Exchange Online Protection中的批量发件人见解

注意

本文中所述的功能目前为预览版,并非在所有组织中都可用,并且可能会发生更改。

Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱,批量发件人见解Microsoft Defender使用门户可以查看在反垃圾邮件策略中的当前批量阈值级别被标识为批量的电子邮件量,并根据批量发件人阈值和批量发件人质量的变化来模拟已识别的与允许的批量电子邮件。

EOP 将批量投诉级别 (BCL) 值分配给来自批量发件人的入站邮件。 较高的 BCL 值表示批量邮件更有可能是垃圾邮件。 反垃圾邮件策略中的批量电子邮件阈值使用指定的 BCL 值来批量标识邮件并对其执行操作。 有关 BCL 的详细信息,请参阅 EOP 中的批量投诉级别 (BCL)

批量发件人见解具有以下功能:

  • 查看过去 60 天内每个 BCL 级别 (1 到 9) 标识为批量的邮件量。
  • 模拟对批量电子邮件阈值的更改,并查看将传递的邮件数与默认反垃圾邮件或自定义反垃圾邮件策略(可在其中设置 BCL 阈值)标识为批量的邮件数的结果。 无法在Standard或严格预设安全策略中设置 BCL 阈值。
  • 查看有关受批量电子邮件阈值影响的邮件发件人的信息,包括基于发件人质量的筛选。

本文介绍如何在 Microsoft Defender 门户中使用批量发件人见解。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “批量发件人见解 ”页,请使用 https://security.microsoft.com/senderinsights

  • 如果 Microsoft 365 域的 MX 记录指向第三方服务或设备,则批量模拟和检测可能无法正常工作。

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online权限

      • 添加、修改和删除策略组织管理安全管理员 角色组中的成员身份。
      • 策略的只读访问权限全局读取者安全读取者仅查看组织管理角色组中的成员身份。
    • Microsoft Entra权限:以下角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限:

      • 添加、修改和删除策略组织管理*安全管理员 角色的成员身份。
      • 策略的只读访问权限全局读取者角色或安全读取者角色的成员身份。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 有关建议的反垃圾软件策略设置,请参阅 EOP 反垃圾邮件策略设置

提示

如果Standard或严格预设安全策略中也包括收件人,则忽略默认或自定义反垃圾邮件策略中的设置。 有关详细信息,请参阅 电子邮件保护的顺序和优先级

反垃圾邮件策略中的 批量阈值 确定用于将邮件标识为批量的 BCL 阈值。 例如, 批量阈值 7 表示将 BCL 值为 7、8 或 9 的消息标识为批量。 批量邮件的发生情况由批量合规级别 (BCL) 满足或超出反垃圾邮件策略 (操作(例如,将邮件移动到垃圾邮件Email文件夹隔离或删除邮件) )确定。 为简单起见,在批量发件人见解中,将邮件标识为批量并对其进行操作称为 阻止

在Microsoft Defender门户中打开批量发件人见解

批量发件人见解在以下位置可用:

  • 在默认反垃圾邮件策略或自定义反垃圾邮件策略的属性中:

    1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam

    2. “反垃圾邮件策略”页上,选择自定义反垃圾邮件策略, (“类型”值为“自定义反垃圾邮件策略) ”,或者单击第一列旁边的“检查框”以外的任何位置,选择名为“反垃圾邮件入站策略 (默认) ”的默认反垃圾邮件策略。

    3. 在打开的详细信息浮出控件中,选择“批量 电子邮件阈值 & 垃圾邮件属性” 部分底部的“编辑 垃圾邮件阈值和属性 ”。

    4. 在打开的 “垃圾邮件阈值和属性” 浮出控件中,批量发件人见解包含有关组织中过去 60 天内所有反垃圾邮件策略检测到的所有批量电子邮件的以下信息:

      • 默认情况下,该见解显示在当前 BCL 阈值被阻止和允许的批量消息数:

        使用默认 BCL 阈值的默认反垃圾邮件策略的属性中的批量发件人见解。

      • 如果降低 BCL 阈值以阻止更多批量电子邮件,则见解会显示在新的 BCL 阈值处阻止和允许的批量邮件数:

        批量发件人在 BCL 阈值低于原始值的默认反垃圾邮件策略的属性中提供见解。

      • 如果增大 BCL 阈值以允许更多批量电子邮件,则见解会显示在新的 BCL 阈值处阻止和允许的批量邮件数:

        批量发件人在 BCL 阈值高于原始值的默认反垃圾邮件策略的属性中获取见解。

  • “Email &协作报表和见解”页上:

    1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“报表>Email &协作”部分>,Email &协作报表和见解。 或者,若要直接转到Email &协作报表和见解页,请使用 https://security.microsoft.com/emailandcollabreport

    2. “Email &协作报表和见解”页上,转到“Email &协作见解”部分,找到批量发件人见解

    Microsoft Defender门户中Email &协作报告和见解页上的批量发件人见解。

若要查看有关批量检测和发件人的详细信息,请选择“ 查看批量发件人见解 ”或“ 查看详细信息” 以打开 “批量发件人见解 ”页。

查看批量发件人见解页

可以使用以下方法使用 批量发件人见解 页:

Microsoft Defender门户中的“批量发件人见解”页。

在运行模拟之前,页面中间表中的值指示以下值:

  • 批量投诉级别 (BCL) :可能 BCL 值的范围 (1 到 9) 。
  • 所有电子邮件:在每个 BCL 值处标识的邮件总数 (其中一些可能是 0) 。
  • 以当前 BCL 阈值传递:传递的消息数 (每个 BCL 值未标识为批量) :
    • 如果 BCL 值小于 当前批量电子邮件阈值 ,则邮件已送达 (未标识为批量) :
      • 传递的当前 BCL 阈值所有电子邮件值相同。
      • 当前 BCL 阈值处传递的阈值与在当前配置值传递的Email匹配。
    • 如果 BCL 值大于或等于 当前批量电子邮件阈值 ,则邮件被标识为批量并被阻止。
      • BCL 值 当前 BCL 的传递阈值 为 0。
      • “所有电子邮件”值与在当前 BCL 阈值处标识的Email匹配。
  • 以新的 BCL 阈值传递:运行模拟 未标识为批量电子邮件的邮件数。 在运行模拟之前,该值毫无意义。

若要运行模拟,请在页面上使用以下元素:

  • 不可修改的 当前批量电子邮件阈值 滑块根据你如何获取 批量发件人见解 页面显示当前的 BCL 阈值:
    • 直接:BCL 阈值为 7。
    • 从反垃圾邮件策略的属性:BCL 阈值是反垃圾邮件策略中的当前值。
  • 使用 “新建批量电子邮件阈值 ”滑块,可以模拟增加和减少已传递或阻止邮件的 BCL 阈值的效果。
  • 模拟发件人质量阈值滑块指定在 BCL 更新模拟中使用的好/坏发件人可信度阈值。 较高的值指示基于更可靠的发送方的模拟 BCL 阈值结果。 发件人的 模拟发件人质量阈值 基于以下因素:
    • 过去与发件人的交互。
    • 来自发件人的消息频率。
    • 管理员或用户对来自发件人的邮件的反馈。

选择“ 新建批量电子邮件阈值 ”和“ 模拟发件人质量阈值 ”后,选择“ 模拟”:

  • 页面更新为当前和新的模拟 BCL 阈值级别的阻止消息数与允许的消息数。
  • 页面底部更新了将标识为批量的发件人的相关信息。

在批量发件人见解页上查看有关批量发件人的信息

页面底部的批量发件人详细信息表包含有关其消息被标识为批量的批量发件人的数据。

如果在运行任何模拟之前,当前批量电子邮件阈值模拟发件人质量阈值已导致批量电子邮件标识,则首次打开“批量发件人见解”页时,该表可能包含发件人数据。

否则,在运行模拟后,发件人将根据 当前批量电子邮件阈值模拟发件人质量阈值 包含在发件人详细信息表中。

对于发件人详细信息表中的条目,以下列始终可用:

  • 发件人:发件人的电子邮件地址。
  • BCL
  • 模拟发送方质量阈值

发件人详细信息表中的剩余列取决于运行模拟后 当前批量电子邮件阈值 和新 批量电子邮件阈值 之间的关系:

  • 新的批量电子邮件阈值 等于 当前批量电子邮件阈值

    • 潜在误报
    • 潜在的假负

    若要筛选结果,请选择“ 所有发件人 ”,然后选择以下值之一:

    • 潜在误报:仅显示 潜在误报True 的发件人。
    • 潜在假负:仅显示 潜在假负 值为 True 的发件人。

    运行模拟之前或运行模拟(其中新的 BCL 阈值等于当前 BCL 阈值)之后,“批量发送方见解”页。

  • 新的批量电子邮件阈值 小于 当前批量电子邮件阈值

    • 阻止新发件人
    • 潜在误报

    若要筛选结果,请选择“ 所有发件人 ”,然后选择以下值之一:

    • 阻止新发件人:仅显示 阻止新发件人的发件人True
    • 潜在误报:仅显示 潜在误报True 的发件人。

    运行新的 BCL 阈值小于当前 BCL 阈值的模拟后,“批量发送方见解”页。

  • 新的批量电子邮件阈值 大于 当前批量电子邮件阈值

    • 允许新发件人
    • 潜在的假负

    若要筛选结果,请选择“ 所有发件人 ”,然后选择以下值之一:

    • 允许新发件人:仅显示 允许新发件人True 的发件人。
    • 潜在假负:仅显示 潜在假负 值为 True 的发件人。

    运行新的 BCL 阈值大于当前 BCL 阈值的模拟后,“批量发送方见解”页。

若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。

使用“ 搜索 ”框和相应的值查找表中的特定发件人。

使用 “导出 ”将当前显示的发件人列表保存到 CSV 文件。 默认文件名为批量发件人见解 - Microsoft Defender.csv,默认位置为本地“下载”文件夹。 如果导出的文件已存在于该位置,则文件名 (递增,例如批量发件人见解 - Microsoft Defender (1) .csv) 。

在“批量发件人见解”页上查看有关批量发件人的详细信息

若要从批量发件人见解页面底部的发件人详细信息表中查看有关特定发件人的详细信息,请单击第一列旁边的检查框以外的行中的任意位置。 打开的 “发件人详细信息 ”浮出控件包含有关发件人的以下信息:

  • 发件人:发件人的电子邮件地址。
  • 消息:来自发件人的邮件数。
  • “收件箱”中的邮件数:发件人发送给用户收件箱的邮件数。
  • 隔离或垃圾邮件Email中的邮件:发送到用户垃圾邮件Email文件夹或隔离的发件人的邮件数。
  • 管理员设置:“管理允许”是否允许或阻止发件人,“租户允许/阻止列表”中的块有效值为:
    • 允许:邮件发件人存在允许条目。
    • 阻止:邮件发件人存在阻止条目。
  • 用户允许的邮件数:发件人在用户邮箱中添加了“安全发件人”列表的邮件数。
  • 用户阻止的邮件数:发件人在用户邮箱中添加了“阻止发件人”列表的邮件数。
  • 误报提交:意外阻止发件人提交为良好邮件的邮件数。
  • 假负提交:发件人提交为错误邮件时意外传递的邮件数。
  • 用户已从垃圾邮件Email移动到收件箱
  • 用户已从“收件箱”移动到“垃圾邮件Email
  • 用户删除的邮件
  • 管理员隔离的邮件
  • 管理员已将电子邮件从收件箱移动到垃圾邮件Email
  • 管理员已删除的邮件

批量发件人见解页上发件人详细信息表中的发件人详细信息浮出控件。