使用 Office 365 中的邮件保护报告查看关于恶意软件、垃圾邮件和规则检测的数据

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-12-09

如果你是 Exchange Online 或 Exchange Online Protection (EOP) 管理员,则很有可能想要监视当前检测到的垃圾邮件和恶意软件量,或者想要监视邮件流规则(亦称为“传输规则”)的当前匹配频率。通过 Office 365 管理中心的交互式邮件保护报告,你可以快速获取直观的摘要数据报告,并进一步了解每封邮件的详细信息(可回溯 90 天)。

Office 365 中的邮件保护报告


本主题包括下列内容:

你可以自定义某些邮件保护报告以在发件人和/或收件人上筛选,或在特定的域上筛选。你也可以安排邮件报告自动发送到你的收件箱。若要了解如何操作,请参阅自定义和计划 Office 365 中的邮件保护报告自动发送到您的收件箱

你可以从 Office 365 管理中心的“报告”页面访问以下邮件保护报告。

 

报告 说明

主要发件人和收件人

显示以下内容,具体取决于您选择的报告类型:

  • 主要邮件收件人 – 整个邮件的前 10 个收件人。

  • 主要邮件发件人 – 整个邮件的前 10 个发件人。

  • 主要垃圾邮件收件人 – 垃圾邮件检测的前 10 个收件人。

  • 主要垃圾邮件收件人 – 垃圾邮件检测的前 10 个收件人。

邮件的主要恶意软件

显示已接收和已发送邮件中的前 10 个恶意软件。

恶意软件检测

显示在应用恶意软件操作之前已发送或已接收邮件中的恶意软件检测数量。在图上选择一个点,即可显示有关经过恶意软件筛选的单个邮件的详细信息。

垃圾邮件检测

显示在已发送或已接收邮件中检测到哪些垃圾邮件,按垃圾邮件筛选类型进行分组:

  • 内容过滤 - 邮件由于符合垃圾邮件特征而被标识为垃圾邮件。

  • 阻止 SMTP – 基于发件人/收件人筛选,在邮件进入服务之前阻止邮件。

  • 阻止 IP – 基于 IP 信誉,在邮件进入服务之前阻止邮件。

默认情况下,所有邮件都包括在内。你可以修改此报告的详细信息以对特定发件人和/或收件人进行筛选,或者你可以使用 *@ 域以获取单个域上的报告。若要了解如何操作,请参阅自定义和计划 Office 365 中的邮件保护报告自动发送到您的收件箱

在图上选择一个点,即可显示有关经过内容筛选的单个邮件的详细信息。

已发送和已接收邮件

显示按通信类型分组的已发送和已接收邮件:

  • 正常邮件 – 已接收且未标识为垃圾邮件或恶意软件的邮件。

  • 垃圾邮件 – 被识别为垃圾邮件的邮件。

  • 恶意软件 – 包含恶意软件的邮件。

  • 邮件流规则(亦称为“传输规则”)– 至少与一个规则匹配的邮件。

默认情况下,所有邮件都包括在内。你可以修改此报告的详细信息以对特定发件人和/或收件人进行筛选,或者你可以使用 *@ 域以获取单个域上的报告。若要了解如何操作,请参阅自定义和计划 Office 365 中的邮件保护报告自动发送到您的收件箱

单个邮件的详细信息不可用。

欺骗邮件报告

对于拥有 Office 365 企业版 E5 或购买了高级威胁防护 (ATP) 许可证的用户,该图表展示了向你的组织发送的入站电子邮件,其中发件人好像是你组织的代表,但实际上却是其他发件人身份。我们将这称为“内部欺骗”。

组织可能有充分理由故意使用欺骗的手段,而有些欺骗类型是恶意性质的。本报告包括你的组织接受到的这两种类型的欺骗电子邮件,并帮助你进一步对来自该发件人的电子邮件执行允许或阻止操作。例如,可能协议委托第三方,向所有员工发送参与公司活动的邀请,这样的一封电子邮件将在该报表中显示为非垃圾邮件或“正常邮件”。Office 365 还可检测以你公司的名义采用恶意的方式发送的邮件,并将其标记为“捕获为垃圾邮件”

通过单击图表中指定某天对应的数据点,可以看到更详细的视图。根据下列属性汇总计数:

  • 伪造的发件人 – 显示的发件人名称看上去来自您的组织。

  • 真正的发件人 – 与已注册的 IP 地址关联的实际发件人。如果此字段为空,说明在 Office 365 对 DNS 记录进行检查时,未对发件人的域进行检测。

  • 发件人 IP — 与欺骗邮件的发件人相关联的 IP 地址或地址范围。

  • 事件类型 – 欺骗邮件是被标记为垃圾邮件(“捕获为垃圾邮件”)还是非垃圾邮件(“正常邮件”)。

您可以通过选择“添加到 IP 阻止或 IP 允许列表”来阻止或允许今后从此 IP 地址发送电子邮件。只有您知道它们属于安全域,才能将 IP 地址添加到“允许列表”。

 

报告

描述

邮件的主要规则匹配

针对已接收和已发送邮件显示最匹配的前 10 条邮件流规则。

邮件的规则匹配

显示邮件流规则匹配次数,按规则严重性进行分组。选择图上的点,即可查看各封邮件的详细信息。

默认情况下,所有邮件都包括在内。你可以修改此报告的详细信息以对特定发件人和/或收件人进行筛选,或者你可以使用 *@ 域以获取单个域上的报告。若要了解如何操作,请参阅自定义和计划 Office 365 中的邮件保护报告自动发送到您的收件箱

 

报告

描述

邮件的主要 DLP 策略匹配

显示已接收和已发送邮件前 10 个最匹配的数据丢失防护 (DLP) 策略。

邮件的主要 DLP 规则匹配

显示已接收和已发送邮件前 10 个最匹配的 DLP 规则。

按邮件严重性显示的 DLP 策略匹配

显示按严重性分组的邮件 DLP 策略规则匹配数。在图上选择一个点,即可显示有关单个邮件的详细信息。

邮件的 DLP 策略匹配、重写和误报

显示 DLP 策略匹配数、重写数(用户已发送邮件,不论 DLP 是否匹配)和误报数(用户报告 DLP 匹配不正确)。在图上选择一个点,即可显示有关单个邮件的详细信息。

注意注意:
DLP 功能仅适用于特定 Exchange Online 和 EOP 订阅计划。有关每个计划中可用的 DLP 功能的信息,请参阅 Exchange Online 服务说明Exchange Online Protection 服务说明中的数据丢失预防表条目。

  • 您必须先获得权限,然后才能执行此过程:

    • 对于 Exchange Online 管理员,若要查看 Office 365 管理中心报告,你需要具备“全局管理员”的 Office 365 管理员角色,并具备 Exchange Online 中的功能权限 主题中在“查看报告”中列出的 Exchange 管理员角色。

    • 对于 EOP 管理员,若要查看 Office 365 管理中心报告,你需要具备“全局管理员”的 Office 365 管理员角色,并具备 EOP 中的功能权限主题中在“查看报告”条目中列出的 Exchange 管理员角色。

  • 有关数据何时可用以及可用多长时间的详细信息,请参阅Exchange Online Protection 中的报告和邮件跟踪中的“报告和邮件跟踪数据的可用性与延迟”部分。

  • 如果为超过 7 天的邮件运行详细信息报告,报告将作为可下载的 .csv 文件提供,此文件可在 Excel 等应用程序中打开。

  • Exchange 邮件保护报告还可通过远程 Windows PowerShell 访问。有关 Exchange Online 报告 cmdlet 的完整列表,请参阅 Exchange Online 中的报告 cmdlet

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

单击邮件保护报告链接(如“已发送和已接收的邮件”报告)时,将打开一个新窗口并显示包含摘要级别信息的交互式图表。

已发送和已接收邮件

摘要数据:您可以选择相应的日期范围,查看长达 90 天的摘要数据。您可以通过更改位于图形右侧的系列切片器来更改视图,以便仅查看匹配特定条件的邮件。例如,如果您想查看除垃圾邮件以外的所有邮件,请取消选中“垃圾邮件”切片器选项。某些报告可能还有除图形以外的参数,因此您可以进一步缩小条件范围。有关报告及其参数的信息,您可以将鼠标悬停在报告标题旁的信息链接上。

详细数据:单击图中的某个特定数据点,即可显示某些报告的详细邮件数据。选择某个点时,将在图形下方以表的形式显示邮件的详细信息。如果记录太多无法在一页上显示,您可以在详细信息页之间浏览。每条详细信息列出以下内容:

  • 发送邮件的日期。

  • 邮件的发件人和收件人(每行仅列出一个收件人)。

  • 邮件 ID(在邮件头中显示,通常为以下格式:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>)。

  • 邮件的主题行文本。

你可能会看到其他一些字段,了解垃圾邮件事件类型、匹配的邮件流规则以及与规则相关联的操作等信息,具体视报告类型而定。

下图显示“垃圾邮件检测”报告及详细数据。

垃圾邮件检测报告
注意注意:
详细信息数量可能与摘要计数不同。每个报告都会说明如何计算详细记录的数目。
提示提示:
您可以单击“查看表”链接在表中而不是图中显示数据。但是,使用表视图不能深入到邮件详细信息。

超过 7 天的邮件的详细数据可通过下载获得。这在图中将显示为带有灰色背景的区域。当您在摘要图中选择超过 7 天的数据的数据点,将在页面底部显示“请求此报告”链接。

超过 7 天的垃圾邮件检测

当您单击“请求此报告”链接时,将向您显示一个新的页面,允许您提供通知信息并进一步筛选请求。

请求报告参数

可以指定下列参数:

  • 开始日期和时间以及结束日期和时间   指定您需要报告数据的日期范围。结束日期和时间必须至少在 24 小时之前。

  • 发送状态   使用列表,选择您希望查看信息的邮件的状态。保留默认值“所有”以涵盖所有状态。其他可能的值是:

    • 已发送   该邮件已成功送达给目标。

    • 失败   邮件未送达。或者已尝试传递但失败,或者筛选服务所采取的操作使得邮件未进行传递。例如,如果该邮件被确认包含恶意软件。

    • 展开   邮件发送到通讯组列表并展开,以便可以单独查看列表成员。

  • 邮件 ID   这是在带有“Message-ID:”令牌的邮件头中找到的 Internet 邮件 ID令牌的邮件标题中。用户可为您提供该信息以调查特定邮件。

    此 ID 的形式取决于发送邮件系统。示例如下:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    注意注意:
    请务必记包含完整邮件 ID 字符串。这可能包括尖括号 (<>)。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

  • 原始客户端 IP 地址   指定发件人客户端的 IP 地址。

  • 报告标题   指定此报告的唯一标识符。这还将用作电子邮件通知的主题行文本。默认为“<报告类型> detail report <星期>, <当前日期> <当前时间>”。下面是一个示例:“Spam detail report Thursday, February 27, 2014 7:21:09 AM”。

  • 通知电子邮件地址   指定您希望在报告请求完成时收到通知的电子邮件地址。此地址必须驻留在您的接受域的列表中。

单击“提交”提交报告请求。尽管您在 24 小时内可以运行的报告数量足以满足报告需求,当您接近您在 24 小时内允许运行的报告数量阈值时,您将收到警告。

单击“提交”按钮后,应该会显示一条消息,让您知道报告请求已成功提交,且完成后将发送到所提供的电子邮件地址(如有)。完成报告请求可能需要几小时时间。(如果已处理请求并且已成功检索到与您的搜索条件相匹配的数据,则此通知邮件将包括有关报告和指向可下载 .csv 文件的链接的信息。如果未找到与您定义的搜索条件相匹配的数据,系统会请求您提交包括已更改条件的新请求,以获取有效结果。)

要查看报告请求的状态,您可以单击主页面上的“查看挂起或已完成的请求”链接,这将打开“挂起或已完成的请求”页面。

暂停或已完成请求

在“挂起或已完成的请求”页面上,您可以查看您提交的任何请求的状态(除报告请求外,它还会列出提交的邮件跟踪请求)。在这里,可以取消挂起的请求或下载已完成的报告。

可以单击任何列标头,对请求列表进行排序。除报告标题、提交请求的日期和时间以及邮件数量外,报告中还会列出以下状态值:

  • 未开始   请求已提交但尚未运行。在这种情况下,您可以选择取消请求。

  • 已取消   请求已提交,但已被取消。

  • 进行中   请求正在运行,无法取消该请求或下载报告。

  • 已完成   请求已完成,您可以单击“下载此报告”检索 .csv 文件形式的结果。请注意,如果报告的结果超过 5,000 封邮件,将截断至 5,000 封。如果无法查看所需的所有结果,建议将搜索拆分为多个查询。

选择特定报告时,附加信息将显示在右侧窗格中,这将显示您为该报告指定的搜索条件。

注意注意:
报告将在 10 天后自动删除。无法手动删除。

重要说明重要说明:
若要查看已下载的邮件保护报告和邮件流规则报告,你必须向角色组分配“仅限查看收件人”角色。默认情况下,下列角色组分配有此角色:合规性管理、技术支持、安全机制管理、组织管理、仅限查看组织管理。若要查看已下载的 DLP 报告,必须分配有“数据丢失防护”角色。默认情况下,只能向合规性管理角色组分配此角色。

从“查看挂起或已完成的请求”页面或从通知电子邮件下载报告时,您可以在 Microsoft Excel 等应用程序中打开并查看报告。

每种报告类型包括每封邮件的以下信息:

  • origin_timestamp   服务收到邮件的日期及时间(使用配置的 UTC 时区)。

  • sender_address   别名@格式的发件人电子邮件地址。

  • recipient_address   邮件的收件人。

  • message_subject   邮件的主题行文本。如有必要,会在首串 256 个字符处截断。

  • total_bytes   邮件(包括附件)大小,以字节为单位。

  • message_id   此 Internet 邮件 ID(也称为客户端 ID)位于带有“邮件-ID:”令牌的邮件标题中。此 ID 的形式取决于发送邮件系统。示例如下:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

  • network_message_id   唯一的邮件 ID 值,因拆分或通讯组扩展而创建,且在各邮件副本中均保持有效。示例值为 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip   发件人客户端的 IP 地址。

  • 方向性   此字段表示是发送到组织的入站邮件 (1) 还是从组织发出的出站邮件 (2)。

有关垃圾邮件检测到的邮件报告中还包含以下字段:

  • event_type   表示垃圾邮件筛选类型是否为:

    • 内容筛选   由于其内容,邮件标识为垃圾邮件。

    • 阻止 SMTP   基于发件人/收件人筛选,在邮件进入服务之前阻止邮件。

    • 阻止 IP   基于 IP 信誉,在邮件进入服务之前阻止邮件。

  • scl   有关不同的 SCL 值及其含义的详细信息,请参阅垃圾邮件可信度

  • 国家/地区   从其发送邮件的国家或地区(如果可用)。

  • 语言   撰写邮件所用的语言代码(例如,en 表示邮件使用英语撰写)。

  • helo 字符串   连接邮件服务器的 HELO 或 EHLO 字符串。

  • reverse_dns   发送 IP 地址的 PTR 记录,也被称为反向 DNS 地址。

有关恶意软件检测到的邮件报告中还包含以下字段:

  • event_type   这始终是“恶意软件”。

  • 恶意软件   恶意软件中包含的文件名称。

  • malware_name   已检测到的恶意软件的名称。

报告中还包含以下字段,以便于你了解与邮件流规则匹配的邮件:

  • ruleid   匹配的规则 ID,例如 368067fd-c36c-4b56-9f38-08d0ffcf8b23。每个规则都有一个唯一的 ID。您可以通过远程 Windows PowerShell 获取该值

  • action   所应用的操作。有关可应用的操作的列表,请参阅联机在 Exchange 邮件流规则操作

  • 严重性   匹配的规则的审核严重性。

  • set_time   规则匹配时的日期和时间(采用 UTC 时间)。

  • 模式   规则模式。可能的值是:

    • 强制   将强制实施规则的所有操作。

    • 使用策略提示进行测试   将发送所有策略提示操作,但不会作用于其他强制实施操作。

    • 不使用策略提示测试   日志文件中将列出操作,但不会以任何方式通知发件人,也不会作用于强制实施操作。

报告中还包含有关匹配 DLP 策略的邮件的以下字段:

  • dlpid   匹配的 DLP 策略 ID。每个策略都有一个唯一的 ID。您可以通过远程 Windows PowerShell 获取该值。

  • sender_override   最终用户报告规则重写或误报。

  • Sender_just   理由文本由最终用户提供作为应替代数据分类的原因。

  • dcid   匹配的数据分类的 ID。

  • dc_count   匹配的数据分类的计数。

  • dc_conf   匹配的数据分类的置信度。有关置信度的详细解释,请参阅开发敏感信息规则包中的“实体规则”部分。

注意注意:
DLP 报告中还显示之前为邮件流规则报告定义的“ruleid”、“action”、“severity”、“set_time”和“mode”字段。
 
显示: