Exchange Online Protection和 適用於 Office 365 的 Defender 中的提交結果定義
在Microsoft 365 個 Exchange Online 信箱的組織中,用戶回報設定會決定是否將使用者回報的電子郵件訊息傳送至Microsoft進行分析。 即使一開始未將郵件傳送至Microsoft,系統管理員仍可手動傳送或重新傳送電子郵件訊息 (包括從 [提交] 頁面) 的使用者報告電子郵件訊息、僅限 適用於 Office 365 的 Microsoft Defender 方案 2 中的電子郵件附件、URL 和 () Microsoft Teams 訊息。 如需詳細資訊,請參閱 如何? 向Microsoft報告可疑的電子郵件或檔案?。
當系統管理員或使用者將專案提交至Microsoft進行分析時,我們會執行下列檢查:
- Email 驗證檢查 (電子郵件訊息僅) :郵件通過或電子郵件驗證失敗檢查:SPF、DKIM、DMARC 和複合驗證。
- 原則叫用:任何可能允許或封鎖傳入電子郵件到組織中的原則或覆寫相關信息,因而覆寫我們的篩選決策。
- 承載信譽/擷取:訊息中任何URL和附件的最新檢查。
- 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。
注意事項
在美國政府組織 (Microsoft 365 GCC、GCC High 和 DoD) 中,系統管理員可以將專案提交至Microsoft進行分析,但會針對電子郵件驗證和原則叫用分析專案。 基於合規性原因,不會進行承載信譽、擷取和評分器分析, (不允許數據離開組織界限) 。
下表描述提交至 Microsoft 的結果:
- 狀態 會指出先前所述的檢查是否已完成。
- 結果 會指出使用先前所述檢查在分析期間產生的詳細數據
| 狀態 | 結果 | 描述 |
|---|---|---|
| 正在分析 | 調查中 | 正在分析專案,如先前所述。 分析完成之後,狀態會更新,而結果會顯示分析的詳細數據。 |
| 已完成 | 未提交至 Microsoft | 用戶回報的設定會設定為僅將報告的郵件傳遞至報告信箱。 Microsoft無法自動接收提交的項目複本並對其採取行動。 您可以更新使用者報告的設定,將訊息傳遞至報告信箱,以及Microsoft,或僅Microsoft。 |
| 已完成 | 網路釣魚模擬 | 提交的專案是您在內部防網路釣魚教育活動中的一部分。 檢查方案 2) 攻擊模擬訓練 中的進階傳遞原則或 (適用於 Office 365 的 Defender。 |
| 已完成 | 驗證失敗 | 郵件未傳遞,因為電子郵件驗證失敗。 如果您擁有此網域,請檢閱網域驗證設定。 否則,請連絡網域擁有者。 如需詳細資訊,請參閱 Microsoft 365 中的電子郵件驗證。 |
| 已完成 | 詐騙訊息 | 提交的專案是由詐騙寄件者的人所傳送。 如需詳細資訊,請參閱 EOP 中的詐騙情報見解。 |
| 已完成 | 網域冒充 | 在 適用於 Office 365 的 Defender 中,提交的專案來自網域,類似於針對網域模擬保護所識別的網域。 建議您檢閱專案,並在必要時 () 將發件者網域新增至偵測到郵件之防網路釣魚原則中信任的寄件人清單。 如需詳細資訊,請參閱 網域模擬保護。 |
| 已完成 | 品牌模擬 | 在 適用於 Office 365 的 Defender 中,提交的專案來自與品牌相關聯的人員。 建議您檢閱專案,並在必要時 () 將 發件者位址新增為租用戶允許/封鎖清單中的允許專案。 |
| 已完成 | 使用者冒充 | 在 適用於 Office 365 的 Defender 中,提交的專案來自與用戶模擬保護所識別的用戶類似的寄件者。 建議您檢閱專案,並在必要時 (,) 在偵測到郵件的反網路釣魚原則中,將發件者新增至受信任的發件者清單。 如需詳細資訊,請參閱 用戶模擬保護。 |
| 已完成 | 因組織覆寫而允許 | 下列其中一個設定允許與提交專案相關聯的實體:
檢查提交結果是否有確切原因,並移除或修正設定。 |
| 已完成 | 因使用者覆寫而允許 | 提交的專案收件者在其 信箱中具有 Outlook 可設定的允許設定 (例如,其安全寄件人清單中的寄件者或網域) 。 檢查提交結果是否有確切原因,並移除或修正設定。 |
| 已完成 | 因為組織覆寫而封鎖 | 在下列其中一個設定中,已封鎖與已提交專案相關聯的實體:
檢查提交結果是否有確切原因,並移除或修正設定。 |
| 已完成 | 因使用者覆寫而封鎖 | 提交的專案收件者在其信箱 (中具有 Outlook 可設定的區塊設定,例如,[封鎖的發件者] 清單中的寄件者或網域,或 [安全 清單] 只會開啟) 。 檢查提交結果是否有確切原因,並移除或修正設定。 |
| 已完成 | 找不到專案 | 已提交的專案已刪除或提交無效,因此無法使用。 只能提交來自 Exchange Online 信箱的專案。 從 Exchange Online 信箱重新提交郵件的.eml檔案或網路訊息標識碼。 |
| 已完成 | 此決策背後的原因在傳輸過程中遺失 | 提交的專案是透過內部部署 Exchange 與 Exchange Online 之間的混合式郵件流程路由傳送,而篩選決策已遺失。 檢查任何直接傳遞至雲端信箱的類似訊息,並修正您的路由。 |
| 已完成 | 我們未收到提交,請修正問題並重新提交 | 提交的專案未連線到提交服務。 確認沒有任何原則或郵件流程規則會防止項目觸達我們的服務。 如需詳細資訊, 請參閱Microsoft 365 URL 和IP位址範圍。 |
| 已完成 | 需要進一步分析 | 在美國政府組織中, (Microsoft 365 GCC、GCC High 和 DoD) 在 Email 驗證檢查和原則叫用的允許檢查中找不到任何結果時,就會收到此結果。 建議您開啟支援票證,以分析提交的專案。 |
| 已完成 | 未知 - 我們已核取,但目前無法做決定 | Microsoft無法決定提交的專案。 說明包括不同分析師或無法存取專案的不同解譯。 Microsoft持續投資分析程式,因此這個結果較不常見。 |
| 已完成 | 大量 | 提交的項目寄件者已分類為大量寄件者。 未來,如果類似專案符合或超過反垃圾郵件原則中的大量合規性層級 (BCL) 閾值,則會封鎖這些專案。 如需詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級。 若要防止傳遞類似的專案,您可以在租用戶允許/封鎖清單中建立網域或電子郵件地址、檔案或URL的封鎖專案。 如需詳細資訊,請參閱 租用戶允許/封鎖清單中的封鎖專案。 |
| 已完成 | 垃圾郵件 | 提交的專案已分類為垃圾郵件。 未來,如果類似專案符合或超過反垃圾郵件原則中的 SCL) 閾值,則會封鎖它們 (垃圾郵件信賴等級。 如需詳細資訊,請 參閱 EOP 中的垃圾郵件信賴等級 (SCL) 。 若要防止傳遞類似的專案,您可以在租用戶允許/封鎖清單中建立網域或電子郵件地址、檔案或URL的封鎖專案。 如需詳細資訊,請參閱 租用戶允許/封鎖清單中的封鎖專案。 |
| 已完成 | 找不到威脅 | 已提交的項目發現為乾淨。 經過一段時間的評估之後,可能會使用提交中的資訊來更新篩選。 在篩選條件瞭解提交之前,您可以在租使用者允許/封鎖清單中建立封鎖專案或允許項目的專案。 |
| 已完成 | 找到的威脅 | 已提交的項目發現為惡意專案。 經過一段時間的評估之後,可能會使用提交中的資訊來更新篩選。 在篩選條件瞭解提交之前,您可以在租使用者允許/封鎖清單中建立封鎖專案或允許項目的專案。 |