通过

云组织中的反垃圾邮件保护

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

注意

本文面向管理员。 有关最终用户的文章,请参阅垃圾邮件Email筛选器概述了解垃圾邮件和钓鱼

在具有云邮箱的所有组织中,电子邮件会自动受到保护,免受垃圾邮件 (垃圾邮件) 。

为了帮助减少垃圾邮件,Microsoft 365 包括了使用专有垃圾邮件筛选 (也称为 内容筛选) 技术来识别垃圾邮件并将其与合法电子邮件分开的垃圾邮件保护。 垃圾邮件筛选从已知的垃圾邮件和网络钓鱼威胁和用户反馈中学习,Outlook.com。 管理员用户的持续反馈有助于确保筛选技术不断得到培训和改进。

Microsoft 365 使用以下垃圾邮件筛选判决对邮件进行分类:

  • 垃圾邮件:邮件收到的 垃圾邮件置信度级别 (SCL) 为 5 或 6。
  • 高置信度垃圾邮件:邮件收到的 SCL 为 7、8 或 9。
  • 钓鱼
  • 高置信度钓鱼:默认情况下,高置信度钓鱼邮件始终被隔离,这是 安全的一部分。 无论管理员配置的任何可用设置,用户都无法释放自己隔离的高置信度钓鱼邮件。
  • 批量:消息源满足或超过配置的 批量投诉级别 (BCL) 阈值。

有关反垃圾邮件保护的详细信息,请参阅 常见问题解答:云邮箱的反垃圾邮件保护

在默认反垃圾邮件策略和自定义反垃圾邮件策略中,你可以根据这些判决配置要执行的作。 在Standard和严格预设安全策略中,这些作已配置且不可修改,如反垃圾邮件策略设置中所述。

若要配置默认反垃圾邮件策略,以及创建、修改和删除自定义反垃圾邮件策略,请参阅 配置反垃圾邮件策略

提示

反垃圾邮件策略

反垃圾邮件策略控制垃圾邮件筛选的可配置设置。 反垃圾邮件策略中的重要设置在以下小节中介绍。

提示

反垃圾邮件策略设置中介绍了默认策略和Standard和严格预设安全策略中的反垃圾邮件策略设置

反垃圾邮件策略中的收件人筛选器

收件人筛选器使用条件和例外来标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用, (默认策略应用于) 的所有收件人。 对于条件和例外,可以使用以下收件人筛选器:

  • 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
    • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
    • 指定的 Microsoft 365 组。
  • :Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。

只能使用一次条件或异常,但条件或异常可以包含多个值:

  • 相同条件或异常的多个使用 OR 逻辑 (,例如 recipient1<><recipient2>) :

    • 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
    • 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。

  • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

  • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

    • 用户: romain@contoso.com
    • 组:高管

    当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

反垃圾邮件策略中的 BCL) (批量投诉阈值

Microsoft 365 向来自批量发件人的入站邮件分配批量投诉级别 (BCL) 值。 来自批量发件人的邮件也称为 批量邮件灰色邮件

有关 BCL 的详细信息,请参阅 批量投诉级别 (BCL)

提示

默认情况下,仅 PowerShell 设置 MarkAsSpamBulkMail 位于 OnExchange Online PowerShell 中的反垃圾邮件策略中。 此设置极大地影响 批量兼容级别的结果, (BCL) 满足或超过 筛选判决:

  • MarkAsSpamBulkMail 为 On:大于或等于阈值的 BCL 转换为对应于 垃圾邮件筛选判决的 SCL 6,并且对邮件执行 批量兼容级别 (BCL) 满足或超过 筛选判决的作。
  • MarkAsSpamBulkMail 已关闭:邮件带有 BCL 标记,但不会对批量兼容级别执行任何作, (BCL) 满足或超出筛选结果。 实际上,BCL 阈值和 批量合规级别 (BCL) 满足或超过 筛选判决作是不相关的。

反垃圾邮件策略中的垃圾邮件属性

测试模式设置、增加垃圾邮件分数设置和大多数标记为垃圾邮件设置是反垃圾邮件策略中高级垃圾邮件筛选 (ASF) 的一部分。

默认情况下,这些设置未在默认反垃圾邮件策略中配置,也不会在Standard或严格预设安全策略中配置。

有关 ASF 设置的完整信息,请参阅 反垃圾邮件策略中的高级垃圾邮件筛选器 (ASF) 设置

此类别中提供的其他设置包括:

  • 包含特定语言:指定语言的邮件会自动标识为垃圾邮件。
  • 来自这些国家/地区的邮件:来自指定国家/地区的邮件会自动标识为垃圾邮件。

默认情况下,这些设置未在默认反垃圾邮件策略中配置,也不会在Standard或严格预设安全策略中配置。

反垃圾邮件策略中的作

  • 在自定义反垃圾邮件策略和默认反垃圾邮件策略中,下表介绍了垃圾邮件筛选判决的可用作。

    • 检查标记 (✔) 指示作可用 (并非所有作都可用于所有判决) 。
    • 检查标记后) 星号 * (指示垃圾邮件筛选判决的默认作。
    操作 垃圾邮件
    置信
    垃圾邮件 (spam)    		 网络钓鱼
    置信
    仿冒    		 批量邮件
    将邮件移动到“垃圾邮件Email”文件夹:邮件将传递到邮箱中的“垃圾邮件Email”文件夹。¹ * * ² *
    添加 X 标头:向邮件头添加 X 标头,并将邮件递送到邮箱。

    在可用的“ 添加此 X 标头”文本框中 输入 X 标头字段名称 (而不是) 值。

    对于垃圾邮件和高置信度垃圾邮件判决,邮件将移动到“垃圾邮件Email”文件夹。ー
    在主题行前面追加文本:向邮件的主题行开头添加文本。 邮件将传递到邮箱并移动到“垃圾邮件”文件夹。

    使用此文本框在可用 “前缀主题行 ”中输入文本。
    将邮件重定向到电子邮件地址:将邮件发送给其他收件人,而不是目标收件人。

    “重定向到此电子邮件地址 ”框中指定收件人。
    删除邮件:无提示删除整个邮件,包括所有附件。
    隔离邮件:将邮件发送到隔离,而不是目标收件人。

    在显示的“选择 隔离策略 ”框中,为垃圾邮件筛选判决选择或使用默认 隔离策略 。⁴ 隔离策略定义用户可以对隔离邮件执行的作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析

    在可用的“将垃圾邮件隔离期保留数天”框中,指定邮件 在隔离区中 保留多长时间。    		 * *
    无操作

    ¹ Microsoft 365 使用邮件流传递代理将邮件路由到“垃圾邮件Email”文件夹。 它不使用邮箱中的垃圾邮件规则。 Exchange Online PowerShell 中 Set-MailboxJunkEmailConfiguration cmdlet 上的 Enabled 参数对云邮箱中的邮件流没有影响。 有关详细信息,请参阅 在云邮箱上配置垃圾邮件设置

    ² 对于高置信度钓鱼,实际上已弃用将邮件移动到垃圾邮件Email文件夹作。 尽管你可以选择“将邮件移动到垃圾邮件Email文件夹”作,但高置信度钓鱼邮件始终被隔离 (等效于选择“隔离邮件) ”。

    л 可以将此值用作邮件流规则中的条件,以便仅筛选或路由本地 Exchange 环境中的邮箱的邮件, (不在Exchange Online) 中。

    ⁴ 如果垃圾邮件筛选裁定默认隔离邮件 (在到达页面) 时已选择 隔离邮件 ,则默认隔离策略名称将显示在 “选择隔离策略 ”框中。 如果将垃圾邮件筛选判决的作更改为“隔离邮件”,则“选择隔离策略”框默认为空。 空值表示使用了该判决的默认隔离策略。 以后查看或编辑反垃圾邮件策略设置时,将显示隔离策略名称。 有关默认用于垃圾邮件筛选器判决的隔离策略的详细信息,请参阅 反垃圾邮件策略设置

    ⁵ 无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果为用户配置了释放这些隔离邮件的策略,则允许用户 请求 释放这些隔离邮件。

  • 要对其采取措施的组织内邮件:控制是否对内部邮件应用垃圾邮件筛选和相应的判决作, (组织内用户之间发送的邮件) 。 对内部用户之间发送的邮件执行垃圾邮件筛选器判决的指定作。 可用值有:

    • 默认值:默认值。 此值与选择“ 高置信度钓鱼邮件”相同。
    • 高置信度钓鱼消息
    • 网络钓鱼和高置信度钓鱼消息
    • 所有网络钓鱼和高置信度垃圾邮件
    • 所有网络钓鱼和垃圾邮件

    有关默认反垃圾邮件策略和Standard和严格预设安全策略中使用的默认值,请参阅反垃圾邮件策略设置中的组织内部邮件对条目采取措施

  • 将垃圾邮件保留在隔离区内此天数:指定在你选择“隔离邮件”作为垃圾邮件筛选裁定操作时将邮件放在隔离区内的时长。 该时间段过期后,邮件将被删除,并且无法恢复。 有效值介于 1 和 30 天之间。

    有关默认反垃圾邮件策略和Standard和严格预设安全策略中使用的默认值,请参阅反垃圾邮件策略设置中的“在隔离区中保留这几天的垃圾邮件”条目。

    提示

    此设置还控制由 防钓鱼 策略隔离的邮件的保留时间。 有关详细信息,请参阅 隔离保留

反垃圾邮件策略中的零小时自动清除 (ZAP)

用于网络钓鱼的 ZAP 和用于垃圾邮件的 ZAP 能够在邮件传递到Exchange Online邮箱对邮件进行作。 默认情况下,针对网络钓鱼的 ZAP 和针对垃圾邮件的 ZAP 处于打开状态,建议你将其保留为打开状态。 有关更多信息,请参阅:

反垃圾邮件策略中的隔离策略

对于反垃圾邮件策略中的隔离判决,隔离策略定义用户能够对这些隔离邮件执行的作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析

反垃圾邮件策略中的允许和阻止列表

反垃圾邮件策略包含以下列表,用于允许或阻止特定发件人或域:

  • 允许的发件人列表
  • 允许的域列表
  • 阻止的发件人列表
  • 阻止的域列表

默认情况下,这些列表未在默认反垃圾邮件策略中配置。 无法配置Standard或严格预设安全策略中的列表。

以下功能主要替换这些列表:

  • 在为域和电子邮件地址 创建阻止条目中阻止域和电子邮件地址的条目

    提示

    若要 允许用户将电子邮件 发送到阻止的电子邮件地址或域,请使用反垃圾邮件策略中的阻止发件人或阻止域列表。 在租户允许/阻止列表中阻止域和电子邮件地址的条目还会阻止用户向阻止的电子邮件地址或域 发送电子邮件

  • 从Microsoft Defender门户的“提交”页向Microsoft报告良好的电子邮件 (,可在其中选择“允许具有类似属性的电子邮件”,这将在“租户允许/阻止列表”) 中创建所需的临时条目。

    重要

    来自允许发件人列表或允许域列表中的条目的邮件绕过大多数电子邮件保护 (恶意软件和高置信度钓鱼) 和 电子邮件身份验证 检查 (SPF、DKIM 和 DMARC) 。 允许的发件人列表或允许的域列表中的条目会导致攻击者成功将电子邮件发送到收件箱(否则会被筛选)的高风险。 这些列表最好仅用于临时测试。

    切勿将公共域 (添加,例如,microsoft.com 或 office.com) 添加到允许的域列表。 攻击者可以轻松地将来自这些常见域的欺骗消息发送到组织。

    自 2022 年 9 月起,组织 接受的域中 允许的发件人、域或子域必须通过电子邮件身份验证检查才能跳过垃圾邮件筛选。

    如果要在列表中保留允许的域条目较长一段时间,请告知发件人验证其 SPF 记录是否与域的电子邮件源保持最新,并且其 DMARC 记录中的策略是否设置为 p=reject

反垃圾邮件策略的优先级

如果启用预设安全策略,则会在任何自定义反垃圾邮件策略或默认策略之前应用Standard和严格预设安全策略。 如果创建多个自定义反垃圾邮件策略,可以指定策略应用程序的顺序。 在应用第一个符合条件的策略后,对符合条件的收件人 (该收件人) 的最高优先级策略后,策略处理将停止。

有关优先级顺序以及如何评估多个策略的详细信息,请参阅 电子邮件保护的顺序和优先级预设安全策略和其他策略的优先级顺序

默认反垃圾邮件策略

每个组织都有一个名为 Default 的内置反垃圾邮件策略,该策略具有以下属性:

  • 该策略是默认策略(IsDefault 属性的值为 True),你无法删除默认策略。
  • 该策略会自动应用于组织中的所有收件人,你无法将其关闭。
  • 策略始终在最后应用 (优先级 值为 “最低 ”且无法) 更改它。