使用 PowerShell 导出 Office 365 垃圾邮件和恶意软件报告

对于 Microsoft 365 管理员，监控电子邮件流量 和分析电子邮件威胁（包括垃圾邮件、恶意软件和网络钓鱼）在 Exchange Online 中具有巨大的意义。邮件保护报告为管理员提供了有效处理线程的基本操作项目。如果您正在寻找全面的垃圾邮件和恶意软件报告来解决包括网络钓鱼在内的电子邮件威胁，那么您来对地方了。

Microsoft 365 电子邮件保护报告 - 原因和重要性

Exchange Online 电子邮件安全报告有助于识别以下因素，

1. Exchange Online 垃圾邮件检测报告 - 识别由 Exchange Online Protection (EOP) 和反垃圾邮件策略过滤的入站和出站垃圾邮件。
2. Exchange Online 恶意软件检测报告 - 识别由 EOP 策略和邮件流规则隔离的传入和传出恶意软件电子邮件。
3. Exchange Online 网络钓鱼检测报告 - 识别 EOP 策略和反网络钓鱼策略检测到的传入和传出 Exchange Online 网络钓鱼电子邮件。

通过使用这些报告，管理员可以修改反垃圾邮件、反恶意软件和反网络钓鱼策略以满足组织的需求。

如何在 Microsoft 365 中跟踪垃圾邮件、恶意软件和网络钓鱼电子邮件？

要生成有关 Microsoft 365 电子邮件的垃圾邮件、恶意软件和网络钓鱼报告，您可以使用以下任一方法。

Microsoft 365 Defender：获取 EOP 使用 Microsoft 365 Defender（安全门户）检测到的电子邮件的详细信息。

1. 使用安全管理员或全局管理员帐户登录 Microsoft 365 Defender。
2. 转到“电子邮件和协作”部分下的“电子邮件和协作报告”。
3. 在“威胁防护状态”报告部分中选择“查看详细信息”。
4. 单击“按概述查看数据”下拉列表，然后选择适当的报告以查看相应的邮件威胁防护状态。

需要记住的要点: 它没有过滤器来分别识别发送和接收的电子邮件，并且这些报告需要一些额外的时间要反映的消息详细信息。

PowerShell： 要获取被 EOP 阻止的电子邮件详细信息，您可以使用 PowerShell cmdlet “ Get-MailDetailATPReport”。然而，由于在使用 cmdlet 时需要应用多个过滤器并处理不同的参数属性，因此获取所需的报告可能会变得复杂。

为了克服上述困难，我们创建了一个 PowerShell 脚本来生成有关垃圾邮件和恶意软件电子邮件的报告。

脚本亮点：

• 生成 9 种不同的电子邮件保护报告。
• 如果系统中没有 Exchange Online PowerShell 模块，则在您确认后自动安装该模块。
• 支持MFA和非MFA帐户。
• 指定日期范围以生成自定义期间的报告。
• 支持过滤器检索发送和接收的垃圾邮件。
• 允许您过滤发送和接收的恶意软件。
• 跟踪发送和接收的网络钓鱼电子邮件。
• 有助于分离内部垃圾邮件、恶意软件和网络钓鱼电子邮件。
• 将报告导出为 CSV。
• 调度程序友好。您可以通过将凭据作为参数传递来自动生成报告。

下载脚本：MailProtectionReport.ps1

导出 垃圾邮件和恶意软件报告 - 脚本执行

MailProtectionReport.ps1 脚本可以根据您的参数类型生成以下报告提供。

参数

收到垃圾邮件

收到恶意软件电子邮件

收到网络钓鱼电子邮件

已发送垃圾邮件

恶意软件电子邮件发送

网络钓鱼电子邮件已发送

组织内垃圾邮件

组织内恶意软件邮件

组织内部网络钓鱼邮件

执行完成后，您将收到执行状态通知。

导出的输出具有日期、发件人地址、收件人地址、主题、事件类型和发件人/收件人域等属性。让我们深入了解该脚本。

脚本执行 - 最佳实践：

1. 在执行时提及参数列表中的参数。如果没有，执行将被终止。
2. 当您需要自定义期间的报告时，请提及开始日期和结束日期。
3. 以“MM/DD/YYYY”格式提及日期以避免执行错误。

Microsoft 365 收到的垃圾邮件报告

垃圾邮件是指批量发送给大量收件人的威胁或不需要的电子邮件。使用脚本中的“SpamEmailsReceived”开关参数，管理员可以获得入站垃圾邮件报告。 Microsoft 365 管理员可以配置反垃圾邮件策略来阻止导致用户邮箱中电子邮件过载的垃圾邮件。

.\MailProtectionReport.ps1 -SpamEmailsReceived

通过参考此报告，管理员可以采取必要的措施让所有员工确保组织的数据安全。

Microsoft 365 收到的恶意软件电子邮件报告

尽管有创建邮件流规则等电子邮件安全措施，但员工仍会收到各种新形式的恶意软件电子邮件每天都有表格。因此，管理员必须通过分析收到的恶意软件电子邮件来采取必要的措施。要生成入站恶意软件报告，您可以使用“收到恶意软件电子邮件' 参数。

.\MailProtectionReport.ps1 -MalwareEmailsReceived

通过此报告，您可以识别频繁的恶意软件发送者并将其添加到阻止列表中。

收到的 Microsoft 365 网络钓鱼电子邮件报告

网络钓鱼邮件旨在诱骗收件人将登录凭据、信用卡详细信息或个人身份信息等敏感信息泄露给不法分子。管理员可以使用“PhishEmailsReceived”参数以及脚本来识别网络钓鱼邮件发件人。

.\MailProtectionReport.ps1 -PhishEmailsReceived

使用此报告，您可以识别网络钓鱼电子邮件发件人并阻止他们。

Microsoft 365 垃圾邮件发送报告

垃圾邮件是批量发送给随机收件人的不需要的垃圾邮件。管理员负责跟踪其员工发送的垃圾邮件并阻止发件人以确保垃圾邮件防护。要获取报告，请使用“SpamEmailsSent”开关参数运行脚本。

.\MailProtectionReport.ps1 -SpamEmailsSent

使用出站垃圾邮件报告，管理员可以识别垃圾邮件格式、发件人的目的，并配置反垃圾邮件策略。

Microsoft 365 恶意软件电子邮件发送报告

有目的地发送恶意软件电子邮件以获取对员工计算机的控制权。下载文件和附件时，通过点击伪造的请求和链接，恶意软件发送者将轻松达到他们的目的。

使用发送的恶意软件电子邮件报告，管理员可以识别谁在组织中进行了不当行为。要识别发送恶意软件的员工，请使用“MalwareEmailsSent”开关参数运行脚本。

.\MailProtectionReport.ps1 -MalwareEmailsSent

在分析出站恶意软件报告时，管理员也可以找出受感染的帐户。

Microsoft 365 网络钓鱼电子邮件发送报告

您组织的用户可能会故意发送网络钓鱼电子邮件，以欺骗外部收件人泄露敏感信息信息。通过使用“PhishEmailsSent' 参数以及脚本，管理员可以识别向外部组织发送网络钓鱼电子邮件的发件人。

.\MailProtectionReport.ps1 -PhishEmailsSent

此报告有助于消除网络钓鱼发件人，防止对组织造成不良影响。

Microsoft 365 中的组织内垃圾邮件

尽管存在外部垃圾邮件，但用户也可能受到组织内部发送的垃圾邮件的影响。 “IntraOrgSpamMails”参数可与脚本一起使用来识别在其组织之间发送垃圾邮件的用户。

.\MailProtectionReport.ps1 -IntraOrgSpamMails

借助此报告，管理员可以识别频繁发送垃圾邮件的发件人，并对他们采取必要的措施。

Microsoft 365 中的组织内恶意软件电子邮件

正如识别恶意软件的外部来源至关重要一样，识别在内部用户中发送恶意电子邮件的用户也同样重要。要查找此类用户，请利用脚本中的“IntraOrgMalwareMails”参数。

.\MailProtectionReport.ps1 -IntraOrgMalwareMails

使用这些详细信息，管理员可以了解在您的组织内发送恶意软件的用户并向他们发出警告。

Microsoft 365 中的组织内网络钓鱼电子邮件

在组织的用户中，某些人可能会尝试发起网络钓鱼攻击，以从同事那里提取个人或安全详细信息。要获取有关组织内部网络钓鱼电子邮件的报告，管理员可以使用“IntraOrgPhishMails”参数。

.\MailProtectionReport.ps1 -IntraOrgPhishMails

管理员可以利用此报告来审查可能参与组织内部欺骗性电子邮件活动的用户。这可以采取必要的行动，例如暂停或调查。

生成自定义期间的垃圾邮件和恶意软件报告

默认情况下，脚本检索最近 30 天的数据。当您想要所需日期范围内的电子邮件安全报告时，可以使用“StartDate”和“EndDate”参数。

.\MailProtectionReport.ps1 -<RequiredReport> -StartDate <MM/DD/YYYY> -EndDate <MM/DD/YYYY>

此处，将 替换为相应报告所需的参数，将 替换为开始日期和结束日期。

例如，以下格式检索 2023 年 7 月 16 日至 2023 年 8 月 11 日的组织内恶意软件邮件报告。

.\MailProtectionReport.ps1 -IntraOrgMalwareMails -StartDate 07/16/2023 -Enddate 08/11/2023

注意：您指定的时间段的开始日期不得早于当前日期 30 天。

安排 Office 365 电子邮件保护报告

您还可以安排 PowerShell 脚本以指定的时间间隔运行，从而自动生成报告的过程。由于该脚本最多可以检索 30 天的数据，因此请考虑将其安排为每月运行。这样，您就可以定期检索和存储数据而不会丢失任何数据。

要使用非 MFA 管理员帐户，请尝试以下格式。

.\MailProtectionReport.ps1 -MalwareEmailsReceived -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则他们无法直接使用它进行调度。相反，您必须根据条件访问策略禁用 MFA 才能使其正常工作。

使用 AdminDroid 提供免费邮件保护报告

使用名为 AdminDroid 的 Microsoft 365 报告工具可以更轻松地检索电子邮件保护报告。 AdminDroid 的 Exchange Online 邮件保护报告包含有关电子邮件威胁保护和邮件流规则检测的报告集合，让您随时了解电子邮件安全的最新信息。

• Microsoft 365 垃圾邮件报告
• Exchange 在线恶意软件报告
• Microsoft 365 网络钓鱼邮件报告
• 交换在线欺骗报告
• 总体电子邮件统计报告
• 用户发送和接收的电子邮件报告
• 威胁防护统计报告

此外，Admindroid 的 Exchange Online 邮件流量报告可提供对邮件活动的深入了解，确保组织内的安全性和业务连续性。

• 主要邮件发件人/收件人
• 主要垃圾邮件发送者/接收者
• 主要恶意软件发送者/接收者
• 每日总体用户电子邮件流量
• 用户每日邮件流量摘要

此外，管理员可以使用 Admindroid 的 Microsoft 365 电子邮件监控工具获得有关组织中用户邮件活动的整体清晰指标、更改和更新。

AdminDroid 不仅仅提供电子邮件报告；它提供了对 MS Teams、Exchange、SharePoint、Yammer、Power BI 和所有 Microsoft 365 服务的精确见解。凭借超过 1800 份报告和 30 多个强大的仪表板，AdminDroid 简化了 Microsoft 365 的审核和报告流程 - 只需点击几下即可轻松完成。

立即下载 AdminDroid，了解 AdminDroid 的优势，并享受 15 天免费高级版试用的好处。

结束线

我们希望上述报告将有助于规划威胁、垃圾邮件、恶意软件和网络钓鱼检测等电子邮件保护活动。我们希望我们的垃圾邮件和恶意软件报告将有助于规划电子邮件保护活动，例如：

• 威胁检测，
• 反垃圾邮件、反恶意软件保护和反网络钓鱼保护，
• Exchange 在线保护政策和规则，
• 出站和入站电子邮件安全，
• 阻止垃圾邮件、恶意软件和网络钓鱼电子邮件发件人，
• 阻止向组织发送垃圾邮件和恶意软件电子邮件。

大多数垃圾邮件和网络钓鱼电子邮件来自外部组织；在这种情况下，您可以添加外部电子邮件警告消息以消除垃圾邮件和网络钓鱼。请随时在评论部分向我们留下您的想法或疑问。

对用户 Outlook 中的垃圾邮件、恶意软件和网络钓鱼邮件等可疑活动保持警惕，确保安全的通信体验。快乐发送电子邮件?！