优化防钓鱼保护

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

尽管 Microsoft 365 附带了默认启用的各种防钓鱼功能，但某些钓鱼邮件仍可能通过组织中的邮箱。 本文介绍可以执行哪些操作来发现钓鱼邮件通过的原因，以及可以做些什么来调整 Microsoft 365 组织中的防钓鱼设置 ，而不会意外地使情况变得更糟。

首先：处理任何遭到入侵的帐户，并确保阻止任何其他钓鱼邮件通过

如果收件人的帐户因网络钓鱼邮件而遭到入侵，请按照 响应 Microsoft 365 中泄露的电子邮件帐户中的步骤操作。

如果订阅包含Microsoft Defender for Office 365，则可以使用Office 365威胁情报来识别也收到钓鱼邮件的其他用户。 可以使用其他选项来阻止钓鱼邮件：

• Microsoft Defender for Office 365中的安全链接
• Microsoft Defender for Office 365 中的安全附件
• Microsoft Defender for Office 365中的反钓鱼策略。 可以暂时将策略中的 “高级钓鱼”阈值 从 “标准 ”增加到 “主动”、“ 更主动”或 “最激进”。

验证这些策略是否正常工作。 安全链接和安全附件保护默认处于打开状态，这要归功于 预设安全策略中的内置保护。 反钓鱼具有默认策略，该策略适用于默认启用反欺骗保护的所有收件人。 策略中未启用模拟保护，因此需要配置。 有关说明，请参阅在 Microsoft Defender for Office 365 中配置反钓鱼策略。

向 Microsoft 报告钓鱼邮件

报告钓鱼邮件有助于优化用于保护 Microsoft 365 中所有客户的筛选器。 有关说明，请参阅 使用“提交”页向 Microsoft 提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件。

检查邮件头

你可以检查钓鱼邮件的标头，以查看是否有任何可以自己操作来防止更多的钓鱼邮件通过。 换句话说，检查邮件头有助于识别组织中负责允许网络钓鱼邮件的任何设置。

具体而言，应检查邮件头中的 X-Forefront-Antispam-Report 标头字段，以获取垃圾邮件筛选判决 (SFV) 值中跳过垃圾邮件或钓鱼筛选的迹象。 跳过筛选的邮件的条目 SCL:-1为 ，这意味着其中一个设置通过覆盖由服务确定的垃圾邮件或钓鱼判决来允许此邮件通过。 有关如何获取邮件头以及所有可用的反垃圾邮件和防钓鱼邮件头的完整列表的详细信息，请参阅 Microsoft 365 中的反垃圾邮件邮件头。

提示

你可以将邮件头的内容复制并粘贴到邮件头分析器工具中。 此工具可帮助分析标头，并将其放入更可靠的格式中。

还可以使用配置分析器将 EOP 和Defender for Office 365安全策略与标准和严格建议进行比较。

保持保护的最佳做法

• 每月运行 安全功能分数 来评估组织的安全设置。

• 对于错误地 (误报) 的邮件，或者对于通过 (误报) 允许的邮件，建议在 威胁资源管理器和实时检测中搜索这些邮件。 可以按发件人、收件人或邮件 ID 进行搜索。 找到邮件后，通过单击主题转到详细信息。 对于隔离邮件，请查看什么是“检测技术”，以便可以使用适当的方法来替代。 对于允许的消息，请查看哪个策略允许该消息。

• 来自欺骗发件人的Email (邮件的发件人地址与邮件的源不匹配，) 在Defender for Office 365中被归类为钓鱼。 有时欺骗是良性的，有时用户不希望隔离来自特定欺骗发件人的邮件。 若要尽量减少对用户的影响，请定期查看 欺骗智能见解、 租户允许/阻止列表中的欺骗发件人条目以及 欺骗检测报告。 查看允许和阻止的欺骗发件人并进行任何必要的替代后，可以在反钓鱼策略中自信地配置欺骗智能，以隔离可疑邮件，而不是将它们传递到用户的垃圾邮件Email文件夹。

• 在 Defender for Office 365中，还可以使用 处https://security.microsoft.com/impersonationinsight的“模拟见解”页来跟踪用户模拟或域模拟检测。 有关详细信息，请参阅 Defender for Office 365 中的模拟见解。

• 定期查看网络钓鱼检测 的威胁防护状态报告 。

• 某些客户通过将自己的域置于反垃圾邮件策略中的“允许发件人”或“允许域”列表中，无意中允许钓鱼邮件通过。 尽管此配置允许某些合法邮件通过，但它也允许垃圾邮件和/或钓鱼筛选器通常会阻止的恶意邮件。 应更正基础问题，而不是允许域。

  处理 Microsoft 365 阻止的合法邮件 (误报) 涉及域中发件人的合法邮件的最佳方法是在 DNS 中为所有电子邮件域完全配置 SPF、DKIM 和 DMARC 记录：

  • 验证 SPF 记录是否标识域中发件人 的所有 电子邮件源， (不要忘记第三方服务！) 。

  • 使用硬失败 ( 全部) ，以确保配置为这样做的电子邮件系统拒绝未经授权的发件人。 可以使用 欺骗智能见解 来帮助识别正在使用域的发件人，以便在 SPF 记录中包含授权的第三方发件人。

  有关配置说明，请参阅：

  • 设置 SPF 以防止欺骗
  • 使用 DKIM 验证从自定义域发送的出站电子邮件
  • 使用 DMARC 验证电子邮件

• 建议尽可能将域的电子邮件直接发送到 Microsoft 365。 换句话说，将 Microsoft 365 域的 MX 记录指向 Microsoft 365。 Exchange Online Protection (EOP) 能够在云用户的邮件直接传递到 Microsoft 365 时为其提供最佳保护。 如果必须在 EOP 前面使用第三方电子邮件卫生系统，请使用连接器的增强筛选。 有关说明，请参阅 Exchange Online 中连接器的增强筛选。

• 让用户使用Outlook 网页版中的内置“报告”按钮，或者在组织中部署 Microsoft 报告消息或报告钓鱼加载项。 将 用户报告设置 配置为将用户报告的邮件发送到报告邮箱和/或 Microsoft。 然后，管理员可在 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=user的 “用户报告” 选项卡上使用用户报告的消息。 管理员可以向 Microsoft 报告用户报告的邮件或任何邮件，如使用提交页面向 Microsoft 提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件以及电子邮件附件中所述。 用户或管理员向 Microsoft 报告误报或误报非常重要，因为它有助于训练我们的检测系统。

• 多重身份验证 (MFA) 是防止帐户泄露的好方法。 强烈建议考虑为所有用户启用 MFA。 对于分阶段方法，请先为最敏感的用户 (管理员、管理人员等 ) 启用 MFA，然后再为所有人启用 MFA。 有关说明，请参阅 设置多重身份验证。

• 攻击者通常使用转发到外部收件人的规则来提取数据。 使用 Microsoft 安全功能分数中的“查看邮箱转发规则”信息查找甚至阻止将规则转发到外部收件人。 有关详细信息，请参阅 使用安全功能分数缓解客户端外部转发规则。

  使用 “自动转发的邮件”报告 可以查看有关转发电子邮件的特定详细信息。