Office 365 垃圾邮件过滤器:设置和配置

教程

至少说,垃圾邮件是个麻烦。然而,当这些未经请求的消息包含恶意附件或恶意软件时,它们也是真正的威胁。幸运的是,使用 Microsoft 365 的组织可以通过自动将垃圾邮件与合法通信分开来保护其邮箱。

Exchange Online Protection(EOP)是 Microsoft 365 订阅的主要安全工具。安全管理员使用 EOP 来创建针对恶意软件、垃圾邮件和其他电子邮件威胁的策略和过滤器。请注意,以前,管理员可以从 Exchange 管理中心访问 EOP。今天,EOP 是 Microsoft 365 Defender 门户的一部分,用于高级保护和控制,您可以将 EOP 作为 Exchange Online 的一部分或作为独立服务获取。

本博客将解释 Office 365 电子邮件过滤的工作原理,并详细介绍了 EOP 中包含的技术。继续阅读,了解如何正确配置 EOP 中的入站和出站垃圾邮件过滤策略。

垃圾邮件过滤如何工作?

微软的垃圾邮件过滤与 Exchange Online Protection(EOP)依赖于以前识别的垃圾邮件和钓鱼威胁以及来自 Outlook.com 的用户反馈。识别的垃圾邮件会自动分类并与合法的入站消息分开。O365 垃圾邮件过滤器防止收件箱被无用的邮件填满,并确保跨组织网络及其之外的平稳通信。

以下技术构成了 EOP 中的反垃圾邮件设置:

  • 垃圾邮件(内容)过滤:您可以在EOP中配置反垃圾邮件策略,以便根据以下判定结果对传入消息进行分类:
    • 垃圾邮件
    • 高度可信垃圾邮件
    • 批量电子邮件
    • 钓鱼邮件
    • 高度可信钓鱼邮件

反垃圾邮件策略允许您为每个判定结果定义操作,并配置相应的通知设置。

  • 出站垃圾邮件过滤:您还可以在EOP中配置出站垃圾邮件过滤,以防止您组织的用户有意或无意地发送垃圾邮件,通过限制出站消息并监控内容中的垃圾邮件。
  • 连接过滤:您可以基于IP地址配置过滤,以识别传入电子邮件连接中的良好和不良电子邮件来源。为IP允许列表和IP阻止列表指定IP地址或范围,并从由Microsoft维护的安全列表中获益。
  • 欺骗智能: 为了防止欺骗攻击,在EOP中配置反钓鱼策略。EOP中其他反欺骗方法包括电子邮件认证和欺骗智能洞察。

如何配置Office 365垃圾邮件过滤策略

在Microsoft 365环境中,反垃圾邮件策略包括两个需要配置的元素:

  • 垃圾邮件过滤策略: 定义与垃圾邮件过滤判定相关的操作和通知选项。
  • 垃圾邮件过滤规则: 指的是垃圾邮件过滤策略的优先级以及该策略适用的收件人。

注意: 当您创建新的反垃圾邮件策略时,您正在创建垃圾邮件过滤规则及其关联的垃圾邮件过滤策略。如果您删除一个策略,这两个元素也会被删除。

使用Microsoft 365的组织有一个内置的默认反垃圾邮件策略,可以从Microsoft 365 Defender门户查看和修改。此策略的优先级值最低,并且不能有效防止垃圾邮件。

因此,Microsoft建议安全管理员根据其环境的需求配置自定义垃圾邮件过滤设置。为了简化配置,Microsoft 365 Defender提供了两个内置的安全级别,标准严格,每个级别都有其详细的预设设置如下。

在Microsoft 365 Defender中创建入站反垃圾邮件策略

您可以按照以下步骤创建自定义入站反垃圾邮件策略和相应的垃圾邮件过滤规则:

  1. 通过在浏览器中输入https://security.microsoft.com/antispam访问反垃圾邮件策略页面。

注意:您还可以通过访问https://security.microsoft.com,然后点击电子邮件与协作 > 策略与规则 > 威胁策略 > 反垃圾邮件策略下找到反垃圾邮件策略页面。

  1. 点击+ 创建策略并从下拉列表中选择入站

  1. 策略创建向导的第一页是命名您的策略页面。定义以下设置:
  • 名称:为您的策略添加一个描述性和唯一的名称。
    • 描述:输入一个合适的描述(可选)。

点击下一步继续。

  1. 用户、组和域页面,添加受垃圾邮件过滤策略影响的内部收件人:
  • 用户:您组织内的邮件用户、联系人或邮箱
  • :Microsoft 365 组、邮件启用的安全组或分发组
  • :公司中接受的域中的收件人

在每个框中输入一个值,并从显示的结果中选择您需要的值。您可以通过点击旁边的x来删除一个值。您还可以选中旁边的复选框排除这些用户、组和域,以将收件人添加到您正在创建的策略中排除。

注意:在任何框中添加一个星号 (*) 以查看所有可用值。

点击下一步继续。

  1. 第三页是批量电子邮件阈值和垃圾邮件属性。配置以下设置:
  • 批量电子邮件阈值:设置批量投诉级别 (BCL),该级别的消息可以触发批量垃圾邮件过滤判决的操作。数字越高,越多的批量电子邮件将通过到您的收件箱,反之亦然。您可以根据需要配置此值;但是,微软有以下预设设置:

默认 标准 严格
批量邮件阈值 7 6 4
  • 增加垃圾邮件评分标记为垃圾邮件:作为高级垃圾邮件过滤器(ASF)设置的一部分,此选项默认关闭。
  • 包含特定语言:默认情况下此选项也是关闭的。当您从下拉菜单中选择开启时,会出现一个框,您可以添加您认为是垃圾邮件的邮寄语言。
  • 来自这些国家:默认情况下此选项也是关闭的。如果您想将来自特定国家的电子邮件设置为垃圾邮件,只需从下拉菜单中选择开启并添加国家。
  • 测试模式:也是ASF设置的一部分,此选项默认关闭。

注意:ASF是一种更积极的过滤垃圾邮件的方法。微软建议保持默认值关闭,因为您可能会收到大量误报,而开启ASF设置后无法将其报告为误报。

点击下一步继续到下一步。

  1. 操作页面,您可以根据收到的垃圾邮件过滤判定结果来选择对邮件执行的操作。在配置这些设置之前,重要的是要理解每个操作的含义:
  • 将邮件移动到垃圾邮件文件夹:电子邮件被投递到邮箱,然后被移动到垃圾文件夹。
  • 添加X-头:在将邮件投递到邮箱之前,向邮件添加一个X-头。您可以在在此添加X-头文本框中选择X-头字段的名称。
  • 在主题行前添加文本:电子邮件被投递到邮箱,然后被移动到垃圾邮件,但您可以在主题行的开头添加文本。在在此文本前缀主题行框中输入文本。
  • 将邮件重定向到电子邮件地址:这会将电子邮件转发给其他收件人,而不是原定的用户。您可以在重定向到此电子邮件地址框中指定新的收件人。
  • 删除邮件:电子邮件及其所有附件会自动删除。
  • 隔离邮件:邮件被发送到隔离区。您可以使用将垃圾邮件在隔离区保留这些天数框来选择电子邮件应在隔离区保留的时间。选择此操作时,还应在出现的选择隔离策略框中设置隔离策略。
  • 无操作:顾名思义,不采取任何操作,邮件正常投递。
Now that you know what each action does, you can configure these settings based on your requirements. Microsoft offers the following preset settings:

默认 标准 严格
垃圾邮件 将邮件移动到垃圾邮件文件夹 将邮件移动到垃圾邮件文件夹 隔离邮件
高可信垃圾邮件 隔离邮件 隔离邮件 隔离邮件
钓鱼 隔离邮件 隔离邮件 隔离邮件
高可信钓鱼 隔离邮件 隔离邮件 隔离邮件
批量 将邮件移动到垃圾邮件文件夹 将邮件移动到垃圾邮件文件夹 隔离邮件
在隔离中保留垃圾邮件的天数 15天 30天 30天
  • 安全提示: 默认情况下已启用这些提示。您可以通过取消复选框来禁用它们。
  • 零时自动清除(ZAP): ZAP 可以找到并采取行动,针对发送到 Exchange Online 邮箱的电子邮件。此功能及其相关设置默认已启用。

点击 下一步 继续。

  1. 允许和阻止列表 页面允许您指定哪些电子邮件地址或域可以绕过垃圾邮件过滤。此外,您还可以添加被阻止的发件人和域。按照以下步骤在此处配置列表:
  • 允许:
    • 要管理 发件人,请点击 管理(n)个发件人。选择出现的飞出窗口中的 +添加发件人,然后添加发件人的电子邮件地址。最后,点击 添加发件人
    • 点击 允许域 来自定义域。在新标签页中,选择 +添加域,然后输入域。完成后,点击 添加域
  • 阻止: 添加被阻止的发件人和/或域的过程与上述过程基本相同。

点击下一步继续。

  1. 审阅页面,您可以查看您选择的所有设置。您可以编辑特定部分,或者简单地点击返回返回到之前的页面。最后,选择创建然后在确认页面点击完成

在Microsoft 365 Defender中创建出站反垃圾邮件策略

无论您组织中的用户是故意还是意外发送垃圾邮件,EOP都有控制出站垃圾邮件以保护收件人:

  • 出站电子邮件流量的隔离:EOP扫描每个出站消息。当电子邮件被确定为垃圾邮件时,它将从一个声誉较低的次要IP地址池中发送,该池称为高风险交付池
  • 禁用发送过多垃圾邮件或在短时间内发送过多电子邮件的帐户:所有帐户都受到监控,以确保它们不会超出特定的电子邮件限制。当达到阈值时,该帐户将被禁用。
  • 监视来源IP地址的声誉:Microsoft 365扫描大量的第三方IP地址阻止列表,并在您的组织使用任何这些列表中的IP地址时生成警报。

既然您知道了EOP如何控制出站垃圾邮件,您可以创建自定义出站反垃圾邮件策略:

  1. 通过在浏览器中输入https://security.microsoft.com/antispam来访问反垃圾邮件策略页面。

注意:您还可以通过使用https://security.microsoft.com,然后点击电子邮件与协作 > 策略与规则 > 威胁策略 > 反垃圾邮件下的策略来访问反垃圾邮件政策页面。

  1. 点击+ 创建策略并在下拉列表中选择出站

  1. 策略创建向导的第一页是命名您的策略页面。定义以下设置:
  • 名称:为您的策略添加一个描述性和唯一的名称。
  • 描述:输入一个合适的描述(可选)。

完成后点击下一步

  1. 这是用户、组和域页面,您需要在此添加受出站垃圾邮件过滤器策略影响的内部收件人:
  • 用户:这些是您组织内的邮件用户、联系人或邮箱。
  • :Microsoft 365组、邮件启用的安全组或分发组。
  • :这将包括公司内所有接受域下的收件人。

在每个框中输入一个值,并从显示的结果中选择您需要的选项。您可以通过点击旁边的X来删除一个值。您还可以勾选旁边的排除这些用户、组和域复选框,以添加不符合您正在创建的策略的收件人。

注意:在任何框中添加一个星号(*)以查看所有可用值。

点击下一步继续。

  1. 保护设置页面上,配置以下设置:
  • 消息限制:自定义Exchange Online邮箱中出站电子邮件的限制。在下面描述的每个框中输入值或使用箭头。该值可以从0(默认)到10,000之间选择。
    • 设置外部消息限制是指在一小时内外部收件人的最大数量。
    • 设置内部消息限制是指在一小时内内部收件人的最大数量。
    • 设置每日消息限制是指每天所有(外部和内部)收件人的最大数量。
  • 用户达到消息限制后的限制:定义用户超过您先前设置的消息限制时的操作。
    • 限制用户发送邮件直至第二天:用户将被禁止在 24 小时内发送额外的消息。安全管理员无法解除此限制。通知将发送给被阻止的用户和管理员。
    • 限制用户发送邮件:选择此选项,用户将被添加到受限用户列表中。他们将无法发送任何消息,直到管理员手动将其从列表中移除。
    • 不采取行动,仅发送警报:用户不受限制,但会发送通知。
  • 转发规则:通过从下拉列表中选择一个选项来管理自动电子邮件转发:
  • 自动 – 系统控制:默认情况下,出站垃圾邮件被过滤以控制外部电子邮件转发。
  • 禁用 – 转发已关闭: 自动外部电子邮件转发已禁用。
    • 启用 – 转发已打开: 自动外部电子邮件转发已启用。
  • 通知: 指定其他用户将收到有关出站垃圾邮件的通知:
    • 将超出这些限制的可疑出站邮件的副本发送给这些用户和组: 通过选择旁边的复选框来启用此设置。完成后,将出现一个文本框,您可以在其中添加要在可疑邮件的Bcc字段中包含的收件人的电子邮件地址。
    • 如果发件人因发送出站垃圾邮件而被阻止,请通知这些用户和组: 当您选择此复选框时,您可以添加要在用户因发送垃圾邮件而被阻止时通知的收件人的电子邮件地址。

点击下一步继续。

  1. 审查页面,您可以查看您选择的所有设置。您可以编辑特定部分,或者简单地点击返回以返回上一页。最后,选择创建并在确认页面上点击完成

如何配置连接过滤

在EOP中,连接过滤用于通过其IP地址识别哪些电子邮件服务器是好的,哪些是坏的。在Microsoft 365 Defender中,反垃圾邮件策略包括一个默认的连接过滤策略,通过阻止它们的源,帮助减少着陆在您的邮箱中的垃圾邮件数量。

默认的连接过滤策略有三个主要组成部分:

  • IP 允许列表:通过将源电子邮件服务器添加到此列表中,所有来自这些服务器的传入消息都不经过垃圾邮件过滤,并直接传递到邮箱。您可以使用IP地址或IP地址范围指定服务器。
  • IP 阻止列表:通过将源电子邮件服务器添加到此列表中,所有来自这些服务器的传入消息都会自动被阻止和拒绝。您可以使用IP地址或IP地址范围添加服务器。
  • 安全列表:这是由Microsoft管理的“允许列表”,您无法自行编辑。所有来自此处找到的源电子邮件服务器的传入消息都会跳过垃圾邮件过滤。重要的是要注意,如果需要,您可以禁用此列表。

修改Microsoft 365 Defender中的默认连接过滤策略

尽管您无法创建新的连接筛选策略,但您可以按照以下步骤配置默认策略:

  1. 通过在浏览器中输入https://security.microsoft.com/antispam访问反垃圾邮件策略页面。

注意:您也可以通过访问https://security.microsoft.com,然后点击电子邮件与协作 > 策略与规则 > 威胁策略 > 反垃圾邮件策略下找到反垃圾邮件策略页面。

  1. 点击连接筛选策略(默认)

  1. 在此弹出窗口中,您可以配置以下设置来阻止Office 365中的发件人:
  • 描述:点击编辑描述以添加可选的策略描述文本。完成后,点击保存

  • 连接筛选:点击编辑连接筛选策略来自定义以下设置:
    • 始终允许来自以下IP地址或地址范围的消息:在这里,您可以添加单个IP、IP范围或CIDR IP到IP允许列表中。
    • 始终阻止来自以下IP地址或地址范围的消息:在这里,您可以添加单个IP、IP范围或CIDR IP到IP阻止列表中。
    • 开启安全列表:通过选中复选框来启用安全列表,或者保持禁用(默认)。

完成操作后,点击保存

如何移除自定义反垃圾邮件策略

虽然您无法删除默认策略,但您可以轻松移除自定义反垃圾邮件策略,只需按照以下步骤操作:

  1. 通过在浏览器中输入https://security.microsoft.com/antispam来访问反垃圾邮件策略页面。

注:您还可以通过访问https://security.microsoft.com,然后点击电子邮件与协作 > 政策与规则 > 威胁政策 > 反垃圾邮件下的政策来访问反垃圾邮件政策页面。

  1. 点击您想要删除的政策。
  2. 在弹出窗口中,选择删除政策,然后在出现的确认弹窗中点击

:当您删除一个自定义反垃圾邮件政策时,相应的反垃圾邮件规则也会被移除。

管理垃圾邮件过滤中的错误

由于没有系统是完美的,好邮件有时会被定义为垃圾邮件(假阳性),同时,一些垃圾邮件信息可能会通过过滤政策并到达您的邮箱(假阴性)。您可以实施Office 365垃圾邮件过滤的最佳实践,尽可能减少这些情况的发生:

  • 确保您有适当的批量电子邮件设置:检查您之前在自定义反垃圾邮件政策中设置的批量投诉级别(BCL)是否适合您的组织。您可以根据发送和接收的批量电子邮件数量调整BCL。
  • 审查反垃圾邮件消息头:这些可以帮助您理解为什么一封电子邮件被错误地标记为垃圾邮件或跳过过滤而未被注意到。
  • 实施电子邮件验证:如果您拥有自己的电子邮件域,可以通过配置DNS来帮助防止垃圾邮件和欺骗。尝试使用所有可用的验证方法(SPF、DKIM和DMARC)以获得最佳效果。
  • 将MX记录指向Microsoft 365:Microsoft建议您应首先将消息发送到Microsoft 365,以确保通过EOP获得最佳保护。

结论

如果放任不管,垃圾邮件很容易成为威胁业务连续性的因素。这就是为什么Microsoft确保通过Exchange Online Protection(EOP)为其用户提供先进的垃圾邮件过滤工具。您现在知道如何为您的组织创建和配置反垃圾邮件策略,并限制到达您邮箱的垃圾邮件数量。

虽然垃圾邮件过滤在保护邮箱免受垃圾邮件方面做得很好,但像钓鱼和勒索软件这样的复杂攻击需要额外的安全措施。通过拥有一个全面的备份解决方案,您可以确保整个Office 365环境的最佳保护。NAKIVO Backup & Replication不仅提供Exchange Online备份,还提供即时数据恢复和勒索软件保护。

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!

Source:
https://www.nakivo.com/blog/configuring-office-365-spam-filter/