”框,或开始键入用户的电子邮件地址。 在显示的“ 建议的联系人” 下拉列表中选择电子邮件地址。 用户的显示名称将添加到“ 添加名称 ”框中, (可以更改) 。 选择完用户后,选择“ 添加”。
外部用户:在 “添加有效 电子邮件地址”框中键入外部用户的完整电子邮件地址,然后在显示的“ 建议的联系人” 下拉列表中选择该电子邮件地址。 电子邮件地址还会添加到“ 添加名称 ”框中, (可以更改为) 显示名称。
添加的用户按名称和Email地址在“添加用户”浮出控件上列出。 若要删除用户,请选择条目旁边的。
完成“ 添加用户 ”浮出控件后,选择“ 添加”。
返回“ 管理模拟保护发件人 ”浮出控件时,所选用户按 “显示名称” 和“ 发件人电子邮件地址”列出。
若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找浮出控件上的条目。
若要添加条目,请选择“添加用户”并重复前面的步骤。
若要删除条目,请执行以下步骤之一:
- 通过选择显示在显示名称值旁边的空白区域中的圆形检查框,选择一个或多个条目。
- 通过选择显示在“显示名称”列标题旁边的空白区域中的圆形检查框,一次选择所有条目。
完成“ 管理模拟保护的发件人 ”浮出控件后,选择“ 完成 ”以返回到 “钓鱼阈值 & 保护 ”页。
注意
在每个反钓鱼策略中,最多可以指定 350 个用户进行用户模拟保护。
如果发件人和收件人以前通过电子邮件进行通信,则用户模拟保护不起作用。 如果发件人和收件人从未通过电子邮件进行通信,则可以将邮件标识为模拟尝试。
如果在另一个反钓鱼策略中为用户模拟保护指定了该电子邮件地址时,尝试将用户添加到用户模拟保护,则可能会收到错误“电子邮件地址已存在”。 此错误仅在 Defender 门户中发生。 如果在 PowerShell 中的 New-AntiPhishPolicy 或 Set-AntiPhishPolicy cmd Exchange Online let 中使用相应的 TargetedUsersToProtect 参数,则不会收到错误。
启用要保护的域:默认情况下不会选择此设置。 若要启用域模拟保护,请选择“检查”框,然后配置显示的以下一个或两个设置。 你将在下一页上标识域模拟检测的操作。
包括我拥有的域:若要启用此设置,请选择“检查”框。 若要查看你拥有的域,请选择“ 查看我的域”。
包括自定义域:若要启用此设置,请选择“检查”框,然后选择“管理 (nn) 自定义域 () 链接。 在打开 的“管理模拟保护的自定义域 ”浮出控件中,执行以下步骤:
选择“ 添加域”。
在显示的 “添加自定义域 ”浮出控件中,单击“ 域 ”框,输入域值,然后选择该框下方显示的值。 根据需要重复执行此步骤(次数不限)。
添加的域在 “添加自定义域” 浮出控件上列出。 若要删除域,请选择 值旁边的 。
完成“添加自定义域”浮出控件后,选择“添加域”
返回“ 管理模拟保护的自定义域 ”浮出控件时,将列出你输入的域。
若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找浮出控件上的条目。
若要添加条目,请选择“添加域”并重复前面的步骤。
若要删除条目,请执行以下步骤之一:
- 通过选择域值旁边的空白区域中显示的圆形检查框,选择一个或多个条目。
- 通过选择“域”列标题旁边的空白区域中显示的圆形检查框,一次选择所有条目。
完成“ 管理模拟保护的自定义域 ”浮出控件后,选择“ 完成 ”以返回到 “钓鱼阈值 & 保护 ”页。
添加受信任的发件人和域:通过选择“ 管理 (nn) 受信任的发件人 () 和域 () ,为策略指定模拟保护例外。 在打开 的“管理模拟保护自定义域 ”浮出控件上,可以在“ 发件人 ”选项卡上输入发件人,在“ 域 ”选项卡上输入域。
注意
受信任的发件人和域条目的最大数目为 1024。
“发件人”选项卡:选择“添加发件人”。
在打开的 “添加受信任的发件人” 浮出控件中,在 “添加有效电子邮件地址 ”框中输入电子邮件地址,然后选择“ 添加”。 根据需要重复执行此步骤(次数不限)。 若要删除现有条目,请选择 该条目。
完成 “添加受信任发件人 ”浮出控件后,选择“ 添加”。
返回“ 发件人 ”选项卡,将列出你输入的发件人。
若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找浮出控件上的条目。
若要添加条目,请选择“添加发件人”并重复上述步骤。
若要删除条目,请执行以下步骤之一:
- 通过选择发件人值旁边的空白区域中显示的圆形检查框,选择一个或多个条目。
- 通过选择“发件人”列标题旁边的空白区域中显示的圆形检查框,一次选择所有条目。
完成“管理模拟保护自定义域”浮出控件的“发件人”选项卡后,选择“域”选项卡添加域,或选择“完成”以返回到“钓鱼阈值 & 保护”页。
提示
如果Microsoft来自以下发件人的 365 条系统消息被标识为模拟尝试,则可以将发件人添加到受信任的发件人列表中:
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
noreply@planner.office365.com
“域 ”选项卡:选择“ 添加域”。 在打开 的“添加受信任域 ”浮出控件中,在“域”框中输入 域 ,然后在显示的下拉列表中选择域。 根据需要重复执行此步骤(次数不限)。 若要删除现有条目,请选择 该条目。
完成 “添加受信任域 ”浮出控件后,选择“ 添加域”。
返回“ 域 ”选项卡,现在列出了你添加的域。
若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找选项卡上的条目。
若要添加条目,请选择“添加域”并重复前面的步骤。
若要删除条目,请执行以下步骤之一:
- 通过选择域值旁边的空白区域中显示的圆形检查框,选择一个或多个条目。
- 通过选择显示在“域”列标题旁边的空白区域中的圆形检查框,一次选择所有条目。
完成“管理模拟保护自定义域”浮出控件的“域”选项卡后,选择“发件人”选项卡添加发件人,或选择“完成”以返回到“钓鱼阈值 & 保护”页。
注意
受信任的域条目不包括指定域的子域。 需要为每个子域添加一个条目。
完成“ 管理模拟保护的自定义域 ”浮出控件后,选择“ 完成”以返回到 “钓鱼阈值 & 保护 ”页。
启用邮箱智能:此设置默认处于选中状态,建议将其保留为选中状态。 若要关闭邮箱智能,请清除“检查”框。
为模拟保护启用智能:仅当“ 启用邮箱智能” 处于选中状态时,此设置才可用。 此设置允许邮箱智能对标识为模拟尝试的邮件执行操作。 在下一页上指定要对邮箱智能检测执行的操作。
注意
如果发件人和收件人以前通过电子邮件通信,则邮箱智能保护不起作用。 如果发件人和收件人从未通过电子邮件进行通信,则邮箱智能可以将邮件标识为模拟尝试。
若要启用邮箱智能保护,请选择“检查”框。 在下一页上指定邮箱智能检测的操作。
“欺骗”部分:使用“启用欺骗智能检查”框打开或关闭欺骗智能。 此设置默认处于选中状态,建议将其保留为选中状态。 在下一页上指定要对来自被阻止的欺骗发件人的邮件执行的操作。
若要关闭欺骗智能,请清除检查框。
注意
如果 MX 记录未指向 Microsoft 365,则无需关闭欺骗智能;请改为为连接器启用增强筛选。 有关说明,请参阅 Exchange Online 中连接器的增强筛选。
完成“ 钓鱼阈值 & 保护 ”页后,选择“ 下一步”。
在 “操作” 页上,配置以下设置:
消息操作 部分:配置以下操作:
如果检测到消息为用户模拟:只有在上一页上选择了 “启用用户保护 ”时,此设置才可用。 在下拉列表中选择以下操作之一:
不要 (默认) 应用任何操作
将邮件重定向到其他电子邮件地址
将邮件移动到收件人的垃圾邮件Email文件夹
隔离邮件:如果选择此选项,则会显示“ 应用隔离策略 ”框,可在其中选择适用于用户模拟保护隔离的邮件的隔离策略。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关隔离策略的详细信息,请参阅 隔离策略剖析。
如果未选择隔离策略,则会 (DefaultFullAccessPolicy) 使用用户模拟检测的默认隔离策略。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
传递邮件并将其他地址添加到密件抄送行
在邮件传递之前删除邮件
如果消息被检测为模拟域:仅当在上一页上选择了 “启用要保护的域 ”时,此设置才可用。 在下拉列表中选择以下操作之一:
不要 (默认) 应用任何操作
将邮件重定向到其他电子邮件地址
将邮件移动到收件人的垃圾邮件Email文件夹
隔离邮件:如果选择此操作,则会显示“ 应用隔离策略 ”框,可在其中选择适用于域模拟保护隔离的邮件的隔离策略。
如果未选择隔离策略,则会 (DefaultFullAccessPolicy) 使用域模拟检测的默认隔离策略。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
传递邮件并将其他地址添加到密件抄送行
在邮件传递之前删除邮件
如果邮箱智能检测到模拟用户:只有在上一页上选择了 “启用智能进行模拟保护 ”时,此设置才可用。 在下拉列表中选择以下操作之一:
不要 (默认) 应用任何操作
将邮件重定向到其他电子邮件地址
将邮件移动到收件人的垃圾邮件Email文件夹
隔离邮件:如果选择此操作,则会显示“ 应用隔离策略 ”框,可在其中选择适用于邮箱智能保护隔离的邮件的隔离策略。
如果未选择隔离策略,将使用邮箱智能检测的默认隔离策略 (DefaultFullAccessPolicy) 。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
传递邮件并将其他地址添加到密件抄送行
在邮件传递之前删除邮件
当邮件被检测为欺骗时,遵循 DMARC 记录策略:默认情况下,此设置处于选中状态,并允许你控制发件人未通过显式 DMARC 检查且 DMARC 策略设置为
p=quarantine
或p=reject
的邮件会发生什么情况:如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=隔离:选择以下操作之一:
- 隔离邮件:这是默认值。
- 将邮件移动到收件人的垃圾邮件Email文件夹
如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=reject:请选择以下操作之一:
- 隔离邮件
- 拒绝消息:这是默认值。
有关详细信息,请参阅 欺骗保护和发件人 DMARC 策略。
如果邮件被欺骗智能检测为欺骗:仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 在下拉列表中,为来自被阻止的欺骗发件人的邮件选择以下操作之一:
将邮件移动到收件人的“垃圾邮件”Email文件夹 (默认)
隔离邮件:如果选择此操作,则会显示“ 应用隔离策略 ”框,在其中选择适用于被欺骗智能保护隔离的邮件的隔离策略。
如果未选择隔离策略,则会 (DefaultFullAccessPolicy) 使用欺骗智能检测的默认隔离策略。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
安全提示 & 指示器 部分:配置以下设置:
- 显示第一个触点安全提示:有关详细信息,请参阅 第一个触点安全提示。
- 显示用户模拟安全提示:仅当在上一页上选择了 “启用用户保护 ”时,此设置才可用。
- 显示域模拟安全提示:仅当在上一页上选择了 “启用要保护的域 ”时,此设置才可用。
- 显示用户模拟异常字符安全提示 仅当在上一页上选择了 “启用用户保护 ”或 “启用域保护 ”时,此设置才可用。
- 为欺骗的未经身份验证的发件人显示 (?) :仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 如果邮件未通过 SPF 或 DKIM 检查, 并且 邮件未通过 DMARC 或 复合身份验证,则向 Outlook 中发件人的照片添加问号 (?) 。 默认情况下,此设置处于选中状态。
- 显示“via”标记:仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 如果通过 (fabrikam.com) chris@contoso.com 命名的标记与 DKIM 签名或 MAIL FROM 地址中的域不同,则将其添加到“发件人”地址。 默认情况下,此设置处于选中状态。
若要打开某个设置,请选择“检查”框。 若要将其关闭,请清除“检查”框。
完成“ 操作” 页后,选择“ 下一步”。
在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅 ”页面后,选择“ 提交”。
在 “新建防钓鱼策略” 页上,可以选择链接以查看策略、查看防钓鱼策略以及了解有关防钓鱼策略的详细信息。
在“ 新建反钓鱼策略创建 ”页上完成操作后,选择“ 完成”。
返回到 “防钓鱼 ”页,将列出新策略。
使用Microsoft Defender门户查看防钓鱼策略详细信息
在Microsoft Defender门户中,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>“防钓鱼”。 或者,若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在 “防钓鱼 ”页上,防钓鱼策略列表中显示了以下属性:
- 名称
-
状态:值为:
- 默认的防钓鱼策略始终处于打开状态。
- 打开或关闭其他反垃圾邮件策略。
- 优先级:有关详细信息,请参阅 设置自定义反垃圾邮件策略的优先级 部分。 若要将策略列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
选择“筛选”,按时间范围 (创建日期) 或状态筛选策略。
使用“ 搜索 ”框和相应的值查找特定的防钓鱼策略。
使用 “导出” 将策略列表导出到 CSV 文件。
单击名称旁边的“检查”框以外的任何位置,以打开策略的详细信息浮出控件,从而选择策略。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他反钓鱼策略的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
使用Microsoft Defender门户对防钓鱼策略采取措施
在Microsoft Defender门户中,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>“防钓鱼”。 或者,若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在 “防钓鱼 ”页上,使用以下方法之一选择反钓鱼策略:
以下小节介绍了这些操作。
使用Microsoft Defender门户修改反钓鱼策略
通过单击名称旁边的“检查”框旁边的行以外的任意位置选择默认的防钓鱼策略或自定义策略后,策略设置将显示在打开的详细信息浮出控件中。 选择“每个部分中的 编辑 ”以修改该部分中的设置。 有关设置的详细信息,请参阅本文前面的 创建反钓鱼策略 部分。
对于默认策略,无法修改策略的名称,并且没有要配置 (策略应用于) 的所有收件人的收件人筛选器。 但是,可以修改策略中的所有其他设置。
对于名为 Standard预设安全策略和严格预设安全策略(与预设安全策略关联的)的防钓鱼策略,无法修改详细信息浮出控件中的策略设置。 相反,在详细信息浮出控件中选择“ 查看预设安全策略 ”,转到 “ 预设安全策略 ” 页, https://security.microsoft.com/presetSecurityPolicies 以修改预设的安全策略。
使用Microsoft Defender门户启用或禁用自定义反钓鱼策略
(始终) 启用默认反钓鱼策略,则无法禁用该策略。
无法启用或禁用与Standard和严格预设安全策略关联的反钓鱼策略。 在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies启用或禁用Standard或严格预设安全策略。
选择已启用的自定义防钓鱼策略 (“状态” 值为 “On) ”后,请使用以下方法之一将其禁用:
- 在“防钓鱼”页上:选择“ 更多操作>”“禁用所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 关闭 ”。
选择禁用的自定义防钓鱼策略 (“状态” 值为 “关闭) ”后,请使用以下任一方法启用它:
- 在“防钓鱼”页上:选择“ 更多操作>”“启用所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 打开 ”。
在“防钓鱼”页上,策略的“状态”值现在为“打开”或“关闭”。
使用Microsoft Defender门户设置自定义防钓鱼策略的优先级
反钓鱼策略的处理顺序如下:“ 防钓鱼 ”页上显示这些策略:
- 如果) 启用了严格预设安全策略,则始终首先应用与严格预设安全策略关联的名为“严格预设安全策略”的反钓鱼策略 (。
- 如果 ) 启用Standard预设安全策略,则始终在 (下一个 (应用与Standard预设安全策略关联的名为 Standard 预设安全策略的防钓鱼策略。
- 如果启用了自定义反钓鱼策略,则会按优先级顺序 (下一个应用) :
- 优先级值越低表示优先级越高, (0 表示) 最高。
- 默认情况下,创建一个新策略的优先级低于最低现有自定义策略 (第一个为 0,第二个为 1,等等 ) 。
- 没有两个策略可以具有相同的优先级值。
- 默认的防钓鱼策略始终具有优先级值 “最低”,无法更改它。
应用第一个策略后, (该收件人) 的最高优先级策略后,针对该收件人的防钓鱼保护将停止。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
通过单击名称旁的“检查”框以外的行中的任意位置选择自定义反钓鱼策略后,可以在打开的详细信息浮出控件中增加或降低策略的优先级:
- “防钓鱼”页上优先级值为 0 的自定义策略在详细信息浮出控件顶部具有“降低优先级”操作。
- 优先级最低 (优先级值 最高的自定义策略;例如, 3) 详细信息浮出控件顶部有 “增加优先级 ”操作。
- 如果有三个或更多策略,则优先级 0 和最低优先级之间的策略在详细信息浮出控件顶部同时具有“增加优先级”和“减少优先级操作”。
完成策略详细信息浮出控件后,选择“ 关闭”。
返回到 “防钓鱼 ”页,列表中的策略顺序与更新的 “优先级” 值匹配。
使用Microsoft Defender门户删除自定义反钓鱼策略
无法删除默认的防钓鱼策略或名为“Standard预设安全策略”和“严格预设安全策略”(与预设安全策略关联的防钓鱼策略)。
选择自定义防钓鱼策略后,使用以下方法之一将其删除:
- 在“防钓鱼”页上:选择“ 更多操作>”“删除所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 删除策略 ”。
在打开的警告对话框中选择 “是 ”。
在 “防钓鱼 ”页上,已删除的策略不再列出。
使用 Exchange Online PowerShell 配置反钓鱼策略
在 PowerShell 中,防钓鱼策略的基本元素包括:
- 防钓鱼策略:指定要启用或禁用的网络钓鱼防护、要应用于这些保护的操作以及其他选项。
- 防钓鱼规则:指定优先级和收件人筛选器, (策略应用于关联反网络钓鱼策略) 的人员。
在 Microsoft Defender 门户中管理反钓鱼策略时,这两个元素之间的差异并不明显:
- 在 Defender 门户中创建策略时,实际上是同时创建一个反网络钓鱼规则和关联的反网络钓鱼策略,这两者的名称相同。
- 在 Defender 门户中修改策略时,与名称、优先级、启用或禁用和收件人筛选器相关的设置将修改反钓鱼规则。 所有其他设置都修改关联的反钓鱼策略。
- 在 Defender 门户中删除策略时,将同时删除反网络钓鱼规则和关联的反网络钓鱼策略。
在 Exchange Online PowerShell 中,反网络钓鱼策略和反网络钓鱼规则之间的差异是显而易见的。 使用 *-AntiPhishPolicy cmdlet 管理反钓鱼策略,并使用 *-AntiPhishRule cmdlet 管理反钓鱼规则。
- 在 PowerShell 中,首先创建反网络钓鱼策略,然后创建反网络钓鱼规则,以标识应用该规则的关联策略。
- 在 PowerShell 中,可以分别修改反网络钓鱼策略和反网络钓鱼规则中的设置。
- 从 PowerShell 中删除反网络钓鱼策略时,不会自动删除相应的反网络钓鱼规则,反之亦然。
使用 PowerShell 创建防钓鱼策略
在 PowerShell 中创建防钓鱼策略是一个两步过程:
- 创建防钓鱼策略。
- 创建反网络钓鱼规则,该规则指定应用该规则的反网络钓鱼策略。
注意:
- 可以创建新的反网络钓鱼规则,并为其分配现有的未关联的反网络钓鱼策略。 一个反网络钓鱼规则不能与多个反网络钓鱼策略相关联。
- 可以在 PowerShell 中为新的反网络钓鱼策略配置以下设置,这些设置在创建策略后Microsoft Defender门户中不可用:
- 在 New-AntiPhishRule cmdlet) 上创建禁用 (已启用
$false
的新策略。 - 在 New-AntiPhishRule cmdlet) 上设置策略的优先级 (优先级<编号>) 。
- 在 New-AntiPhishRule cmdlet) 上创建禁用 (已启用
- 在 PowerShell 中创建的新反网络钓鱼策略在Microsoft Defender门户中不可见,直到将策略分配给反网络钓鱼规则。
步骤 1:使用 PowerShell 创建防钓鱼策略
若要创建防钓鱼策略,请使用以下语法:
New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>
此示例使用以下设置创建名为“研究隔离区”的反钓鱼策略:
- (不使用 Enabled 参数启用策略,默认值为
$true
) 。 - 说明为:研究部门策略。
- 为所有接受的域启用组织域保护,并为 fabrikam.com 启用目标域保护。
- 将“隔离”指定为域模拟检测的操作,并使用隔离邮件的默认隔离策略, (不使用 TargetedDomainQuarantineTag 参数) 。
- 指定 Mai Fujito (mfujito@fabrikam.com) 作为用户,以防止模拟。
- 将“隔离”指定为用户模拟检测的操作,并在不使用 TargetedUserQuarantineTag 参数) (对隔离邮件使用默认隔离策略。
- 启用邮箱智能 (EnableMailboxIntelligence) ,允许邮箱智能保护对邮件执行操作 (EnableMailboxIntelligenceProtection) ,将隔离指定为检测到的邮件的操作,并 (不使用 MailboxIntelligenceQuarantineTag 参数) 使用隔离邮件的默认隔离策略。
- 将欺骗检测的默认操作更改为“隔离”,并在不使用 SpoofQuarantineTag 参数) (对隔离邮件使用默认隔离策略。
-
p=quarantine
p=reject
在发送方 DMARC 策略中默认启用, (不使用 HonorDmarcPolicy 参数,默认值为$true
) 。- (未使用 DmarcQuarantineAction 参数且默认值为“隔离) ,则会隔离发件人的 DMARC 策略
p=quarantine
的 DMARC 失败的邮件。 - (未使用 DmarcRejectAction 参数且默认值为 Reject) ,则拒绝发送方 DMARC 策略
p=reject
的 DMARC 失败的消息。
- (未使用 DmarcQuarantineAction 参数且默认值为“隔离) ,则会隔离发件人的 DMARC 策略
- 启用所有安全提示。
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true
有关详细语法和参数信息,请参阅 New-AntiPhishPolicy。
提示
有关指定要在反钓鱼策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在反钓鱼策略中指定隔离策略。
步骤 2:使用 PowerShell 创建防钓鱼规则
若要创建防钓鱼规则,请使用以下语法:
New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
此示例创建名为“研究部”的反网络钓鱼规则,条件如下:
- 该规则与名为“研究隔离”的反网络钓鱼策略相关联。
- 此规则应用于“研究部门”组中的成员。
- 由于未使用 Priority 参数,因此使用默认优先级。
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"
有关详细语法和参数信息,请参阅 New-AntiPhishRule。
使用 PowerShell 查看反钓鱼策略
若要查看现有的防钓鱼策略,请使用以下语法:
Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
此示例返回所有反网络钓鱼策略的摘要列表以及指定的属性。
Get-AntiPhishPolicy | Format-Table Name,IsDefault
此示例返回名为 Executives 的反网络钓鱼策略的所有属性值。
Get-AntiPhishPolicy -Identity "Executives"
有关详细的语法和参数信息,请参阅 Get-AntiPhishPolicy。
使用 PowerShell 查看反钓鱼规则
若要查看现有的防钓鱼规则,请使用以下语法:
Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]
此示例返回所有反钓鱼规则的摘要列表以及指定的属性。
Get-AntiPhishRule | Format-Table Name,Priority,State
若要按已启用或已禁用规则筛选列表,请运行以下命令:
Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority
此示例返回名为 Contoso Executives 的反钓鱼规则的所有属性值。
Get-AntiPhishRule -Identity "Contoso Executives"
有关详细语法和参数信息,请参阅 Get-AntiPhishRule。
使用 PowerShell 修改反钓鱼策略
除以下项目外,在 PowerShell 中修改反钓鱼策略时,可以使用与创建策略时相同的设置,如本文前面的 步骤 1:使用 PowerShell 创建反钓鱼策略 部分中所述。
将指定策略转换为默认策略的 MakeDefault 开关 (应用于所有人,始终为 最低 优先级,并且你无法删除它,) 仅在 PowerShell 中修改反网络钓鱼策略时可用。
(Set-AntiPhishPolicy cmdlet 没有 Name 参数) ,则无法重命名反网络钓鱼策略。 在 Microsoft Defender 门户中重命名反钓鱼策略时,只会重命名反网络钓鱼规则。
若要修改防钓鱼策略,请使用以下语法:
Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>
有关详细语法和参数信息,请参阅 Set-AntiPhishPolicy。
提示
有关指定要在反钓鱼策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在反钓鱼策略中指定隔离策略。
使用 PowerShell 修改反钓鱼规则
在 PowerShell 中修改反网络钓鱼规则时,唯一不可用的设置是 Enabled 参数,它允许你创建禁用的规则。 若要启用或禁用现有的反钓鱼规则,请参阅下一部分。
否则,在 PowerShell 中修改反网络钓鱼规则时,没有可用的其他设置。 创建规则时,可以使用相同的设置,如本文前面的 步骤 2:使用 PowerShell 创建防钓鱼规则 部分中所述。
若要修改防钓鱼规则,请使用以下语法:
Set-AntiPhishRule -Identity "<RuleName>" <Settings>
有关详细语法和参数信息,请参阅 Set-AntiPhishRule。
使用 PowerShell 启用或禁用反钓鱼规则
在 PowerShell 中启用或禁用反网络钓鱼规则可启用或禁用整个反网络钓鱼策略, (反钓鱼规则和分配的反网络钓鱼策略) 。 无法启用或禁用默认的防钓鱼策略, (它始终应用于) 的所有收件人。
若要在 PowerShell 中启用或禁用反钓鱼规则,请使用以下语法:
<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"
此示例禁用名为 Marketing Department 的反网络钓鱼规则。
Disable-AntiPhishRule -Identity "Marketing Department"
下面的示例启用同一规则。
Enable-AntiPhishRule -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Enable-AntiPhishRule 和 Disable-AntiPhishRule。
使用 PowerShell 设置反钓鱼规则的优先级
可以设置的规则最高优先级值是 0。 可以设置的最小优先级值取决于规则的数量。 例如,如果有五个规则,则可以使用的优先级值为 0 到 4。 更改现有规则的优先级可对其他规则产生级联效应。 例如,假设有五个自定义规则(优先级从 0 到 4)。如果你将某个规则的优先级更改为 2,那么优先级为 2 的现有规则会变成优先级 3,优先级为 3 的现有规则会变成优先级 4。
若要在 PowerShell 中设置反网络钓鱼规则的优先级,请使用以下语法:
Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>
下面的示例将名为“Marketing Department”的规则的优先级设置为 2。 优先级小于或等于 2 的所有现有规则的优先级都递减 1(即优先级数字都递增 1)。
Set-AntiPhishRule -Identity "Marketing Department" -Priority 2
注意:
- 若要在创建新规则时设置该规则的优先级,请改用 New-AntiPhishRule cmdlet 上的 Priority 参数。
- 默认的反网络钓鱼策略没有相应的反网络钓鱼规则,并且始终具有不可修改的优先级值 “最低”。
使用 PowerShell 删除反钓鱼策略
使用 PowerShell 删除反网络钓鱼策略时,不会删除相应的反网络钓鱼规则。
若要在 PowerShell 中删除反网络钓鱼策略,请使用以下语法:
Remove-AntiPhishPolicy -Identity "<PolicyName>"
此示例删除了名为“营销部”的反网络钓鱼策略。
Remove-AntiPhishPolicy -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Remove-AntiPhishPolicy。
使用 PowerShell 删除反钓鱼规则
使用 PowerShell 删除反网络钓鱼规则时,不会删除相应的反网络钓鱼策略。
若要在 PowerShell 中删除反网络钓鱼规则,请使用以下语法:
Remove-AntiPhishRule -Identity "<PolicyName>"
此示例删除了名为“市场营销部”的反钓鱼规则。
Remove-AntiPhishRule -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Remove-AntiPhishRule。
如何判断这些过程生效了?
若要验证是否已在 Defender for Office 365 中成功配置反钓鱼策略,请执行以下步骤:
在 Microsoft Defender 门户中https://security.microsoft.com/antiphishing的“防钓鱼”页上,验证策略列表、策略的“状态”值及其“优先级”值。 若要查看更多详细信息,请从列表中选择策略,方法是单击名称旁边的检查框以外的行中的任意位置,并在出现的浮出控件中查看详细信息。
在 Exchange Online PowerShell 中,将 Name> 替换为<策略或规则的名称,并运行以下命令并验证设置:
Get-AntiPhishPolicy -Identity "<Name>"
Get-AntiPhishRule -Identity "<Name>"