EOP 中的反垃圾邮件保护
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
注意
本主题适用于管理员。 有关最终用户主题,请参阅垃圾邮件Email筛选器概述和了解垃圾邮件和钓鱼。
在有 Exchange Online 邮箱的 Microsoft 365 组织或没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中,EOP 会自动保护电子邮件免受垃圾邮件的影响。
为了帮助减少垃圾邮件,EOP 包括垃圾邮件保护,它使用专有的垃圾邮件筛选 (也称为 内容筛选) 技术来识别垃圾邮件并将其与合法电子邮件分开。 EOP 垃圾邮件筛选从已知的垃圾邮件和网络钓鱼威胁和用户反馈中学习,Outlook.com。 来自管理员和用户的持续反馈有助于确保持续培训和改进 EOP 技术。
EOP 使用以下垃圾邮件筛选结论来对邮件进行分类:
- 垃圾邮件:邮件收到的 垃圾邮件置信度级别 (SCL) 为 5 或 6。
- 高置信度垃圾邮件:邮件收到的 SCL 为 7、8 或 9。
- 钓鱼
- 高置信度钓鱼:默认情况下,作为 安全的一部分,始终隔离标识为高置信度钓鱼的邮件,并且无论管理员配置的任何可用设置,用户都无法释放自己的隔离的高置信度钓鱼邮件。
- 批量:消息源满足或超过配置的 批量投诉级别 (BCL) 阈值。
有关反垃圾邮件保护的详细信息,请参阅 反垃圾邮件保护常见问题解答
在默认反垃圾邮件策略和自定义反垃圾邮件策略中,你可以根据这些判决配置要执行的操作。 在Standard和严格预设安全策略中,操作已配置且不可修改,如 EOP 反垃圾邮件策略设置中所述。
若要配置默认反垃圾邮件策略,以及创建、修改和删除自定义反垃圾邮件策略,请参阅 在 Microsoft 365 中配置反垃圾邮件策略。
提示
如果不同意垃圾邮件筛选判决,可以将邮件报告给Microsoft,将其报告为误报 (标记为坏) 或) 允许的误报 (错误电子邮件。 有关更多信息,请参阅:
- 如何实现向 Microsoft 报告可疑电子邮件或文件?
- 如何使用Microsoft Defender for Office 365处理 (误报) 阻止的合法电子邮件
- 如何使用 Microsoft Defender for Office 365 处理传递到收件人的恶意电子邮件 (误报)
反垃圾邮件标头可以告诉你邮件被标记为垃圾邮件的原因,或者它为何跳过垃圾邮件筛选。 有关详细信息,请参阅反垃圾邮件邮件头。
无法在 Microsoft 365 中完全关闭垃圾邮件筛选,但可以使用 Exchange 邮件流规则 (也称为传输规则) 绕过对传入邮件 (的大多数垃圾邮件筛选,例如,在传递到 Microsoft 365) 之前,通过第三方保护服务或设备路由电子邮件。 有关详细信息,请参阅使用邮件流规则设置邮件中的垃圾邮件可信度 (SCL)。
- 仍会筛选高可信度钓鱼邮件。 EOP 中的其他功能不会受到影响, (例如,始终扫描邮件以查找恶意软件) 。
- 如果需要绕过 SecOps 邮箱或网络钓鱼模拟的垃圾邮件筛选,请不要使用邮件流规则。 有关详细信息,请参阅 配置将第三方网络钓鱼模拟传递给用户和未筛选邮件到 SecOps 邮箱。
在 EOP 保护本地 Exchange 邮箱的混合环境中,需要在本地 Exchange 组织中配置两个邮件流规则 (也称为传输规则) ,以识别添加到邮件中的 EOP 垃圾邮件标头。 有关详细信息,请参阅在混合环境中将 EOP 配置为向“垃圾邮件”文件夹递送垃圾邮件。
反垃圾邮件策略
反垃圾邮件策略控制垃圾邮件筛选的可配置设置。 反垃圾邮件策略中的重要设置在以下小节中介绍。
提示
若要查看默认策略中的反垃圾邮件策略设置、Standard预设安全策略和严格预设安全策略,请参阅 EOP 反垃圾邮件策略设置。
反垃圾邮件策略中的收件人筛选器
收件人筛选器使用条件和例外来标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用, (默认策略应用于) 的所有收件人。 对于条件和例外,可以使用以下收件人筛选器:
- 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。
只能使用一次条件或异常,但条件或异常可以包含多个值:
相同条件或异常的多个值使用 OR 逻辑 (,例如 recipient1<> 或 <recipient2>) :
- 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
- 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
反垃圾邮件策略中的 BCL) (批量投诉阈值
EOP 将批量投诉级别 (BCL) 值分配给来自批量发件人的入站邮件。 来自批量发件人的邮件也称为 批量邮件 或 灰色邮件。
有关 BCL 的详细信息,请参阅 EOP 中的批量投诉级别 (BCL) 。
提示
默认情况下,仅 PowerShell 设置 MarkAsSpamBulkMail 位于 On
Exchange Online PowerShell 中的反垃圾邮件策略中。 此设置极大地影响 批量兼容级别的结果, (BCL) 满足或超过 筛选判决:
- MarkAsSpamBulkMail 为 On:大于或等于阈值的 BCL 转换为对应于 垃圾邮件筛选判决的 SCL 6,并且对邮件执行 批量兼容级别 (BCL) 满足或超过 筛选判决的操作。
- MarkAsSpamBulkMail 已关闭:邮件带有 BCL 标记,但不会对批量兼容级别执行任何操作, (BCL) 满足或超出筛选结果。 实际上,BCL 阈值和 批量合规级别 (BCL) 满足或超过 筛选判决操作是不相关的。
反垃圾邮件策略中的垃圾邮件属性
测试模式设置、增加垃圾邮件分数设置和大多数标记为垃圾邮件设置是反垃圾邮件策略中高级垃圾邮件筛选 (ASF) 的一部分。
默认情况下,这些设置未在默认反垃圾邮件策略中配置,也不会在Standard或严格预设安全策略中配置。
有关 ASF 设置的完整信息,请参阅 高级垃圾邮件筛选器 (EOP 中的 ASF) 设置。
此类别中提供的其他设置包括:
- 包含特定语言:指定语言的邮件会自动标识为垃圾邮件。
- 来自这些国家/地区的邮件:来自指定国家/地区的邮件会自动标识为垃圾邮件。
默认情况下,这些设置未在默认反垃圾邮件策略中配置,也不会在Standard或严格预设安全策略中配置。
反垃圾邮件策略中的操作
在自定义反垃圾邮件策略和默认反垃圾邮件策略中,下表介绍了垃圾邮件筛选判决的可用操作。
- 检查标记 ( ✔ ) 指示操作可用 (并非所有操作都可用于所有判决) 。
- 复选标记后面的星号 (*) 表示垃圾邮件筛选裁定对应的默认操作。
操作 垃圾邮件 高
置信
垃圾邮件 (spam)网络钓鱼 高
置信
仿冒批量邮件 将邮件移动到“垃圾邮件Email”文件夹:邮件将传递到邮箱并移动到“垃圾邮件Email”文件夹。¹ ✔* ✔* ✔ ² ✔* 添加 X 标头:向邮件头添加 X 标头,并将邮件递送到邮箱。
在可用的“ 添加此 X 标头”文本框中 输入 X 标头字段名称 (而不是) 值。
对于垃圾邮件和高置信度垃圾邮件判决,邮件将移动到“垃圾邮件Email”文件夹。ー✔ ✔ ✔ ✔ 在主题行前面追加文本:向邮件的主题行开头添加文本。 邮件将传递到邮箱并移动到“垃圾邮件”文件夹。
使用此文本框在可用 “前缀主题行 ”中输入文本。✔ ✔ ✔ ✔ 将邮件重定向到电子邮件地址:将邮件发送给其他收件人,而不是目标收件人。
在 “重定向到此电子邮件地址 ”框中指定收件人。✔ ✔ ✔ ✔ ✔ 删除邮件:无提示删除整个邮件,包括所有附件。 ✔ ✔ ✔ ✔ 隔离邮件:将邮件发送到隔离,而不是目标收件人。
在显示的“选择 隔离策略 ”框中,为垃圾邮件筛选判决选择或使用默认 隔离策略 。⁴ 隔离策略定义用户可以对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
在可用的“将垃圾邮件隔离期保留数天”框中,指定邮件 在隔离区中 保留多长时间。✔ ✔ ✔* ✔* ⁵ ✔ 无操作 ✔ ¹ EOP 使用自己的邮件流传递代理将邮件路由到“垃圾邮件Email”文件夹,而不是使用邮箱中的垃圾邮件规则。 Exchange Online PowerShell 中 Set-MailboxJunkEmailConfiguration cmdlet 上的 Enabled 参数对云邮箱中的邮件流有效。 有关详细信息,请参阅配置 Exchange Online 邮箱上的垃圾邮件设置。
² 对于高置信度钓鱼,实际上已弃用将邮件移动到垃圾邮件Email文件夹操作。 尽管你可以选择“将邮件移动到垃圾邮件Email文件夹”操作,但高置信度钓鱼邮件始终被隔离 (等效于选择“隔离邮件) ”。
2 可以在邮件流规则中使用值作为条件来筛选或路由邮件。
⁴ 如果垃圾邮件筛选裁定默认隔离邮件 (在到达页面) 时已选择 隔离邮件 ,则默认隔离策略名称将显示在 “选择隔离策略 ”框中。 如果将垃圾邮件筛选判决的操作更改为“隔离邮件”,则“选择隔离策略”框默认为空。 空值表示使用了该判决的默认隔离策略。 以后查看或编辑反垃圾邮件策略设置时,将显示隔离策略名称。 有关默认用于垃圾邮件筛选器判决的隔离策略的详细信息,请参阅 EOP 反垃圾邮件策略设置。
⁵ 无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的高置信度钓鱼邮件。
要对其采取措施的组织内邮件:控制是否对内部邮件应用垃圾邮件筛选和相应的判决操作, (组织内用户之间发送的邮件) 。 在策略中为指定的垃圾邮件筛选器判决配置的操作对内部用户之间发送的邮件执行。 可用值有:
- 默认值:这是默认值。 此值与选择“ 高置信度钓鱼邮件”相同。
- 无
- 高置信度钓鱼消息
- 网络钓鱼和高置信度钓鱼消息
- 所有网络钓鱼和高置信度垃圾邮件
- 所有网络钓鱼和垃圾邮件
有关默认反垃圾邮件策略和Standard和严格预设安全策略中使用的默认值,请参阅组织内部邮件在EOP 反垃圾邮件策略设置中对条目采取措施。
将垃圾邮件保留在隔离区内此天数:指定在你选择“隔离邮件”作为垃圾邮件筛选裁定操作时将邮件放在隔离区内的时长。 该时间段过期后,邮件将被删除,并且无法恢复。 有效值介于 1 和 30 天之间。
有关默认反垃圾邮件策略和Standard和严格预设安全策略中使用的默认值,请参阅 EOP 反垃圾邮件策略设置中的“在隔离区中保留这几天的垃圾邮件” 条目。
提示
此设置还控制由 防钓鱼 策略隔离的邮件的保留时间。 有关详细信息,请参阅 隔离保留。
反垃圾邮件策略中的零小时自动清除 (ZAP)
用于网络钓鱼的 ZAP 和用于垃圾邮件的 ZAP 能够在邮件传递到Exchange Online邮箱后对邮件进行操作。 默认情况下,针对网络钓鱼的 ZAP 和针对垃圾邮件的 ZAP 处于打开状态,建议你将其保留为打开状态。 有关更多信息,请参阅:
反垃圾邮件策略中的隔离策略
如果反垃圾邮件策略中的判决配置为隔离邮件,隔离策略将定义用户能够对这些隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
反垃圾邮件策略中的允许和阻止列表
反垃圾邮件策略包含以下列表,用于允许或阻止特定发件人或域:
- 允许的发件人列表
- 允许的域列表
- 阻止的发件人列表
- 阻止的域列表
默认情况下,这些设置未在默认反垃圾邮件策略中配置,也不会在Standard或严格预设安全策略中配置。
这些列表的功能已基本替换为:
在为域和电子邮件地址 创建阻止条目中阻止域和电子邮件地址的条目。
在反垃圾邮件策略中使用阻止发件人列表或阻止域列表main原因:租户允许/阻止列表中的阻止条目也会阻止组织中的用户向这些电子邮件地址或域发送电子邮件。
从Microsoft Defender门户的“提交”页向Microsoft报告良好的电子邮件 (,可在其中选择“允许具有类似属性的电子邮件”,这将在“租户允许/阻止列表”) 中创建所需的临时条目。
重要
来自允许发件人列表或允许域列表中的条目的邮件绕过大多数电子邮件保护 (恶意软件和高置信度钓鱼) 和 电子邮件身份验证 检查 (SPF、DKIM 和 DMARC) 除外。 允许的发件人列表或允许的域列表中的条目会导致攻击者成功将电子邮件发送到收件箱(否则会被筛选)的高风险。 这些列表最好仅用于临时测试。
切勿将公共域 (添加,例如,microsoft.com 或 office.com) 添加到允许的域列表。 攻击者可以轻松地将来自这些常见域的欺骗消息发送到组织。
自 2022 年 9 月起,如果允许的发件人、域或子域位于组织中 接受的域中 ,则该发件人、域或子域必须通过电子邮件身份验证检查才能跳过垃圾邮件筛选。
如果要在列表中保留允许的域条目较长一段时间,请告知发件人验证其 SPF 记录是否与域的电子邮件源保持最新,并且其 DMARC 记录中的策略是否设置为
p=reject
。
反垃圾邮件策略的优先级
如果启用,则会先应用Standard和严格预设安全策略,然后再应用任何自定义反垃圾邮件策略或默认策略 (严格始终首先) 。 如果创建多个自定义反垃圾邮件策略,可以指定它们的应用顺序。 策略处理在应用第一个策略后停止, (该收件人) 的最高优先级策略。
有关优先级顺序以及如何评估多个策略的详细信息,请参阅 电子邮件保护的顺序和优先级 和 预设安全策略和其他策略的优先级顺序。
默认反垃圾邮件策略
每个组织都有一个名为 Default 的内置反垃圾邮件策略,该策略具有以下属性:
- 该策略是默认策略(IsDefault 属性的值为
True
),你无法删除默认策略。 - 该策略会自动应用于组织中的所有收件人,你无法将其关闭。
- 策略始终在最后应用 (优先级 值为 “最低 ”且无法) 更改它。