云邮箱的反恶意软件保护

在具有云邮箱的所有组织中，电子邮件的反恶意软件保护默认处于启用状态。 恶意软件的一些主要类别包括：

• 感染其他程序和数据的病毒，并通过计算机或网络传播，寻找要感染的程序。
• 收集 个人信息（如登录信息和个人数据）并将其发送回作者的间谍软件。
• 勒索软件，加密你的数据并要求付款进行解密。 反恶意软件不会帮助你解密加密的文件，但它可以检测与勒索软件关联的恶意软件有效负载。

Microsoft 365 中电子邮件的反恶意软件保护是多层的，旨在捕获传入或传出组织的所有已知恶意软件。 以下选项帮助提供反恶意软件保护：

• 针对恶意软件的分层防御：电子邮件的反恶意软件扫描有助于防范已知和未知威胁。 Microsoft的反恶意软件包括强大的启发式检测，即使在恶意软件爆发的早期阶段也能提供保护。
• 实时威胁响应：在某些爆发期间，反恶意软件团队可能有足够的关于病毒或其他形式的恶意软件的信息，以编写复杂的策略规则来检测威胁，即使在定义可用之前也是如此。 这些规则每两个小时就向全球网络发布一次，以向组织提供防止攻击的额外保护层。
• 快速反恶意软件定义部署：反恶意软件团队可以在恶意软件定义和修补程序公开发布之前接收和集成这些定义和修补程序。

Microsoft 365 在附件^*中发现恶意软件时隔离邮件。 收件人是否可以查看隔离邮件或与之交互，由 隔离策略控制。 默认情况下，由于恶意软件而被隔离的邮件只能由管理员查看和释放。 无论管理员配置的任何可用设置，用户都无法释放自己的隔离恶意软件邮件。 有关详细信息，请参阅以下文章：

^* 在高级传递策略中标识的 SecOps 邮箱上跳过恶意软件筛选。 有关详细信息，请参阅 配置针对非Microsoft网络钓鱼模拟的高级传递策略和将电子邮件传递到 SecOps 邮箱。

• 隔离策略剖析
• 以管理员身份管理隔离的邮件和文件。

反恶意软件策略还包含 常见的附件筛选器。 包含指定文件类型的消息 会自动 标识为恶意软件。 有关详细信息，请参阅本文后面的 反恶意软件策略中的常见附件筛选器 部分。

有关反恶意软件保护的详细信息，请参阅 常见问题解答：反恶意软件保护。

若要配置默认反恶意软件策略，以及创建、修改和删除自定义反恶意软件策略，请参阅 配置反恶意软件策略。 在Standard和严格预设安全策略中，反恶意软件策略设置已配置且不可修改，如反恶意软件策略设置中所述。

反恶意软件策略

反恶意软件策略控制恶意软件检测的可配置设置和通知选项。 以下小节介绍了反恶意软件策略中的重要设置。

反恶意软件策略中的收件人筛选器

收件人筛选器使用条件和例外来标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用， (默认策略应用于) 的所有收件人。 对于条件和例外，可以使用以下收件人筛选器：

• 用户：组织中的一个或多个邮箱、邮件用户或邮件联系人。
• 组：
  • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
  • 指定的 Microsoft 365 组。
• 域：Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。

只能使用一次条件或异常，但条件或异常可以包含多个值：

• 相同条件或异常的多个值使用 OR 逻辑 (，例如 recipient1<> 或 <recipient2>) ：

  • 条件：如果收件人与 任何 指定值匹配，则会对其应用策略。
  • 例外：如果收件人与 任何 指定值匹配，则不会对其应用策略。

• 不同类型的异常使用 OR 逻辑 (例如，<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配，则不会对其应用策略。

• 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

  • 用户： romain@contoso.com
  • 组：高管

  仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

反恶意软件策略中的常见附件筛选

某些类型的文件确实不应通过电子邮件发送 (例如可执行文件) 。 当应该阻止所有这些文件时，为什么要费心扫描这些类型的恶意软件？ 这就是常见附件筛选器的用武之地。 指定的文件类型会自动标识为恶意软件。

默认文件类型列表用于默认反恶意软件策略、创建的自定义反恶意软件策略以及Standard和严格预设安全策略中的反恶意软件策略。

在 Microsoft Defender 门户中，可以在Microsoft Defender门户中创建或修改反恶意软件策略时，从其他文件类型列表中选择或添加自己的值。

• 默认文件类型： ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z。

• 在 Defender 门户中选择的其他文件类型： 7z, 7zip, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx。

当常见附件筛选器检测到文件时，可以选择 拒绝具有未送达报告的邮件， (NDR) 或 隔离邮件。

常见附件筛选器中的 True 类型匹配

常见附件筛选器使用最大努力的 true 类型匹配来检测文件类型，而不考虑文件扩展名。 True 类型匹配使用文件特征来确定实际文件类型 (例如文件) 中的前导字节和尾随字节。 例如，如果使用 exe 文件扩展名重命名 txt 文件，则常见附件筛选器会将该文件检测为 exe 文件。

常见附件筛选器中的 True 类型匹配支持以下文件类型：

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

如果 true 类型匹配失败或文件类型不支持，则使用简单扩展匹配。

反恶意软件策略中的零小时自动清除 (ZAP)

ZAP for malware 隔离在传递到Exchange Online邮箱后发现包含恶意软件的邮件。 默认情况下，“恶意软件的 ZAP”处于打开状态，建议将其保留为打开状态。 有关详细信息，请参阅 恶意软件的零小时自动清除 (ZAP) 。

反恶意软件策略中的隔离策略

隔离策略定义用户可以对隔离邮件执行哪些操作，以及用户是否会收到隔离通知。 默认情况下，收件人不会收到已隔离为恶意软件的邮件的通知，并且无论管理员配置的任何可用设置，用户都无法释放自己的隔离恶意软件邮件。 有关详细信息，请参阅 隔离策略剖析。

反恶意软件策略中的管理员通知

可以指定其他收件人 (管理员) 接收来自内部或外部发件人的邮件中检测到的恶意软件的通知。 可以为内部和外部通知自定义 发件人地址、 主题和 消息文本 。

默认情况下，这些设置未在默认反恶意软件策略中配置，也不会在Standard或严格预设安全策略中配置。

反恶意软件策略的优先级

如果启用预设安全策略，则会在任何自定义反恶意软件策略或默认策略之前应用Standard和严格预设安全策略。 如果创建多个自定义反恶意软件策略，可以指定策略应用程序的顺序。 在应用第一个符合条件的策略后，对符合条件的收件人 (该收件人) 的最高优先级策略后，策略处理将停止。

有关优先级顺序以及如何评估多个策略的详细信息，请参阅 电子邮件保护的顺序和优先级 和 预设安全策略和其他策略的优先级顺序。

默认反恶意软件策略

每个组织都有一个名为 Default 的内置反恶意软件策略，该策略具有以下属性：

• 该策略是默认策略（IsDefault 属性的值为 True），你无法删除默认策略。
• 该策略会自动应用于组织中的所有收件人，你无法将其关闭。
• 策略始终在最后应用 (优先级 值为 “最低 ”且无法) 更改它。