Office 365垃圾邮件过滤器:设置和配置

教學

至少,垃圾郵件是一種討厭的事情。然而,當這些未經請求的消息包含惡意附件或惡意軟件時,它們也是一種真正的威脅。幸運的是,使用 Microsoft 365 的組織可以通過自動將垃圾郵件與合法通訊分開來保護其郵箱。

Exchange Online Protection(EOP)是 Microsoft 365 訂閱的主要安全工具。安全管理員使用 EOP 創建政策和過濾器來對抗惡意軟件、垃圾郵件和其他電子郵件威脅。請注意,以前,管理員可以從 Exchange 管理中心訪問 EOP。如今,EOP 是 Microsoft 365 Defender 門戶的一部分,用於提供高級保護和控制,您可以將 EOP 作為 Exchange Online 的一部分或作為獨立服務使用。

本文解釋了 Office 365 電子郵件篩選的工作原理,並詳細介紹了 EOP 中包含的技術。繼續閱讀,了解如何在 EOP 中正確配置入站和出站垃圾郵件篩選策略。

垃圾郵件過濾器如何工作?

微軟的垃圾郵件過濾是通過以前識別的垃圾郵件和釣魚威脅以及來自 Outlook.com 的用戶反饋來檢測垃圾郵件的。識別出的垃圾郵件將被自動分類並與合法的入站消息分開。O365 垃圾郵件篩選器防止收件箱被填滿無用的郵件,確保順暢地在組織的網絡內外進行通信。

下面的技術構成了 EOP 中的反垃圾郵件設置:

  • 垃圾郵件(內容)過濾:您可以在EOP中設定反垃圾郵件政策,以便根據以下判斷對傳入訊息進行分類:
    • 垃圾郵件
    • 高度自信的垃圾郵件
    • 大量郵件
    • 釣魚郵件
    • 高度自信的釣魚郵件

反垃圾郵件政策允許您為每個判斷定義動作並配置相應的通知設置。

  • 外寄垃圾郵件過濾:您還可以在EOP中配置外寄垃圾郵件過濾,以防止組織內的用戶有意或無意地發送垃圾郵件,方法是限制外寄訊息並監控內容中的垃圾郵件。
  • 連接過濾:您可以根據IP地址配置過濾,以識別傳入電子郵件連接中的良好和不良電子郵件來源。為IP允許列表和IP阻止列表指定IP地址或範圍,並受益於由Microsoft維護的安全列表
  • 偽造智慧: 為了防止欺騙,在EOP中設置反釣魚政策。EOP中的其他反欺騙方法包括電子郵件驗證和欺騙智慧洞察。

如何配置Office 365垃圾郵件過濾政策

在Microsoft 365環境中,反垃圾郵件政策包括兩個需要配置的元素:

  • 垃圾郵件過濾政策: 定義了與垃圾郵件過濾判斷相關的行動和通知選項。
  • 垃圾郵件過濾規則: 指的是垃圾郵件過濾政策的優先級以及政策適用的收件人。

注意: 當您創建新的反垃圾郵件政策時,您正在創建一個垃圾郵件過濾規則以及相關的垃圾郵件過濾政策。如果您刪除一個政策,這兩個元素也會被刪除。

使用Microsoft 365的組織有一個內建的默認反垃圾郵件政策,可以從Microsoft 365 Defender門戶查看和修改。該政策具有最低的優先級值,並且不提供有效的垃圾郵件防護。

因此,Microsoft建議安全管理員根據其環境的需求配置自定義垃圾郵件過濾設置。為了簡化配置,Microsoft 365 Defender提供了兩個內建的安全級別,標準 嚴格,每個都有其詳細的預設設置。

在Microsoft 365 Defender中建立入站反垃圾郵件政策

您可以按照以下步驟建立自訂的入站反垃圾郵件政策以及相應的垃圾郵件過濾規則:

  1. 通過在瀏覽器中輸入https://security.microsoft.com/antispam來訪問反垃圾郵件政策頁面。

注意:您也可以通過訪問https://security.microsoft.com,然後點擊電子郵件與協作 > 政策與規則 > 威脅政策 > 反垃圾郵件政策下找到反垃圾郵件政策頁面。

  1. 點擊+ 建立政策並從下拉列表中選擇入站

  1. 政策建立嚮導的第一頁是命名您的政策頁面。定義以下設置:
  • 名稱:為您的政策添加一個描述性和獨特的名稱。
    • 描述:輸入一個合適的描述(可選)。

點擊下一步繼續。

  1. 用戶、群組和域名頁面上,添加受垃圾郵件過濾政策影響的內部收件人:
  • 用戶:您組織內的郵件用戶、聯繫人或郵箱。
  • 群組: Microsoft 365 群組、郵件啟用的安全群組或分發群組
  • 網域: 您公司中在所接受網域內的收件者

在每個方塊中輸入一個值,並從顯示的結果中選擇您需要的選項。您可以透過點擊該值旁邊的 x 來移除一個值。您也可以選擇旁邊的核取方塊 排除這些使用者、群組和網域 來將收件者添加到您正在創建的策略中以排除在外。

注意: 在任何方塊中添加一個星號 (*) 以查看所有可用的值。

點擊 下一步 繼續。

  1. 第三頁是 大量郵件閾值與垃圾郵件屬性。配置以下設置:
  • 大量郵件閾值: 設置 大量投訴級別 (BCL),該級別的郵件可以觸發對 大量 垃圾郵件過濾判定的行動。數字越高,越多的大量郵件將會進入您的收件箱,反之亦然。您可以根據自己的需要配置此值;然而,微軟有以下預設設置:

預設 標準 嚴格
大量郵件閾值 7 6 4
  • 增加垃圾郵件分數標記為垃圾郵件:進階垃圾郵件過濾器(ASF)設定的一部分,此選項預設為關閉。
  • 包含特定語言:這預設為關閉。當您從下拉式選單中選擇開啟時,會出現一個方框,您可以在其中添加您認為是垃圾郵件的郵寄語言。
  • 來自這些國家:這也預設為關閉。如果您想將來自特定國家的郵件設置為垃圾郵件,只需從下拉式選單中選擇開啟並添加國家。
  • 測試模式:也是ASF設定的一部分,此選項預設為關閉。

注意: ASF是一種更積極的垃圾郵件過濾方法。微軟建議保持預設值關閉,因為您可能會收到大量誤報,而且無法在啟用ASF設定的情況下將其報告為誤報。

點擊下一步繼續到下一步驟。

  1. 操作頁面,您可以根據郵件收到的垃圾郵件過濾判斷來選擇對郵件執行的操作。在配置這裡的設置之前,了解每個操作的含義非常重要:
  • 將郵件移至垃圾郵件資料夾:郵件被送達至信箱,然後被移至垃圾郵件資料夾。
  • 添加X-標頭:在郵件送達信箱之前,添加一個X-標頭。您可以在在這裡添加X-標頭文字框中選擇X-標頭字段的名稱。
  • 在主題行前添加文字:郵件被送達至信箱,然後被移至垃圾郵件,但您可以在主題行開頭添加文字。在在主題行前添加此文字框中輸入文字。
  • 將郵件轉發至電子郵件地址:這將郵件轉發給其他收件人,而不是原來的用戶。您可以在轉發至這個電子郵件地址框中指定新的收件人。
  • 刪除郵件:郵件及其所有附件會自動被刪除。
  • 隔離郵件:郵件被送至隔離區。您可以使用在隔離區保留垃圾郵件這麼多天框選擇郵件應在隔離區保留多久。當您選擇此操作時,還應在出現的選擇隔離政策框中設置隔離政策。
  • 無操作:顧名思義,不執行任何操作,郵件正常送達。
Now that you know what each action does, you can configure these settings based on your requirements. Microsoft offers the following preset settings:

預設 標準 嚴格
垃圾郵件 將郵件移至垃圾郵件資料夾 將郵件移至垃圾郵件資料夾 隔離郵件
高度可信的垃圾郵件 隔離郵件 隔離郵件 隔離郵件
釣魚郵件 隔離郵件 隔離郵件 隔離郵件
高度可信的釣魚郵件 隔離郵件 隔離郵件 隔離郵件
大量郵件 將郵件移至垃圾郵件資料夾 將郵件移至垃圾郵件資料夾 隔離郵件
在隔離中保留垃圾郵件這麼多天 15 天 30 天 30 天
  • 安全提示:默認情況下已啟用提示。您可以取消勾選复选框來禁用它們。
  • 零小時自動清除(ZAP):ZAP 查找並采取措施處理發送到 Exchange 在線郵箱的郵件。此功能及其相應的設置默認情況下已打開。

點擊下一步繼續。

  1. 允許和封鎖列表頁面允許您指定哪些電子郵件地址或域名可以繞過垃圾郵件過濾。此外,您還可以添加被封鎖的發件人和域名。通過以下步驟在此處配置列表:
  • 已允許
    • 要管理發件人,請點擊管理(n)位發件人。在彈出的窗口中選擇+添加發件人,然後添加發件人的電子郵件地址。最後,點擊添加發件人
    • 點擊允許的域名以自定義域名。在新的標籤中,選擇+添加域名,然后輸入域名。完成後,點擊添加域名
  • 被封鎖:添加被封鎖的發件人和/或域名的過程基本與上述相同。

點擊下一步以繼續。

  1. 檢閱頁面上,您可以查看您選擇的所有設置。您可以編輯特定部分,或者只需點擊返回以恢復到之前的頁面。最後,選擇創建,然後在確認頁面上點擊完成

在 Microsoft 365 Defender 中創建出站反垃圾郵件策略

無論您組織中的用戶是故意還是偶然發送垃圾郵件,EOP 都有控制措施來防止垃圾郵件發送給收件人:

  • 分離出站電子郵件流量:EOP 掃描每個出站郵件。當一封郵件被確定為垃圾郵件時,它會從一個聲譽較差的次要 IP 地址池(稱為高風險投遞池)中投遞。
  • 禁用發送過多垃圾郵件或在短時間內發送太多郵件的帳戶:所有帳戶都受到監控,以確保它們不會超過特定的郵件限制。當達到該閾值時,該帳戶將被禁用。
  • 監控來源 IP 地址聲譽:Microsoft 365 掃描許多第三方 IP 封鎖列表,並在您的組織使用任何這些列表中的 IP 地址時生成警報。

既然您了解了 EOP 如何控制出站垃圾郵件,您可以創建自定義的出站反垃圾郵件策略:

  1. 通過在瀏覽器中輸入https://security.microsoft.com/antispam來訪問反垃圾郵件策略頁面。

注意: 您也可以透過https://security.microsoft.com前往反垃圾郵件政策頁面,然後點擊電子郵件與協作 > 政策與規則 > 威脅政策 > 反垃圾郵件政策下。

  1. 點擊+ 建立政策並從下拉式選單中選擇出站

  1. 政策建立精靈的第一頁是命名您的政策頁面。定義以下設定:
  • 名稱:為您的政策添加一個描述性和獨特的名稱。
  • 描述:輸入一個合適的描述(可選)。

完成後點擊下一步

  1. 這是使用者、群組和網域頁面,您需要在這裡添加受出站垃圾郵件過濾政策影響的內部收件者:
  • 使用者:這些是您組織內的郵件使用者、聯絡人或信箱。
  • 群組:Microsoft 365 群組、郵件啟用的安全性群組或分發群組。
  • 網域:這將包括您公司中所有接受的網域下的所有收件者。

在每個方框中輸入一個值,並從顯示的結果中選擇您需要的選項。您可以通過點擊旁邊的X來移除一個值。您還可以選擇旁邊的排除這些用戶、組和域複選框,以添加政策創建的例外收件人。

注意:在任何方框中添加星號(*)以查看所有可用值。

點擊下一步繼續。

  1. 保護設置頁面上,配置以下設置:
  • 消息限制:自定義Exchange Online郵箱中出站電子郵件的限制。在下面描述的每個方框中輸入值或使用箭頭。該值可以從0(默認)到10,000不等。
    • 設置外部消息限制指的是一小時內外部收件人的最大數量。
    • 設置內部消息限制是一小時內內部收件人的最大數量。
    • 設置每日消息限制是每天所有(外部和內部)收件人的最大數量。
  • 超過訊息限制的使用者的限制:定義使用者超過您先前設定的訊息限制時的動作。
    • 限制使用者直到第二天才能發送郵件:使用者將被禁止在24小時內發送額外的訊息。安全管理員無法移除此限制。已將通知發送給被封鎖的使用者和管理員。
    • 限制使用者發送郵件:使用此選項,使用者將被添加到受限用戶列表中。他們將無法發送任何訊息,直到管理員手動將其從列表中移除。
    • 僅警告,無任何操作:使用者不受限制,但將發送通知。
  • 轉發規則:通過從下拉列表中選擇一個選項來管理自動郵件轉發:
  • 自動 – 系統控制:默認情況下,外部郵件轉發將被篩選以控制出站垃圾郵件。
  • 停用 – 轉發已停用:自動外部郵件轉發已停用。
    • 啟用 – 轉發已啟用:自動外部郵件轉發已啟用。
  • 通知:指定額外的使用者,他們將收到有關外發垃圾郵件的通知:
    • 將超過這些限制的可疑外發副本發送給這些使用者和群組:通過選中旁邊的勾選框啟用此設置。完成後,將顯示一個文本框,您可以在其中添加要包含在可疑郵件的 Bcc 欄位中的收件人的電子郵件地址。
    • 如果發件人因外發垃圾郵件而被封鎖,則通知這些使用者和群組:當您選擇此核取框時,您可以添加要在用戶因發送垃圾郵件而被封鎖時通知的收件人的電子郵件地址。

點擊下一步繼續。

  1. 評論頁面上,您可以查看您選擇的所有設置。您可以編輯特定部分,或者只需點擊返回返回上一頁。最後,在確認頁面上選擇創建並點擊完成

如何配置連接篩選

在EOP中,連接篩選用於通過其IP地址識別哪些電子郵件服務器是好的和壞的。在Microsoft 365 Defender中,反垃圾郵件策略包括一個默認的連接篩選策略,通過從源頭阻止它們來幫助減少落入您郵箱的垃圾郵件數量。

默認的連接篩選策略有三個主要組件:

  • IP允許清單:通過將源郵件服務器添加到此清單中,所有來自這些服務器的傳入消息都不會經過垃圾郵件篩選,直接發送到郵箱。您可以使用IP地址或IP地址範圍指定服務器。
  • IP阻止清單:通過將源郵件服務器添加到此清單中,所有來自這些服務器的傳入消息都將被自動阻止和拒絕。您可以使用IP地址或IP地址範圍添加服務器。
  • 安全清單:這是由Microsoft管理的“允許清單”,您無法自行編輯。所有來自此處找到的源郵件服務器的傳入消息都跳過垃圾郵件篩選。重要的是要注意,如果需要,您可以禁用此列表。

修改Microsoft 365 Defender中的默認連接篩選策略

雖然您無法建立新的連線篩選原則,但您可以透過以下步驟設定預設原則:

  1. 在瀏覽器中輸入垃圾郵件防護原則頁面的網址https://security.microsoft.com/antispam來存取該頁面。

注意:您也可以透過訪問https://security.microsoft.com,然後點擊電子郵件與協作 > 原則與規則 > 威脅原則 > 垃圾郵件防護,在原則下找到該頁面。

  1. 點擊連線篩選原則(預設)

  1. 在這個彈出視窗中,您可以設定以下選項來封鎖Office 365中的寄件者:
  • 描述:點擊編輯描述來新增原則的可選描述文字。完成後,點擊儲存

  • 過濾連接: 點擊 編輯連接過濾政策 來自定義以下設置:
    • 始終允許來自以下IP地址或地址範圍的消息: 在這裡,您可以將單個IP、IP範圍或CIDR IP添加到IP允許列表中。
    • 始終阻止來自以下IP地址或地址範圍的消息: 在這裡,您可以將單個IP、IP範圍或CIDR IP添加到IP阻止列表中。
    • 開啟安全列表: 通過選擇複選框來啟用安全列表,或者保持禁用(默認)。

完成後,點擊 保存

如何移除自定義反垃圾郵件政策

雖然您無法刪除默認政策,但您可以通過以下步驟輕鬆移除自定義反垃圾郵件政策:

  1. 通過在瀏覽器中輸入 https://security.microsoft.com/antispam 來訪問 反垃圾郵件政策 頁面。

注意:您也可以透過https://security.microsoft.com前往反垃圾郵件政策頁面,然後點擊電子郵件與協作 > 政策與規則 > 威脅政策 > 反垃圾郵件政策下。

  1. 點擊您想要移除的政策。
  2. 在彈出視窗中,選擇刪除政策,然後在出現的確認彈出視窗中點擊

注意:當您刪除一個自訂反垃圾郵件政策時,相應的反垃圾郵件規則也會被移除。

管理垃圾郵件過濾中的錯誤

由於沒有系統是完美的,良好的郵件有時會被定義為垃圾郵件(誤報),同時,一些垃圾郵件可以通過過濾政策並到達您的收件箱(漏報)。您可以實施Office 365垃圾郵件過濾的最佳實踐來盡可能減少這些情況的發生:

  • 確保您有適當的大量郵件設定:檢查您在自訂反垃圾郵件政策中之前設定的大量投訴級別(BCL)是否適合您的組織。您可以根據您發送和接收的大量郵件數量來調整BCL。
  • 檢視反垃圾郵件訊息標頭:這些可以幫助您了解為什麼一封郵件被錯誤地標記為垃圾郵件或未經過濾而未被注意到。
  • 實施電子郵件驗證:如果您擁有自己的電子郵件域,您可以配置您的DNS以幫助防止垃圾郵件和欺騙。嘗試使用所有可用的驗證方法(SPF、DKIM和DMARC)以獲得最佳效果。
  • 將您的MX記錄指向Microsoft 365:Microsoft建議您應該首先將消息傳遞到Microsoft 365,以確保通過EOP獲得最佳保護。

結論

如果未經檢查,垃圾郵件很容易成為對業務連續性的威脅。這就是為什麼Microsoft確保通過Exchange Online Protection(EOP)為其用戶提供先進的垃圾郵件過濾工具。您現在知道如何為您的組織創建和配置反垃圾郵件策略,並限制到達您郵箱的垃圾郵件數量。

雖然垃圾郵件過濾在保護郵箱免受垃圾郵件方面做得很好,但像釣魚和勒索軟件這樣的複雜攻擊需要額外的安全措施。您可以通過擁有一個全面的備份解決方案來確保您的整個Office 365環境的最佳保護。NAKIVO Backup & Replication提供Exchange Online備份,此外還提供即時數據恢復和勒索軟件保護。

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!

Source:
https://www.nakivo.com/blog/configuring-office-365-spam-filter/