默认情况下,在 Office 365 中保护
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
“默认情况下安全”是一个术语,用于定义尽可能安全的默认设置。
但是,安全性需要与生产力相平衡。 这可以包括跨以下项的均衡:
- 可用性:设置不应妨碍用户工作效率。
- 风险:安全性可能会阻止重要活动。
- 旧设置:出于业务原因,可能需要维护旧产品和功能的某些配置,即使新的新式设置得到了改进。
Microsoft 365 个组织中邮箱位于 Exchange Online 的组织受Exchange Online Protection (EOP) 保护。 此保护包括:
- 将自动隔离具有可疑恶意软件的Email。 是否通知收件人有关隔离的恶意软件邮件,由隔离策略和反恶意软件策略中的设置控制。 有关详细信息,请参阅 在 EOP 中配置反恶意软件策略。
- Email标识为高置信度钓鱼,将根据反垃圾邮件策略操作进行处理。 请参阅 在 EOP 中配置反垃圾邮件策略。
有关 EOP 的详细信息,请参阅Exchange Online Protection概述。
由于Microsoft希望默认情况下保护客户的安全,因此某些租户替代不会应用于恶意软件或高置信度钓鱼。 这些替代包括:
- 允许的发件人列表或允许的域列表 (反垃圾邮件策略)
- Outlook 安全发件人
- IP 允许列表 (连接筛选)
- Exchange 邮件流规则 (也称为传输规则)
如果要暂时允许某些邮件仍被Microsoft阻止,请使用 管理员提交。
有关这些替代的详细信息,请参阅 创建安全发件人列表。
注意
我们已弃用 EOP 反垃圾邮件策略中的“将邮件移动到垃圾邮件Email文件夹”操作,以用于高置信度钓鱼电子邮件判决。 对高置信度钓鱼邮件使用此操作的反垃圾邮件策略将转换为 隔离邮件。 高置信度钓鱼 邮件的“将邮件重定向到电子邮件地址 ”操作不受影响。
默认情况下,“安全”不是一种可以打开或关闭的设置,而是我们现成筛选的方式,用于将潜在危险邮件或不需要的邮件从邮箱中排除。 应隔离恶意软件和高置信度钓鱼邮件。 默认情况下,只有管理员可以管理隔离为恶意软件或高置信度钓鱼的邮件,还可以从那里向Microsoft报告误报。 有关详细信息,请参阅 在 EOP 中以管理员身份管理已隔离邮件和文件。
详细了解我们这样做的原因
默认情况下,安全的精神是:如果你知道消息是恶意的,我们将对消息采取相同的操作,即使配置的异常将允许传递消息。 此方法与我们在恶意软件上一直使用的方法相同,现在我们正在将此相同行为扩展到高置信度钓鱼邮件。
我们的数据表明,用户单击“垃圾邮件Email”文件夹中的邮件中的恶意链接的可能性比隔离区高 30 倍。 我们的数据还表明,对于高置信度钓鱼邮件,误报率 (标记为坏) 的良好邮件非常低,并且管理员可以通过管理员提交解决任何误报。
我们还确定,在反垃圾邮件策略和 Outlook 中的安全发件人中允许的发件人和允许的域列表过于宽泛,造成了比好的更多的危害。
换句话说:作为一项安全服务,我们将代表你行事,以防止你的用户受到威胁。
例外
只应考虑在以下方案中使用替代:
- 钓鱼模拟:模拟攻击可以帮助你在实际攻击影响组织之前识别易受攻击的用户。 若要防止网络钓鱼模拟消息被筛选,请参阅 在高级传递策略中配置第三方网络钓鱼模拟。
- 安全/SecOps 邮箱:安全团队用来获取未筛选邮件的专用邮箱, (好的和坏的) 。 然后,Teams 可以进行评审,以查看它们是否包含恶意内容。 有关详细信息,请参阅 在高级传递策略中配置 SecOps 邮箱。
- 第三方筛选器:仅当域的 MX 记录指向 Microsoft 365 (contoso.mail.protection.outlook.com) 时,才默认应用安全。 如果域的 MX 记录在邮件传递到 Microsoft 365 之前指向另一个服务或设备,则以下方法可能会导致通过向用户收件箱Microsoft 365 反垃圾邮件筛选来传递检测到高可信度钓鱼的邮件:
- 误报:若要暂时允许某些邮件仍被Microsoft阻止,请使用 管理员提交。 默认情况下,允许域和电子邮件地址、文件和 URL 的条目存在 30 天。 在这 30 天内,Microsoft从允许条目中学习并 删除它们或自动扩展它们。 默认情况下,允许欺骗发件人的条目永不过期。