使用 PowerShell 报告 Office 365 垃圾邮件 |简介 | 1#3

当前文章是三篇文章系列中的第一篇文章。本系列文章的目的是向您展示一个名为 Get-MailDetailSpamReport 的相对较新的 PowerShell cmdlet，它是为需要查看和导出 Exchange Online 垃圾邮件日志文件中存储的信息的 Exchange Online 和 Office 365 管理员创建的。

系列文章|使用 Get-MailDetailSpamReport |查看和导出垃圾邮件报告

1. 使用 PowerShell 报告 Office 365 垃圾邮件 |简介（本文）
2. 使用 Get-MailDetailSpamReport PowerShell cmdlet |查看和导出垃圾邮件报告
3. 如何使用垃圾邮件报告PowerShell脚本

Get-MailDetailSpamReport PowerShell cmdlet 的语法非常简单。在下一篇文章中，我们将回顾 Get-MailDetailSpamReport PowerShell cmdlet 的一些基本示例语法示例，此外我们还将回顾更高级的 PowerShell 语法，这将帮助我们从 Get-MailDetailSpamReport PowerShell cmdlet 中“榨取更多汁液” >Get-MailDetailSpamReport PowerShell cmdlet

使用 Office 365 垃圾邮件报告的真正挑战

对于普通 Exchange Online 管理员来说，关联地阅读垃圾邮件报告的任务看起来像是一项轻松且简单的任务。

我的论点是：

1. 尽管术语“垃圾邮件”是一个相当明显的术语，但在基于 Office 365 和 Exchange Online 的环境中，该术语并不那么明显，因为术语“垃圾邮件”可能与许多不同类型的“有问题的电子邮件”（欺骗或网络钓鱼邮件）相关。 、批量邮件等等）。
2. 分析垃圾邮件报告中的数据

鉴于我们可以通过 Web 管理界面或使用 PowerShell 命令获取 Office 365 垃圾邮件报告。真正的问题是——我们如何处理这些信息？

再说一次，虽然这看起来是一个简单的任务，但实际上，我们从“原始数据”中得出的结论并不那么明确。

我们大多数人不知道的小秘密是，垃圾邮件报告中的“数据”可能是非常有趣且有用的数据，可以帮助识别“隐藏”在“垃圾邮件报告数据”中的安全风险。 。

例如，通过查看垃圾邮件报告中的信息，我们可以提前识别并预防“诸如 -

• 识别敌对分子试图欺骗我们合法组织用户的电子邮件地址的事件。
• 识别包含组织用户帐户并被敌对分子用来分发垃圾邮件的事件。
• 识别合法 Granitization 用户实施邮件使用不当的事件，因此他的邮件被标记为“垃圾邮件”。

Office 365 (Exchange Online) 中垃圾邮件概念的一般回顾

在我们开始如何使用 Get-MailDetailSpamReport PowerShell cmdlet 的技术描述之前，我们必须熟悉术语的基本概念：“基于 Microsoft 的环境中的”垃圾邮件” ”，尤其是在基于 Office 365 (Exchange Online) 的环境中。

垃圾邮件和 SCL 分数

Exchange Online 环境中“垃圾邮件”这一术语的基本技术定义是邮件项目，其 SCL 分数为 2 到 9 之间的值。

这引出了下一个问题——什么是 SCL？

术语 SCL 代表 - 垃圾邮件置信度。

SCL 是一种方法，用于在 Exchange 服务器环境中定义特定邮件项目的“信任级别”。
SCL 值为“-1”，定义完全信任的邮件项目。 SCL 分数/值越高，意味着特定邮件项目的可信度较低。

换句话说，SCL分值/值越高，就越有可能认为该电子邮件消息肯定是“坏邮件”（垃圾邮件）。

垃圾邮件是什么意思？

“垃圾邮件”一词相当模糊，因为在现实生活中，该术语的含义可以是现实的垃圾邮件（顾名思义），但同时也可以是另一种类型的“有问题的邮件”，例如：欺骗邮件、网络钓鱼邮件、群发邮件等等。

底线 - 在 Exchange Online 和 Office 365 环境中，我们应该了解垃圾邮件可能与多种类型的“不需要的”邮件项目相关。

垃圾邮件 |发送者与接收者

我们应该了解的“垃圾邮件”的另一个分类是垃圾邮件的“发件人”与“收件人”的定义。

• 垃圾邮件发件人 - 这是负责“分发”垃圾邮件的实体。
• 垃圾邮件接收者——这是“遭受”垃圾邮件的实体。

显然，“垃圾邮件发送者”与“垃圾邮件接收者”的定义看起来相当明显。
但实际上，事情可能会变得有点复杂，因为“坏人”与“好人”的分类是并不总是那么清楚。

例如，“垃圾邮件发件人”可能是“坏人”（外部用户），这会困扰我们组织的一些用户（Exchange 收件人），但同时，“垃圾邮件发件人”也可能是合法组织接受者。

对于获取（接收）垃圾邮件的“实体”可以实现相同的逻辑。

确实，大多数时候，收到垃圾邮件的收件人是我们的组织收件人，但在某些情况下，组织用户发送垃圾邮件，“遭受”垃圾邮件的收件人可能是外部收件人（非组织收件人）。

垃圾邮件事件与垃圾邮件发生的情况

在这一部分中，我想强调“有关垃圾邮件事件的信息”概念与邮件基础设施（在我们的场景中为 Exchange Online）对垃圾邮件“执行”操作之间的区别。

每封由 EOP（Exchange Online Protection）发送或接收并被“标记”为垃圾邮件的邮件都会出现在垃圾邮件报告中。换句话说，“垃圾邮件事件”的记录被写入日志文件。

对标识为“垃圾邮件”的邮件采取的“操作”是通过不同的机制实现的，例如 Exchange Online 垃圾邮件策略筛选器或 Exchange Online 传输规则。

换句话说，垃圾邮件报告中显示的信息不包括有关垃圾邮件“发生了什么”的信息。

相反，垃圾邮件日志中的信息包括有关“垃圾邮件事件”的文档，即特定电子邮件被“标记”为垃圾邮件的事件。

在分析垃圾邮件报告时我们的邮件重点是什么？

假设我们已经收到“垃圾邮件报告”。现在可能出现的问题是：

问题1：我可以利用这些信息做什么？
问题2：我可以从垃圾邮件报告中显示的信息中受益吗？
问题3 ：我是否需要生成不同的垃圾邮件报告，以强调不同的垃圾邮件事件方面？
问题 4：我的邮件焦点应该是什么 - 垃圾邮件的发件人、垃圾邮件的接收者？
问题5：我应该寻找与我的组织收件人相关的特定事件，还是应该将主要关注点放在试图攻击我的组织用户的“外部实体”上？

答案是，没有一个“正确答案”。我们的主要挑战是获取“干数据”，看看隐藏在“无聊数字”背后的是什么。

当我编写当前的垃圾邮件报告 PowerShell 脚本时，我的目标是简化该过程。 PowerShell 脚本将为您提供导出垃圾邮件报告的选项，“阐明”我们应该观察的事件的不同方面，并进行分析，以便通过所需的安全和管理步骤“做出反应”。

垃圾邮件报告使用情况

在下面的部分中，我想向您提供几个“安全事件场景”的示例，我们可以通过查看垃圾邮件报告中存储的数据来“获取”这些示例。

垃圾邮件发件人

当我们决定关注“垃圾邮件发件人”时，在某些情况下，我们可以识别其中“垃圾邮件发件人”实体似乎是合法组织用户的实体（组织用户的电子邮件地址或带有我们域名后缀的电子邮件地址）。

尽管基本前提是我们的组织用户是“好人”，但实际上，我们可以揭示这样的场景：我们的组织收件人之一（故意或故意）参与发送被识别为“垃圾邮件”的邮件（在 Exchange Online 环境中，这些现象被描述为 -内部垃圾邮件）。

对这种情况的另一种可能的解释是：组织用户帐户所组成的情况，现在被敌对分子用来分发垃圾邮件。

另一个可选场景可能是，敌对分子试图通过欺骗特定组织用户的电子邮件地址（身份）来“将自己呈现为合法组织用户”。

垃圾邮件接收器

当我们决定关注“收到垃圾邮件”的元素（大多数时候是我们组织的用户）时，我们应该查看“垃圾邮件报告数据”，并尝试了解是否可以找到隐藏的特定“趋势”在行数据内。

例如，找到特定“攻击者”（特定电子邮件地址或具有特定域名后缀的特定电子邮件地址）试图攻击我们组织用户的趋势。

换句话说，是否存在针对我们用户的特定可识别“元素”？

另一种情况可能是敌对分子使用多种类型的电子邮件地址，但当我们仔细查看数据时，我们可以看到他试图攻击特定的组织用户（例如鱼叉式网络钓鱼场景）。

垃圾邮件“发起者”（发件人）

在本节中，我想更详细地查看“垃圾邮件发件人”的主题。

如前所述，“垃圾邮件发件人”一词与密谋邪恶并试图伤害我们无辜组织用户的“坏人”联系在一起，但现实更为复杂。

垃圾邮件发件人 |外部实体

“垃圾邮件发件人”确实可以是使用非组织身份含义的“外部实体”——外部电子邮件地址。

同时，这个“外部实体”可能会尝试通过使用特定现有组织用户的身份（现有组织电子邮件地址）或使用包含我们的电子邮件地址来显示为合法组织用户。组织域名（我们的组织域名后缀）。

请注意，“垃圾邮件报告”不能帮助您识别“欺骗性电子邮件地址”，而只能“指向”特定事件，其中特定组织身份（组织电子邮件地址）地址）涉及垃圾邮件活动。

当我们发现特定外部收件人向我们的组织用户发送大量垃圾邮件的情况时，我们应该查看信息并尝试回答，例如：

• 特定发件人“生成”的平均垃圾邮件量是多少？
• 垃圾邮件是否发送给特定用户？

垃圾邮件发件人 |合法组织用户

在这种情况下，“垃圾邮件发起者”确实是合法的组织用户。

造成这种情况的原因可能有很多。例如：

场景 1 - 批量邮件

向数百或数千个收件人发送电子邮件并被 EOP“标记”为“批量邮件”（翻译为 SCL 值为 2-9 的电子邮件）的组织用户。

场景 2 - 电子邮件客户端受到感染。

恶意软件使用现有邮件客户端（例如 Outlook）来分发垃圾邮件的场景。

场景 3 - Office 365 用户帐户遭到入侵

敌对分子设法获取合法 Office 365 用户的凭据，并使用这些凭据发送垃圾邮件的场景。

在垃圾邮件发件人显示为我们组织用户之一的情况下，我们可以提出的问题可能是：

• 用户是否知道他的电子邮件被归类为“垃圾邮件”？
• 用户是否知道并确认目标收件人的电子邮件地址？
• 组织用户发送的邮件是否具有某些特征？

在下一篇文章中，我们将研究使用 Get-MailDetailSpamReport PowerShell cmdlet |查看并导出垃圾邮件报告。