确保电子邮件攻击的安全是相当复杂的,然而网络安全行业和电子邮件服务提供商一直在不断努力,使情况变得更好。微软的隔离比标记为垃圾邮件更糟糕,因为目标收件人根本不知道你的电子邮件曾试图到达他们那里。
每当你发送电子邮件时,你希望它能被送到预定的收件人手中,如果需要的话,收件人应该打开它并进行回复。然而,如果你的电子邮件被隔离了,这些都不会发生。
微软的隔离政策是为了遏制恶意软件的传播而推出的。该策略定义了用户被允许对被隔离的邮件做什么或不做什么,这取决于该邮件首先被隔离的原因。管理员可以为用户定制限制,还可以激活通知。
我如何访问微软的隔离区?
你访问微软检疫信息的能力取决于应用的检疫策略。以下是你如何访问它。
- 访问 Microsoft 365 Defender 门户,网址为 https://security.microsoft.com/并选择 "电子邮件与协作">"审查">"隔离"。您也可以直接点击 https://security.microsoft.com/quarantine.
- 然后你必须通过点击一个可用的列标题来解决结果。你可以点击自定义列来改变以下列。
- 收到的时间
- 主题
- 寄件人
- 检疫的原因
- 释放状态
- 政策类型
- 过期
- 收件人
- 信息ID
- 政策名称
- 信息大小
- 邮件方向
完成后点击 "应用"。
被隔离是否意味着被删除?
不,隔离并不意味着删除。它意味着该邮件是垃圾邮件或潜在的恶意的;因此,可疑的电子邮件被储存在一个安全的环境中,你可以在没有任何风险的情况下打开它。
每隔三天就会弹出微软的检疫通知。30天后会从邮箱中永久删除(如果你改变了设置,则更少)。
什么原因导致邮件被隔离?
要阻止用户处理自己隔离的网络钓鱼电子邮件,管理员可以指定一个隔离策略。该策略可以拒绝访问所有被隔离的邮件。出现 Microsoft 隔离的原因通常如下:
检疫的原因 | 默认保留期 | 可定制或不可定制? | 评论 |
被反垃圾邮件政策隔离的信息;垃圾邮件、高可信度的垃圾邮件、网络钓鱼、高可信度的网络钓鱼,或大量信息。 | 根据默认的微软隔离反垃圾邮件策略,15天。这是在你在PowerShell中创建的反垃圾邮件策略中。
它还可以在你在微软卫士门户中创建的反垃圾邮件策略中保留30天。 |
是 | 你可以在反垃圾邮件政策中降低其值。 |
被反钓鱼政策隔离的邮件:EOP中的欺骗情报;Defender for Office 365中的用户冒充、域冒充或邮箱情报。 | 30天 | 是 | 该保留期由反垃圾邮件策略中的隔离保留期设置控制。
这里,保留期的值与收件人被定义的第一个匹配的反垃圾邮件策略相同。 |
被反恶意软件政策隔离的信息(恶意软件信息)。 | 30天 | 没有 | 当你在反恶意软件策略中激活普通附件过滤时,电子邮件中的附件会被视为恶意的。这只是基于文件的扩展名。有一个预定义的常见执行文件类型列表,但允许你对其进行修改。 |
被Office 365版Defender的安全附件策略隔离的邮件(恶意软件邮件) | 30天 | 没有 | |
被邮件流规则隔离的邮件。将邮件送至托管的隔离区(Quarantine)。 | 30天 | 没有 | |
被SharePoint、OneDrive和Microsoft Teams的安全附件隔离的文件(恶意软件文件)。 | 30天 | 没有 | 在这种情况下,文件在30天后会从SharePoint或OneDrive中被撤销。然而,被封锁的文件仍在SharePoint或OneDrive中处于被封锁状态。 |
我应该如何对待微软的检疫文件?
从列表中选择微软被隔离的文件,并采取详细说明中的以下可能的行动之一。
1.发布电子邮件
首先重新设置以下选项。
- 将发件人添加到你的组织的允许列表中。这个选项可以阻止邮件被微软隔离。
- 选择其中一个选项。
- 向所有收件人发布
- 发布给特定的收件人。在收件人框中选择你要添加的收件人。
- 与其他收件人分享电子邮件的副本。选择此选项并添加收件人。
- 将邮件提交给微软以提高检测率(假阳性)。这是一个默认选项,它报告那些被错误隔离的邮件。这些邮件被突出显示为假阳性。被认为是垃圾邮件、批量邮件、网络钓鱼或含有恶意软件的邮件,也会被报告给微软的垃圾邮件分析小组。
- 允许类似这样的邮件。这个选项在默认情况下是停用的,但你可以激活它来暂时阻止具有类似URL、附件和其他特征的邮件被微软错误地隔离。你会遇到两个选项。
- 之后删除。选择你想允许这类信息存在多少天。默认值设置为30天。
- 可选说明:为允许添加一个相关的描述。
一旦你完成了配置,请点击释放信息。
2.分享电子邮件
在弹出窗口中输入一个或多个收件人。这些收件人将收到该邮件的副本。一旦你完成添加他们的电子邮件地址,请点击分享。
3.更多行动
- 查看邮件标题。如果你想查看电子邮件的标题文本,请点击这一点。它下面会有以下选项。
1.复制邮件标题
2.微软消息头分析器。要分析报文头字段和数值,请点击链接,粘贴报文头并点击分析报文头。 - 预览信息。选择以下标签之一。
1.来源。你将看到所有链接都被禁用的HTML版本。
2.2.纯文本。你将看到纯文本的信息主体。 - 从隔离区删除。如果你点击 "是",该邮件将被永久删除,而不会被发送给原收件人。
- 下载电子邮件。在其下配置以下内容。
1.下载文件的原因
2.创建密码 - 封锁发件人。 将发件人添加到您邮箱中的 "阻止发件人 "列表。
- 只提交。 将信息报告给微软进行分析。你会在它下面看到一些选项。
DMARC 隔离与拒绝 - 解释一下
如果您的 DMARC 策略长期以来一直设置为 p=none,那么现在就应该将其切换为 p=reject 或 p=quarantine。这些更严格的策略可以防止威胁行为者策划的恶意网络钓鱼和诈骗。但在实施 DMARC 策略之前,您需要了解它们之间的区别。
DMARC 检疫
当你设置 DMARC 检疫策略时,你让收件人服务器知道你希望他们如何处理从你的域名发出的未经认证的电子邮件。你可以选择让它们被隔离,送入垃圾邮件,或进行积极的垃圾邮件过滤。
我们建议将此作为一个测试选项,因为它可以让你的公司开始灵活运用他们的 缓慢地、不那么积极地使用DMARC强度,而不是那么咄咄逼人。因此,在你确信没有正确的邮件被错误地隔离之前,你把你的DMARC策略设置为p=quarantine。
DMARC 拒绝政策
p=拒绝策略让你完全防止所有的恶意活动。此外,预定的收件人根本不会收到邮件的通知,如果邮件没有落入他们的邮箱,他们就没有机会上当受骗。
但它也有一个缺点,因为一些合法的电子邮件也可能被错误地拒绝。如果你不监控 DMARC报告的报告,可能需要几个月的时间才能发现合法邮件没有被送达。这可能会妨碍生产力,妨碍与客户、潜在客户和合作伙伴的沟通,妨碍销售增长和营销工作等。
- 增强型网络钓鱼攻击中借口式诈骗的兴起- 2025 年 1 月 15 日
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日