反恶意软件保护常见问题解答

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-12-09

本部分列出了有关反恶意软件保护的常见问题解答。Exchange Online 和 Exchange Online Protection 客户可以进行查看。

问:配置和使用该服务来对抗恶意软件的最佳做法建议是什么?

答:请参阅配置 EOP 的最佳实践中的“设置反恶意软件选项”。

问:恶意软件定义更新频率如何?

答:每个服务器会每小时检查一次是否有来自反恶意软件合作伙伴的新的恶意软件定义。

问:有多少个反恶意软件合作伙伴?我可以对我们使用的恶意软件引擎进行选择吗?

答:我们与多家最优反恶意软件技术提供机构都建立了伙伴关系。我们的合作伙伴数量可能变更,但所有客户都始终同时由多个反恶意软件伙伴自动进行保护。不可对引擎进行选择。

问:在何处进行恶意软件扫描?

答:在通过邮箱收发的邮件上执行恶意软件扫描。不会对通过邮箱访问的邮件进行恶意软件扫描,因为该邮件可能已经过扫描。如果从邮箱重新发送邮件,则将对其进行重新扫描。

问:如果我对一个反恶意软件策略进行了更改,更改保存之后需要多久才会生效?

答:可能需要 1 小时,更改才会生效。

问:此服务会对内部邮件执行恶意软件扫描吗?

A. 对于 Exchange Online Protection 独立客户,此服务只扫描经此服务路由的入站和出站邮件,不会对组织中的发件人向组织中的收件人发出的邮件进行扫描。然而,为了另一个防护层,您可以将此服务与可对内部邮件执行恶意软件扫描的内置 Exchange Server 2013 反恶意软件保护功能结合使用。

对于 Exchange Online 和 Exchange 企业版 CAL 带服务客户,服务可以扫描通过服务路由的入站和出站邮件,以及从组织中的发件人发送给组织中的收件人的内部邮件。

问:此服务使用的所有反恶意软件引擎是否都启用了启发式扫描吗?

是。这会使反恶意软件引擎能够扫描已知(签名匹配)和未知(可疑)的恶意软件。

问:此服务能否扫描压缩文件(比如 .zip 文件)?

是。反恶意软件引擎能够深入了解存档(压缩)文件(比如 .zip 文件)。

问:压缩附件扫描是否支持递归(一个 .zip 所包含的另一个.zip 中的 .zip),如果支持,那么会提供到什么程度?

支持,压缩文件的递归扫描可以扫描到多层深度。

问:此服务可以与旧版 Exchange(如 Exchange Server 2010)和非 Exchange 环境结合使用吗?

答:可以,此服务不受服务器限制。

问:什么是零日病毒以及此服务如何对其进行处理?

答:零日病毒是从未被捕获或分析过的恶意软件的第一代未知变体,因此我们的反恶意软件引擎还没有任何可用于检测它的定义。在我们的反恶意软件引擎捕获并分析过零日病毒之后,根据该恶意软件的独特签名,创建了一个定义对其进行检测,则它不再被视为“零日”。

问:我可以如何配置该服务以阻止可能包含恶意软件的特定可执行文件(例如 *.exe)?

答:可以在 EAC 中使用常见附件类型筛选器。依次选择“保护”>“恶意软件筛选器”。可以创建一个 Exchange 邮件流规则(亦称为“传输规则”)来拦截所有包含可执行内容的电子邮件附件。若要拦截使用邮件流规则检查邮件附件中“传输规则检查支持的可执行文件类型”下方列出的文件类型,请按 如何在 Exchange Online Protection 中通过文件附件拦截来减少恶意软件威胁中的步骤操作。

为了加强保护,我们仍建议你使用邮件流规则(亦称为“传输规则”)拦截具有以下部分或全部扩展名的文件:ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf 和 wsh。为此,你可以使用“任意附件文件扩展名包含这些字词”条件。

问:此恶意软件为何可以通过筛选器?

答:有两种可能的原因使您可能收到恶意软件。

首先,也是更有可能的情况,是收到的附件未包含任何活动的恶意代码。这些情况下,计算机上运行的一些反恶意软件引擎可能更加激进,且可能会通过截断负载来停止邮件。

第二种原因是您收到的恶意软件为新的变体,我们的反恶意软件合作伙伴还未能发布部署该服务的模式文件。发布更新的时间取决于反恶意软件合作伙伴。

问:我如何才能向 Microsoft 提交通过筛选器的恶意软件?另外,我如何才能提交我认为被误检为恶意软件的文件?

答:请参阅将恶意软件和非恶意软件提交给 Microsoft 进行分析

问:我收到了一封电子邮件,但我对其附件不熟悉。这是恶意软件吗?或可以忽略此附件吗?

答:我们强烈建议您不要打开任何您不可识别的附件。如果您希望我们调查附件,可转至恶意软件保护中心,并如之前所述将可能的恶意软件提交给我们。

问:我在哪里可以找到被恶意软件筛选器删除的邮件?

答:这些邮件包含活动的恶意代码,所以我们不允许访问这些邮件。它们将被删除。

问:因为恶意软件筛选器的错误筛选,所以我无法收到某特定的附件。那么我能否允许该附件通过传输规则呢?

答:不可以。不能利用传输规则绕过恶意软件筛选器。如果您想要此附件绕过恶意软件筛选器,可将此附件打包为密码保护的 .zip 文件,并发送至目标收件人。恶意软件筛选将绕过任何密码保护文件。

问:我能否获得关于恶意软件检测的报告数据?

答:能,你可以通过访问 Office 365 管理中心或下载 Excel 报告工作簿来查看报告。有关报告的详细信息,请单击下面的链接:

Exchange Online 客户:Exchange Online 中的监视、报告和邮件跟踪

Exchange Online Protection 客户:Exchange Online Protection 中的报告和邮件跟踪

问:是否存在这样的工具,我能使用它在该服务中跟踪检测出恶意软件的邮件?

存在,邮件跟踪工具让您能够跟踪通过该服务传递的电子邮件。有关如何使用邮件跟踪工具找到邮件被检测为包含恶意软件的原因的详细信息,请参阅Was a message detected to contain malware?

问:能否将第三方反垃圾邮件和反恶意软件提供程序与 Exchange Online 结合使用?

答:能,你可以配置另一垃圾邮件和恶意软件筛选服务来保护 Exchange Online 邮箱。若要针对入站邮件这样做,应将 MX 记录更改为指向第三方提供程序,从而将电子邮件重定向到第三方提供程序,然后再将邮件重定向到 EOP 进行其他处理。若要针对出站邮件这样做,请将邮件发送目标配置为第三方提供程序(智能主机),如方案:出站智能托管 - 主题不再可用中所示。

问:正在调查将垃圾邮件和恶意邮件发送给谁,还是正在移交给执法机构?

答:此服务专注于垃圾邮件和恶意软件检测和删除,尽管我们可能有时会专门调查危险或破坏性的垃圾邮件或攻击活动,并找到肇事者。这可能涉及与法律和数字犯罪机构合作,以击溃垃圾邮件制造者僵尸网络、阻止垃圾邮件制造者使用服务(如果他们使用此服务来向外发送邮件)并向执法机构提供刑事诉讼的相关信息。

 
显示: