在 Exchange Online Protection 中配置邮件卫生

在前三篇博客中，我解释了如何对入站和出站邮件流实施 Exchange Online Protection，以及如何在使用 Exchange Online Protection 时配置 SPF、DKIM 和 DMARC。在这篇博文中，我将更详细地介绍消息卫生处理本身。

为了正确理解 Exchange Online Protection，最好对其内部结构有一个概述。如下图所示，消息卫生处理的各个步骤清晰可见：

默认情况下，EOP 在消息卫生方面做得很好，但可以根据特定需求对其进行配置。可以手动配置连接过滤（黑名单和白名单）、反邮件软件、传输规则和内容过滤。我将在以下各节中讨论这些内容。

连接过滤

任何消息卫生解决方案的第一步都是连接过滤。不可信的邮件服务器会根据其 IP 地址拒绝访问，连接过滤会过滤掉大部分恶意电子邮件。

您可能希望允许特定邮件服务器将邮件传送到您的环境，即使其 IP 地址列在阻止列表中或由于某些其他原因被拒绝访问。为此，您可以将 IP 地址添加到 IP 允许列表中。反之亦然，如果有邮件服务器发送恶意电子邮件且未被连接过滤器阻止，您可以手动将此 IP 地址添加到 IP 阻止列表中。

为此，请登录到 Exchange 管理中心，选择保护并单击连接筛选器选项卡。单击铅笔图标可编辑默认连接过滤策略。使用 + 图标将 IP 地址添加到 IP 允许列表或 IP 阻止列表。您可以使用 /32 掩码添加单个 IP 地址，也可以添加使用 /24 或更小的掩码的范围。总共可以添加 1273 个条目，一个条目可以是 IP 地址或地址范围。

如果将 IP 地址添加到两个列表中，则允许列表优先。

您也可以选择启用安全列表。 Microsoft 在互联网上订阅安全列表，发布被视为安全的 IP 地址列表。使用安全列表可以确保受信任的发件人不会被视为恶意发件人，因此建议使用安全列表选项。

反恶意软件

Exchange Online Protection 中的反恶意软件策略默认启用，Exchange 管理员可以查看和编辑，但无法删除。

在反恶意软件策略中，您可以定义附件过滤、检测响应、内部和外部通知、管理员通知，并且可以自定义通知。

要访问默认的反恶意软件策略，请登录 Exchange 管理中心，在导航菜单中选择保护，然后单击恶意软件选项卡。使用铅笔图标查看或编辑默认的反恶意软件策略，使用 + 图标添加新的恶意软件策略。当您打开恶意软件策略时，单击设置并根据您的需要编辑设置。如以下屏幕截图所示（点击放大）：

单击“保存”将新设置存储在 Exchange Online Protection 中并激活它们。

邮件流规则

邮件流规则（有时称为传输规则）是 Exchange Online Protection 中的规则，可以根据特定条件对邮件采取操作。 Exchange Online Protection 中的邮件流规则类似于本地 Exchange 服务器中的传输规则，也类似于您在 Outlook 或 OWA 中创建的规则。主要区别在于邮件流规则适用于传输中的邮件，而 Outlook 中的规则仅适用于已发送到邮箱的邮件。

使用邮件流规则，可以应用免责声明、绕过垃圾邮件过滤（例如对于滥用邮箱有用）、修改邮件、检查敏感信息等，如以下屏幕截图所示（点击放大）：

要向出站邮件添加免责声明，请选择应用免责声明...，然后按照向导操作。为免责声明指定一个简单的名称，例如免责声明（仅限出站），选择发件人所在位置，然后选择组织内部，然后单击输入文本以添加免责声明文本。

我在免责声明中使用了以下文本：

此电子邮件可能包含机密和特权材料。请您不要披露、复制或分发其中的任何信息。如果您不是预期的收件人（或错误地收到了此电子邮件），请立即通知发件人并删除此电子邮件。对于与通过电子邮件传送的数据和/或文件相关的损坏，我们不承担任何责任。

为了防止来回发送的电子邮件出现大量相同的免责声明，我在免责声明中添加了一个例外。如果邮件流规则检测到字符串“此电子邮件可能包含机密和特权材料”，则不会再次添加免责声明。

如以下屏幕截图所示（点击放大）：

单击保存以存储邮件流规则。从 Exchange 邮箱向外部收件人发送电子邮件，您将看到添加了免责声明，如以下屏幕截图所示（点击放大）：

注意。上面屏幕截图中的其余签名文本是由 Outlook 网页版直接从邮箱设置的。

在 Exchange Online Protection 中使用邮件流规则有多种选项，但其中大多数是公司特定的，并且针对合规性管理。

垃圾邮件过滤

与任何其他邮件卫生解决方案一样，Exchange Online Protection 会过滤掉垃圾邮件。在 Office 365 中使用机器学习以及每天处理的数十亿条消息，它做得非常好。

默认情况下，识别出的电子邮件将发送到用户的垃圾邮件文件夹。它基于由 Exchange Online Protection 添加的名为 X-Forefront-Antispam-Report 的 X 标头来执行此操作。当此 X 标头包含值 SFV:SPM 时，它将被识别为垃圾邮件。

然后，Exchange 服务器知道这是一封垃圾邮件，并将该邮件存储在用户的垃圾邮件文件夹中。但是，这在混合环境中工作得很好，因为双方相互信任，但在 Exchange 本地环境中使用 EOP 时，情况并非如此。为了实现相同的结果，需要在 Exchange 本地环境中创建两个传输规则来相应地处理这些邮件。

要在本地 Exchange 环境中创建这些传输规则，请在 Exchange 命令行管理程序中运行以下三个命令：

New-TransportRule EOPJunkContentFilteredMail -HeaderContainsMessageHeader "X-Forefront-Antispam-Report" -HeaderContainsWords "SFV:SPM" -SetSCL 6
New-TransportRule EOPJunkMailBeforeReachingContentFilter -HeaderContainsMessageHeader "X-Forefront-Antispam-Report" -HeaderContainsWords "SFV:SKS" -SetSCL 6
New-TransportRule EOPJunkMailInSenderBlockList -HeaderContainsMessageHeader "X-Forefront-Antispam-Report" -HeaderContainsWords "SFV:SKB" -SetSCL 6

创建传输规则后，垃圾邮件将被传送到垃圾邮件文件夹中。

如何测试垃圾邮件处理？就像您可以用来测试防病毒解决方案的 Eicar“病毒”一样，有一个名为 GTube 的测试垃圾邮件消息。 GTube 是一个可以添加到电子邮件中的文本字符串，邮件服务器将检测该字符串并将其标记为垃圾邮件。 GTube 字符串是：

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

将此字符串添加到从 Gmail 到 Exchange 的电子邮件中后，EOP 会将其标记为垃圾邮件，非常有用。

因此，Exchange Online Protection 和 Exchange 会将垃圾邮件存储在用户垃圾邮件文件夹中。也可以将这些邮件存储在隔离区中。
要启用隔离选项，请登录Exchange Online Protection 管理中心，在导航菜单中选择保护，然后单击垃圾邮件筛选器选项卡。使用铅笔图标打开默认垃圾邮件过滤器策略。在垃圾邮件和批量操作选项中，选择垃圾邮件和高可信度垃圾邮件下拉框中的隔离邮件，如下所示如下图所示（点击放大）：

这是一个组织范围的隔离环境，仅供租户管理员使用。登录到 Office 365 门户，然后选择管理中心下的安全与合规性。还可以通过 https://protection.microsoft.com 直接导航到安全与合规性管理中心。您可以在威胁管理和审核下找到隔离区。默认情况下，隔离邮件将保留 15 天，然后才会被删除。这可以在垃圾邮件过滤器策略的垃圾邮件和批量操作下进行扩展。

还可以创建基于邮箱的隔离区。选择保护导航选项，然后单击垃圾邮件过滤器选项卡。在右侧的操作窗格中，向下滚动并单击配置最终用户垃圾邮件通知选项。在弹出框中，选中启用最终用户垃圾邮件通知复选框，更改应发送通知的天数（默认为 3）以及（默认）语言，如下所示截图（点击放大）：

当用户的隔离区中有邮件时，通知邮件将与隔离邮件一起发送到邮箱。这些邮件可以发布到收件箱，并且可以作为非垃圾邮件报告给 Exchange Online Protection，如以下屏幕截图所示（点击放大）：

这样，用户自己就可以确定哪些消息被发送到他们的收件箱，哪些消息没有发送到他们的收件箱。

阻止和允许的发件人

可以阻止或允许发件人，这可以在单个电子邮件地址或 SMTP 域上实现。要阻止或允许发件人，请在 Exchange Online Protection 管理中心中选择导航菜单中的保护，然后单击垃圾邮件筛选器选项卡。使用铅笔图标打开默认垃圾邮件过滤器策略，然后选择阻止列表或允许列表。您可以在此处输入应阻止或允许的电子邮件地址或域。

概括

Exchange Online Protection 是 Microsoft 的邮件卫生云解决方案。它会自动与任何 Office 365 订阅结合使用，但也可以与本地 Exchange 实施或任何其他消息传递环境结合使用。

在前两篇博客中，我向您展示了如何启用入站和出站消息流，在第三篇博客中，我向您展示了如何配置 SPF、DKIM 和 DMARC 以设置安全消息流解决方案。如果正确实施，收件人的邮件服务器可以验证电子邮件，并可以识别哪些邮件是欺骗性的，哪些不是（代表您的域）。

在上一篇博客文章中，我向您展示了如何配置邮件卫生解决方案、如何微调连接过滤、反恶意软件设置、实施邮件流规则以及如何在单个用户级别配置隔离。