電子郵件保護的順序和優先順序
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在Microsoft 365 個具有 Exchange Online 信箱或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱的組織中,輸入電子郵件可能會受到多種形式的保護。 例如,適用於所有Microsoft 365客戶的反詐騙保護,以及僅供 適用於 Office 365 的 Microsoft Defender 客戶使用的模擬保護。 訊息也會通過惡意代碼、垃圾郵件、網路釣魚等的多個偵測掃描。假設有所有這些活動,套用哪一個原則可能會有些混淆。
一般而言,套用至訊息的原則會在 CAT (Category ) 屬性的 X-Forefront-Antispam-Report 標頭中識別。 如需詳細資訊,請參閱反垃圾郵件標頭。
有兩個主要因素可決定要將哪一個原則套用至訊息:
電子郵件保護類型的處理順序:此順序無法設定,如下表所述:
順序 電子郵件保護 類別 要管理的位置 1 惡意程式碼 CAT:MALW
在 EOP 中設定反惡意代碼原則 2 高信賴度網路釣魚 CAT:HPHSH
在 EOP 中設定反垃圾郵件原則 3 網路釣魚 CAT:PHSH
在 EOP 中設定反垃圾郵件原則 4 高信賴度的垃圾郵件 CAT:HSPM
在 EOP 中設定反垃圾郵件原則 5 詐騙 CAT:SPOOF
EOP 中的詐騙情報深入解析 6* 用戶模擬 (受保護的使用者) CAT:UIMP
在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則 7* 網域模擬 (受保護的網域) CAT:DIMP
在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則 8* 信箱智慧 (連絡圖形) CAT:GIMP
在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則 9 垃圾郵件 CAT:SPM
在 EOP 中設定反垃圾郵件原則 10 大量 CAT:BULK
在 EOP 中設定反垃圾郵件原則 *這些功能僅適用於 適用於 Office 365 的 Microsoft Defender 的反網路釣魚原則。
原則的優先順序順序:原則優先順序如下列清單所示:
[嚴格] 默認安全策略中的反垃圾郵件、反惡意代碼、反網络釣魚、安全連結*和安全附件*原則 (啟用時) 。
啟用) 時,Standard 預設安全策略中的反垃圾郵件、反惡意代碼、反網路釣魚、安全連結*和安全附件*原則 (。
啟用) 時,適用於 Office 365 的 Defender 評估原則中的防網路釣魚、安全連結和安全附件 (。
建立) 時,會 (自定義反垃圾郵件、反惡意代碼、反網路釣魚、安全連結*和安全附件* 原則。
當您建立原則時,自定義原則會被指派預設優先順序值 (較新的原則等於較高的) ,但您可以隨時變更優先順序值。 此優先順序值會影響套用該類型之 自定義 原則 (反垃圾郵件、反惡意代碼、反網路釣魚等 ) 的順序,但不會影響以整體順序套用自定義原則的位置。
值相等:
- 內建保護預設安全策略中的安全連結和安全附件原則*。
- 反惡意代碼、反垃圾郵件和反網路釣魚的默認原則。
您可以設定內建保護預設安全策略的例外狀況,但無法設定預設原則的例外狀況 (套用至所有收件者,而且您無法將它們關閉) 。
*僅 適用於 Office 365 的 Defender。
重要事項
如果您有相同的收件者刻意或無意中包含在多個原則中,優先順序順序很重要,因為 只有 該類型的第一個原則 (反垃圾郵件、反惡意代碼、反網路釣魚等 ) 套用至該收件者,不論收件者包含多少其他原則。 收件者絕對不會合併或合併多個原則中的設定。 收件者不受該類型其餘原則的設定影響。
例如,名為 「Contoso Executive」 的群組包含在下列原則中:
- 嚴格預設安全策略
- 優先順序值為 0 (最高優先順序的自定義反垃圾郵件原則)
- 優先順序值為 1 的自定義反垃圾郵件原則。
哪些反垃圾郵件原則設定會套用至 Contoso 主管的成員? 嚴格預設安全策略。 Contoso 主管的成員會忽略自定義反垃圾郵件原則中的設定,因為一律會先套用 Strict 預設安全策略。
另一個範例是,請考慮 適用於 Office 365 的 Microsoft Defender 中套用至相同收件者的下列自定義防網路釣魚原則,以及包含用戶模擬和詐騙的訊息:
原則名稱 | 優先順序 | 使用者模擬 | 反詐騙 |
---|---|---|---|
原則 A | 1 | 開啟 | 關閉 |
原則 B | 2 | 關閉 | 開啟 |
- 訊息會識別為詐騙,因為在用戶模擬 (6) 之前,會先評估詐騙 (5) ,然後再針對電子郵件保護類型進行處理。
- 原則 A 會先套用,因為它的優先順序高於原則 B。
- 根據原則 A 中的設定,訊息不會採取任何動作,因為反詐騙功能已關閉。
- 所有包含的收件者都會停止處理防網路釣魚原則,因此原則 B 永遠不會套用至同樣在原則 A 中的收件者。
若要確定收件者取得您想要的保護設定,請使用下列原則成員資格指導方針:
- 將較少的使用者指派給較高的優先順序原則,並將較多的使用者指派給較低的優先順序原則。 請記住,默認原則一律會最後套用。
- 設定較高的優先順序原則,以擁有比較低優先順序原則更嚴格或更特殊的設定。 您可以完全控制自定義原則和默認原則中的設定,但無法控制預設安全策略中的大部分設定。
- 請考慮使用較少的自定義原則 (只針對需要比 Standard 或嚴格預設安全策略更特殊化設定的使用者使用自定義原則,或使用默認原則) 。
附錄
請務必瞭解使用者如何允許和封鎖、租使用者允許和封鎖,以及在 EOP 中篩選堆疊決策,並 適用於 Office 365 的 Defender 彼此互補或互相相互對應。
- 如需篩選堆疊及其組合方式的相關信息,請參閱 適用於 Office 365 的 Microsoft Defender 中的逐步威脅防護。
- 篩選堆棧決定決策之後,只有租用戶原則及其設定的動作才會評估。
- 如果使用者的 [安全發件者] 清單和 [封鎖的寄件者] 清單中有相同的電子郵件位址或網域,則會優先使用 [安全發件者] 清單。
- 如果相同的實體 (電子郵件位址、網域、詐騙傳送基礎結構、檔案或 URL) 存在於 [租使用者允許/封鎖清單] 中的允許專案和封鎖專案中,則區塊專案會優先。
用戶允許和封鎖
使用者 安全清單集合 中的專案 (每個信箱上的 [安全發件者] 清單、[安全收件者] 清單和 [封鎖的發件者] 清單) 可以覆寫一些篩選堆棧決策,如下表所述:
篩選堆疊決策 | 使用者的安全寄件者/收件者清單 | 使用者的封鎖寄件者清單 |
---|---|---|
惡意程式碼 | 篩選優先:Email 隔離 | 篩選優先:Email 隔離 |
高信賴度網路釣魚 | 篩選優先:Email 隔離 | 篩選優先:Email 隔離 |
網路釣魚 | 用戶獲勝:Email 傳遞至使用者的收件匣 | 租用戶優先:適用的反垃圾郵件原則會決定動作 |
高信賴度的垃圾郵件 | 用戶獲勝:Email 傳遞至使用者的收件匣 | 租用戶優先:適用的反垃圾郵件原則會決定動作 |
垃圾郵件 | 用戶獲勝:Email 傳遞至使用者的收件匣 | 租用戶優先:適用的反垃圾郵件原則會決定動作 |
大量 | 用戶獲勝:Email 傳遞至使用者的收件匣 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |
非垃圾郵件 | 用戶獲勝:Email 傳遞至使用者的收件匣 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |
- 在 Exchange Online 中,如果郵件遭到下列任何條件隔離,安全寄件者清單中的網域允許可能無法運作:
- 郵件會識別為惡意代碼或高信賴度網路釣魚, (惡意代碼和高信賴度網路釣魚訊息會隔離) 。
- 反垃圾郵件原則中的動作會設定為隔離,而不是將郵件移至垃圾郵件 Email資料夾。
- 電子郵件訊息中的電子郵件位址、URL 或檔案也位於 租用戶允許/封鎖清單中的封鎖專案中。
如需有關使用者信箱上之安全清單集合和反垃圾郵件設定的詳細資訊,請參閱在 Exchange Online 信箱上設定垃圾郵件設定。
租用戶允許和封鎖
租用戶允許和區塊能夠覆寫某些篩選堆疊決策,如下表所述:
進階傳遞原則 (略過所指定 SecOps 信箱和網路釣魚模擬 URL 的篩選) :
篩選堆疊決策 進階傳遞原則允許 惡意程式碼 租用戶優先:Email 傳遞至信箱 高信賴度網路釣魚 租用戶優先:Email 傳遞至信箱 網路釣魚 租用戶優先:Email 傳遞至信箱 高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 垃圾郵件 租用戶優先:Email 傳遞至信箱 大量 租用戶優先:Email 傳遞至信箱 非垃圾郵件 租用戶優先:Email 傳遞至信箱 Exchange 郵件流程規則 (也稱為傳輸規則) :
篩選堆疊決策 郵件流程規則允許* 郵件流程規則區塊 惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離 高信賴度網路釣魚 篩選優先:Email 隔離,但複雜路由除外 篩選優先:Email 隔離 網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:適用的反垃圾郵件原則中的網路釣魚動作 高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 大量 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 * 在 Microsoft 365 之前使用第三方安全性服務或裝置的組織,應該考慮使用 已驗證的接收鏈結 (ARC) ( 連絡第三方以取得可用性) 和 連接器的增強式篩選 (也稱為略過清單) ,而不是 SCL=-1 郵件流程規則。 這些改良的方法可減少電子郵件驗證問題,並鼓勵 深層防禦 電子郵件安全性。
線上篩選原則中的IP允許清單和IP封鎖清單:
篩選堆疊決策 IP 允許清單 IP 封鎖清單 惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離 高信賴度網路釣魚 篩選優先:Email 隔離 篩選優先:Email 隔離 網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄 高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄 垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄 大量 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 以無訊息方式捨棄 非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 以無訊息方式捨棄 允許和封鎖 反垃圾郵件原則中的設定:
- 允許的寄件人和網域清單。
- 封鎖的寄件人和網域清單。
- 封鎖來自特定國家/地區或特定語言的訊息。
- 根據 進階垃圾郵件篩選器 (ASF) 設定來封鎖訊息。
篩選堆疊決策 反垃圾郵件原則允許 反垃圾郵件原則區塊 惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離 高信賴度網路釣魚 篩選優先:Email 隔離 篩選優先:Email 隔離 網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:適用的反垃圾郵件原則中的網路釣魚動作 高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾 垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾 大量 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾 非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾 允許租使用者允許/封鎖清單中的項目:允許專案有兩種類型:
- 不論訊息中的實體為何,訊息層級都允許專案對整個訊息採取行動。 電子郵件地址和網域的允許專案是郵件層級允許專案。
- 實體層級允許專案對實體的篩選決策採取行動。 允許 URL、詐騙發件人和檔案的項目是實體層級允許專案。 若要覆寫惡意代碼和高信賴度網路釣魚決策,您需要使用實體層級允許專案,您只能在 Microsoft 365 中根據預設,透過提交來建立這些專案。
篩選堆疊決策 Email 位址/網域 惡意程式碼 篩選優先:Email 隔離 高信賴度網路釣魚 篩選優先:Email 隔離 網路釣魚 租用戶優先:Email 傳遞至信箱 高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 垃圾郵件 租用戶優先:Email 傳遞至信箱 大量 租用戶優先:Email 傳遞至信箱 非垃圾郵件 租用戶優先:Email 傳遞至信箱 -
篩選堆疊決策 Email 位址/網域 惡搞 檔案 URL 惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離 租用戶獲勝:Email 隔離 篩選優先:Email 隔離 高信賴度網路釣魚 租用戶獲勝:Email 隔離 篩選優先:Email 隔離 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離 網路釣魚 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離 高信賴度的垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離 垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離 大量 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離 非垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
使用者和租用戶設定衝突
下表說明當電子郵件同時受到使用者允許/封鎖設定和租用戶允許/封鎖設定影響時,如何解決衝突:
租用戶允許/封鎖的類型 | 使用者的安全寄件者/收件者清單 | 使用者的封鎖寄件者清單 |
---|---|---|
針對下列項目封鎖租使用者允許/封鎖清單中的專案:
|
租用戶獲勝:Email 隔離 | 租用戶獲勝:Email 隔離 |
在租用戶允許/封鎖清單中封鎖詐騙寄件人的專案 | 租用戶獲勝:適用的反網路釣魚原則中的詐騙情報動作 | 租用戶獲勝:適用的反網路釣魚原則中的詐騙情報動作 |
進階傳遞原則 | 用戶獲勝:Email 傳遞至信箱 | 租用戶優先:Email 傳遞至信箱 |
封鎖反垃圾郵件原則中的設定 | 用戶獲勝:Email 傳遞至信箱 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |
遵守 DMARC 原則 | 用戶獲勝:Email 傳遞至信箱 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |
依郵件流程規則封鎖 | 用戶獲勝:Email 傳遞至信箱 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |
允許者:
|
用戶獲勝:Email 傳遞至信箱 | 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾 |