提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
适用对象
本文提供有关Microsoft 365 个组织(邮箱位于 Exchange Online)或独立Exchange Online Protection (EOP) 组织(没有Exchange Online邮箱)的反垃圾邮件保护的常见问题和解答。
有关隔离的问题和解答,请参阅隔离常见问题解答。
有关反恶意软件保护的问题和解答,请参阅 反恶意软件保护常见问题解答。
有关反欺骗保护的问题和解答,请参阅 反欺骗保护常见问题解答。
默认情况下,检测到为垃圾邮件的邮件会发生什么情况?
入站消息: 大多数垃圾邮件是通过服务边缘的连接筛选(基于源电子邮件服务器的 IP 地址)检测到的。 反垃圾邮件策略 (也称为垃圾邮件筛选策略或内容筛选器策略,) 检查邮件并将其分类为批量、垃圾邮件、高置信度垃圾邮件、网络钓鱼或高置信度钓鱼。
反垃圾邮件策略用于Standard和严格预设安全策略。 可以创建适用于特定用户组的自定义反垃圾邮件策略。 还有一个默认的反垃圾邮件策略,适用于未在Standard和严格预设安全策略或自定义策略中指定的所有收件人。
默认情况下,标识为垃圾邮件的邮件将Standard预设安全策略、自定义反垃圾邮件策略 (可配置) ,默认反垃圾邮件策略 (可配置) 移动到垃圾邮件Email文件夹。 在严格预设安全策略中,垃圾邮件被隔离。
有关详细信息,请参阅 配置反垃圾邮件策略 和建议 的反垃圾邮件策略设置。
重要
在 EOP 保护本地 Exchange 邮箱的混合部署中,需要在本地 Exchange 组织中配置两个 Exchange 邮件流规则 (也称为传输规则) ,以检测添加到邮件的 EOP 垃圾邮件筛选标头。 有关详细信息,请参阅在混合环境中将 EOP 配置为向“垃圾邮件”文件夹递送垃圾邮件。
出站消息: 邮件要么通过 高风险传递池 路由,要么在未送达报告中返回给发件人, (也称为 NDR 或退回邮件) 。 有关出站垃圾邮件防护的详细信息,请参阅 出站垃圾邮件控制。
什么是零日垃圾邮件变体,服务如何处理它?
零日垃圾邮件变体是第一代以前未知的垃圾邮件变体,从未捕获或分析过,因此我们的反垃圾邮件筛选器尚没有任何信息可用于检测它。 在垃圾邮件分析师捕获和分析零日垃圾邮件样本后,如果它符合垃圾邮件分类标准,则我们的反垃圾邮件筛选器将更新以检测它,并且不再被视为“零天”。
注意
如果收到可能是零日垃圾邮件变体的邮件,为了帮助我们改进服务,请使用 向Microsoft报告邮件和文件中所述的方法之一将邮件提交到Microsoft。
是否需要配置服务以提供反垃圾邮件保护?
不正确。 在你注册服务并添加域后,默认的反垃圾邮件策略将保护 Microsoft 365 组织中所有当前和将来的收件人。 唯一的例外是前面所述的混合环境中独立 EOP 独立客户的要求
作为管理员,可以使用以下方法来进一步优化反垃圾邮件保护:
- 将用户添加到Standard和严格预设安全策略。
- 编辑默认反垃圾邮件策略中的默认垃圾邮件筛选设置。
- 创建应用于组织中的指定用户、组或域的反垃圾邮件策略。
有关详细信息,请参阅以下文章:
如果我更改了反垃圾邮件策略,更改需要多长时间才能生效?
保存更改后,最多可能需要 1 小时才能使这些更改生效。
是否自动启用批量电子邮件筛选?
是。 有关批量电子邮件的详细信息,请参阅 垃圾邮件和批量电子邮件之间的区别? 和 EOP 中的 BCL) (批量投诉级别。
服务是否提供 URL 筛选?
是的,该服务具有一个 URL 筛选器,用于检查邮件中的 URL。 如果检测到与已知垃圾邮件或恶意内容关联的 URL,则会将邮件标记为垃圾邮件。
Microsoft Defender XDR Office 365许可证的客户也会获得安全链接保护。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的安全链接。
Microsoft 365 个客户如何向Microsoft发送误报 (坏) 和误报 (良好) 消息?
是否可以收到垃圾邮件报告?
是。 可使用以下报告:
有人给我发了一条消息,我找不到。 我怀疑它可能已被检测为垃圾邮件。 是否有可用于查找的工具?
是的,邮件跟踪工具使你可以在电子邮件通过服务时跟踪它们,以便了解它们发生了什么情况。 有关如何使用邮件跟踪工具找出邮件被标记为垃圾邮件的原因的详细信息,请参阅 邮件是否已标记为垃圾邮件?
如果用户发送出站垃圾邮件,服务是否会限制 (速率限制) 我的邮件?
如果 EOP 将超过一半的邮件从用户通过服务发送, (例如每小时) 被 EOP 确定为垃圾邮件,则会阻止用户发送邮件。 在大多数情况下,如果出站邮件被确定为垃圾邮件,则会通过高风险传递池进行路由,从而降低将普通出站 IP 池添加到阻止列表的概率。
当用户因发送出站垃圾邮件或超出发送限制而被阻止时,将自动发送通知。 有关详细信息,请参阅 EOP 中的出站垃圾邮件防护。
是否可以将第三方反垃圾邮件和反恶意软件提供商与 Microsoft 365 配合使用?
是。 尽管我们建议将 MX 记录直接指向Microsoft,但我们意识到,有合理的业务理由将电子邮件路由到Microsoft以外的其他位置。
- 入站:将 MX 记录更改为指向第三方提供程序,然后将消息重定向到 EOP 进行其他处理。 有关详细信息,请参阅 Exchange Online 中连接器的增强筛选。
- 出站:配置从 Microsoft 365 到目标第三方提供程序的智能主机路由。
Microsoft 是否拥有任何有关如何保护自己免受网络钓鱼诈骗之害的文档?
是。 有关详细信息,请参阅 保护 Internet 上的隐私
正在调查垃圾邮件和恶意软件邮件的发送者,还是被转移到执法实体?
该服务侧重于垃圾邮件和恶意软件的检测和删除,尽管我们可能偶尔调查特别危险或破坏性的活动,并追捕肇事者。 这一追求可能涉及与我们的法律和数字犯罪部门合作,以关闭僵尸网络,阻止垃圾邮件发送者使用服务 (,如果他们使用该服务发送出站电子邮件) ,并将相关信息传递给执法部门进行刑事起诉。
有助于确保邮件送达的出站邮件的最佳做法是什么?
外部发件人 - 对发送到 Microsoft 365 的电子邮件进行故障排除中的准则和以下准则是发送出站电子邮件的最佳做法:
源电子邮件域应在 DNS 中解析:例如,如果发件人user@fabrikam,则域 fabrikam 将解析为 IP 地址 192.168.43.10。
如果发送域在 DNS 中没有 A 记录和 MX 记录,则无论消息内容如何,服务都会通过其高风险传递池路由消息。 有关高风险传递池的详细信息,请参阅 出站消息的高风险传递池。
源电子邮件服务器应具有反向 DNS (PTR) 条目:例如,如果电子邮件源 IP 地址为 192.168.43.10,则反向 DNS 条目将为
43-10.any.icann.org
。'HELO/EHLO 和 MAIL FROM 命令应一致、存在并使用域名而不是 IP 地址:HELO/EHLO 命令应配置为匹配发送 IP 地址的反向 DNS。 此设置有助于确保域在邮件头的各个部分保持不变。
确保在 DNS 中设置了适当的 SPF 记录:SPF 记录是一种用于验证从域发送的邮件是否确实来自该域且不受欺骗的机制。 有关 SPF 记录的详细信息,请参阅下列链接:
使用 DKIM 签名电子邮件,使用宽松规范进行签名:如果发件人想要使用域密钥标识邮件 (DKIM) 对其邮件进行签名,并且他们希望通过服务发送出站邮件,则应使用宽松标头规范化算法进行签名。 用严格的标头规范签名可能导致签名通过服务时变得无效。
域所有者应在 WHOIS 数据库中具有准确的信息:此配置标识域的所有者以及如何通过输入稳定的父公司、联系人和名称服务器与他们联系。
设置出站退回邮件的格式:当邮件生成未送达报告 (也) 已知的退回邮件或退回邮件时,发件人应遵循 RFC 3464 中指定的退回邮件格式。
删除不存在的用户的退回电子邮件地址:如果收到 NDR,指示电子邮件地址不再使用,请从列表中删除不存在的电子邮件别名。 电子邮件地址会随时间发生变化,大家有时会丢弃这些地址。
使用 Outlook.com 的智能网络数据服务 (SNDS) 计划:有关详细信息,请参阅 智能网络数据服务。
如何实现关闭垃圾邮件筛选?
如果在电子邮件传递到 Microsoft 365 之前使用第三方保护服务或设备对其进行扫描,则可以使用邮件流规则 (也称为传输规则) 来绕过传入邮件的大多数垃圾邮件筛选。 有关说明,请参阅 使用邮件流规则在邮件中设置垃圾邮件置信度 (SCL) 。 无法跳过恶意软件和高置信度钓鱼邮件的扫描。
如果使用第三方保护服务或设备在电子邮件发送到 Microsoft 365 之前对其进行扫描,则还应启用连接器增强筛选 (也称为 跳过列表) 以便 Microsoft 365 中的检测、报告和调查功能能够正确识别邮件源。 有关详细信息,请参阅 连接器的增强筛选。
如果需要绕过 SecOps 邮箱或网络钓鱼模拟的垃圾邮件筛选,请不要使用邮件流规则。 有关详细信息,请参阅 配置将第三方网络钓鱼模拟传递给用户和未筛选邮件到 SecOps 邮箱。