共用方式為


電子郵件保護的順序和優先順序

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。

在Microsoft 365 個具有 Exchange Online 信箱或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱的組織中,輸入電子郵件可能會受到多種形式的保護。 例如,適用於所有Microsoft 365客戶的反詐騙保護,以及僅供 適用於 Office 365 的 Microsoft Defender 客戶使用的模擬保護。 訊息也會通過惡意代碼、垃圾郵件、網路釣魚等的多個偵測掃描。假設有所有這些活動,套用哪一個原則可能會有些混淆。

一般而言,套用至訊息的原則會在 CAT (Category ) 屬性的 X-Forefront-Antispam-Report 標頭中識別。 如需詳細資訊,請參閱反垃圾郵件標頭

有兩個主要因素可決定要將哪一個原則套用至訊息:

例如,名為 「Contoso Executive」 的群組包含在下列原則中:

  • 嚴格預設安全策略
  • 優先順序值為 0 (最高優先順序的自定義反垃圾郵件原則)
  • 優先順序值為 1 的自定義反垃圾郵件原則。

哪些反垃圾郵件原則設定會套用至 Contoso 主管的成員? 嚴格預設安全策略。 Contoso 主管的成員會忽略自定義反垃圾郵件原則中的設定,因為一律會先套用 Strict 預設安全策略。

另一個範例是,請考慮 適用於 Office 365 的 Microsoft Defender 中套用至相同收件者的下列自定義防網路釣魚原則,以及包含用戶模擬和詐騙的訊息:

原則名稱 優先順序 使用者模擬 反詐騙
原則 A 1 開啟 關閉
原則 B 2 關閉 開啟
  1. 訊息會識別為詐騙,因為在用戶模擬 (6) 之前,會先評估詐騙 (5) ,然後再針對電子郵件保護類型進行處理。
  2. 原則 A 會先套用,因為它的優先順序高於原則 B。
  3. 根據原則 A 中的設定,訊息不會採取任何動作,因為反詐騙功能已關閉。
  4. 所有包含的收件者都會停止處理防網路釣魚原則,因此原則 B 永遠不會套用至同樣在原則 A 中的收件者。

若要確定收件者取得您想要的保護設定,請使用下列原則成員資格指導方針:

  • 將較少的使用者指派給較高的優先順序原則,並將較多的使用者指派給較低的優先順序原則。 請記住,默認原則一律會最後套用。
  • 設定較高的優先順序原則,以擁有比較低優先順序原則更嚴格或更特殊的設定。 您可以完全控制自定義原則和默認原則中的設定,但無法控制預設安全策略中的大部分設定。
  • 請考慮使用較少的自定義原則 (只針對需要比 Standard 或嚴格預設安全策略更特殊化設定的使用者使用自定義原則,或使用默認原則) 。

附錄

請務必瞭解使用者如何允許和封鎖、租使用者允許和封鎖,以及在 EOP 中篩選堆疊決策,並 適用於 Office 365 的 Defender 彼此互補或互相相互對應。

  • 如需篩選堆疊及其組合方式的相關信息,請參閱 適用於 Office 365 的 Microsoft Defender 中的逐步威脅防護
  • 篩選堆棧決定決策之後,只有租用戶原則及其設定的動作才會評估。
  • 如果使用者的 [安全發件者] 清單和 [封鎖的寄件者] 清單中有相同的電子郵件位址或網域,則會優先使用 [安全發件者] 清單。
  • 如果相同的實體 (電子郵件位址、網域、詐騙傳送基礎結構、檔案或 URL) 存在於 [租使用者允許/封鎖清單] 中的允許專案和封鎖專案中,則區塊專案會優先。

用戶允許和封鎖

使用者 安全清單集合 中的專案 (每個信箱上的 [安全發件者] 清單、[安全收件者] 清單和 [封鎖的發件者] 清單) 可以覆寫一些篩選堆棧決策,如下表所述:

篩選堆疊決策 使用者的安全寄件者/收件者清單 使用者的封鎖寄件者清單
惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離
高信賴度網路釣魚 篩選優先:Email 隔離 篩選優先:Email 隔離
網路釣魚 用戶獲勝:Email 傳遞至使用者的收件匣 租用戶優先:適用的反垃圾郵件原則會決定動作
高信賴度的垃圾郵件 用戶獲勝:Email 傳遞至使用者的收件匣 租用戶優先:適用的反垃圾郵件原則會決定動作
垃圾郵件 用戶獲勝:Email 傳遞至使用者的收件匣 租用戶優先:適用的反垃圾郵件原則會決定動作
大量 用戶獲勝:Email 傳遞至使用者的收件匣 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
非垃圾郵件 用戶獲勝:Email 傳遞至使用者的收件匣 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
  • 在 Exchange Online 中,如果郵件遭到下列任何條件隔離,安全寄件者清單中的網域允許可能無法運作:
    • 郵件會識別為惡意代碼或高信賴度網路釣魚, (惡意代碼和高信賴度網路釣魚訊息會隔離) 。
    • 反垃圾郵件原則中的動作會設定為隔離,而不是將郵件移至垃圾郵件 Email資料夾。
    • 電子郵件訊息中的電子郵件位址、URL 或檔案也位於 租用戶允許/封鎖清單中的封鎖專案中。

如需有關使用者信箱上之安全清單集合和反垃圾郵件設定的詳細資訊,請參閱在 Exchange Online 信箱上設定垃圾郵件設定

租用戶允許和封鎖

租用戶允許和區塊能夠覆寫某些篩選堆疊決策,如下表所述:

  • 進階傳遞原則 (略過所指定 SecOps 信箱和網路釣魚模擬 URL 的篩選) :

    篩選堆疊決策 進階傳遞原則允許
    惡意程式碼 租用戶優先:Email 傳遞至信箱
    高信賴度網路釣魚 租用戶優先:Email 傳遞至信箱
    網路釣魚 租用戶優先:Email 傳遞至信箱
    高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱
    垃圾郵件 租用戶優先:Email 傳遞至信箱
    大量 租用戶優先:Email 傳遞至信箱
    非垃圾郵件 租用戶優先:Email 傳遞至信箱
  • Exchange 郵件流程規則 (也稱為傳輸規則) :

    篩選堆疊決策 郵件流程規則允許* 郵件流程規則區塊
    惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離
    高信賴度網路釣魚 篩選優先:Email 隔離,但複雜路由除外 篩選優先:Email 隔離
    網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:適用的反垃圾郵件原則中的網路釣魚動作
    高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
    垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
    大量 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
    非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾

    * 在 Microsoft 365 之前使用第三方安全性服務或裝置的組織,應該考慮使用 已驗證的接收鏈結 (ARC) ( 連絡第三方以取得可用性) 和 連接器的增強式篩選 (也稱為略過清單) ,而不是 SCL=-1 郵件流程規則。 這些改良的方法可減少電子郵件驗證問題,並鼓勵 深層防禦 電子郵件安全性。

  • 線上篩選原則中的IP允許清單和IP封鎖清單:

    篩選堆疊決策 IP 允許清單 IP 封鎖清單
    惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離
    高信賴度網路釣魚 篩選優先:Email 隔離 篩選優先:Email 隔離
    網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄
    高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄
    垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 無訊息捨棄
    大量 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 以無訊息方式捨棄
    非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶獲勝:Email 以無訊息方式捨棄
  • 允許和封鎖 反垃圾郵件原則中的設定:

    • 允許的寄件人和網域清單。
    • 封鎖的寄件人和網域清單。
    • 封鎖來自特定國家/地區或特定語言的訊息。
    • 根據 進階垃圾郵件篩選器 (ASF) 設定來封鎖訊息。
    篩選堆疊決策 反垃圾郵件原則允許 反垃圾郵件原則區塊
    惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離
    高信賴度網路釣魚 篩選優先:Email 隔離 篩選優先:Email 隔離
    網路釣魚 租用戶優先:Email 傳遞至信箱 租用戶獲勝:適用的反垃圾郵件原則中的網路釣魚動作
    高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾
    垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾
    大量 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾
    非垃圾郵件 租用戶優先:Email 傳遞至信箱 租用戶優先:Email 傳遞至使用者的垃圾 Email資料夾
  • 允許租使用者允許/封鎖清單中的項目:允許專案有兩種類型:

    • 不論訊息中的實體為何,訊息層級都允許專案對整個訊息採取行動。 電子郵件地址和網域的允許專案是郵件層級允許專案。
    • 實體層級允許專案對實體的篩選決策採取行動。 允許 URL、詐騙發件人和檔案的項目是實體層級允許專案。 若要覆寫惡意代碼和高信賴度網路釣魚決策,您需要使用實體層級允許專案,您只能在 Microsoft 365 中根據預設,透過提交來建立這些專案。
    篩選堆疊決策 Email 位址/網域
    惡意程式碼 篩選優先:Email 隔離
    高信賴度網路釣魚 篩選優先:Email 隔離
    網路釣魚 租用戶優先:Email 傳遞至信箱
    高信賴度的垃圾郵件 租用戶優先:Email 傳遞至信箱
    垃圾郵件 租用戶優先:Email 傳遞至信箱
    大量 租用戶優先:Email 傳遞至信箱
    非垃圾郵件 租用戶優先:Email 傳遞至信箱
  • 封鎖租使用者允許/封鎖清單中的專案

    篩選堆疊決策 Email 位址/網域 惡搞 檔案 URL
    惡意程式碼 篩選優先:Email 隔離 篩選優先:Email 隔離 租用戶獲勝:Email 隔離 篩選優先:Email 隔離
    高信賴度網路釣魚 租用戶獲勝:Email 隔離 篩選優先:Email 隔離 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
    網路釣魚 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
    高信賴度的垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
    垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
    大量 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
    非垃圾郵件 租用戶獲勝:Email 隔離 租用戶獲勝:適用的反網路釣魚原則中的詐騙動作 租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離

使用者和租用戶設定衝突

下表說明當電子郵件同時受到使用者允許/封鎖設定和租用戶允許/封鎖設定影響時,如何解決衝突:

租用戶允許/封鎖的類型 使用者的安全寄件者/收件者清單 使用者的封鎖寄件者清單
針對下列項目封鎖租使用者允許/封鎖清單中的專案:
  • Email 位址和網域
  • 檔案
  • URL
租用戶獲勝:Email 隔離 租用戶獲勝:Email 隔離
在租用戶允許/封鎖清單中封鎖詐騙寄件人的專案 租用戶獲勝:適用的反網路釣魚原則中的詐騙情報動作 租用戶獲勝:適用的反網路釣魚原則中的詐騙情報動作
進階傳遞原則 用戶獲勝:Email 傳遞至信箱 租用戶優先:Email 傳遞至信箱
封鎖反垃圾郵件原則中的設定 用戶獲勝:Email 傳遞至信箱 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
遵守 DMARC 原則 用戶獲勝:Email 傳遞至信箱 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
依郵件流程規則封鎖 用戶獲勝:Email 傳遞至信箱 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾
允許者:
  • 郵件流程規則
  • IP 允許清單 (連線篩選原則)
  • 反垃圾郵件原則 (允許的寄件人和網域清單)
  • 租用戶允許/封鎖清單
用戶獲勝:Email 傳遞至信箱 用戶獲勝:Email 傳遞至使用者的垃圾郵件 Email資料夾