在 EOP 中配置反垃圾邮件策略
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在有 Exchange Online 的 Microsoft 365 组织,或没有 Exchange Online 邮箱的 Exchange Online Protection (EOP) 组织中,EOP 都会自动保护入站电子邮件免受垃圾邮件威胁。 EOP 使用反垃圾邮件策略(亦称为“垃圾邮件筛选策略”或“内容筛选策略”),作为组织全面抵御垃圾邮件的措施的一部分。 有关详细信息,请参阅反垃圾邮件保护。
提示
建议启用所有用户并将其添加到Standard和/或严格预设安全策略。 有关详细信息,请参阅 配置保护策略。
默认反垃圾邮件策略会自动应用于组织中的所有收件人。 为了获得更高的粒度,还可以创建应用于特定用户、组或域的自定义反垃圾邮件策略。
可以在Microsoft Defender门户或 PowerShell (Exchange Online PowerShell 中为Microsoft 365 个组织配置反垃圾邮件策略,其中邮箱位于 Exchange Online 中;对于没有Exchange Online邮箱) 的组织的独立 EOP PowerShell。
提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“反垃圾邮件策略”页面,请使用 https://security.microsoft.com/antispam。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
-
- 添加、修改和删除策略: 组织管理 或 安全管理员 角色组中的成员身份。
- 对策略的只读访问权限:全局读取者、安全读取者或仅查看组织管理角色组中的成员身份。
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
有关建议的反垃圾软件策略设置,请参阅 EOP 反垃圾邮件策略设置。
提示
如果Standard或严格预设安全策略中也包括收件人,则忽略默认或自定义反垃圾邮件策略中的设置。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
无法完全关闭垃圾邮件筛选,但可以使用 Exchange 邮件流规则 (也称为传输规则) 绕过传入邮件的大多数垃圾邮件筛选 (例如,如果在传递到 Microsoft 365) 之前通过第三方保护服务或设备路由电子邮件。 有关详细信息,请参阅使用邮件流规则设置邮件中的垃圾邮件可信度 (SCL)。
- 仍会筛选高可信度钓鱼邮件。 EOP 中的其他功能不会受到影响, (例如,始终扫描邮件以查找恶意软件) 。
- 如果需要绕过 SecOps 邮箱或网络钓鱼模拟的垃圾邮件筛选,请不要使用邮件流规则。 有关详细信息,请参阅 配置将第三方网络钓鱼模拟传递给用户和未筛选邮件到 SecOps 邮箱。
反垃圾邮件策略中的最终用户垃圾邮件通知将替换为隔离策略中的 隔离通知 。 隔离通知包含有关所有受支持保护功能(不仅仅是反垃圾邮件策略和反网络钓鱼策略裁定)的隔离邮件的信息。 有关详细信息,请参阅 隔离策略剖析。
使用 Microsoft Defender 门户创建反垃圾邮件策略
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam。
在 “反垃圾邮件策略 ”页上,选择“ 创建策略” ,然后从下拉列表中选择“ 入站 ”以启动新的反垃圾邮件策略向导。
在“命名策略”页面上,配置以下设置:
- 名称:输入策略的唯一描述性名称。
- 说明:输入策略的可选说明。
完成“ 为策略命名 ”页后,选择“ 下一步”。
在 “用户、组和域 ”页上,确定策略应用于 (收件人条件的内部收件人) :
- 用户:指定的邮箱、邮件用户、邮件联系人或已启用邮件的公用文件夹。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:组织中具有指定接受域主电子邮件地址的所有收件人。
单击相应的框,开始键入值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户或组,输入星号 (*) ,以查看所有可用值。
只能使用一次条件,但条件可以包含多个值:
同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
排除这些用户、组和域: 若要为策略应用于的内部收件人添加例外 (收件人例外),请选择此选项并配置例外。
只能使用一次异常,但该异常可以包含多个值:
- 同一异常的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
- 不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
完成 “用户、组和域 ”页后,选择“ 下一步”。
在 “批量电子邮件阈值 & 垃圾邮件属性 ”页上,配置以下设置:
批量电子邮件阈值 部分:滑块指定批量投诉级别 (BCL) ,该邮件必须押注满足或超过该级别,以触发 针对批量合规级别 (BCL) 满足或超过 你在下一页上配置的垃圾邮件筛选判决的指定操作。 值越高,邮件就越不理想(是垃圾邮件的可能性就越大)。 有关 BCL 的详细信息,请参阅 EOP 中的批量投诉级别 (BCL) 。
垃圾邮件属性 部分:
“增加垃圾邮件分数”、“标记为垃圾邮件”*和“测试模式”:默认情况下关闭的高级垃圾邮件过滤器 (ASF) 设置。
若要详细了解这些设置,请参阅 EOP 中的高级垃圾邮件筛选设置。
* 包含特定语言和来自这些国家/地区设置不是 ASF 的一部分。
包含特定语言:从下拉列表中选择“ 打开 ”或“ 关闭 ”。 如果将其打开,则将显示一个框。 开始在框中键入语言的名称。 此时会显示受支持语言的筛选列表。 找到要查找的语言后,请将其选中。 根据需要重复执行此步骤(次数不限)。 若要删除现有值,请选择 值旁边的值。
从这些国家/地区:从下拉列表中选择“ 打开 ”或“ 关闭 ”。 如果将其打开,则将显示一个框。 开始在框中键入国家/地区的名称。 此时会显示受支持国家/地区的筛选列表。 找到要查找的国家/地区时,请选择它。 根据需要重复执行此步骤(次数不限)。 若要删除现有值,请选择 值旁边的值。
完成“ 批量电子邮件阈值 & 垃圾邮件属性 ”页后,选择“ 下一步”。
在 “操作” 页上,配置以下设置:
邮件操作 部分:根据垃圾邮件筛选判决查看或选择要对邮件执行的操作:
- 垃圾邮件
- 高可信度垃圾邮件
- 钓鱼
- 高可信度网络钓鱼电子邮件
- 满足或超过 BCL) 批量兼容级别 (
反垃圾邮件策略中的操作中介绍了垃圾邮件筛选判决的可用操作。
提示
如果垃圾邮件筛选裁定默认隔离邮件 (在到达页面) 时已选择 隔离邮件 ,则默认隔离策略名称将显示在 “选择隔离策略 ”框中。 如果将垃圾邮件筛选判决的操作更改为“隔离邮件”,则“选择隔离策略”框默认为空。 空值表示使用了该判决的默认隔离策略。 以后查看或编辑反垃圾邮件策略设置时,将显示隔离策略名称。 有关默认用于垃圾邮件筛选器判决的隔离策略的详细信息,请参阅 EOP 反垃圾邮件策略设置。
对于高置信度钓鱼,实际上已弃用将邮件移动到垃圾邮件Email文件夹操作。 尽管你可以选择“将邮件移动到垃圾邮件Email文件夹”操作,但高置信度钓鱼邮件始终被隔离 (等效于选择“隔离邮件) ”。
无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的高置信度钓鱼邮件。
要对其采取措施的组织内邮件:控制是否对内部邮件应用垃圾邮件筛选和相应的判决操作, (组织内用户之间发送的邮件) 。 可用值有:
- 默认值:这是默认值。 此值与选择“ 高置信度钓鱼邮件”相同。
- 无
- 高置信度钓鱼消息
- 网络钓鱼和高置信度钓鱼消息
- 所有网络钓鱼和高置信度垃圾邮件
- 所有网络钓鱼和垃圾邮件
将垃圾邮件保留在隔离区内此天数:指定在你选择“隔离邮件”作为垃圾邮件筛选裁定操作时将邮件放在隔离区内的时长。 该时间段过期后,邮件将被删除,并且无法恢复。 有效值介于 1 和 30 天之间。
提示
在 PowerShell 中创建的反垃圾邮件策略中的默认值为 15 天。 在Microsoft Defender门户中创建的反垃圾邮件策略中,默认值为 30 天。
此设置还控制由 防钓鱼 策略隔离的邮件的保留时间。 有关详细信息,请参阅 隔离保留。
添加此 X 标头文本:只有当你选择“添加 X 标头”作为垃圾邮件筛选裁定对应的操作时,此框才会显示且必须选中。 指定的值是添加到邮件头的标头字段名称。 标头字段值始终为
This message appears to be spam
。长度上限为 255 个字符,且值不得包含空格或冒号 (:)。
例如,如果你输入值
X-This-is-my-custom-header
,则添加到邮件的 X 标头为X-This-is-my-custom-header: This message appears to be spam.
如果你输入的值包含空格或冒号 (:),输入值会遭忽略,且添加到邮件中的是默认 X 标头 (
X-This-Is-Spam: This message appears to be spam.
)。在主题行前面添加此文本作为前缀:只有当你选择“在主题行前面追加文本”作为垃圾邮件筛选裁定对应的操作时,此框才会显示且必须选中。 输入要添加到邮件主题行开头的文本。
重定向到此电子邮件地址:只有当你选择“将邮件重定向到电子邮件地址”作为垃圾邮件筛选裁定对应的操作时,此框才会显示且必须选中。 输入要将邮件递送到的电子邮件地址。 可以输入多个值,用分号 (;) 分隔。
“安全提示”部分:默认情况下,“启用安全提示:”处于选中状态,但可以通过清除“检查”框来禁用安全提示。
零小时自动清除 (ZAP) 部分:
-
启用零时差自动清除 (ZAP):ZAP 检测已递送到 Exchange Online 邮箱的邮件,并对邮件执行操作。 默认情况下,ZAP 处于启用状态。 当启用 ZAP 时,可以使用以下设置:
- 为钓鱼邮件启用 ZAP:默认情况下,为钓鱼检测启用 ZAP,但可以通过清除“检查”框来禁用它。 有关更多信息,请参阅:
- 为垃圾邮件启用 ZAP:默认情况下,为垃圾邮件检测启用 ZAP,但可以通过清除“检查”框来禁用它。 有关详细信息,请参阅 垃圾邮件的零小时自动清除 (ZAP) 。
-
启用零时差自动清除 (ZAP):ZAP 检测已递送到 Exchange Online 邮箱的邮件,并对邮件执行操作。 默认情况下,ZAP 处于启用状态。 当启用 ZAP 时,可以使用以下设置:
完成“ 操作” 页后,选择“ 下一步”。
在 “允许 & 阻止列表 ”页上,可以按允许跳过垃圾邮件筛选的电子邮件地址或电子邮件域配置邮件发件人。
在“已允许”部分中,可以配置允许的发件人和允许的域。 在“已阻止”部分中,可以配置阻止的发件人和阻止的域。
这些列表的最大限制约为 1,000 个条目,但在 Defender 门户中只能输入 30 个条目。 使用 Exchange Online PowerShell 添加 30 多个条目。
重要
这些列表的功能已基本替换为 租户允许/阻止列表。 有关重要信息,请参阅 反垃圾邮件策略中的允许和阻止列表。
将条目添加到任何列表的步骤相同:
选择要配置的列表的链接:
- 允许>发件人:选择 “管理 (nn) 发件人 () ”。
- 允许>域:选择 “允许域”。
- 封锁>发件人:选择 “管理 (nn) 发件人 () ”。
- 封锁>域:选择“ 阻止域”。
在打开的浮出控件中,执行以下步骤:
- 选择“添加发件人”或“添加域”。
- 在打开的“添加发件人”或“添加域”浮出控件中,在“发件人”框中输入发件人的电子邮件地址,或在“域”框中输入域。 键入时,值将显示在框下方。 键入完值后,选择框下方的值。
- 根据需要多次重复上一步。 若要删除现有值,请选择 值旁边的值。
完成“ 添加发件人” 或“ 添加域 ”浮出控件后,选择“ 添加发件人 ”或“ 添加域”。
返回第一个浮出控件时,将列出你添加的发件人或域。
若要将条目列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找浮出控件上的条目。
若要添加条目,请选择“添加发件人”或“添加域”,然后重复上述步骤。
若要删除条目,请执行以下步骤之一:
- 通过选择发件人或域值旁边的空白区域中显示的圆形检查框,选择一个或多个条目。
- 通过选择列标题旁空白区域中显示的圆形检查框,一次选择所有条目。
完成浮出控件后,选择“ 完成 ”以返回到 “允许 & 阻止列表 ”页。
完成“ 允许 & 阻止列表 ”页后,选择“ 下一步”。
在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅 ”页后,选择“ 创建”。
在 “新建反垃圾邮件策略” 页上,可以选择链接以查看策略、查看反垃圾邮件策略以及了解有关反垃圾邮件策略的详细信息。
在“ 新建反垃圾邮件策略创建 ”页上完成操作后,选择“ 完成”。
返回 “反垃圾邮件策略 ”页,将列出新策略。
使用Microsoft Defender门户查看反垃圾邮件策略详细信息
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam。
在 “反垃圾邮件策略 ”页上,策略列表中显示了以下属性:
- 名称
-
状态:值为:
- 默认反垃圾邮件策略始终打开 (例如,反垃圾邮件入站策略 (默认) ) 。
- 打开或关闭其他反垃圾邮件策略。
- 优先级:有关详细信息,请参阅 设置自定义反垃圾邮件策略的优先级 部分。
-
类型:反垃圾邮件策略的以下值之一:
- 与Standard和严格预设安全策略关联的反垃圾邮件策略的保护模板。
- 自定义反垃圾邮件策略
- 默认反垃圾邮件策略 (空白,例如 ,反垃圾邮件入站策略 (默认) ) 。
若要将策略列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框和相应的值查找特定策略。
单击行中除名称旁边的“检查”框以外的任意位置,选择反垃圾邮件策略,打开策略的详细信息浮出控件。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他反垃圾邮件策略的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
使用Microsoft Defender门户对反垃圾邮件策略采取措施
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“Email &协作>策略 & 规则>威胁策略>反垃圾邮件”。 或者,若要直接转到 “反垃圾邮件策略 ”页,请使用 https://security.microsoft.com/antispam。
在“反垃圾邮件策略”页上,单击名称旁边的“检查”框以外的任意位置,从列表中选择反垃圾邮件策略。 打开的详细信息浮出控件中提供了以下部分或所有操作:
- 在自定义策略或默认策略) 的每个部分中单击“ 编辑 ”,以修改策略设置 (
- 仅) 打开或关闭 (自定义策略
- 仅) (自定义策略增加优先级或降低优先级
- 仅) 删除 (自定义策略
以下小节介绍了这些操作。
使用Microsoft Defender门户修改反垃圾邮件策略
选择默认反垃圾邮件策略或自定义策略后,单击名称旁边的检查框以外的行中的任意位置,策略设置会显示在打开的详细信息浮出控件中。 选择“每个部分中的 编辑 ”以修改该部分中的设置。 有关设置的详细信息,请参阅本文前面的 创建反垃圾邮件策略 部分。
对于默认策略,无法修改策略的名称,并且没有要配置 (策略应用于) 的所有收件人的收件人筛选器。 但是,可以修改策略中的所有其他设置。
对于名为“Standard预设安全策略”和“严格预设安全策略”(与预设安全策略关联的“预设安全策略”)的反垃圾邮件策略,无法修改详细信息浮出控件中的策略设置。 相反,在详细信息浮出控件中选择“ 查看预设安全策略 ”,转到 “ 预设安全策略 ” 页, https://security.microsoft.com/presetSecurityPolicies 以修改预设的安全策略。
提示
批量发件人见解目前为预览版,并非在所有组织中都可用,并且可能会发生更改。
如果在默认反垃圾邮件策略或自定义反垃圾邮件策略的详细信息浮出控件中选择“批量电子邮件阈值 & 垃圾邮件属性”部分底部的“编辑垃圾邮件阈值和属性”,则“批量电子邮件阈值”部分包含批量发件人见解:有关过去 60 天内所有反垃圾邮件策略在所有 BCL 级别检测为批量的邮件数的信息。
默认情况下,批量发件人见解显示在反垃圾邮件策略的当前 BCL 阈值内传递并标识为批量的邮件数。
如果降低批量电子邮件阈值,批量发件人见解将更改,以显示将传递的邮件数减少多少,以及将多少封邮件标识为批量邮件。 该见解还显示有多少批量邮件标识可能是误报, (识别为错误) 的良好电子邮件。
如果增大批量电子邮件阈值,批量发件人见解会更改,以显示将传递的更多邮件数以及标识为批量的邮件数。 该见解还显示有多少批量邮件标识可能是误报 () 送达的电子邮件。
选择“查看批量发件人见解”可转到main批量发件人见解页。 有关详细信息,请参阅 Exchange Online Protection 中的批量发件人见解。
使用Microsoft Defender门户启用或禁用反垃圾邮件策略
(始终) 启用默认反垃圾邮件策略,则无法禁用该策略。
无法启用或禁用与Standard和严格预设安全策略关联的反垃圾邮件策略。 在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies启用或禁用Standard或严格预设安全策略。
选择已启用的自定义反垃圾邮件策略 (“状态”值为“打开) ”后,单击名称旁边的检查框以外的行中的任意位置,选择“策略详细信息”浮出控件顶部的“关闭”。
选择禁用的自定义反垃圾邮件策略 (状态值为“关闭) ”后,单击名称旁边的“检查”框旁边的行以外的任意位置,选择“策略详细信息”浮出控件顶部的“打开”。
完成策略详细信息浮出控件后,选择“ 关闭”。
在“反垃圾邮件策略”页上,策略的“状态”值现在为“打开”或“关闭”。
使用 Microsoft Defender 门户设置自定义反垃圾邮件策略的优先级
反垃圾邮件策略按在“ 反垃圾邮件策略 ”页上显示的顺序进行处理:
- 如果) 启用了严格预设安全策略,则始终首先应用与严格预设安全策略关联的名为“严格预设安全策略”的反垃圾邮件策略 (。
- 如果 ) 启用Standard预设安全策略,则始终在 (下一 (应用与Standard预设安全策略关联的名为 Standard 预设安全策略的反垃圾邮件策略。
- 如果启用了自定义反垃圾邮件策略,则接下来会按优先级顺序 (应用这些策略) :
- 优先级值越低表示优先级越高, (0 表示) 最高。
- 默认情况下,创建新的反垃圾邮件策略的优先级低于最低现有自定义反垃圾邮件策略 (第一个为 0,第二个为 1,等等 ) 。
- 没有两个反垃圾邮件策略可以具有相同的优先级值。
- 默认反垃圾邮件策略始终具有优先级值 “最低”,无法更改它。
应用第一个策略后, (该收件人) 的最高优先级策略后,反垃圾邮件保护将停止。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
通过单击名称旁边的“检查”框以外的任意位置选择自定义反垃圾邮件策略后,可以在打开的详细信息浮出控件中增加或降低策略的优先级:
- “反垃圾邮件策略”页上优先级值为 0 的自定义策略在详细信息浮出控件顶部具有“降低优先级”操作。
- 优先级最低 (优先级值 最高的自定义策略;例如, 3) 详细信息浮出控件顶部有 “增加优先级 ”操作。
- 如果有三个或更多策略,则优先级 0 和最低优先级之间的策略在详细信息浮出控件顶部同时具有“增加优先级”和“减少优先级操作”。
完成策略详细信息浮出控件后,选择“ 关闭”。
返回 “反垃圾邮件策略 ”页,列表中的策略顺序与更新的 “优先级” 值匹配。
使用 Microsoft Defender 门户删除自定义反垃圾邮件策略
无法删除默认的反垃圾邮件策略或名为“Standard预设安全策略”和“严格预设安全策略”(与预设安全策略关联的反垃圾邮件策略)。
选择自定义反垃圾邮件策略后,单击名称旁边的“检查”框旁边的行以外的任意位置,选择浮出控件顶部的“删除策略”,然后在打开的警告对话框中选择“是”。
在 “反垃圾邮件策略 ”页上,已删除的策略不再列出。
使用 Exchange Online PowerShell 或独立 EOP PowerShell 配置反垃圾邮件策略
在 PowerShell 中,反垃圾邮件策略的基本元素包括:
- 垃圾邮件筛选器策略:指定要启用或禁用的垃圾邮件防护、要为这些保护应用的操作以及其他选项。
- 垃圾邮件筛选规则:指定 (策略应用于关联垃圾邮件筛选策略) 的优先级和收件人筛选器。
在 Microsoft Defender 门户中管理反垃圾邮件策略时,这两个元素之间的差异并不明显:
- 在 Defender 门户中创建策略时,实际上是同时为两者使用相同的名称创建垃圾邮件筛选规则和关联的垃圾邮件筛选策略。
- 在 Defender 门户中修改策略时,与名称、优先级、启用或禁用和收件人筛选器相关的设置将修改垃圾邮件筛选规则。 其他所有设置会修改关联的垃圾邮件筛选策略。
- 在 Defender 门户中删除策略时,垃圾邮件筛选规则和关联的垃圾邮件筛选策略将同时删除。
在 Exchange Online PowerShell 中,垃圾邮件筛选策略和垃圾邮件筛选规则之间的差异是显而易见的。 使用 *-HostedContentFilterPolicy cmdlet 管理垃圾邮件筛选策略,并使用 *-HostedContentFilterRule cmdlet 管理垃圾邮件筛选规则。
- 在 PowerShell 中,首先创建垃圾邮件筛选策略,然后创建垃圾邮件筛选规则,该规则标识该规则适用的关联策略。
- 在 PowerShell 中,分别修改垃圾邮件筛选策略和垃圾邮件筛选规则中的设置。
- 如果你通过 PowerShell 删除垃圾邮件筛选策略,相应的垃圾邮件筛选规则不会自动随之删除,反之亦然。
仅在 PowerShell 中可用的一个重要设置是默认情况下的 On
MarkAsSpamBulkMail 参数。 本文前面的 创建反垃圾邮件策略 部分介绍了此设置的效果。
使用 PowerShell 创建反垃圾邮件策略
在 PowerShell 中创建反垃圾邮件策略的过程分为两步:
- 创建垃圾邮件筛选策略。
- 创建垃圾邮件筛选规则,它指定了向哪个垃圾邮件筛选策略应用规则。
注意
- 可以新建垃圾邮件筛选规则,并向它分配未关联的现有垃圾邮件筛选策略。 垃圾邮件筛选规则不能与多个垃圾邮件筛选策略关联。
- 可以在 PowerShell 中为新的垃圾邮件筛选策略配置以下设置,这些设置在Microsoft Defender门户中不可用,直到创建策略:
- 在 New-HostedContentFilterRule cmdlet) 上创建禁用 (已启用
$false
的新策略。 - 在 New-HostedContentFilterRule cmdlet) 上设置策略的优先级 (优先级<编号>) 。
- 在 New-HostedContentFilterRule cmdlet) 上创建禁用 (已启用
- 在 PowerShell 中创建的新垃圾邮件筛选策略在Microsoft Defender门户中不可见,直到将策略分配给垃圾邮件筛选规则。
第 1 步:使用 PowerShell 创建垃圾邮件筛选策略
若要创建垃圾邮件筛选策略,请连接到 Exchange Online PowerShell 并使用以下语法:
New-HostedContentFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>
下面的示例使用以下设置创建名为“Contoso Executives”的垃圾邮件筛选策略:
- 当垃圾邮件筛选裁定为垃圾邮件或高可信度垃圾邮件时隔离邮件,并使用隔离邮件的默认 隔离策略(不使用 SpamQuarantineTag 或 HighConfidenceSpamQuarantineTag 参数)。
- BCL 7、8 或 9 触发群发电子邮件垃圾邮件筛选裁定对应的操作。
New-HostedContentFilterPolicy -Name "Contoso Executives" -HighConfidenceSpamAction Quarantine -SpamAction Quarantine -BulkThreshold 6
若要详细了解语法和参数,请参阅 New-HostedContentFilterPolicy。
提示
有关指定要在垃圾邮件筛选策略中使用的 隔离策略 的详细说明,请参阅 使用 PowerShell 在反垃圾邮件策略中指定隔离策略。
第 2 步:使用 PowerShell 创建垃圾邮件筛选规则
若要创建垃圾邮件筛选规则,请连接到 Exchange Online PowerShell 并使用以下语法:
New-HostedContentFilterRule -Name "<RuleName>" -HostedContentFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
下面的示例使用以下设置新建名为“Contoso Executives”的垃圾邮件筛选规则:
- 名为“Contoso Executives”的垃圾邮件筛选策略与此规则关联。
- 此规则应用于“Contoso Executives Group”组中的成员。
New-HostedContentFilterRule -Name "Contoso Executives" -HostedContentFilterPolicy "Contoso Executives" -SentToMemberOf "Contoso Executives Group"
若要详细了解语法和参数,请参阅 New-HostedContentFilterRule。
使用 PowerShell 查看垃圾邮件筛选策略
若要返回所有垃圾邮件筛选策略的摘要列表,请连接到 Exchange Online PowerShell 并运行以下命令:
Get-HostedContentFilterPolicy
若要返回有关特定垃圾邮件筛选策略的详细信息,请使用以下语法:
Get-HostedContentFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
下面的示例返回名为“Executives”的垃圾邮件筛选策略的所有属性值。
Get-HostedContentFilterPolicy -Identity "Executives" | Format-List
若要详细了解语法和参数,请参阅 Get-HostedContentFilterPolicy。
使用 PowerShell 查看垃圾邮件筛选规则
若要查看现有的垃圾邮件筛选规则,请连接到 Exchange Online PowerShell 并使用以下语法:
Get-HostedContentFilterRule [-Identity "<RuleIdentity>] [-State <Enabled | Disabled]
若要返回所有垃圾邮件筛选规则的摘要列表,请运行以下命令:
Get-HostedContentFilterRule
若要按已启用或已禁用规则筛选列表,请运行以下命令:
Get-HostedContentFilterRule -State Disabled
Get-HostedContentFilterRule -State Enabled
若要返回特定垃圾邮件筛选规则的详细信息,请使用以下语法:
Get-HostedContentFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
下面的示例返回名为“Contoso Executives”的垃圾邮件筛选规则的所有属性值。
Get-HostedContentFilterRule -Identity "Contoso Executives" | Format-List
若要详细了解语法和参数,请参阅 Get-HostedContentFilterRule。
使用 PowerShell 修改垃圾邮件筛选策略
除了以下几项之外,在 PowerShell 中修改垃圾邮件筛选策略时可用的设置,与本文前面的第 1 步:使用 PowerShell 创建垃圾邮件筛选策略部分中介绍的可用于创建策略的设置相同。
- 只有在 PowerShell 中修改垃圾邮件筛选策略时,才能使用 MakeDefault 开关,它可将指定策略转换为默认策略(应用于所有人,优先级值始终为“最低”,且无法删除)。
- 无法重命名垃圾邮件筛选策略(Set-HostedContentFilterPolicy cmdlet 没有 Name 参数)。 在 Microsoft Defender 门户中重命名反垃圾邮件策略时,只会重命名垃圾邮件筛选规则。
若要修改垃圾邮件筛选策略,请连接到 Exchange Online PowerShell 并使用以下语法:
Set-HostedContentFilterPolicy -Identity "<PolicyName>" <Settings>
若要详细了解语法和参数,请参阅 Set-HostedContentFilterPolicy。
提示
有关指定要在垃圾邮件筛选策略中使用的 隔离策略 的详细说明,请参阅 使用 PowerShell 在反垃圾邮件策略中指定隔离策略。
使用 PowerShell 修改垃圾邮件筛选规则
在 PowerShell 中修改垃圾邮件筛选规则时,唯一不可用的设置是,可用于创建已禁用规则的 Enabled 参数。 若要启用或禁用现有垃圾邮件筛选规则,请参阅下一部分。
否则,在 PowerShell 中修改垃圾邮件筛选规则时,将无法使用其他任何设置。 创建规则时可用的设置与本文前面的第 2 步:使用 PowerShell 创建垃圾邮件筛选规则部分中介绍的设置相同。
若要修改垃圾邮件筛选规则,请连接到 Exchange Online PowerShell 并使用以下语法:
Set-HostedContentFilterRule -Identity "<RuleName>" <Settings>
此示例重命名名为 {Fabrikam Spam Filter}
的现有垃圾邮件筛选规则。
Set-HostedContentFilterRule -Identity "{Fabrikam Spam Filter}" -Name "Fabrikam Spam Filter"
若要详细了解语法和参数,请参阅 Set-HostedContentFilterRule。
使用 PowerShell 启用或禁用垃圾邮件筛选规则
在 PowerShell 中启用或禁用垃圾邮件筛选规则会启用或禁用整个反垃圾邮件策略(即垃圾邮件筛选规则和分配的垃圾邮件筛选策略)。 无法启用或禁用默认反垃圾邮件策略(该策略始终应用于所有收件人)。
若要启用或禁用垃圾邮件筛选规则,请连接到 Exchange Online PowerShell 并使用以下语法:
<Enable-HostedContentFilterRule | Disable-HostedContentFilterRule> -Identity "<RuleName>"
下面的示例禁用名为“Marketing Department”的垃圾邮件筛选规则。
Disable-HostedContentFilterRule -Identity "Marketing Department"
下面的示例启用同一规则。
Enable-HostedContentFilterRule -Identity "Marketing Department"
若要详细了解语法和参数,请参阅 Enable-HostedContentFilterRule 和 Disable-HostedContentFilterRule。
使用 PowerShell 设置垃圾邮件筛选规则的优先级
可以设置的规则最高优先级值是 0。 可以设置的最小优先级值取决于规则的数量。 例如,如果有五个规则,则可以使用的优先级值为 0 到 4。 更改现有规则的优先级可对其他规则产生级联效应。 例如,假设有五个自定义规则(优先级从 0 到 4)。如果你将某个规则的优先级更改为 2,那么优先级为 2 的现有规则会变成优先级 3,优先级为 3 的现有规则会变成优先级 4。
若要设置垃圾邮件筛选规则的优先级,请连接到 Exchange Online PowerShell 并使用以下语法:
Set-HostedContentFilterRule -Identity "<RuleName>" -Priority <Number>
下面的示例将名为“Marketing Department”的规则的优先级设置为 2。 优先级小于或等于 2 的所有现有规则的优先级都递减 1(即优先级数字都递增 1)。
Set-HostedContentFilterRule -Identity "Marketing Department" -Priority 2
注意
若要在新建规则时设置它的优先级,请改为对 New-HostedContentFilterRule cmdlet 使用 Priority 参数。
默认垃圾邮件筛选策略没有相应的垃圾邮件筛选规则,且始终有不可修改的优先级值“最低”。
使用 PowerShell 删除垃圾邮件筛选策略
如果使用 PowerShell 删除垃圾邮件筛选策略,不会删除相应的垃圾邮件筛选规则。
若要删除垃圾邮件筛选策略,请连接到 Exchange Online PowerShell 并使用以下语法:
Remove-HostedContentFilterPolicy -Identity "<PolicyName>"
下面的示例删除名为“Marketing Department”的垃圾邮件筛选策略。
Remove-HostedContentFilterPolicy -Identity "Marketing Department"
若要详细了解语法和参数,请参阅 Remove-HostedContentFilterPolicy。
使用 PowerShell 删除垃圾邮件筛选规则
使用 PowerShell 删除垃圾邮件筛选规则时,不会删除相应的垃圾邮件筛选策略。
若要删除垃圾邮件筛选规则,请连接到 Exchange Online PowerShell 并使用以下语法:
Remove-HostedContentFilterRule -Identity "<PolicyName>"
下面的示例删除名为“Marketing Department”的垃圾邮件筛选规则。
Remove-HostedContentFilterRule -Identity "Marketing Department"
若要详细了解语法和参数,请参阅 Remove-HostedContentFilterRule。
如何判断这些过程生效了?
发送 GTUBE 邮件测试垃圾邮件策略设置
注意
只有当你从中发送 GTUBE 邮件的电子邮件组织不扫描出站垃圾邮件时,才能执行这些步骤。 如果存在,则无法发送测试消息。
垃圾群发电子邮件的一般测试 (GTUBE) 是文本字符串,可以添加到测试邮件中,用于验证组织的反垃圾邮件设置。 GTUBE 邮件类似于用于测试恶意软件设置的欧洲反计算机病毒协会 (EICAR) 文本文件。
在电子邮件中的某一行上,添加以下 GTUBE 文本,不得有任何空格或换行符:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X