电子邮件保护的顺序和优先级
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在 Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱的组织中,入站电子邮件可能会被多种保护形式标记。 例如,所有Microsoft 365 客户的反欺骗保护,以及仅适用于Microsoft Defender for Office 365客户的模拟保护。 邮件还会通过针对恶意软件、垃圾邮件、网络钓鱼等的多个检测扫描。鉴于所有这些活动,应用了哪些策略可能会有一些混淆。
通常,应用于邮件的策略在 CAT (Category) 属性的 X-Forefront-Antispam-Report 标头中标识。 有关详细信息,请参阅反垃圾邮件邮件头。
有两个主要因素决定了将哪个策略应用于消息:
电子邮件保护类型的处理顺序:此顺序不可配置,如下表所述:
排序 Email保护 类别 管理位置 1 恶意软件 CAT:MALW
在 EOP 中配置反恶意软件策略 2 高可信度网络钓鱼 CAT:HPHSH
在 EOP 中配置反垃圾邮件策略 3 网络钓鱼 CAT:PHSH
在 EOP 中配置反垃圾邮件策略 4 高可信度垃圾邮件 CAT:HSPM
在 EOP 中配置反垃圾邮件策略 5 网络钓鱼 CAT:SPOOF
EOP 中的欺骗智能见解 6* 用户模拟 (受保护的用户) CAT:UIMP
在 Microsoft Defender for Office 365 中配置反钓鱼策略 7* 域模拟 (受保护的域) CAT:DIMP
在 Microsoft Defender for Office 365 中配置反钓鱼策略 8* 邮箱智能 (联系人图) CAT:GIMP
在 Microsoft Defender for Office 365 中配置反钓鱼策略 9 垃圾邮件 CAT:SPM
在 EOP 中配置反垃圾邮件策略 10 批量邮件 CAT:BULK
在 EOP 中配置反垃圾邮件策略 *这些功能仅在 Microsoft Defender for Office 365 的反钓鱼策略中可用。
策略的优先级顺序:策略优先级顺序显示在以下列表中:
启用时,严格预设安全策略中的反垃圾邮件、反恶意软件、防钓鱼、安全链接*和安全附件*策略 (启用) 。
启用) 时,Standard预设安全策略中的反垃圾邮件、反恶意软件、防钓鱼、安全链接*和安全附件*策略 (。
启用) 后,Defender for Office 365评估策略中的防钓鱼、安全链接和安全附件 (。
自定义反垃圾邮件、反恶意软件、防钓鱼、安全链接*和安全附件* 策略在创建) 时 (。
创建策略时,会为自定义策略分配默认优先级值, (较新的策略等于更高的) ,但可以随时更改优先级值。 此优先级值影响该类型的 自定义策略 (反垃圾邮件、反恶意软件、防钓鱼等 ) 应用的顺序,但不会影响在整体顺序中应用自定义策略的位置。
值相等:
- 内置保护预设的安全策略中的安全链接和安全附件策略*。
- 反恶意软件、反垃圾邮件和反钓鱼的默认策略。
可以配置内置保护预设安全策略的异常,但无法配置默认策略的例外, (这些策略应用于所有收件人,并且无法将其关闭) 。
*仅限Defender for Office 365。
重要
如果有意或无意地将同一收件人包含在多个策略中,则优先级顺序很重要,因为 只有 该类型的第一个策略 (反垃圾邮件、反恶意软件、防钓鱼等 ) 应用于该收件人,而不管该收件人包含多少其他策略。 不会合并或合并收件人的多个策略中的设置。 收件人不受该类型的剩余策略设置影响。
例如,名为“Contoso Executives”的组包含在以下策略中:
- 严格预设安全策略
- 优先级值为 0 (最高优先级的自定义反垃圾邮件策略)
- 优先级值为 1 的自定义反垃圾邮件策略。
哪些反垃圾邮件策略设置应用于 Contoso 高管成员? 严格预设安全策略。 对于 Contoso 高管成员,将忽略自定义反垃圾邮件策略中的设置,因为始终首先应用严格预设安全策略。
另一个示例,请考虑Microsoft Defender for Office 365中适用于同一收件人的以下自定义反钓鱼策略,以及包含用户模拟和欺骗的邮件:
策略名称 | 优先级 | 用户模拟 | 反欺骗 |
---|---|---|---|
策略 A | 1 | 开 | 关 |
策略 B | 2 | 关 | 开 |
- 邮件被标识为欺骗,因为欺骗 (5) 在用户模拟 (6) 之前按照电子邮件保护类型的处理顺序进行评估。
- 首先应用策略 A,因为它的优先级高于策略 B。
- 根据策略 A 中的设置,不会对邮件执行任何操作,因为已关闭反欺骗。
- 所有包含的收件人的反钓鱼策略的处理将停止,因此策略 B 永远不会应用于同样在策略 A 中的收件人。
若要确保收件人获得所需的保护设置,请使用以下策略成员身份指南:
- 将较少的用户数分配给较高优先级策略,将更多用户分配给低优先级策略。 请记住,默认策略始终最后应用。
- 将优先级较高的策略配置为具有比优先级较低的策略更严格或更专用的设置。 你可以完全控制自定义策略和默认策略中的设置,但无法控制预设安全策略中的大多数设置。
- 请考虑使用较少的自定义策略, (仅对需要比Standard或严格预设安全策略或默认策略) 更专用设置的用户使用自定义策略。
附录
请务必了解 EOP 中的用户允许和阻止、租户允许和阻止以及筛选堆栈判决的方式,Defender for Office 365相互补充或相互矛盾。
- 有关筛选堆栈及其组合方式的信息,请参阅 Microsoft Defender for Office 365 中的分步威胁防护。
- 在筛选堆栈确定判决后,只有这样才会评估租户策略及其配置的操作。
- 如果用户的安全发件人列表和阻止的发件人列表中存在同一电子邮件地址或域,则安全发件人列表优先。
- 如果同一实体 (电子邮件地址、域、欺骗发送基础结构、文件或 URL) 存在于允许条目和租户允许/阻止列表中的块条目中,则阻止条目优先。
用户允许和块
用户 的安全列表集合 中的条目 (每个邮箱上的“安全发件人”列表、“安全收件人”列表和“阻止的发件人”列表) 能够重写某些筛选堆栈判决,如下表所述:
筛选堆栈判决 | 用户的安全发件人/收件人列表 | 用户的“阻止发件人”列表 |
---|---|---|
恶意软件 | 筛选胜出:已隔离Email | 筛选胜出:已隔离Email |
高可信度网络钓鱼 | 筛选胜出:已隔离Email | 筛选胜出:已隔离Email |
网络钓鱼 | 用户获胜:Email传递到用户的收件箱 | 租户获胜:适用的反垃圾邮件策略确定操作 |
高可信度垃圾邮件 | 用户获胜:Email传递到用户的收件箱 | 租户获胜:适用的反垃圾邮件策略确定操作 |
垃圾邮件 | 用户获胜:Email传递到用户的收件箱 | 租户获胜:适用的反垃圾邮件策略确定操作 |
批量邮件 | 用户获胜:Email传递到用户的收件箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |
非垃圾邮件 | 用户获胜:Email传递到用户的收件箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |
- 在 Exchange Online 中,如果邮件被以下任一条件隔离,则安全发件人列表中允许的域可能不起作用:
- 邮件被标识为恶意软件或高置信度钓鱼 (恶意软件,高置信度钓鱼邮件被隔离) 。
- 反垃圾邮件策略中的操作配置为隔离,而不是将邮件移动到垃圾邮件Email文件夹。
- 电子邮件中的电子邮件地址、URL 或文件也位于 租户允许/阻止列表中的阻止条目中。
有关用户邮箱的安全列表收集和反垃圾邮件设置的详细信息,请参阅在Exchange Online邮箱上配置垃圾邮件设置。
租户允许和阻止
租户允许和块能够重写某些筛选堆栈判决,如下表所述:
高级传递策略 (跳过筛选指定的 SecOps 邮箱和钓鱼模拟 URL) :
筛选堆栈判决 高级传递策略允许 恶意软件 租户胜出:Email传递到邮箱 高可信度网络钓鱼 租户胜出:Email传递到邮箱 网络钓鱼 租户胜出:Email传递到邮箱 高可信度垃圾邮件 租户胜出:Email传递到邮箱 垃圾邮件 租户胜出:Email传递到邮箱 批量邮件 租户胜出:Email传递到邮箱 非垃圾邮件 租户胜出:Email传递到邮箱 Exchange 邮件流规则 (也称为传输规则) :
筛选堆栈判决 邮件流规则允许* 邮件流规则块 恶意软件 筛选胜出:已隔离Email 筛选胜出:已隔离Email 高可信度网络钓鱼 筛选胜出:Email隔离,但在复杂路由中除外 筛选胜出:已隔离Email 网络钓鱼 租户胜出:Email传递到邮箱 租户获胜:适用的反垃圾邮件策略中的钓鱼操作 高可信度垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 批量邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 非垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 * 在 Microsoft 365 前面使用第三方安全服务或设备的组织应考虑使用 经身份验证的接收链 (ARC) (联系第三方以获取可用性) 和 连接器增强筛选 (也称为跳过列表) 而不是 SCL=-1 邮件流规则。 这些改进的方法可减少电子邮件身份验证问题,并鼓励深层 防御 电子邮件安全。
连接筛选器策略中的 IP 允许列表和 IP 阻止列表:
筛选堆栈判决 IP 允许列表 IP 阻止列表 恶意软件 筛选胜出:已隔离Email 筛选胜出:已隔离Email 高可信度网络钓鱼 筛选胜出:已隔离Email 筛选胜出:已隔离Email 网络钓鱼 租户胜出:Email传递到邮箱 租户胜出:Email静默删除 高可信度垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email静默删除 垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email静默删除 批量邮件 租户胜出:Email传递到邮箱 租户胜出:Email静默删除 非垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email静默删除 允许和阻止 反垃圾邮件策略中的设置:
- 允许的发件人和域列表。
- 阻止的发件人和域列表。
- 阻止来自特定国家/地区或特定语言的邮件。
- 基于 高级垃圾邮件筛选器 (ASF) 设置阻止邮件。
筛选堆栈判决 反垃圾邮件策略允许 反垃圾邮件策略块 恶意软件 筛选胜出:已隔离Email 筛选胜出:已隔离Email 高可信度网络钓鱼 筛选胜出:已隔离Email 筛选胜出:已隔离Email 网络钓鱼 租户胜出:Email传递到邮箱 租户获胜:适用的反垃圾邮件策略中的钓鱼操作 高可信度垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 批量邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 非垃圾邮件 租户胜出:Email传递到邮箱 租户胜出:Email传递到用户的“垃圾邮件Email”文件夹 允许租户允许/阻止列表中的条目:有两种类型的允许条目:
- 消息级别允许条目对整个消息进行操作,而不管消息中的实体如何。 电子邮件地址和域的允许条目是邮件级别允许条目。
- 实体级别允许条目对实体的筛选判决执行操作。 URL、欺骗发件人和文件的允许条目是实体级别的允许条目。 若要替代恶意软件和高置信度网络钓鱼判决,需要使用实体级别允许条目,仅由于 Microsoft 365 中的默认安全,才能通过提交来创建这些条目。
筛选堆栈判决 Email地址/域 恶意软件 筛选胜出:已隔离Email 高可信度网络钓鱼 筛选胜出:已隔离Email 网络钓鱼 租户胜出:Email传递到邮箱 高可信度垃圾邮件 租户胜出:Email传递到邮箱 垃圾邮件 租户胜出:Email传递到邮箱 批量邮件 租户胜出:Email传递到邮箱 非垃圾邮件 租户胜出:Email传递到邮箱 -
筛选堆栈判决 Email地址/域 恶搞 文件 URL 恶意软件 筛选胜出:已隔离Email 筛选胜出:已隔离Email 租户胜出:已隔离Email 筛选胜出:已隔离Email 高可信度网络钓鱼 租户胜出:已隔离Email 筛选胜出:已隔离Email 租户胜出:已隔离Email 租户胜出:已隔离Email 网络钓鱼 租户胜出:已隔离Email 租户胜出:适用的反钓鱼策略中的欺骗操作 租户胜出:已隔离Email 租户胜出:已隔离Email 高可信度垃圾邮件 租户胜出:已隔离Email 租户胜出:适用的反钓鱼策略中的欺骗操作 租户胜出:已隔离Email 租户胜出:已隔离Email 垃圾邮件 租户胜出:已隔离Email 租户胜出:适用的反钓鱼策略中的欺骗操作 租户胜出:已隔离Email 租户胜出:已隔离Email 批量邮件 租户胜出:已隔离Email 租户胜出:适用的反钓鱼策略中的欺骗操作 租户胜出:已隔离Email 租户胜出:已隔离Email 非垃圾邮件 租户胜出:已隔离Email 租户胜出:适用的反钓鱼策略中的欺骗操作 租户胜出:已隔离Email 租户胜出:已隔离Email
用户和租户设置冲突
下表介绍了如果电子邮件同时受用户允许/阻止设置和租户允许/阻止设置的影响,则如何解决冲突:
租户允许/阻止的类型 | 用户的安全发件人/收件人列表 | 用户的“阻止发件人”列表 |
---|---|---|
阻止租户允许/阻止列表中的条目:
|
租户胜出:已隔离Email | 租户胜出:已隔离Email |
阻止租户允许/阻止列表中的欺骗发件人的条目 | 租户获胜:适用的反钓鱼策略中的欺骗智能操作 | 租户获胜:适用的反钓鱼策略中的欺骗智能操作 |
高级传递策略 | 用户获胜:Email传递到邮箱 | 租户胜出:Email传递到邮箱 |
阻止反垃圾邮件策略中的设置 | 用户获胜:Email传递到邮箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |
遵循 DMARC 策略 | 用户获胜:Email传递到邮箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |
按邮件流规则阻止 | 用户获胜:Email传递到邮箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |
允许的方法是:
|
用户获胜:Email传递到邮箱 | 用户获胜:Email传递到用户的“垃圾邮件Email”文件夹 |