反恶意软件保护常见问题解答

请参阅 EOP 反恶意软件策略设置。

每个服务器每小时都会从反恶意软件合作伙伴处检查新的恶意软件定义。

我们与多个反恶意软件技术提供商建立了合作关系。 使用 Microsoft 反恶意软件引擎、基于签名的附加引擎以及来自多个源的 URL 和文件信誉扫描来扫描消息。 我们的合作伙伴可能会发生更改，但 EOP 始终使用来自多个合作伙伴的反恶意软件保护。 不能选择一个反恶意软件引擎，而不要选择另一个反恶意软件引擎。

我们会扫描发送到邮箱或从邮箱发送的邮件中的恶意软件， (传输) 的邮件。 对于Exchange Online邮箱，我们还提供了零小时自动清除 (ZAP) ，以便恶意软件扫描已传递的邮件。 如果从邮箱重新发送邮件，则会 (再次扫描该邮件，因为它正在传输) 。

更改可能需要长达 1 小时才能生效。

对于具有Exchange Online邮箱的组织，该服务会扫描所有入站和出站邮件（包括内部收件人之间发送的邮件）中的恶意软件。

独立 EOP 订阅在邮件进入或离开本地电子邮件组织时扫描邮件。 内部本地收件人之间发送的邮件不会扫描恶意软件。 但是，可以使用 Exchange Server 的内置反恶意软件扫描功能。 有关详细信息，请参阅 Exchange Server 中的反恶意软件保护。

是。 针对已知 (签名匹配) 和未知 (可疑) 恶意软件的启发式扫描扫描。

是。 反恶意软件引擎可以钻取到压缩 (存档) 文件。

是的，压缩文件的递归扫描会扫描许多层。

是的，该服务与服务器无关。

零日病毒是第一代以前未知的恶意软件变体，从未被捕获或分析过。

反恶意软件引擎捕获和分析零日病毒样本后，将创建一个定义和唯一签名来检测恶意软件。

如果存在恶意软件的定义或签名，则不再将其视为零天。

可以启用和配置 通用附件筛选器 (也称为 通用附件阻止) 如 反恶意软件策略中的常见附件筛选器中所述。

还可以创建 Exchange 邮件流规则 (也称为传输规则) ，用于阻止包含可执行内容的任何电子邮件附件。

按照如何通过Exchange Online Protection中的文件附件阻止来减少恶意软件威胁中的步骤，阻止Exchange Online中邮件流规则内容检查支持的文件类型中列出的文件类型。

为了增强保护，我们还建议使用 任何附件文件扩展名 在邮件流规则中包含这些字词条件来阻止以下部分或所有扩展： ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh。

你收到的恶意软件是一个新的变体 (请参阅 什么是零日病毒以及服务如何处理它？) 。 恶意软件定义更新所需的时间取决于反恶意软件合作伙伴。

请记住，任何用户或管理员可配置的设置都无法免除反恶意软件保护扫描电子邮件附件。

参见 向 Microsoft 报告邮件和文件。

强烈建议不要打开任何无法识别的附件。 如果希望我们调查附件， 请向 Microsoft 报告该文件。

这些消息包含活动的恶意代码，因此我们不允许访问这些消息。 它们被不加告人地删除。

否。 不能使用 Exchange 邮件流规则跳过恶意软件筛选。 跳过收件人的恶意软件筛选的唯一方法是将邮箱标识为 SecOps 邮箱。 有关详细信息，请参阅使用 Microsoft Defender 门户在高级传递策略中配置 SecOps 邮箱。

是的，可以在Microsoft Defender门户中访问报表。 有关详细信息，请参阅在 Microsoft Defender 门户中查看电子邮件安全报告。

存在，邮件跟踪工具让您能够跟踪通过该服务传递的电子邮件。 有关如何使用邮件跟踪工具找出邮件被检测到包含恶意软件的原因的详细信息，请参阅 新式 Exchange 管理中心中的邮件跟踪。

是。 在大多数情况下，建议将 MX 记录指向 (即直接将电子邮件传递到) EOP。 如果需要先将电子邮件路由到其他位置，则需要 为连接器启用增强筛选 ，以便 EOP 可以在筛选决策中使用真正的邮件源。

该服务侧重于垃圾邮件和恶意软件的检测和删除，但我们偶尔可能会调查特别危险或破坏性的垃圾邮件或攻击活动，并追捕肇事者。

我们经常与我们的法律和数字犯罪部门合作采取以下行动：

• 关闭垃圾邮件僵尸网络。
• 阻止攻击者使用服务。
• 将信息传递给执法部门进行刑事起诉。

配置反恶意软件策略

反恶意软件保护