Microsoft Defender for Office 365 中的安全附件
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Defender for Office 365 中的安全附件为已通过 Exchange Online Protection (EOP) 中的反恶意软件保护扫描的电子邮件附件提供了额外的保护层。 具体而言,安全附件使用虚拟环境在电子邮件中检查附件,然后再将其传递到收件人 (称为引爆) 的过程。
电子邮件的安全附件保护由安全附件策略控制。 虽然没有默认的安全附件策略,但内置保护预设安全策略为所有收件人提供安全附件保护, (未在Standard或严格预设安全策略或自定义安全附件策略中定义的用户) 。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。 还可以创建应用于特定用户、组或域的安全附件策略。 有关说明,请参阅在 Microsoft Defender for Office 365 中设置安全附件策略。
下表描述了 Microsoft 365 中的安全附件方案,以及包含Microsoft Defender for Office 365 (Office 365组织的方案,换句话说,在) 示例中,缺少许可绝不是问题。
应用场景 | 结果 |
---|---|
Pat 的 Microsoft 365 E5 组织没有配置安全附件策略。 | 由于 内置保护 预设安全策略适用于未在安全附件策略中定义的所有收件人,因此 Pat 受到安全附件的保护。 |
Lee 的组织有一项仅适用于财务员工的安全附件策略。 Lee 是销售部门的成员。 | 由于 内置保护 预设安全策略适用于未在安全附件策略中定义的所有收件人,Lee 和销售部门的其余部分受到安全附件的保护。 |
昨天,Jean 所在组织的一名管理员创建了适用于所有员工的安全附件策略。 今天早些时候,Jean 收到一封包含附件的电子邮件。 | 由于自定义安全附件策略,Jean 受到安全附件保护。 新策略通常需要 30 分钟左右才能生效。 |
Chris 的组织为组织中的所有人都制定了长期安全附件策略。 Chris 收到带有附件的电子邮件,然后将邮件转发给外部收件人。 | Chris 受安全附件保护。 如果外部收件人在 Microsoft 365 组织中,则转发的邮件也受到安全附件的保护。 |
安全附件扫描发生在 Microsoft 365 数据所在的同一区域。 有关数据中心地理位置的详细信息,请参阅 数据位于何处?
注意
以下功能位于 Microsoft Defender 门户中安全附件策略的全局设置中。 但是,这些设置是全局启用或禁用的,不需要安全附件策略:
提示
作为本文的配套内容,请参阅我们的Microsoft Defender for Office 365设置指南,以查看最佳做法并防范电子邮件、链接和协作威胁。 功能包括安全链接、安全附件等。 对于基于环境的自定义体验,可以访问Microsoft 365 管理中心中的Microsoft Defender for Office 365自动设置指南。
安全附件策略设置
本部分介绍安全附件策略中的设置:
收件人筛选器:用于标识应用策略的内部收件人的条件和例外。 至少需要一个条件。 对于条件和例外,可以使用以下收件人筛选器:
- 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。
只能使用一次条件或异常,但条件或异常可以包含多个值:
相同条件或异常的多个值使用 OR 逻辑 (,例如 recipient1<> 或 <recipient2>) :
- 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
- 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
用户:
romain@contoso.com
组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。
安全附件未知恶意软件响应:此设置控制电子邮件中安全附件恶意软件扫描的操作。 下表介绍了可用的选项:
选项 作用 若要执行以下操作,请使用: 关闭 安全附件不会扫描附件是否含恶意软件。 仍会通过 EOP 中的反恶意软件保护扫描邮件中的恶意软件。 关闭选定收件人的扫描。
防止在路由内部邮件时出现不必要的延迟。
不建议对大多数用户使用此选项。 应仅使用此选项对仅从受信任发件人接收邮件的收件人关闭安全附件扫描。 如果安全附件处于关闭状态且未收到恶意软件信号,则 ZAP 不会隔离邮件。 有关详细信息,请参阅 零小时自动清除监视器 传递含附件的邮件,然后跟踪检测到的恶意软件发生的情况。
由于安全附件扫描,安全邮件的传递可能会延迟。查看检测到的恶意软件在组织中的位置。 阻止 防止传递含检测到的恶意软件附件的邮件。
邮件被隔离。 默认情况下,只有管理员 (用户) 才能查看、释放或删除邮件。¹
自动阻止邮件和附件的未来实例。
由于安全附件扫描,安全邮件的传递可能会延迟。使用相同的恶意软件附件保护组织免受重复攻击。
这是默认值,也是Standard和严格预设安全策略中的建议值。动态传递 立即传递邮件,但将附件替换为占位符,直到安全附件扫描完成。
包含恶意附件的邮件会被隔离。 默认情况下,只有管理员 (用户) 才能查看、释放或删除邮件。¹
有关详细信息,请参阅本文后面的 安全附件策略中的动态传递 部分。避免邮件延迟,同时保护收件人免受恶意文件的侵害。 ¹ 隔离策略定义用户能够对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。 无论如何配置隔离策略,用户都无法释放自己被安全附件隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。
使用检测到的附件重定向邮件: 启用重定向 并将 包含受监视附件的邮件发送到指定电子邮件地址:仅对于 “监视 ”操作,将包含恶意软件附件的邮件发送到指定的内部或外部电子邮件地址进行分析和调查。
标准和严格策略设置的建议是启用重定向。 有关详细信息,请参阅 安全附件设置。
优先级:如果创建多个策略,可以指定它们的应用顺序。 不能有两个策略具有相同的优先级,在应用第一个策略后,策略处理将停止, (该接收方) 的最高优先级策略。
有关优先级顺序以及如何评估和应用多个策略的详细信息,请参阅电子邮件保护的顺序和优先级。
安全附件策略中的动态传递
注意
动态传递仅适用于Exchange Online邮箱。
安全附件策略中的动态传递操作旨在消除安全附件扫描可能导致的任何电子邮件传递延迟。 电子邮件正文以每个附件的占位符传送给收件人。 占位符一直保留,直到找到附件是安全的,然后附件可供打开或下载。
如果发现附件是恶意的,则会隔离邮件。
执行安全附件扫描时,大多数 PDF 和 Office 文档都可以在安全模式下预览。 如果附件与动态传递预览程序不兼容,则收件人将看到附件的占位符,直到安全附件扫描完成。
如果你使用的是移动设备,并且 PDF 未在移动设备上的动态传递预览器中呈现,请尝试使用移动浏览器在以前称为Outlook Web App) Outlook 网页版 (中打开消息。
下面是动态传递和转发邮件的一些注意事项:
- 如果转发的收件人受到使用“动态传递”选项的安全附件策略的保护,则收件人将看到占位符,并能够预览兼容文件。
- 如果转发的收件人不受安全附件策略的保护,邮件和附件将在没有任何安全附件扫描或附件占位符的情况下传递。
在某些情况下,动态传递无法替换邮件中的附件。 这些情况包括:
- 公用文件夹中的邮件。
- 使用自定义规则从 中路由出然后传回用户邮箱的邮件。
- (自动或手动从云邮箱) 移动到其他位置(包括存档文件夹)的邮件。
- 收件箱规则将邮件从收件箱移出到其他文件夹中。
- 已删除的邮件。
- 用户的邮箱搜索文件夹处于错误状态。
- Exchange Online启用了感叹器的组织。 若要解决此问题,请参阅 KB4014438。
- S/MIME) 加密邮件。
- 你在安全附件策略中配置了动态传递操作,但收件人不支持动态传递 (例如,收件人是本地 Exchange 组织中的邮箱) 。 但是,如果在适用的安全链接策略) 中启用了支持 Office 应用的安全链接扫描,Microsoft Defender for Office 365中的安全链接能够扫描包含 url 的 Office 文件附件 (。
提交文件进行恶意软件分析
- 如果收到要发送到Microsoft进行分析的文件,请参阅 将恶意软件和非恶意软件提交到Microsoft进行分析。
- 如果收到电子邮件 (,无论是否包含要提交到Microsoft进行分析的附件) ,请参阅 向Microsoft报告邮件和文件。