在 Office 365 和 Outlook 中启用外部电子邮件警告和标记

---

网络钓鱼电子邮件是目前最大的安全线索之一。网络钓鱼电子邮件每年都在变得越来越好，因此很难预先阻止它们。通常，用户发现它们也很难识别，并且经常点击电子邮件中的链接。我们可以通过添加外部电子邮件警告或标记外部电子邮件来防止这种情况。

基本上有两个选项，您都应该实施。第一个是在 Exchange Online 中启用外部电子邮件标记。当电子邮件从组织外部发送时，这将在电子邮件的主题和正文之间启用内置警告。

第二个选项是在电子邮件顶部添加自定义警告横幅。我们可以根据主题或正文中的单词显示自定义警告，使其真正具有多功能性。它允许我们对“保留您的密码”或“更新您的密码”等短语显示警告

在本文中，我将解释如何在 Office 365 和 Outlook 中启用 Exchange Online 外部标记并创建自定义外部电子邮件警告。

启用外部电子邮件标签

外部电子邮件标记是一个额外的安全层，可帮助保护您免受网络钓鱼电子邮件的侵害。 SPF、DKIM 和 DMARC 等功能已经在阻止大多数网络钓鱼电子邮件方面发挥了出色的作用，但我们都知道这还不够。

尤其是欺骗性电子邮件，它们似乎是从组织中的可信来源发送的，是一个巨大的安全风险。

微软最近在 Exchange Online 中推出了一项新功能，通过自动标记外部电子邮件来帮助提高用户的认知度。以下版本的 Outlook 支持外部标记：

• 展望在线

• Outlook for Window - 于 2021 年 5 月开始推出

• Outlook for Mac - 版本 16.47 及更高版本

• Outlook 移动应用程序 - iOS 和 Android - 版本 4.2111.0 及更高版本

如何启用外部电子邮件标记

目前我们只能通过 PowerShell 启用外部电子邮件标记。确保在开始之前安装了 Exchange Online 模块。

外部标记最多可能需要 48 小时才会显示在 Outlook 中。启用该功能后，只有新电子邮件才会被标记，现有电子邮件不会。

第 1 步 - 连接到 Exchange Online

第一步是连接到 Exchange Online。

Connect-ExchangeOnline -userPrincipalName [email 

第 2 步 - 启用外部标记

下一步是在 Exchange Online 中启用外部标记。

Set-ExternalInOutlook -Enabled $true

您可以使用以下 cmdlet 验证设置：

Get-ExternalInOutlook

# Result:
RunspaceId : 4b07eecc-34c5-4add-8ee4-80d25aa4aff4
Identity   : 11e55098-68ad-4992-aaf8-c5fdceb3b6da
Enabled    : True   # < External tagging enabled
AllowList  : {}

步骤 3 - 将域添加到允许列表（可选）

可以从外部标记中排除域。如果您的组织有不同的租户或与特定合作伙伴密切合作，这可能会很有用。

通过使用 @{add=""} 语法，我们确保保留列表中的任何现有域。如果没有它，AllowList 中的所有现有域都将被删除。

Set-ExternalInOutlook -AllowList  @{Add="a-d.site", "lazydev.nl"}

要从列表中删除单个或多个域，您可以使用以下语法

Set-ExternalInOutlook -AllowList  @{Remove="a-d.site", "lazydev.nl"}

我们可以使用以下 cmdlet 验证设置

Get-ExternalInOutlook

# Result
RunspaceId : 6468fcef-1cb9-4d6c-9cae-6b8dbc999971
Identity   : 11e55098-68ad-4992-aaf8-c5fdceb3b6da
Enabled    : True
AllowList  : {a-d.site, lazydev.nl} # domains added to allow list

在 Outlook 中标记外部电子邮件是 Microsoft Office 365 中的一项新功能。新功能始终首先向内部人员和目标发布租户推出。如果 48 小时后不起作用，或者您希望租户更快地使用新功能，请确保更改 Microsoft Office 365 管理中心中的发布首选项。

1. 打开管理中心

2. 转到设置> 组织设置

3. 点击组织资料并选择发布首选项

4. 确保选择针对所有人的目标发布。

创建外部电子邮件警告

外部电子邮件警告是您可以添加到电子邮件顶部的自定义消息。尽管我们现在可以在 Exchange Online 中标记外部电子邮件，但警告用户注意恶意电子邮件仍然是一个好主意。自定义警告允许我们根据电子邮件的内容或主题警告用户。

因此，仅当内容或主题包含特定单词或短语时，我们才不会针对每封外部电子邮件向用户发出警告。

为了创建外部电子邮件警告，我们将使用 Exchange 传输规则。您可以在 Exchange Online 和 Exchange On-Premise 中使用此方法。

笔记

我还创建了一个脚本，该脚本将显示警告，然后用户会收到一封与您组织的用户具有相同显示名称的外部电子邮件（模拟）。在本文中阅读更多相关信息。

我们首先将使用 Office 365 Exchange Online 管理中心来配置外部电子邮件警告。在文章末尾，我还提供了一个您可以使用的 PowerShell 脚本。

在 Exchange Online 中配置外部电子邮件警告

如果您只想为单个租户配置外部电子邮件警告，那么使用 Exchange 管理中心会更方便。

步骤 1 - 在 Exchange 管理中心创建新的邮件流规则

- 登录 Exchange 管理中心
- 展开邮件流
- 选择规则
- 单击 >加号并选择创建新规则

第 2 步 - 为规则命名

输入规则的名称，以便您以后可以轻松识别，例如“外部电子邮件警告”

步骤 3 - 配置 应用此规则，如果

我们只想在电子邮件来自外部来源时应用该规则。我们还想添加一个过滤器来将主题或正文与单词列表进行匹配。

• 点击应用此规则，如果

• 选择发件人所在位置...

• 选择组织外部

我们需要添加额外的条件，为此，您需要点击更多选项...

启用更多选项后，我们现在可以向“应用此规则如果”条件添加额外的条件。

• 单击“应用此规则”下的添加条件，如果

• 选择收件人所在位置..。

• 选择在此组织内部

我们将添加一个条件，以便仅在主题或正文与特定单词或短语匹配时显示警告：

• 单击“应用此规则”下的添加条件，如果

• 选择主题或身体匹配...

• 选择特定单词或短语。

现在，您可以手动添加所有单词和短语或使用 PowerShell 添加所有单词和短语。现在只需添加一两个短语，稍后我们将使用 PowerShell 更新列表。

下面的列表基于 SwiftOnSecurity 的正则表达式列表，您可以在 GitHub 上找到该列表。

Password.*[expire|reset]
Password access
[reset|change|update].*password
Change.*password
\.odt
E-Notification
EMERGENCY
Retrieve*.document
Download*.document
confirm ownership for
word must be installed
prevent further unauthorized
prevent further unauthorised
informations has been
fallow our process
confirm your informations
failed to validate
unable to verify
delayed payment
activate your account
Update your payment
submit your payment
via Paypal
has been compromised
FRAUD NOTICE
your account will be closed
your apple id was used to sign in to
was blocked for violation
urged to download
that you validate your account
multiple login attempt
trying to access your account
suspend your account
restricted if you fail to update
informations on your account
update your account information
update in our security
Unusual sign-in activity
Account Was Limited
verify and reactivate
has.*been.*limited
have.*locked
has.*been.*suspended
unusual.*activity
notifications.*pending
your\ (customer\ )?account\ has
your\ (customer\ )?account\ was
new.*voice(\ )?mail
Periodic.*Maintenance
refund.*not.*approved
account.*(is\ )?on.*hold
wire.*transfer
secure.*update
secure.*document
temporar(il)?y.*deactivated
verification.*required
blocked\ your?\ online
suspicious\ activit
securely*.onedrive
securely*.dropbox
securely*.google drive
view message
view attachment

步骤 4 - 添加外部电子邮件警告

条件到位后，下一步就是添加我们想要显示的警告。我们将在下面添加外部电子邮件警告示例。但您当然可以根据您的需要对其进行自定义。

在文章末尾，我添加了一些警告消息的其他示例。

我们可以使用一些基本的 HTML 来格式化警告消息：

<!-- Yellow caution banner -->
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <!-- Remove the next line if you don't want the Yellow bar on the left side -->
    <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>

    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br />

• 点击执行以下操作

• 选择对邮件应用免责声明

• 选择在前面添加免责声明...

• 单击输入文本...

• 将 HTML 代码粘贴从上面到文本框

• 单击选择一个..并将后备操作设置为换行

第 5 步 - 添加例外

您可能想要向规则添加一些例外情况。例如，您可能有一个发送带有密码重置链接的电子邮件的应用程序。我们可以在 Except if 下添加多个例外。

例外可以基于域、特定发件人、单词、IP 地址等。

第 6 步 - 保存规则

规则完成后，您可以保存它以启用它。如果您想先测试规则，可以将应用此规则，如果条件此收件人位于更改为是此人，然后输入您自己的规则电子邮件地址。

这样，规则将仅应用于您的邮箱，使您可以在将其推广到组织之前安全地对其进行测试。

完整的规则应类似于以下内容：

步骤 7 - 使用 PowerShell 添加所有单词和短语

单词和短语列表相当长，因此我们将使用 PowerShell 更新传输规则，而不是手动添加它们。

首先，我们需要根据名称获取传输规则。这与我们在步骤 2 中输入的名称相同。如果您不确定，您还可以使用 Get-TransportRule 列出所有传输规则

在对规则配置进行任何更改之前，我总是首先执行“获取”操作以确保我拥有正确的规则。

# Connect to Exchange Online
# Enter your userprincipalname to use SSON
Connect-ExchangeOnline -userprincipalname [email 

# Get the transport rule
Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns

这应该返回我们刚刚使用您在步骤 3 中手动输入的单词或短语创建的规则。

我已将模式保存在临时文件夹中的文本文件中。这样我们就可以轻松地使用PowerShell导入它：

# Update the transport rule with all the patterns
Set-TransportRule -Identity "External Email Warning" -SubjectOrBodyMatchesPatterns (Get-Content C:\temp\patterns.txt)

# Check if the import was successful:
Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns

使用 PowerShell 创建外部警告

如果您想向多个租户添加外部电子邮件警告，那么使用 PowerShell 会更容易。下面的脚本使用前面所述的所有设置创建 Exchange Online 传输规则。

确保patterns.txt 与脚本位于同一文件夹中。

# Connect to Exchange Online
Write-Host "Connect to Exchange Online" -ForegroundColor Cyan
Connect-ExchangeOnline

$HTMLDisclaimer = '<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
	<tr>
		<td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>
		<td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
			<div style="color:#222222;">
				<span style="color:#222; font-weight:bold;">Caution:</span>
				This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
			</div>
		</td>
	</tr>
</table>
<br/>'


Write-Host "Creating Transport Rule" -ForegroundColor Cyan

# Create new Transport Rule
New-TransportRule -Name "External Email Warning" `
									-FromScope NotInOrganization `
									-SentToScope InOrganization `
									-SubjectOrBodyMatchesPatterns (Get-Content $PSScriptRoot\PhishingPatterns.txt) `
									-ApplyHtmlDisclaimerLocation Prepend `
									-ApplyHtmlDisclaimerText $HTMLDisclaimer `
									-ApplyHtmlDisclaimerFallbackAction Wrap

Write-Host "Transport rule created" -ForegroundColor Green

您还可以在我的 GitHub 存储库中找到完整的脚本、外部电子邮件警告 HTML 代码和模式列表。

外部电子邮件警告示例

我创建了几个您可以使用的外部电子邮件警告示例。有些组织可能想要比其他组织更醒目的横幅。这些示例可以直接使用，也可以帮助您创建自己的警告。

确保将
留在警告横幅的末尾。因为这会在警告和实际邮件内容之间添加一条回车符（白线）。

示例 1 - 黄色警告横幅

如果您不喜欢左侧的深黄色条，则可以从 HTML 代码中删除第 5 行。

<!-- Yellow caution banner -->
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <!-- Remove the next line if you don't want the Yellow bar on the left side -->
    <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>

    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br />

示例 2 - 蓝色信息栏

此警告横幅的 HTML 代码是：

<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <td style="background:#00A0d2;padding:5pt 2pt 5pt 2pt"></td>
    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#e5f5fa;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br/>

示例 3 - 白色背景警告

您也可以在警告前面仅使用一条红色或深黄色的小线。

<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <td style="background:#dc3232;padding:3pt 1pt 3pt 1pt"></td>
    <td width="100%" cellpadding="3px 6px 3px 15px" style="background:#ffffff;padding:3pt 4pt 3pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Important:</span>
        This is contains a suspicious subject or content. Do not click any link and do not open attachments unless you have confirmed the sender.
      </div>
    </td>
  </tr>
</table>
<br />

包起来

我希望本文能帮助您设置自己的外部电子邮件警告。确保启用外部电子邮件标签，因为这确实可以帮助您（用户）更早地识别欺骗性网络钓鱼邮件。

您可以添加到 Office 365 和 Outlook 的自定义外部电子邮件警告确实用途广泛。我不喜欢在每封外部电子邮件上都显示横幅，因为用户会过于熟悉它，并且会失去效果。

因此，通过添加额外条件，我们可以确保仅标记具有高风险的邮件。

请确保您还阅读了此列表，其中包含超过 18 个安全提示，以保护您的 Office 365 租户，并查看此脚本以获取 Outlook 中的模拟警告。如果您有任何疑问，请在下面发表评论。