Przesyłanie do firmy Microsoft podejrzanych wiadomości spamowych, adresów URL i plików przy użyciu portalu Przesyłania

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy

W Microsoft 365 organizacjach ze skrzynkami pocztowymi Exchange Online administratorzy mogą przesyłać wiadomości e-mail, adresy URL i załączniki do firmy Microsoft za pomocą portalu Przesyłania w portalu Microsoft 365 Defender w celu przesyłania wiadomości e-mail, adresów URL i załączników do firmy Microsoft w celu skanowania.

Po przesłaniu wiadomości e-mail do analizy otrzymasz:

  • Sprawdzanie uwierzytelniania za pomocą poczty e-mail: szczegółowe informacje na temat tego, czy uwierzytelnianie poczty e-mail zostało zakończone pomyślnie, czy też nie powiodło się, gdy zostało dostarczone.
  • Trafienia zasad: informacje o zasadach, które mogły zezwalać na przychodzące wiadomości e-mail lub blokować je w dzierżawie, zastępując nasze werdykty dotyczące filtru usługi.
  • Reputacja ładunku/detonacja: aktualne badanie wszelkich adresów URL i załączników w wiadomości.
  • Analiza równiarki: przejrzyj wyniki wykonywane przez klasyfikatorów ludzkich w celu potwierdzenia, czy komunikaty są złośliwe.

Ważne

Analiza reputacji ładunku/detonacji i równiarki nie jest wykonywana we wszystkich dzierżawach. Dostęp informacji poza organizację jest blokowany, gdy dane nie powinny opuszczać granicy dzierżawy w celach zgodności.

Aby uzyskać inne sposoby przesyłania wiadomości e-mail, adresów URL i załączników do firmy Microsoft, zobacz Zgłaszanie wiadomości i plików do firmy Microsoft.

Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak używać przesłanych przez administratorów w Ochrona usługi Office 365 w usłudze Microsoft Defender do przesyłania komunikatów do firmy Microsoft w celu oceny.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft 365 Defender pod adresem https://security.microsoft.com/. Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  • Aby przesłać komunikaty i pliki do firmy Microsoft, musisz mieć jedną z następujących ról:

  • Administratorzy mogą przesyłać wiadomości w ciągu 30 dni, jeśli są nadal dostępne w skrzynce pocztowej i nie są usuwane przez użytkownika lub innego administratora.

  • Przesyłanie przez administratora jest ograniczane według następujących stawek:

    • Maksymalna liczba przesłanych zgłoszeń w dowolnym okresie 15 minut: 150 przesłanych
    • Te same zgłoszenia w 24-godzinnym okresie: 3 przesłania
    • Te same zgłoszenia w okresie 15 minut: 1 przesyłanie
  • Aby uzyskać więcej informacji na temat sposobu przesyłania wiadomości i plików do firmy Microsoft, zobacz Raport wiadomości i pliki do firmy Microsoft.

Zgłaszanie podejrzanej zawartości firmie Microsoft

  1. W portalu Microsoft 365 Defender pod adresem https://security.microsoft.comprzejdź do strony Przesłane w akcji & przesłanych. > Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  2. Na stronie Przesłane sprawdź, czy wybrano kartę Wiadomości e-mail, Załączniki lub adresy URL wiadomości e-mail na podstawie typu zawartości, którą chcesz zgłosić, a następnie kliknij ikonę Prześlij do firmy Microsoft w celu analizy. Prześlij do firmy Microsoft w celu analizy.

  3. Użyj wysuwanego polecenia Prześlij do firmy Microsoft w celu analizy , który wygląda na przesłany odpowiedni typ zawartości (wiadomość e-mail, adres URL lub załącznik wiadomości e-mail), zgodnie z opisem w poniższych sekcjach.

    Uwaga

    Przesyłanie plików i adresów URL nie jest dostępne w chmurach, które nie zezwalają na opuszczenie środowiska przez dane. Możliwość wybrania pozycji Plik lub adres URL zostanie wyszarzone.

Powiadamianie użytkowników z poziomu portalu

  1. W portalu Microsoft 365 Defender pod adresem https://security.microsoft.comprzejdź do strony Przesłane w witrynie Email & collaboration Submissions (Przesyłanie w ramach współpracy > & poczty e-mail). Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  2. Na stronie Przesłane wybierz kartę Komunikaty zgłaszane przez użytkownika , a następnie wybierz komunikat, który chcesz oznaczyć i powiadomić.

  3. Wybierz listę rozwijaną Oznacz jako i powiadom , a następnie wybierz pozycję Nie znaleziono > zagrożeń wyłudzających informacje lub wiadomości-śmieci.

    Strona Przesłane

Zgłoszona wiadomość zostanie oznaczona jako fałszywie dodatnia lub fałszywie ujemna. Powiadomienie e-mail jest wysyłane automatycznie z poziomu portalu do użytkownika, który zgłosił wiadomość.

Przesyłanie wątpliwej wiadomości e-mail do firmy Microsoft

  1. W polu Wybierz typ przesyłania sprawdź, czy na liście rozwijanej wybrano pozycję Poczta e-mail .

  2. W sekcji Dodawanie identyfikatora komunikatu sieciowego lub przekazywanie pliku wiadomości e-mail użyj jednej z następujących opcji:

    • Dodaj identyfikator wiadomości sieciowej poczty e-mail: jest to wartość identyfikatora GUID dostępna w nagłówku X-MS-Exchange-Organization-Network-Message-Id w wiadomości lub w nagłówku X-MS-Office365-Filtering-Correlation-Id w komunikatach poddanych kwarantannie.
    • Przekaż plik e-mail (msg lub .eml): kliknij pozycję Przeglądaj pliki. W otwartym oknie dialogowym znajdź i wybierz plik .eml lub msg, a następnie kliknij przycisk Otwórz.
  3. W polu Wybierz adresata, który miał problem , określ adresata, dla któremu chcesz uruchomić sprawdzanie zasad. Sprawdzanie zasad określi, czy wiadomość e-mail pominąła skanowanie z powodu zasad użytkownika lub organizacji.

  4. W sekcji Wybieranie przyczyny przesłania do firmy Microsoft wybierz jedną z następujących opcji:

    • Nie powinno być blokowane (wynik fałszywie dodatni)
    • Powinna zostać zablokowana (fałszywie ujemna): W wyświetlonej sekcji Wiadomość e-mail powinna zostać sklasyfikowana jako jedna z następujących wartości (jeśli nie masz pewności, użyj najlepszej oceny):
      • Phish
      • Złośliwego oprogramowania
      • Spam
  5. Po zakończeniu kliknij pozycję Prześlij.

Wysyłanie podejrzanego adresu URL do firmy Microsoft

  1. W polu Wybierz typ przesyłania wybierz pozycję Adres URL z listy rozwijanej.

  2. W wyświetlonym polu adresu URL wprowadź pełny adres URL (na przykład https://www.fabrikam.com/marketing.html).

  3. W sekcji Wybieranie przyczyny przesłania do firmy Microsoft wybierz jedną z następujących opcji:

    • Nie powinno być blokowane (wynik fałszywie dodatni)
    • Powinna zostać zablokowana (fałszywie ujemna): W wyświetlonej sekcji Ten adres URL powinien zostać sklasyfikowany jako jedna z następujących wartości (jeśli nie masz pewności, użyj najlepszej oceny):
      • Phish
      • Złośliwego oprogramowania
  4. Po zakończeniu kliknij pozycję Prześlij.

Przesyłanie podejrzanego załącznika wiadomości e-mail do firmy Microsoft

  1. W polu Wybierz typ przesyłania wybierz pozycję Załącznik wiadomości e-mail z listy rozwijanej.

  2. W wyświetlonej sekcji Plik kliknij pozycję Przeglądaj pliki. W otwartym oknie dialogowym znajdź i wybierz plik, a następnie kliknij przycisk Otwórz.

  3. W sekcji Wybieranie przyczyny przesłania do firmy Microsoft wybierz jedną z następujących opcji:

    • Nie powinno być blokowane (wynik fałszywie dodatni)
    • Powinna zostać zablokowana (fałszywie ujemna): W wyświetlonej sekcji Ten plik powinien zostać sklasyfikowany jako jedna z następujących wartości (jeśli nie masz pewności, użyj najlepszej oceny):
      • Phish
      • Złośliwego oprogramowania
  4. Po zakończeniu kliknij pozycję Prześlij.

Uwaga

Jeśli filtrowanie złośliwego oprogramowania zastąpiło załączniki wiadomości plikiem alertu o złośliwym oprogramowaniu Text.txt, należy przesłać oryginalny komunikat z kwarantanny zawierającej oryginalne załączniki. Aby uzyskać więcej informacji na temat kwarantanny i sposobu wydawania komunikatów ze złośliwym oprogramowaniem fałszywie dodatnim, zobacz Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator.

Wyświetlanie przesyłania przez administratora do firmy Microsoft

  1. W portalu Microsoft 365 Defender pod adresem https://security.microsoft.comprzejdź do strony Przesłane w akcji & przesłanych. > Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  2. Na stronie Przesłane sprawdź, czy wybrano kartę Wiadomości e-mail, Adres URL lub Załącznik wiadomości e-mail .

    • Wpisy można sortować, klikając dostępny nagłówek kolumny. Kliknij pozycję Dostosuj kolumny , aby wyświetlić maksymalnie siedem kolumn. Wartości domyślne są oznaczone gwiazdką (*):

      • Nazwa przesyłania*
      • Nadawcy*
      • Odbiorcy
      • Data przesłania*
      • Powód przesłania*
      • Stan*
      • Wynik*
      • Filtrowanie werdyktu
      • Przyczyna dostarczania/blokowania
      • Identyfikator przesyłania
      • Identyfikator komunikatu sieci/identyfikator obiektu
      • Kierunek
      • Adres IP nadawcy
      • Poziom zgodności zbiorczej (BCL)
      • Destination (Miejsce docelowe)
      • Akcja zasad
      • Przesłane przez
      • Symulacja phish
      • Tagi*
      • Zezwalaj

      Po zakończeniu kliknij przycisk Zastosuj.

    • Aby filtrować wpisy, kliknij pozycję Filtruj. Dostępne filtry to:

      • Przesłana data: data rozpoczęcia i data zakończenia.
      • Identyfikator przesyłania: wartość identyfikatora GUID przypisana do każdego przesłania.
      • Identyfikator komunikatu sieci
      • Nadawcy
      • Odbiorcy
      • Nazwa
      • Przesłane przez
      • Powód przesłania
      • Stan
      • Tagi

      Po zakończeniu kliknij przycisk Zastosuj.

    • Aby pogrupować wpisy, kliknij pozycję Grupuj i wybierz jedną z następujących wartości z listy rozwijanej:

      • Brak
      • Type
      • Powodu
      • Stan
      • Result (Wynik)
      • Tagi
    • Aby wyeksportować wpisy, kliknij pozycję Eksportuj. W wyświetlonym oknie dialogowym zapisz plik .csv.

Szczegóły wyników przesyłania przez administratora

Komunikaty przesyłane w przesłanych przez administratorów plikach są przeglądane, a wyniki wyświetlane w wysuwnym oknie wysuwnym szczegółów przesyłania:

  • Jeśli wystąpił błąd w uwierzytelnianiu wiadomości e-mail nadawcy w czasie dostarczania.
  • Informacje na temat wskazówek dotyczących zasad, które mogły wpłynąć na werdykt wiadomości lub go pominąć.
  • Bieżące wyniki detonacji, aby sprawdzić, czy adresy URL lub pliki zawarte w wiadomości były złośliwe.
  • Opinie od równiarki.

Jeśli znaleziono przesłonięcia, wynik powinien być dostępny w ciągu kilku minut. Jeśli nie wystąpił problem podczas uwierzytelniania lub dostarczania wiadomości e-mail, przesłonięcie nie miało wpływu, opinie od równiarki mogą potrwać nawet jeden dzień.

Wyświetlanie przesyłania użytkowników do firmy Microsoft

Jeśli wdrożono dodatek Komunikat raportu, dodatek wyłudzanie informacji o raportach lub osoby korzystające z wbudowanego raportowania w Outlook w sieci Web, możesz zobaczyć, co użytkownicy zgłaszają na karcie Komunikat zgłoszony przez użytkownika.

  1. W portalu Microsoft 365 Defender pod adresem https://security.microsoft.comprzejdź do strony Przesłane w akcji & przesłanych. > Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  2. Na stronie Przesłane wybierz kartę Komunikaty zgłaszane przez użytkownika .

    • Wpisy można sortować, klikając dostępny nagłówek kolumny. Kliknij pozycję Dostosuj kolumny , aby wyświetlić opcje. Wartości domyślne są oznaczone gwiazdką (*):

      • Temat wiadomości e-mail*
      • Zgłoszone przez*
      • Data zgłoszenia*
      • Nadawcy*
      • Zgłoszona przyczyna*
      • Wynik*
      • Identyfikator zgłoszonych komunikatów
      • Identyfikator komunikatu sieci
      • Adres IP nadawcy
      • Raportowane z
      • Symulacja phish
      • Przekonwertowane na przesyłanie przez administratora
      • Tagi*
      • Oznaczone jako*
      • Oznaczone przez
      • Data oznaczona

      Po zakończeniu kliknij przycisk Zastosuj.

    • Aby filtrować wpisy, kliknij pozycję Filtruj. Dostępne filtry to:

      • Data zgłoszenia: data rozpoczęcia i data zakończenia.
      • Zgłoszone przez
      • Temat wiadomości e-mail
      • Identyfikator zgłoszonych komunikatów
      • Identyfikator komunikatu sieci
      • Nadawcy
      • Zgłoszony powód: Nie śmieci, Phish lub Spam
      • Zgłoszone z: dodatek firmy Microsoft lub dodatek innej firmy
      • Symulacja phish: Tak lub Nie
      • Przekonwertowane na przesyłanie przez administratora: Tak lub Nie
      • Tagi

      Po zakończeniu kliknij przycisk Zastosuj.

    • Aby pogrupować wpisy, kliknij pozycję Grupuj i wybierz jedną z następujących wartości z listy rozwijanej:

      • Brak
      • Powodu
      • Nadawcy
      • Zgłoszone przez
      • Result (Wynik)
      • Raportowane z
      • Symulacja phish
      • Przekonwertowane na przesyłanie przez administratora
      • Tagi
    • Aby wyeksportować wpisy, kliknij pozycję Eksportuj. W wyświetlonym oknie dialogowym zapisz plik .csv.

Uwaga

Jeśli organizacje są skonfigurowane do wysyłania wiadomości zgłoszonych przez użytkownika tylko do niestandardowej skrzynki pocztowej, zgłoszone wiadomości będą wyświetlane w wiadomościach zgłoszonych przez użytkownika , ale ich wyniki będą zawsze puste (ponieważ nie zostałyby ponownie przeskanowane).

Cofanie przesyłania przez użytkownika

Gdy użytkownik prześle podejrzaną wiadomość e-mail do niestandardowej skrzynki pocztowej, użytkownik i administrator nie będą mogli cofnąć przesyłania. Jeśli użytkownik chce odzyskać wiadomość e-mail, będzie on dostępny do odzyskania w folderach Elementy usunięte lub Wiadomości-śmieci.

Konwertowanie wiadomości zgłoszonych przez użytkownika z niestandardowej skrzynki pocztowej na przesyłanie przez administratora

Jeśli niestandardowa skrzynka pocztowa została skonfigurowana do przechwytywania wiadomości zgłoszonych przez użytkowników bez wysyłania wiadomości do firmy Microsoft, możesz znaleźć i wysłać określone wiadomości do firmy Microsoft w celu analizy.

Na karcie Komunikaty zgłaszane przez użytkownika wybierz komunikat z listy, kliknij pozycję Prześlij do firmy Microsoft do analizy, a następnie wybierz jedną z następujących wartości z listy rozwijanej:

  • Raport jest czysty
  • Zgłaszanie wyłudzania informacji
  • Zgłaszanie złośliwego oprogramowania
  • Zgłaszanie spamu
  • Badanie wyzwalacza