Microsoft Exchange Online Protection 完整概覽
垃圾郵件是指透過email大量發送給眾多收件者的未經請求訊息或其他內容。多年前,垃圾郵件不過是些不受歡迎的廣告內容。如今,垃圾郵件已不僅僅是令人煩躁的廣告,更可能構成威脅。垃圾郵件發送者在發送垃圾郵件時會使用複雜的技術,例如在email中附加間諜軟體、惡意軟體或勒索軟體,或是利用跨站腳本(XSS)注入技術,甚至僅透過連結傳播病毒。 疏於警惕的使用者往往無法辨識這些危險訊息。一旦感染此類惡意軟體,不僅會對個別使用者構成威脅,更可能危及整個企業,因為這可能導致硬體故障、資料外洩以及資料遺失(或損毀)。
所幸,透過採用 Exchange Online Protection 等現代化軟體解決方案,仍有方法能保護您的 email 帳戶免受垃圾郵件侵擾。在這篇部落格文章中,我將介紹 Exchange Online Protection 的功能,以及如何運用它來保護您的 Exchange Online 帳戶。那麼,Exchange Online Protection 的表現究竟如何?
什麼是 Exchange Online Protection?
Exchange Online Protection (EOP) 是微軟提供的一項基於雲端的 email 過濾服務。此服務旨在保護 email 使用者及整個組織免受垃圾郵件和惡意軟體的侵害。使用者通常會問:Microsoft Office 365 是否包含 Exchange Online Protection? 是的,Exchange Online Protection 是 Microsoft Office 365 企業版訂閱中包含的軟體元件。EOP 屬於 Microsoft Exchange Online 的一部分。當企業開始使用 Microsoft Office 365 電子郵件服務時,應將如何保護其帳戶免受垃圾郵件侵擾列為首要考量。因此,選擇基於雲端的電子郵件防護服務是相當明智的選擇。Exchange Online Protection 支援多種部署情境:
獨立部署. 您可以使用 Exchange Online Protection,為在實體或虛擬機器上運行的本地 Exchange 伺服器提供雲端防護。
僅限雲端使用. 若您使用的是 Office 365 電子郵件服務,請使用原生的 Exchange Online Protection 來保護 Exchange Online 以及託管於雲端的用戶信箱。
混合部署. 您可以在雲端中設定 Exchange Online Protection,以保護位於雲端的 Exchange Online,以及在辦公室或資料中心內的實體伺服器或虛擬機器上運作的本地 Exchange 伺服器。
Exchange Protection 方案已包含在所有包含 Exchange Online 及相關電子郵件服務的 Microsoft Office 365 訂閱方案中。您也可以單獨購買 EOP。Exchange Online Protection 亦可與非 Microsoft 的電子郵件服務配合使用。
另請參閱如何 使用 PowerShell 連線至 Exchange Online.
Exchange Online Protection 的功能為何?
Exchange Online Protection 會過濾進出郵件,以偵測各種威脅。進件郵件的過濾是透過基於寄件者信譽、IP 位址、電子郵件地址與網域名稱、關鍵字,以及 Microsoft 複雜分析演算法的規則與政策式規則來執行。被歸類為危險的電子郵件將被拒收並刪除。
必須過濾出件郵件,以避免公司內使用者向他人發送垃圾郵件的情況。 若未過濾此類郵件,您的網域或 IP 位址將被其他組織列入黑名單。被列為垃圾郵件發送者將造成嚴重損害,並可能導致貴組織用戶發送的 email 無法送達。配置外寄 email 過濾遠比嘗試將網域從黑名單中移除來得容易。使用外寄過濾的另一種使用情境是,當有人駭入用戶帳戶,並利用該遭入侵的帳戶發送垃圾郵件時。
工作原理
當公司外部的人員向貴組織的用戶發送 email 時,該 email 會根據您網域所設定的 MX 記錄,透過一連串的路由器和郵件伺服器轉送至您的郵件伺服器。如果您將 Exchange Online 作為 Microsoft 365 的一部分使用,您的虛擬郵件伺服器將分散部署於 Microsoft 雲中的各資料中心。 許多垃圾郵件在抵達您的 Exchange Online 郵件伺服器之前便已被篩除。當一封 email 傳送至貴組織所使用的 Exchange 資料中心時,Exchange Online Protection 便會立即啟動。
Exchange Online Protection 會檢查寄件者的信譽、IP 位址、網域名稱,以及主旨或 email 正文中的關鍵字。接著,它會將這些資料與篩選設定進行比對。 若符合"允許"條件(例如,未包含黑名單中的短語、IP 位址、電子郵件地址或網域),該email將送達使用者的信箱。若寄件者的 IP 位址(電子郵件帳戶名稱或網域)在白名單中,該email將不會被過濾。系統也會檢查email是否含有惡意軟體。
如果email不符合條件,系統會將其視為垃圾郵件並予以拒收(使用者可在"垃圾郵件"資料夾中找到該email),或將其儲存至隔離區且不送達收件人(視設定而定)。 微軟掌握眾多垃圾郵件發送者的地址,並運用機器學習演算法即時應對,將新出現的垃圾郵件發送者加入黑名單。微軟與其他反垃圾郵件企業的合作,使其能提供高水準的電子郵件防護。這正是採用基於雲端的 Exchange Online 防護解決方案,相較於從頭配置實體電子郵件伺服器防護所具備的優勢。在大多數情況下,您只需微調 Exchange Online 防護的設定即可。
垃圾郵件可信度
當 email 經過 Exchange Online Protection 的垃圾郵件過濾器時,系統會為該 email 分配一個垃圾郵件分數。此分數稱為"垃圾郵件可信度等級"(SCL),並可記錄在 email 的 X-標頭中。SCL 數值越高,該 email 為垃圾郵件的機率就越高。
垃圾郵件可信度等級:
-1這是一封來自白名單中可信來源(依據 IP 位址、寄件者名稱、網域名稱等)的非垃圾郵件。此郵件已送達收件者的"收件匣"資料夾。0 - 1這些值會指派給非垃圾郵件的email。該email將送達收件者的收件匣。5, 6Emails are determined as Spam and are moved to the Junk Email folder.7, 8, 9These emails are determined to be high-risk spam and are moved to the recipient’s “Junk Email” folder.
將email標記為垃圾郵件後,可執行的所有操作清單:
- 將這封email移至"垃圾郵件"資料夾. 此選項為預設選項。
- 加入 X 標頭 繼續使用傳輸規則處理該email。
- 請在主旨名稱的開頭加入警告訊息。 若某封email已被標記為垃圾郵件並移至"垃圾郵件"資料夾,您可以使用此選項通知使用者該email可疑。
- 前往隔離區。 此選項適合用來儲存那些被誤判為垃圾郵件(亦稱為"誤判")的正常郵件。
- 將訊息轉寄至自訂email地址。 若您想查看哪些郵件被標記為垃圾郵件,可以使用此選項。當您需要對垃圾郵件過濾功能進行進一步調整時,這可能會派上用場。
- 刪除這封email。 如果您百分之百確定您的email篩選器已正確設定,請使用此選項。
群發email
群發email通常並非垃圾郵件,但在貴組織中可能令人困擾且不受歡迎。群發email是指發送給 大量使用者閱讀大量 email 可能會分散用戶的注意力,且他們可能會使用工作電子郵件帳戶在第三方網站上註冊,這可能不符合您的安全政策。Exchange Online Protection 允許您透過設定"大量 email 合規等級",將大量 email 識別為垃圾郵件,以防止用戶收到此類未經請求的郵件。您可以像設定垃圾郵件可信度等級一樣設定"大量 email 投訴等級"(BCL) (使用 1 至 9 的數字)。將閾值設定為 7 或更高,即可徹底擺脫群發郵件的困擾。使用者可在 email 客戶端中點擊"這是垃圾郵件",向寄件者提交垃圾郵件投訴。收到大量投訴的群發郵件服務將獲得不良聲譽。此情況會被垃圾郵件過濾系統(包括 Exchange Online Protection)偵測到。
另請參閱 如何設定 Office 365 的 SMTP 設定 供您的email客戶端使用。
假陽性
"誤判為垃圾郵件"是指email被歸類為垃圾郵件,但實際上並非垃圾郵件的情況;"漏判"則是指垃圾郵件或惡意郵件通過過濾器並送達收件人的情況。 沒有任何系統能完全避免此類情況。您可以向 Microsoft 回報垃圾郵件過濾器觸發的誤判(誤報)與漏報(漏檢)問題。Microsoft 將致力於改善反垃圾郵件與反病毒防護機制。若發生誤判,只要系統未設定為立即且永久刪除判定為垃圾郵件的訊息,管理員即可在隔離區中找到這些郵件。
隔離
隔離區是用來存放被歸類為垃圾郵件或受感染email的地方。這些email會存放在隔離區,直到經由管理員審查,或在隔離期限屆滿後被刪除。不需要的email可以存放在隔離區,而非"垃圾郵件"資料夾,這樣使用者就能從隔離區還原並開啟可疑的email。如果該email確實受感染,將對使用者及組織構成威脅。 正因如此,管理員傾向將垃圾郵件信心等級較高的email儲存於僅限管理員存取的隔離區,而非"垃圾郵件"資料夾。
根據垃圾郵件過濾規則移至隔離區的email,預設會儲存 15 天。系統管理員可設定此儲存期限。
因傳輸(網路過濾)規則而被移至隔離區的郵件,將在隔離區中儲存 7 天,且管理員無法編輯此時間長度。
管理員可管理所有使用者的隔離區及其中被隔離的郵件。使用者僅能在適用相應設定的情況下,才能查看其隔離區中的郵件(可配置隔離區設定,允許每位使用者管理其自身帳戶的隔離區)。
垃圾郵件過濾選項
您可以概述 Exchange 保護方案,並選擇哪些政策和規則對於保護您的使用者和公司至關重要。
白名單 即"允許"清單或安全寄件者清單。如果您信任某家公司或商業夥伴,可以將該公司使用的 IP 位址和網域名稱加入規則中的白名單,以確保來自該方的重要 email 能始終順利送達。
黑名單 是封鎖清單。若您發現有大量垃圾郵件來自某個 IP 位址或網域,請將這些寄件者參數加入黑名單。
依 IP 位址篩選. 您可以將垃圾郵件發送者的 IP 位址加入黑名單以封鎖 email。將可信資源的 IP 位址加入白名單。
依語言篩選 (國際垃圾郵件過濾器) 讓您能夠拒收公司內部未使用的其他語言所撰寫的 email,並減少收到的垃圾郵件數量。例如,貴公司使用英語、德語和法語,而合作夥伴則使用英語和西班牙語——您不應封鎖這些語言。若您發現某種語言的垃圾郵件數量過多,即可封鎖該語言撰寫的 email。 Exchange Online Protection 還允許您封鎖位於特定國家(地區)的 email 伺服器。
Exchange Online Protection 的設定
既然已經介紹了主要選項和功能性,接下來讓我們來看看如何存取 Exchange Online Protection 的設定。閱讀本節內容,您將了解如何設定 Exchange Online Protection。您可以透過網頁介面來設定 Exchange Online Protection。請前往 Exchange 管理中心,並以公司帳戶的管理員身分登入:
https://outlook.office365.com/ecp/
保護
點擊 protection 在 Exchange 管理中心的左側窗格中。網頁頂端可見惡意軟體過濾器、連線過濾器、垃圾郵件過濾器、外發垃圾郵件、隔離區、操作中心以及 DKIM 選項。"保護"區段負責提供反垃圾郵件與反惡意軟體防護。
Malware filter. 在此子區段中,您可以管理防惡意軟體政策。您可以新增、編輯、啟用、停用及刪除政策,並變更其優先順序。優先順序較高的政策會優先套用。
點擊 + 按鈕以新增一項反惡意軟體政策。新視窗中將顯示一長串設定項目。
姓名: 請輸入新政策的名稱。
說明: 如有需要,請輸入說明。
惡意軟體偵測與應對. 若希望貴組織的收件者收到關於附有惡意軟體附件且已被隔離的郵件的通知,請選擇其中一個"是"的選項。您可以輸入自訂的通知文字。
常見附件類型篩選器 (開啟/關閉)。開啟此選項並選取可能具有危害性的檔案類型。您可以選取 .EXE、.BAT、.CMD 及其他檔案副檔名;若在email附件中偵測到這些檔案類型,該email將被拒收。
惡意軟體零時差自動清除. 此特點可在訊息已送達使用者信箱後,偵測並清除垃圾郵件、網路釣魚及惡意軟體訊息。Microsoft 通常會更新 Exchange Online Protection 篩選器並改進其演算法。若惡意email在篩選器能偵測到該惡意軟體之前已被送達,則可在更新惡意軟體與垃圾郵件簽名檔後,透過"零時自動清除"功能解決此問題。建議啟用此特點。 您可以調整使用者與管理員的通知選項。
反惡意軟體政策可套用至使用者、群組或網域。
Connection filter. 連線篩選器可根據來源端(即email寄件者所使用的郵件伺服器)的 IP 位址來封鎖email。連線篩選通常在偵測到惡意軟體或垃圾郵件攻擊,以及用於發送惡意email的來源 IP 位址後使用。您可以新增可信賴寄件者的允許 IP 位址。
透過連線篩選器的管理功能,您可以將允許和封鎖的 IP 位址新增至預設政策中。
您可以選擇 啟用白名單 勾選此核取方塊,即可使用 Microsoft 的可信 IP 位址安全清單。Microsoft 訂閱了第三方企業清單,旨在持續更新全球 email 寄件者的白名單與黑名單。如果您不信任第三方清單,可以忽略此選項,並不要勾選此核取方塊。
Spam filter. Exchange Online Protection 會先分析 email 內容,再據此偵測垃圾郵件。透過垃圾郵件過濾選項,您可以針對 Exchange Online Protection 微調垃圾郵件過濾器,並自訂相關設定。請按一下 Edit 點擊 (鉛筆) 圖示,以開啟包含設定的新視窗。
姓名: 輸入垃圾郵件過濾政策名稱。
說明: 輸入說明(非必填)。
垃圾郵件與批量操作. 您可以選擇針對收到的垃圾郵件和群發email採取的處理方式。請選擇 將群發email標記為垃圾郵件 勾選此核取方塊,即可停用傳送行銷email、電子報及其他非您組織內使用者工作流程所需的不必要訊息。請在下拉式選單中選擇閾值,以調整系統將群發email識別為垃圾郵件的準確度。垃圾郵件可信度等級採用 1 至 9 的閾值,預設值為 7。
隔離選項:
- 保留天數:預設為 15 天
- 新增此 X-標頭文字
- 將郵件轉寄至此email地址
您也可以編輯發件人email地址和網域名稱的封鎖清單與允許清單。
Outbound spam. 部分設定頁面已由 Microsoft 更新,並重新分配至其他網址。您可以在以下頁面設定垃圾郵件政策,包括外發垃圾郵件政策:
https://protection.office.com/antispam
在此頁面中,您可以啟用預設政策並設定其優先順序。若要設定外發垃圾郵件政策,請點擊 Create an outbound policy. 在彈出的視窗中,請輸入政策名稱、描述,並設定通知選項、收件者限制(如螢幕截圖所示)以及適用於目標物件的條件。
Quarantine. 隔離設定可在此處找到:
https://protection.office.com/quarantine
如果系統篩選出的郵件被標記為垃圾郵件或惡意軟體,您可以在清單中看到這些郵件。必須套用適當的政策(例如垃圾郵件過濾政策),才能將可疑郵件存放在隔離區中。
Action Center. 您可透過以下網址存取"操作中心":
https://protection.office.com/restrictedusers
您可以在 Exchange Online Protection 的此設定頁面上,查看受限使用者、操作、服務及其他操作詳細資訊的清單。
DKIM. DKIM(Domain Keys Identified Email)是一種用於防範垃圾郵件的額外方法,其原理是在外寄 email 中加入加密簽名(DKIM 記錄)。DKIM 簽名是附加於 email 訊息中的標頭,並透過加密進行保護。另一方面,目的地郵件伺服器可藉此確認該 email 是由授權的郵件系統所發送。最終使用者(收件者)無法看見該簽名。 您可在 Exchange Online Protection 設定的相應子區段中,找到您網域的 DKIM 設定。
郵件流
本節說明如何透過傳輸規則與條件式郵件路由來管理郵件流。郵件流規則(郵件傳輸規則)用於在郵件送達收件者信箱之前,對郵件採取特定動作。您可以設定一組條件(例如附件大小、主旨名稱等),並搭配比較運算子,讓過濾系統據此做出判斷。 例如,若郵件主旨為"出售"或"折扣",則必須刪除此郵件。您亦可修改及轉寄郵件。清單頂端的規則優先級最高,清單末端的規則優先級最低。在處理郵件流中的email時,系統會優先套用高優先級的規則。
結論
Exchange Online Protection 不僅僅是反垃圾郵件防護,因為此解決方案能保護每位使用者及整個組織免受垃圾郵件、病毒、惡意軟體、勒索軟體和間諜軟體的侵害。Exchange Online Protection 是 Microsoft 365 的一部分。如果您使用 Microsoft 365 組織版訂閱和 Microsoft Exchange Online,即可為您的公司設定 Exchange Online Protection。Microsoft 預設已啟用郵件過濾服務,但您可以根據需求微調設定。 保護email使用者免受垃圾郵件和惡意軟體的侵害,可降低重要資料遺失的風險。
除了反垃圾郵件和反病毒防護外,您還可透過定期備份來保護您的資料。使用 NAKIVO Backup & Replication 並為您的電子郵件帳戶建立 Microsoft Office 365 備份。
