配置 Exchange Online 邮箱上的垃圾邮件设置

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft邮箱位于 Exchange Online 的 365 个组织中,组织反垃圾邮件设置由 Exchange Online Protection (EOP) 控制。 有关详细信息,请参阅 EOP 中的反垃圾邮件保护

但是,管理员还可以在Exchange Online中的单个邮箱上配置特定的反垃圾邮件设置:

  • 根据反垃圾邮件策略将邮件传递到垃圾邮件Email文件夹:当反垃圾邮件策略配置了“将邮件移动到垃圾邮件Email文件夹”操作进行垃圾邮件筛选判断时,邮件将传递到邮箱的“垃圾邮件Email”文件夹。 有关反垃圾邮件策略中的垃圾邮件筛选判决的详细信息,请参阅 在 EOP 中配置反垃圾邮件策略。 同样,如果零小时自动清除 (ZAP) 确定传递的邮件是垃圾邮件或钓鱼邮件,则会将邮件移动到垃圾邮件Email文件夹,以便将邮件移动到垃圾邮件Email文件夹垃圾邮件筛选判决操作。 有关 ZAP 的详细信息,请参阅 Exchange Online 中的零小时自动清除 (ZAP)

  • 用户在 Outlook 或 Outlook 网页版 中为自己配置的垃圾邮件设置安全列表集合是每个邮箱上的“安全发件人”列表、“安全收件人”列表和“阻止的发件人”列表。 这些列表中的条目确定邮件是移动到“收件箱”还是“垃圾邮件”Email文件夹。 用户可以在 Outlook 中为自己的邮箱配置安全列表集合,Outlook 网页版 (以前称为 Outlook Web App) 。 管理员可以在任何用户的邮箱上配置安全列表集合。

EOP 能够根据垃圾邮件筛选判决操作将邮件移动到“垃圾邮件Email”文件夹和邮箱中的“阻止发件人”列表将邮件传递到“垃圾邮件Email”文件夹,并基于邮箱上的“安全发件人”列表阻止邮件传递到“垃圾邮件Email”文件夹。

管理员可以使用 Exchange Online PowerShell 在邮箱的安全列表集合中配置条目, (“安全发件人”列表、“安全收件人”列表和“阻止的发件人”列表) 。

注意

用户添加到其自己的安全发件人列表中的发件人的邮件将跳过内容筛选作为 EOP 的一部分, (SCL 为 -1) 。 若要防止用户在 Outlook 中将条目添加到其安全发件人列表,请使用组策略,如本文后面的关于 Outlook 中的垃圾邮件设置部分所述。 策略筛选、内容筛选和Defender for Office 365检查仍应用于邮件。

EOP 使用自己的邮件流传递代理将邮件路由到“垃圾邮件Email”文件夹,而不是使用邮箱中的垃圾邮件规则。 Set-MailboxJunkEmailConfiguration cmdlet 上的 Enabled 参数对Exchange Online邮箱的邮件流没有影响。 EOP 根据反垃圾邮件策略中设置的操作路由邮件。 用户的“安全发件人”列表和“阻止发件人”列表将继续照常工作。

开始前,有必要了解什么?

  • 只能使用 Exchange Online PowerShell 来执行本文中的过程。 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先在 Exchange Online 中分配权限,然后才能执行本文中的过程。 具体来说,你需要默认) 分配给组织管理收件人管理和自定义邮件收件人角色组的邮件收件人角色 (,或者默认) 分配给组织管理和技术支持角色组的用户选项角色 (。 若要将用户添加到 Exchange Online 中的角色组,请参阅修改 Exchange Online 中的角色组。 具有默认权限的用户可以在自己的邮箱上执行相同的过程,前提是他们有权访问 Exchange Online PowerShell

  • 在 EOP 保护本地 Exchange 邮箱的混合环境中,需要在本地 Exchange 中配置邮件流规则 (也称为传输规则) 。 这些邮件流规则转换 EOP 垃圾邮件筛选判决,以便邮箱中的垃圾邮件规则可以将邮件移动到“垃圾邮件Email”文件夹。 有关详细信息,请参阅配置 EOP 以将垃圾邮件传递到混合环境中的“垃圾邮件Email”文件夹。 Exchange 传输规则允许将邮件流规则存储在云中。

    提示

    将规则存储在云中后, (在 Microsoft 365 中手动创建该规则以匹配 Exchange 中的规则) 该规则将在混合环境中复制。

  • 根据设计,共享邮箱的安全发件人不会同步到Microsoft Entra ID和 EOP。

使用 Exchange Online PowerShell 在邮箱上配置安全列表集合

邮箱的安全列表集合包括"安全发件人"列表、"安全收件人"列表和"阻止的发件人"列表。 默认情况下,用户可以在 Outlook 或 Outlook 网页版 中的自己的邮箱上配置安全列表集合。 管理员可以使用 Set-MailboxJunkEmailConfiguration cmdlet 上的相应参数来配置用户邮箱的安全列表集合。 下表介绍了这些参数。

Set-MailboxJunkEmailConfiguration 上的参数 Outlook 中的垃圾Email选项 Outlook 网页版中的垃圾邮件设置
BlockedSendersAndDomains “阻止发件人 ”选项卡 阻止的发件人和域 部分
ContactsTrusted “安全发件人 ”选项卡还 >信任来自我的联系人的电子邮件 筛选器 部分 >信任来自我的联系人的电子邮件
TrustedListsOnly “选项”选项卡“>仅限安全Lists:仅来自安全发件人列表或安全收件人列表中的人员或域的邮件才会传递到收件箱 筛选器 部分 >仅信任来自“安全发件人和域”列表和安全邮件列表中的地址的电子邮件
TrustedSendersAndDomains* “安全发件人 ”选项卡 安全发件人和域 部分

*无法使用 Set-MailboxJunkEmailConfiguration cmdlet 直接修改安全收件人列表, (TrustedRecipientsAndDomains 参数) 不起作用。 修改"安全发件人"列表后,这些更改将同步到"安全收件人"列表。

  • 在 Exchange Online中,安全发件人列表或 TrustedSendersAndDomains 参数中的条目是否正常工作取决于标识邮件的策略中的判断和操作:
    • 将邮件移动到“垃圾邮件”Email文件夹:使用域条目和发件人电子邮件地址条目。 来自这些发件人的邮件不会移动到“垃圾邮件Email”文件夹。
    • 隔离: (来自这些发件人的邮件被隔离) ,则不遵循域条目。 如果以下任一语句为 true,则Email地址条目 (来自这些发件人的邮件不会被隔离) :
      • 邮件未标识为恶意软件或高置信度钓鱼, (恶意软件和高置信度钓鱼邮件被隔离) 。
      • 电子邮件中的电子邮件地址、URL 或文件不在 租户允许/阻止的阻止条目中。
  • 在具有目录同步的独立 EOP 中,默认情况下不会同步域条目,但你可以为域启用同步。 有关详细信息,请参阅 配置内容筛选以使用安全域数据:Exchange 2013 帮助 |Microsoft Learn

若要配置邮箱的安全列表集合,请使用以下语法:

Set-MailboxJunkEmailConfiguration <MailboxIdentity> -BlockedSendersAndDomains <EmailAddressesOrDomains | $null> -ContactsTrusted <$true | $false> -TrustedListsOnly <$true | $false> -TrustedSendersAndDomains  <EmailAddresses | $null>

若要输入多个值并覆盖 BlockedSendersAndDomainsTrustedSendersAndDomains 参数的任何现有条目,请使用以下语法: "<Value1>","<Value2>"...。 若要在不影响其他现有条目的情况下添加或删除一个或多个值,请使用以下语法: @{Add="<Value1>","<Value2>"... ; Remove="<Value3>","<Value4>...}

以下示例为 Ori Epstein 邮箱上的安全列表集合配置以下设置:

  • 将值 shopping@fabrikam.com 添加到“阻止的发件人”列表。
  • 从“安全发件人”列表和“安全收件人”列表中删除值 chris@fourthcoffee.com
  • 将“联系人”文件夹中的联系人配置为受信任的发件人。
Set-MailboxJunkEmailConfiguration "Ori Epstein" -BlockedSendersAndDomains @{Add="shopping@fabrikam.com"} -TrustedSendersAndDomains @{Remove="chris@fourthcoffee.com"} -ContactsTrusted $true

以下示例从组织中所有用户邮箱的“阻止发件人”列表中删除域 contoso.com:

$All = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited; $All | foreach {Set-MailboxJunkEmailConfiguration $_.Name -BlockedSendersAndDomains @{Remove="contoso.com"}}

有关详细语法和参数信息,请参阅 Set-MailboxJunkEmailConfiguration

注意

Outlook 垃圾邮件Email筛选器具有其他安全列表收集设置, (例如,自动将我通过电子邮件发送的人员添加到安全发件人列表) 。 For more information, see Use Junk Email Filters to control which messages you see.

如何知道已在邮箱上成功配置安全列表集合?

若要验证是否已在邮箱上成功配置安全列表集合,请使用以下任何过程:

  • MailboxIdentity> 替换为<邮箱的名称、别名或电子邮件地址,并运行以下命令来验证属性值:

    Get-MailboxJunkEmailConfiguration -Identity "<MailboxIdentity>" | Format-List trusted*,contacts*,blocked*
    

    如果值列表太长,请使用以下语法:

    (Get-MailboxJunkEmailConfiguration -Identity <MailboxIdentity>).BlockedSendersAndDomains
    

关于 Outlook 中的配置垃圾邮件设置

若要启用、禁用和配置 Outlook 中可用的客户端垃圾邮件Email筛选器设置,请使用 组策略。 有关详细信息,请参阅管理模板文件 (ADMX/ADML) 和适用于 Microsoft 365 企业应用版、Office 2019 和 Office 2016 的 Office 自定义工具

当 Outlook 垃圾邮件Email筛选器设置为默认值“家庭>垃圾邮件>”选项中的“无自动筛选>时,Outlook 不会尝试将邮件分类为垃圾邮件,但仍使用安全列表集合 (“安全发件人”列表、“安全收件人”列表和“阻止发件人”列表) 将邮件移动到“垃圾邮件Email”文件夹中。 有关这些设置的详细信息,请参阅垃圾邮件Email筛选器概述

注意

在 Microsoft 365 组织中,我们建议将 Outlook 中的“垃圾邮件Email筛选器”设置为“无自动筛选”,以防止与来自 EOP 的垃圾邮件筛选判决 (正面和负面) 不必要的冲突。

When the Outlook Junk Email Filter is set to Low or High, the Outlook Junk Email Filter uses its own SmartScreen filter technology to identify and move spam to the Junk Email folder. 此垃圾邮件分类不同于由 EOP 确定的垃圾邮件置信度 (SCL) 。 事实上,除非 EOP 将邮件标记为跳过垃圾邮件筛选) 并使用自己的条件来确定邮件是否为垃圾邮件,否则 Outlook 会忽略 EOP (的 SCL。 当然,来自 EOP 和 Outlook 的垃圾邮件判决可能相同。 有关这些设置的详细信息,请参阅更改垃圾邮件Email筛选器中的保护级别

注意

2016 年 11 月,Microsoft停止为 Exchange 和 Outlook 中的 SmartScreen 筛选器生成垃圾邮件定义更新。 现有的 SmartScreen 垃圾邮件定义已保留,但其有效性可能会随着时间的推移而降低。 有关详细信息,请参阅“停止为 Outlook 和 Exchange 中的 SmartScreen 提供支持”。

因此,Outlook 垃圾邮件Email筛选器能够使用邮箱的安全列表集合及其自己的垃圾邮件分类将邮件移动到“垃圾邮件Email”文件夹。

Outlook 和 Web 上的 Outlook 同等支持安全列表集合。 安全列表集合保存在 Exchange Online 邮箱中,以便 Outlook 中对安全列表集合的更改显示在 Outlook 网页版 中,反之亦然。

垃圾邮件设置的限制

存储在用户邮箱中的安全列表集合 (“安全发件人”列表、“安全收件人”列表和“阻止发件人”列表) 也会同步到 EOP。 使用目录同步时,安全列表集合将同步到Microsoft Entra ID。

  • 用户邮箱中的安全列表集合限制为 510 KB,其中包括所有列表以及其他垃圾邮件筛选器设置。 如果用户超过此限制,则会收到类似于以下消息的 Outlook 错误:

    无法/无法添加到服务器垃圾邮件列表。 超出服务器上允许的大小。 在垃圾邮件列表已减少到服务器允许的大小之前,将禁用服务器上的垃圾邮件筛选器。

    有关此限制以及如何更改此限制的详细信息,请参阅 KB2669081

  • EOP 中的同步安全列表集合具有以下同步限制:

    • 如果启用了 来自我的联系人的信任电子邮件 ,则安全发件人列表、安全收件人列表和外部联系人的总条目数为 1024 个。
    • “阻止发件人”列表和“阻止的域”列表中的条目总数为 65535 个。

    达到 1024 条目限制时,会发生以下情况:

    • 该列表停止接受 PowerShell 中的条目并Outlook 网页版,但不显示任何错误。

      Outlook 用户可以继续添加超过 1024 个条目,直到他们达到 Outlook 限制 510 KB。 Outlook 可以使用这些额外的条目,只要 EOP 筛选器在传递到邮箱之前不阻止邮件 (邮件流规则、反欺骗等) 。

  • 使用目录同步时,条目将按以下顺序同步到Microsoft Entra ID:

    1. 如果启用了 来自我的联系人的信任电子邮件,则邮件联系人
    2. 每当对前 1024 个条目进行更改时,安全发件人列表和安全收件人列表将合并、删除重复数据并按字母顺序排序。

    使用前 1024 个条目,并在邮件头中标记相关信息。

    超过 1024 个且未同步到Microsoft Entra ID的条目由 Outlook 处理, (不Outlook 网页版) ,邮件头中不会标记任何信息。

可以看到,启用 “来自我的联系人的信任电子邮件” 设置可以减少可以同步的安全发件人和安全收件人的数量。 如果这种减少是个问题,我们建议使用组策略来关闭此功能:

  • 文件名:outlk16.opax
  • 策略设置: 信任来自联系人的电子邮件