配置 EOP 的最佳实践

 

适用于:Exchange Online Protection

上一次修改主题:2016-12-09

请遵循所建议的这些 Exchange Online Protection (EOP) 最佳做法,以成功达到目的,并避免常见的配置错误。建议一般情况下使用默认的配置设置。参阅本主题的前提是,你已经完成安装过程。如果还没有完成 EOP 安装,请参阅设置 EOP 服务

在高容量生产域上实施服务功能前,建议你使用测试域、子域或低容量域来尝试这些服务功能。

如果你的组织在本地 Active Directory 环境中拥有现成的用户帐户,则可以将这些帐户同步到云中的 Azure Active Directory。建议使用目录同步。若要详细了解使用目录同步的具体优势以及安装步骤,请参阅在 EOP 中管理邮件用户

在设置 EOP 时,添加了 EOP 的一个 SPF(发件人策略框架)记录到 DNS 记录中。SPF 记录可帮助防止欺骗。有关 SPF 记录如何阻止电子欺骗,以及如何将内部部署的 IP 地址添加到 SPF 记录中的详细信息,请参阅在 Office 365 中设置 SPF 以防止欺骗

通过将 IP 地址添加到 IP 允许和 IP 阻止列表并选择“启用安全列表”选项来管理连接筛选器设置,可以减少收到的误报数(归类为垃圾邮件的良好邮件)。若要了解详细信息,请参阅配置连接筛选器策略。有关适用于整个组织的详细垃圾邮件设置,请参阅如何帮助确保邮件不会标记为垃圾邮件使用 Office 365 垃圾邮件筛选器阻止垃圾电子邮件,以防止出现漏报问题。如果您拥有管理员级别控制,并且您想要阻止误报或漏报问题,这些会很有帮助。

通过查看和选择更改默认设置管理内容筛选器。例如,可以针对已经过垃圾邮件检测的邮件出现的情况更改操作。如果您希望主动进行垃圾邮件筛选,可以配置高级垃圾邮件筛选 (ASF) 选项。在生产环境中实施这些选项前,建议您对这些选项进行测试(打开这些选项)。建议关注网络钓鱼的组织打开“SPF 记录: 硬失败”选项。有关详细信息,请参阅配置垃圾邮件筛选器策略高级垃圾邮件筛选 (ASF) 选项

重要说明重要说明:
如果你使用默认内容筛选器操作,即“将邮件移至垃圾邮件文件夹”,为确保该操作与本地邮箱协调工作,你必须在本地服务器上配置 Exchange 邮件流规则(也称为传输规则)以检测 EOP 添加的垃圾邮件头。有关详细信息,请参阅确保垃圾邮件已路由到每个用户的“垃圾邮件”文件夹

建议您查看反垃圾邮件保护常见问题解答,其中包括出站邮件最佳实践部分,有助于确保出站邮件的传递。

可以通过多种方式向 Microsoft 提交漏报(垃圾邮件)和误报(非垃圾邮件)以供分析。有关详细信息,请参阅将垃圾邮件、非垃圾邮件和网络欺诈邮件提交给 Microsoft 进行分析

在 Exchange 管理中心 (EAC) 中检查并微调恶意软件筛选器设置。有关详细信息,请参阅配置反恶意软件策略。我们还建议你阅读反恶意软件保护常见问题解答 中有关反恶意软件保护的其他常见问题解答。

如果你对包含恶意软件的可执行文件有点担心,则可以创建一个 Exchange 邮件流规则来拦截所有包含可执行内容的电子邮件附件。若要拦截使用邮件流规则检查邮件附件中“传输规则检查支持的可执行文件类型”下方列出的文件类型,请按 How to reduce malware threats through file attachment blocking in Exchange Online Protection(如何在 Exchange Online Protection 中通过文件附件拦截来减少恶意软件威胁)中的步骤操作。

可以在 EAC 中使用常见附件类型筛选器。依次选择“保护”>“恶意软件筛选器”。可以创建一个 Exchange 邮件流规则(亦称为“传输规则”)来拦截所有包含可执行内容的电子邮件附件。

为了加强保护,我们仍建议你使用邮件流规则阻止以下部分或全部的扩展名:ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf 和 wsh。通过使用“任何包含这些词的附件文件扩展名”条件,可以完成这一操作。

管理员和最终用户可以提交通过筛选器的恶意软件,或提交被误检为恶意软件的文件,只需将其发送给 Microsoft 进行分析即可。有关详细信息,请参阅将恶意软件和非恶意软件提交给 Microsoft 进行分析

创建邮件流规则(也称为传输规则或自定义筛选器),满足业务需求。

在对生产部署新规则时,首先选择测试模式之一,以查看规则的效果。如果规则能够按照你预期的方式工作,则将规则模式更改为“强制”。

在部署新规则时,考虑添加附加操作“生成事件报告”,以监视正在运行的规则。

如果你的组织采用部分本地、部分 Office 365 的混合部署配置,可以创建应用于整个组织的规则。为此,请使用本地和 Office 365 都适用的条件。虽然大多数条件都可用于这两种部署,但也有少数条件特定于特定的部署方案。有关详细信息,请参阅Exchange Online 中的邮件流规则(传输规则)

如果希望检查在组织内部传递的邮件的附件,可以通过设置邮件流规则来实现。然后,可以根据这些附件的内容或特征对经过检查的邮件采取操作。有关详细信息,请参阅使用邮件流规则检查邮件附件

通过检测电子邮件中个人信息退出组织的时间,可以提高防钓鱼保护。例如,可以在邮件流规则中使用下列正则表达式,检测可能危及隐私的个人财务数据或信息传输:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d(任何 16 位数字)

  • \d\d\d\-\d\d\-\d\d\d\d (Social Security Numbers)

通过阻止似乎是从你自己的域发送的入站恶意电子邮件,也可以成功减少垃圾邮件和网络钓鱼。例如,可以创建一个邮件流规则,拒绝从你的公司域发送到同一个公司域的邮件,以阻止此类发件人伪造。

小心小心:
我们建议仅当您确定您的域中没有合法电子邮件从 Internet 发送到邮件服务器时,才创建此拒绝规则。当邮件从组织中的某位用户发送给外部收件人,并随后转发给组织中的其他收件人时,会发生此问题。

如果关注包含恶意软件的可执行文件,可以配置反恶意软件策略来阻止含有可执行内容的任何电子邮件附件。按照配置反恶意软件策略中的步骤执行操作。

为了加强保护,仍建议阻止以下部分或全部的扩展名:ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf 和 wsh。

查看 Office 365 管理中心内的报告,对常见问题和趋势进行故障排除。使用消息跟踪工具来查找有关邮件的单点数据。有关报告的详细信息,请参阅 Exchange Online Protection 中的报告和邮件跟踪。有关消息跟踪工具的详细信息,请参阅跟踪电子邮件

 
显示: