在 Office 365 中处理垃圾邮件 |服务器端（Exchange Online）|第 2/2 部分

Exchange Online 提供了一组丰富的工具和选项：“处理垃圾邮件。在下一节中，我们将回顾不同的选项，并解释每个选项的“最佳用途”。

在 Office 365 中处理垃圾邮件 |系列文章

在 Office 365 中处理垃圾邮件文章系列，包括以下文章：

1. 在 Office 365 中处理垃圾邮件 |第 1/2 部分
2. 在 Office 365 中处理垃圾邮件 |服务器端（Exchange Online）|第 2/2 部分（本文）

访问 EAC（Exchange 在线管理）

要访问 Exchange Online Web 管理，请登录 Office 365 门户，然后在管理菜单中选择以下选项： 交换

1. Exchange Online 保护 - IP 阻止列表

“IP 阻止列表”选项使我们能够阻止来自特定邮件服务器（特定 IP）的电子邮件。如果我们发现垃圾邮件来自特定的“主机”（邮件服务器），我们可以将该邮件服务器的 IP 地址添加到阻止列表中。在我看来，我们有这个选项很好，但实际上，我们很少会使用这个选项，因为有两个主要缺点：

• 动态\静态IP - 大多数“垃圾邮件服务器”不使用静态IP。相反，他们的“专长”是使用许多不同的IP地址，并在许多地点使用许多不同的邮件服务器。
• 将域名转换为 IP 地址 - 当我们识别垃圾邮件时，最突出的字符是发件人电子邮件地址（包括发件人域）和邮件内容（关键字等）。
  选项 - “IP” “阻止列表”，顾名思义，通过 IP 地址而不是 SMTP 域名“识别”邮件服务器。如果我们想要阻止来自特定域的垃圾邮件，我们需要找到一种方法查找代表“垃圾邮件域”或将电子邮件发送到“垃圾邮件域”的邮件服务器的 IP 地址。我们将在下面的部分中解释如何获取此信息。

EOP - 使用 IP 阻止列表选项

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单栏上，选择保护菜单（编号1）。
3. 在顶部菜单选项中，选择连接过滤器菜单（数字2）。
4. 选择默认连接过滤策略（编号3）。
5. 在出现的窗口中，选择选项：连接过滤（数字4）菜单。
6. 在IP 阻止列表（数字 5）部分中，选择加号图标以添加 IP 地址发送垃圾邮件的邮件服务器。

如何实现域名与IP地址的映射

为了完成“域名和IP地址之间的映射”的任务，我们可以使用免费的网络服务，例如MXToolbox提供的服务。

为了演示目的，我们回顾一下如何查找代表公共域名的邮件服务器的 IP 地址：midorg.com（我们仅使用该域名进行演示）。

• 进入MXToolbox网站，默认页面是：MX Lookup
• 输入域名：在我们的示例中：midorg.com
• 单击 MX 查找 按钮

在结果屏幕中，我们可以看到“代表”midorg.com 域名及其 IP 地址的邮件服务器的名称。

2. Exchange Online 保护 - 国际垃圾邮件

“国际垃圾邮件”选项是一个有趣的选项，它使我们能够根据地理位置或语言的分类来阻止或将邮件识别为“垃圾邮件”。

• 按地理位置阻止邮件 - 例如，有知名的 ISP 提供商或特定国家/地区允许某些垃圾邮件发送者使用其服务，而无需强制执行任何类型的限制。在这种情况下，我们可以决定阻止来自世界上特定地区\国家的邮件。
• 阻止以特定语言编写的邮件 - 某些垃圾邮件方法基于使用特殊字符操纵或隐藏邮件内容。另一个选项是用与组织用户无关或无法阅读的特定语言编写的垃圾邮件。在这种情况下，我们可以决定阻止包含我们不知道的语言字符的邮件。例如 - 阻止包含非标准英文字符的邮件项目。

注意：在使用国际垃圾邮件选项时需要谨慎，因为我们很容易陷入误报情况，其中防御系统识别出合法邮件是“坏/垃圾邮件”邮件并阻止邮件。

EOP - 使用国际垃圾邮件选项

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单中，选择保护菜单（编号1 ）。
3. 在顶部菜单选项中，选择内容过滤器菜单（编号2 ）。
4. 选择默认连接过滤策略（编号3）。
5. 在出现的窗口中选择选项：国际垃圾邮件（数字4 ) 菜单。

当使用国际垃圾邮件时，我们可以使用以下选项之一（或两者）：

阻止以特定语言编写的邮件

• 选择以下选项：过滤用以下语言编写的电子邮件 （数字5 )
• 单击加号图标并选择您要阻止的特定语言

按地理位置阻止邮件

• 选择选项 -过滤从以下国家或地区发送的电子邮件（编号 6）
• 单击加号图标并选择您要阻止的特定区域

3. Exchange Online 保护 - 内容过滤高级选项

在我们开始说明“如何使用垃圾邮件的 EOP 高级选项”之前，让我们使用垃圾邮件邮件类型的附加分类以及我们可以使用的工具。
使用高级分类，我们可以定义 3垃圾邮件邮件类型的“家族”：

1.广告邮件

此类邮件的负面影响可能被视为“令人烦恼”。除了用户对电子邮件内容感到困扰（建议购买不同类型的药丸、增大特定身体部位等）之外，没有对用户造成任何实际损害。此类垃圾邮件（大多数情况下）会被 Office 365 安全邮件网关自动阻止。如果某些广告垃圾邮件成功“潜入”，我们可以使用“规则”等解决方案来拦截此类垃圾邮件。

2. 含有恶意内容的邮件

此类垃圾邮件更接近“病毒”的定义，因为垃圾邮件发送者的目标是导致目标收件人点击或接受某些建议，从而可能导致用户遭受欺诈、网络钓鱼等多种攻击。在。

3.“其他垃圾邮件”

在本节中，我们可以对不属于上述家族的其他垃圾邮件类型进行分类。作为示例，我们可以提及描述为 -NDR 反向散射的垃圾邮件。

内容过滤器 - 高级选项

内容过滤器部分下描述为：“高级选项”的部分使我们能够“强化”由 Office 36 安全邮件网关实施的默认垃圾邮件策略。

“高级选项”选项更适合包含恶意内容的SPAM邮件或其他类型的SPAM的场景，例如：NDR反向散射（如附图中的数字2、3）。

对于被视为“广告邮件”并包含特定关键字的垃圾邮件，我们可以使用其他方法，例如“规则”（将在下一节中回顾）。

内容过滤器 - 高级选项：选择合适的“操作”

使用“内容过滤器 - 高级选项”使我们能够“强化”Office 365 邮件网关服务器的默认安全策略。

意思是我们可以使用更加限制性的政策。这样做的缺点是，我们可能会面临误报的问题，在这种情况下，合法邮件将被识别为“Bad\SPAM”邮件并被删除。

为了避免这种情况，我们可以使用一个描述为“测试模式”的选项（我们可以将此选项称为“学习模式”）。使用测试模式，使我们能够使用“附加安全过滤器”并决定当安全过滤器将特定邮件项目识别为垃圾邮件时会发生什么。我们可以选择阻止/删除邮件项目或仅报告邮件项目（测试模式）。

使用内容过滤器 - 高级选项

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单中，选择保护菜单（编号1 ）。
3. 在顶部菜单选项中，选择内容过滤器菜单（编号2 ）。
4. 选择默认连接过滤策略（编号3）。
5. 在出现的窗口中选择选项 - 高级选项（数字4）菜单。

正如您所看到的，我们可以选择许多可能的选项。这些选项分为两类：增加垃圾邮件分数（数字5）和标记为垃圾邮件（编号6）。

为了能够演示内容过滤器 - 高级选项中可用的选项，我们来描述两种情况：

• 场景 1：阻止含有恶意内容的垃圾邮件
• 场景 2：阻止分类为 NDR 反向散射的垃圾邮件 场景

场景 1：阻止含有恶意内容的垃圾邮件

上个月，用户抱怨包含恶意内容的垃圾邮件。当用户打开邮件项目时，他们会自动重定向到一个网站，并邀请他们下载一些 EXE 文件。为了能够阻止此垃圾邮件邮件项目，我们将激活三个附加过滤器 - 如果邮件项目是或包含以下内容，则标记为垃圾邮件：

• 空消息
• HTML 中的 JavaScript 或 VBScript
• HTML 中的 Frame 或 IFrame 标记

选择合适的“行动”。 ”

默认情况下，每个安全过滤器都是关闭的。
当我们点击“选项箭头”时，我们可以看到可以选择的选项：“关闭”、“打开”或“测试”。如果我们选择以下选项：“打开”，则每封包含所选安全过滤器之一不允许的内容（例如 HTML 中的 JavaScript 或 VBScript）的邮件都会被标记为垃圾邮件。

使用测试选项

如果我们只想测试“新安全过滤器”，我们可以选择选项：“测试”。在高级选项窗口的底部，我们可以配置“测试”的结果。在下面的屏幕截图中，我们可以看到我们可以选择以下三个选项之一：

• 没有任何
• 添加默认测试 X-header 文本
• 发送密件抄送消息至此地址

场景 2：阻止被归类为 NDR 反向散射的垃圾邮件

描述为 -NDR 反向散射的垃圾邮件是一种特殊类型的垃圾邮件，因为垃圾邮件发送者使用的“机制”与“标准垃圾邮件邮件”不同。 NDR反向散射通过以下方式实现：

垃圾邮件发送者伪造组织用户的电子邮件地址并代表他们向其他收件人发送电子邮件。如果“目标邮件系统”将电子邮件识别为垃圾邮件，或者如果邮件发送给不存在的用户，“目标邮件系统”会创建一条 NDR 消息，发送给组织收件人（其 E 的用户）。 - 垃圾邮件发送者使用了邮件地址）。

例如：在上周，组织用户抱怨说，他们收到有关他们发送给任何外部收件人（组织用户可以知道或未知）的电子邮件的错误消息。

组织用户确信他们没有向该收件人发送任何类型的邮件消息，但他们不断收到错误消息，例如：“邮箱已满”、“用户不存在”等。

所以现在，显而易见的问题是：这真的发生了吗？答案是：“是的。”
适合垃圾邮件攻击的用户描述被描述为 NDR 反向散射。

一般来说，Office 365安全网关的服务器配置为阻止此类垃圾邮件，但如果垃圾邮件设法从商场安全服务器“潜入”，我们可以使用Content添加此过滤器过滤器 - 高级选项。

使用内容过滤器 - 高级选项 - NDR 反向散射

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单中，选择保护菜单（编号1 ）。
3. 在顶部菜单选项中，选择内容过滤器菜单（编号2 ）。
4. 选择默认连接过滤器策略（编号3）。
5. 在出现的窗口中选择选项：高级选项（数字4 ) 菜单。
6. 选择选项：NDR 反向散射，然后开启 安全过滤器

4. Exchange Online - 邮件流 - 规则

Exchange Online 包含一个描述为规则的内置组件（在以前版本的 Exchange 中，该组件称为“传输规则”）。我们可以将“交换规则”选项用于多种目的。在本节中，我想强调有关垃圾邮件问题的“Exchange 规则”的使用。

为了演示目的，我们使用两种不同的垃圾邮件场景：

• 场景 1 - 阻止包含特定关键字的垃圾邮件
• 场景 2 - 阻止来自特定域的垃圾邮件

场景 1 - 阻止包含特定关键字的垃圾邮件

如果垃圾邮件在邮件正文\主题中包含特定关键字，我们可以创建一条 Exchange 规则来删除垃圾邮件邮件项目。

第 1 步 - 创建新规则

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单中，选择邮件流菜单（编号1）。
3. 在顶部菜单选项中，选择规则菜单（数字2）。
4. 选择新建图标（数字3）。
5. 选择选项：创建新规则（数字4）。

第 2 步 - 向规则添加名称

您可以选择任何适合您需要的名称。建议选择一个“描述性名称”，这样我们就可以通过查看规则名称来识别规则的用途。在我们的示例中，我们将该规则命名为“不适当的词语”。

第 3 步 - 定义规则逻辑/条件 (if)

在这一部分中，我们定义“将触发或激活规则的事件是什么”。在我们的场景中，我们希望阻止包含特定关键字的邮件，例如：购买便宜的药丸或 - 扩大您的......（你知道吗）

• 在*应用此规则如果...部分，选择选项：主题或正文包括

• 在出现的弹出窗口中，在指定单词或短语部分下添加关键字（如果该关键字出现在邮件项目中，我们希望阻止该邮件） 。
• 不要忘记单击添加图标，因为没有添加值；我们将无法保存规则。
• 单击确定按钮。

第 4 步 - 定义所需的操作

在这一部分中，我们配置如果邮件项目“回答”上一步中设置的先前条件，则执行的必要操作是什么。

• 单击*执行以下操作...部分中的小箭头
• 您可以看到我们可以从多个选项中进行选择。在我们的示例中，我们将选择删除消息而不通知任何人选项。

第 5 步 - 选择规则模式

规则的最后部分描述为：“选择规则的模式。”默认“模式”是“强制”。在我们的示例中，我们不喜欢在生产环境中进行更改，并可以选择测试“规则”，并且检查是使用此规则时的含义。为了满足这一要求，我们将选择“没有策略提示的测试”选项。
选择此选项之一将“打开”规则。

如果邮件项目将回答规则中出现的逻辑\条件，则记录在邮件跟踪日志中的信息。交易所不会采取任何会影响消息传递的操作。

场景 2 - 阻止来自特定域的垃圾邮件

在描述 IP 阻止列表选项的部分中。我们提到主要缺点是大多数时候使用基于 IP 地址的阻止规则不是很有用。最有效的选择是阻止来自特定域名的特定发件人电子邮件地址的垃圾邮件。好消息是我们可以使用“规则”（邮件流-规则）选项来克服这个限制。

在下面的演示中，我们将创建一条规则来阻止或拒绝从特定域名发送的邮件。

出于演示目的，我们将使用域名：midorg.com 作为我们要阻止的域。事实上，这是一个合法的域名。

第 1 步 - 创建新规则

1. 登录 Office 365 门户、Exchange 管理中心。
2. 在左侧菜单中，选择邮件流菜单（编号1）。
3. 在顶部菜单选项中，选择规则菜单（数字2）。
4. 选择新建图标（数字3）。
5. 选择选项：创建新规则（编号4）。

第 2 步 - 为规则添加名称

您可以选择任何适合您需要的名称。建议选择一个“描述性名称”，这样我们就可以通过查看规则名称来识别规则的用途。在我们的示例中，我们将规则命名为：“阻止从 midorg.com 域发送的邮件。 ”

第 3 步 - 定义规则逻辑/条件 (if)

在这一部分中，我们定义“将触发或激活规则的事件是什么。”
在我们的场景中，我们希望阻止来自域名的邮件：midorg.com

• 在*应用此规则，如果...部分，选择选项：发件人地址包括

• 在出现的弹出窗口中，在指定单词或短语部分下添加域名：Midorg.com（这是域名我们想在我们的示例中阻止）。

• 不要忘记点击添加图标，

  

• 单击确定按钮

现在我们可以看到我们添加的值已保存，并且值名称（midorg.com）出现在规则条件的右侧部分。

第 4 步 - 定义所需的操作

在本节中，我们配置如果电子邮件项目“回答”上一步中设置的先前条件，则执行的必要操作是什么。

单击*执行以下操作...部分中的小箭头。

您可以看到我们可以从多个选项中进行选择。在我们的示例中，我们将选择拒绝带有解释的消息选项。

• 在出现的弹出窗口中，我们需要添加以下内容：指定拒绝原因。每当使用域名 midorg.com 的邮件收件人向我们的组织发送邮件时，作为响应发送的“拒绝消息”。在我们的示例中，拒绝消息的内容是：来自您的域的邮件！）。

第 5 步 - 选择规则模式

规则的最后部分描述为：“选择规则的模式”。默认“模式”是“强制”。意思是这条规则会立即执行，因为我们会选择保存这条规则。我们还有一个附加选项：使用策略提示进行测试或不使用策略提示进行测试。选择此选项之一将启用该规则。

如果邮件项目将回答规则中出现的逻辑\条件，则记录在邮件跟踪日志中的信息。 Exchange Online 不会采取任何会影响邮件传递的操作。

选择保存选项后，将强制执行规则，并且从 midorg.com 域发送的邮件将被阻止。

5. 发送垃圾邮件样本

这部分与我们所有的努力都失败了并且我们未能阻止垃圾邮件的情况有关。在这种情况下，最佳做法是联系 Office 365 支持团队并寻求他们的帮助。

假设我们已实施本文中描述的所有步骤，唯一的选择是将垃圾邮件邮件项目发送给 Office 365 支持团队，并要求他们转发这些邮件项目以进行进一步分析和检查。

将有问题的/垃圾邮件作为附件发送

将垃圾邮件“作为附件”发送具有重要意义，因为当我们使用此选项时，会发送“完整的邮件项目”，并且收到垃圾邮件的技术人员可以使用邮件标题等中包含的附加信息。

如何使用以下选项：作为附件转发

邮件项目应作为“附件”发送。要以附件形式发送电子邮件，请选择邮件项目，在主页选项卡中选择更多图标和选项of：作为附件转发

另一种选择是保存邮件并发送。

如果您对“作为附件发送邮件”选项有疑问，您可以保存电子邮件项目并将“文件”（邮件项目）发送给支持团队。

• 双击所需的邮件项目
• 选择文件菜单和另存为选项

• 保存邮件项目