Microsoft 365 中的防網路釣魚原則

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

Microsoft 365 組織提供設定防網路釣魚保護設定的原則，這些組織具有 Exchange Online 信箱、獨立 Exchange Online Protection (EOP) 沒有 Exchange Online 信箱的組織，以及適用於 Office 365 的 Microsoft Defender 組織。

適用於 Office 365 的 Microsoft Defender 組織的範例包括：

• Microsoft 365 企業版 E5、Microsoft 365 教育版 A5 等
• Microsoft 365 企業版
• Microsoft 365 商務版
• 適用於 Office 365 的 Microsoft Defender 做為附加元件

下表說明 EOP 中反網路釣魚原則與 適用於 Office 365 的 Defender 中反網路釣魚原則之間的高階差異：

功能	防網路釣魚原則 在 EOP 中	防網路釣魚原則 in 適用於 Office 365 的 Defender
自動建立默認原則	✔	✔
建立自訂原則	✔	✔
一般原則設定*	✔	✔
詐騙設定	✔	✔
第一個聯繫人安全提示	✔	✔
模擬設定		✔
進階網路釣魚閾值		✔

^* 在默認原則中，原則名稱和描述是只讀的， (描述是空白) ，而且您無法指定套用原則的物件 (默認原則會套用至所有收件者) 。

若要設定防網路釣魚原則，請參閱下列文章：

• 在 EOP 中設定反網路釣魚原則
• 在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則

本文的其餘部分說明 EOP 和 適用於 Office 365 的 Defender 中反網路釣魚原則中可用的設定。

一般原則設定

EOP 和 適用於 Office 365 的 Defender 中的反網路釣魚原則提供下列原則設定：

• 名稱：您無法重新命名預設的反網路釣魚原則。 建立自定義防網路釣魚原則之後，就無法在 Microsoft Defender 入口網站中重新命名原則。

• 描述 您無法將描述新增至預設的反網路釣魚原則，但您可以新增和變更所建立之自定義原則的描述。

• 使用者、群組和網域 和 排除這些使用者、群組和網域：收件者篩選以識別套用原則的內部收件者。 自定義原則至少需要一個條件。 默認原則中沒有條件和例外狀況， (默認原則會套用至所有收件者) 。 您可以使用下列收件者篩選條件和例外狀況：

  • 用戶：組織中的一或多個信箱、郵件使用者或郵件聯繫人。
  • 群組:
    • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
    • 指定的 Microsoft 365 群組。
  • 網域：Microsoft 365 中一或多個已設定的 已接受網域 。 收件者的主要電子郵件地址位於指定的網域中。

  您只能使用條件或例外狀況一次，但條件或例外狀況可以包含多個值：

  • 相同條件或例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) ：

    • 條件：如果收件者符合 任何 指定的值，則會將原則套用至這些值。
    • 例外狀況：如果收件者符合 任何 指定的值，則不會套用原則。

  • 不同類型的例外狀況會使用 OR 邏輯 (例如，<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值，就不會套用原則。

  • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件，原則才能套用到這些條件。 例如，您可以使用下列值來設定條件：

    • 使用者： romain@contoso.com
    • 群組：主管

    只有在他也是主管群組的成員時，原則才會套用至 romain@contoso.com 。 否則，原則不會套用到他。

  提示

  自定義反網路釣魚原則中至少需要一個 [使用者、群組和網域 ] 設定中的選項，才能識別套用原則 的郵件收件者。 適用於 Office 365 的 Defender 中的反網路釣魚原則也有模擬設定，您可以在其中指定接收模擬保護的寄件者電子郵件地址或發件者網域，如本文稍後所述。

詐騙設定

詐騙是電子郵件訊息中的寄件者位址 (電子郵件用戶端中顯示的發件者位址) 與電子郵件來源的網域不符時。 如需詐騙的詳細資訊，請參閱 Microsoft 365 中的反詐騙保護。

EOP 和 適用於 Office 365 的 Defender 的反網路釣魚原則中提供下列詐騙設定：

• 啟用詐騙情報：開啟或關閉詐騙情報。 建議您將它保持開啟。

  啟用詐騙情報時， 詐騙情報深入解析 會顯示詐騙發件者，這些發件者已由詐騙情報自動偵測及允許或封鎖。 您可以手動覆寫詐騙情報決策，以允許或封鎖從深入解析中偵測到的詐騙發件者。 但是當您這麼做時，詐騙的發件者會從詐騙情報深入解析中消失，而且只會顯示在 租使用者允許/封鎖 清單 頁面的 [詐騙發件者] 索引卷標上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem。 或者，您可以在租使用者允許/封鎖清單中手動建立允許或封鎖詐騙發件人的專案，即使詐騙情報深入解析未偵測到這些專案也一樣。 如需詳細資訊，請參閱下列文章：

  • EOP 中的詐騙情報深入解析
  • 租使用者允許/封鎖清單中的詐騙寄件者

  注意事項

  • 「標準」和「嚴格」預設安全策略會啟用反詐騙保護，預設會在預設的反網路釣魚原則和您建立的新自定義防網路釣魚原則中啟用。
  • 如果您的 MX 記錄未指向 Microsoft 365，則不需要停用反詐騙保護;您改為啟用連接器的增強式篩選。 如需指示，請參閱 Exchange Online 中連接器的增強篩選。
  • 停用反詐騙保護只會停用來自複合驗證檢查的隱含詐騙保護。 如需 明確DMARC 檢查如何受到反詐騙保護以及來源網域 DMARC 原則設定 (p=quarantine 或 p=reject DMARC TXT 記錄) 中影響的資訊，請參閱詐騙 保護和發件者 DMARC 原則 一節。

• 未經驗證的寄件人指標：只有在開啟詐騙情報時 ，才能在 [安全提示 & 指標 ] 區段中取得。 請參閱下一節中的詳細數據。

• 動作：針對來自遭封鎖詐騙發件者的訊息， (由詐騙情報自動封鎖， (複合驗證 失敗加上惡意意圖) 或在租用戶允許/封鎖清單) 中手動封鎖，您也可以指定要對郵件採取的動作：

  • 將郵件移至收件者的垃圾郵件 Email 資料夾：這是預設值。 郵件會傳遞至信箱，並移至 [垃圾郵件] Email資料夾。 如需詳細資訊，請參閱在 Microsoft 365 中 Exchange Online 信箱上設定垃圾郵件設定。

  • 隔離郵件：將郵件傳送至隔離區，而不是預期的收件者。 如需隔離的相關資訊，請參閱下列文章：

    • Microsoft 365 中的隔離
    • 在 Microsoft 365 中以系統管理員身分管理隔離的郵件和檔案
    • 在 Microsoft 365 中以使用者身分尋找並釋放隔離的郵件

    如果您選取 [隔離郵件]，您也可以選取套用至詐騙情報保護所隔離之郵件的隔離原則。 隔離原則會定義使用者可以對隔離郵件執行哪些操作，以及使用者是否收到隔離通知。 如需詳細資訊， 請參閱隔離原則的結構。

詐騙保護和寄件者 DMARC 原則

在防網路釣魚原則中，您可以控制是否 p=quarantine 接受傳送者 DMARC 原則中的 值 p=reject 。 如果訊息無法通過 DMARC 檢查，您可以在寄件者的 DMARC 原則中，為 p=quarantine 或 p=reject 指定個別的動作。 涉及下列設定：

• 在偵測到郵件為詐騙時接受 DMARC 記錄原則：此設定會開啟接受寄件者的 DMARC 原則，以取得明確的電子郵件驗證失敗。 選取此設定時，可以使用下列設定：

  • 如果偵測到訊息為詐騙，且 DMARC 原則設定為 p=quarantine：可用的動作如下：
    • 隔離訊息
    • 將郵件移至收件者的垃圾郵件 Email資料夾
  • 如果偵測到訊息為詐騙，且 DMARC 原則設定為 p=reject：可用的動作為：
    • 隔離訊息
    • 拒絕訊息

  如果您選取 [隔離訊息 ] 作為動作，則會使用針對詐騙情報保護選取的隔離原則。

下表說明詐騙情報與是否接受寄件者 DMARC 原則之間的關聯性：

	接受 DMARC 原則開啟	接受 DMARC 原則關閉
開啟詐騙情報	分隔隱含和明確電子郵件驗證失敗的動作： 隱含失敗：如果在反網路釣魚原則中詐騙 情報動作偵測到訊息為 詐騙，請使用 。 明確失敗： DMARC 原則 p=quarantine： 如果偵測到訊息為詐騙，且 DMARC 原則 在反網路釣魚原則中設定為 p=quarantine 動作，請使用 。 DMARC 原則 p=reject： 如果偵測到訊息為詐騙，且 DMARC 原則 在反網路釣魚原則中設定為 p=reject 動作，請使用 。 DMARC原則 p=none：Microsoft 365 不會套用任何動作，但篩選堆疊中的其他保護功能仍可對訊息採取動作。	如果在反網路釣魚原則中偵 測到郵件為 詐騙，則會針對隱含和明確的電子郵件驗證失敗使用。 明確的電子郵件驗證失敗會忽略 p=quarantine、 p=reject、 p=none或 DMARC 原則中的其他值。
詐騙情報關閉	不使用隱含的電子郵件驗證檢查。 明確的電子郵件驗證失敗： DMARC 原則 p=quarantine： 如果偵測到訊息為詐騙，且 DMARC 原則 在反網路釣魚原則中設定為 p=quarantine 動作，請使用 。 DMARC 原則 p=reject： 如果偵測到訊息為詐騙，且 DMARC 原則 在反網路釣魚原則中設定為 p=reject 動作，請使用 。 DMARC原則 p=none：Microsoft 365 不會將訊息識別為詐騙，但篩選堆疊中的其他保護功能仍可對訊息採取行動。	不使用隱含的電子郵件驗證檢查。 明確的電子郵件驗證失敗： DMARC 原則 p=quarantine：郵件已隔離。 DMARC 原則 p=reject：郵件已隔離。 DMARC原則 p=none：Microsoft 365 不會套用任何動作，但篩選堆疊中的其他保護功能仍可對訊息採取動作。

注意事項

如果 Microsoft 365 網域的 MX 記錄指向位於 Microsoft 365 前方的第三方服務或裝置，則只有在已針對接收輸入訊息的連接器啟用增強的連接器篩選時，才會套用 Honor DMARC 原則設定。

客戶可以使用下列方法覆寫特定電子郵件訊息和/或寄件者的接受 DMARC 原則設定：

• 系統管理員 或 使用者 可以將寄件者新增至使用者信箱中的安全寄件者清單。
• 系統管理員可以使用詐騙詐騙深入解析或租用戶允許/封鎖清單，來允許來自偽造寄件者的郵件。
• 系統管理員為所有使用者建立 Exchange 郵件流程規則 (也稱為傳輸規則)，以允許這些特定寄件者的郵件。
• 系統管理員會為所有使用者建立 Exchange 郵件流程規則，以取得未通過組織 DMARC 原則的已拒絕電子郵件。

未經驗證的寄件者指標

未經驗證的寄件人指標是 EOP 和 適用於 Office 365 的 Defender 中反網路釣魚原則中安全提示 & 指標一節中可用之詐騙設定的一部分。 只有在開啟詐騙情報時，才能使用下列設定：

• 針對未經驗證的寄件人顯示 (？) 詐騙：如果訊息未通過SPF或 DKIM 檢查， 且訊息未通過 DMARC 或 複合驗證，請在寄件者相片中新增問號。 當此設定關閉時，問號不會新增至寄件人的相片。

• 顯示 「via」 標籤：如果 [寄件者] 位址中的網域 ( (chris@contoso.com 電子郵件用戶端中顯示的郵件寄件者，) 與 DKIM 簽章或 MAIL FROM 位址中的網域不同，請透過 [寄件者] 方塊中的 fabrikam.com) 新增 “via” 標記。 如需這些地址的詳細資訊， 請參閱電子郵件訊息標準概觀。

若要防止問號或「via」 標記新增至來自特定寄件者的訊息，您有下列選項：

• 允許詐騙 情報深入解析 中的詐騙發件者，或手動在 租用戶允許/封鎖清單中。 允許詐騙寄件者可防止來自發件者的訊息中出現 「via」 標籤，即使原則中已開啟 [顯示“via” 標籤 設定也一般。
• 設定寄件者網域的電子郵件驗證。
  • 對於寄件人相片中的問號，SPF 或 DKIM 是最重要的。
  • 針對 「via」 標籤，確認 DKIM 簽章中的網域或 MAIL FROM 位址符合 (或是 [寄件者] 位址中網域) 子域。

如需詳細資訊，請參閱識別 Outlook.com 和 Outlook 網頁版 中的可疑訊息

第一個聯繫人安全提示

[顯示第一個聯繫人安全提示] 設定可在 EOP 和 適用於 Office 365 的 Defender 組織中使用，且不相依於詐騙情報或模擬保護設定。 在下列案例中，安全提示會顯示給收件者：

• 第一次從寄件者取得訊息時
• 他們通常不會從寄件者取得訊息。

這項功能會新增額外的保護層，以防範潛在的模擬攻擊，因此建議您開啟它。

第一個聯繫人安全提示是由訊息之 X-Forefront-Antispam-Report 標頭中字段的值 9.25 SFTY 所控制。 這項功能會取代建立郵件流程規則的需求， (也稱為傳輸規則) ，以將名為 X-MS-Exchange-EnableFirstContactSafetyTip 的標頭新 Enable 增至郵件，雖然此功能仍可供使用。

根據郵件中的收件者數目，第一個連絡安全提示可以是下列其中一個值：

• 單一收件者：

  您不常會收到 <電子郵件地址>的電子郵件。

  

• 多個收件者：

  有些收到此郵件的人不常會收到 <電子郵件地址>的電子郵件。

  

注意事項

如果郵件有多個收件者，則是否顯示小費，以及以多數模型為依據的收件者。 如果大部分的收件者從未或不常收到寄件者的郵件，則受影響的收件者會收到一 些收到此郵件的人員... 提示。 如果您擔心此行為會將一位收件者的通訊習慣公開給另一位收件者，您不應該啟用第一個聯繫人安全提示，而是繼續使用郵件流程規則和 X-MS-Exchange-EnableFirstContactSafetyTip 標頭。

第一個聯繫人安全提示不會在 S/MIME 簽署的訊息中加上戳記。

適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的獨佔設定

本節說明僅適用於 適用於 Office 365 的 Defender 中反網路釣魚原則的原則設定。

注意事項

適用於 Office 365 的 Defender 中的預設防網路釣魚原則會為所有收件者提供詐騙保護和信箱情報。 不過，默認原則中不會設定或啟用其他可用的 模擬保護 功能和 進階設定 。 若要啟用所有保護功能，請修改預設的反網路釣魚原則，或建立其他防網路釣魚原則。

適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定

仿真是郵件中發件者或寄件者的電子郵件網域看起來類似於實際發件者或網域的位置：

• contoso.com 這個網域的網域模擬例子是 ćóntoso.com。
• 使用者冒充是使用者顯示名稱和電子郵件地址的組合。 例如，Valeria Barrios (vbarrios@contoso.com) 可能會模擬為 Valeria Barrios，但使用不同的電子郵件位址。

注意事項

模擬保護會尋找類似的網域。 例如，如果您的網域 contoso.com，我們會檢查不同的最上層網域 (.com、.biz 等 ) ，但網域甚至有些類似。 例如，contosososo.com 或 contoabcdef.com 可能會被視為 contoso.com 的模擬嘗試。

在註冊網域、設定電子郵件驗證 DNS 記錄等 (，模擬網域可能會被視為合法 ) ，但網域的意圖是收件者。

下列各節所述的模擬設定僅適用於 適用於 Office 365 的 Defender的反網路釣魚原則。

用戶模擬保護

用戶模擬保護可防止特定的內部或外部電子郵件地址模擬 為郵件發件者。 例如，您會收到來自公司副總裁的電子郵件訊息，要求您傳送一些公司內部資訊給她。 您要這麼做嗎？ 許多人會在不考慮的情況下傳送回復。

您可以使用受保護的使用者來新增內部和外部寄件者電子郵件位址，以防止模擬。 此受保護免於用戶仿真的 發件者 清單，與原則套用至默認原則的所有 收件者 (收件者清單不同;[一般原則設定] 區段中的 [ 使用者、群組和網域 ] 設定中所設定 的 特定收件者) 。

注意事項

您可以在每個防網路釣魚原則中指定最多350個使用者的用戶模擬保護。

如果寄件人和收件者先前已透過電子郵件進行通訊，則用戶模擬保護無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊，則可以將郵件識別為模擬嘗試。

如果您嘗試將使用者新增至使用者模擬保護，當該電子郵件位址已指定給另一個反網路釣魚原則中的用戶模擬保護時，您可能會收到「電子郵件位址已存在」錯誤。 此錯誤只會在 Defender 入口網站中發生。 如果您在PowerShell的New-AntiPhishPolicy或 Set-AntiPhishPolicy Cmdlet 中使用對應的 TargetedUsersToProtect 參數，則不會收到錯誤 Exchange Online。

根據預設，默認原則或自定義原則中不會設定任何寄件者電子郵件地址來進行模擬保護。

當您將內部或外部電子郵件位址新增至 [ 要保護的使用者 ] 清單時，來自這些 寄件者的 郵件會受到模擬保護檢查。 如果郵件傳送給套用原則的收件者， (默認原則的所有收件者;如果訊息傳送給套用至默認原則的所有收件者，則會檢查郵件是否為模擬;自定義原則中的使用者、群組和網域收件者) 。 如果在寄件者的電子郵件地址中偵測到模擬，則會將模擬用戶的動作套用至郵件。

針對偵測到的用戶模擬嘗試，可以使用下列動作：

• 請勿套用任何動作：這是默認動作。

• 將郵件重新導向至其他電子郵件位址：將郵件傳送給指定的收件者，而不是預定的收件者。

• 將郵件移至收件者的垃圾郵件 Email 資料夾：郵件會傳遞至信箱，並移至 [垃圾郵件] Email資料夾。 如需詳細資訊，請參閱在 Microsoft 365 中 Exchange Online 信箱上設定垃圾郵件設定。

• 隔離郵件：將郵件傳送至隔離區，而不是預期的收件者。 如需隔離的相關資訊，請參閱下列文章：

  • Microsoft 365 中的隔離
  • 在 Microsoft 365 中以系統管理員身分管理隔離的郵件和檔案
  • 在 Microsoft 365 中以使用者身分尋找並釋放隔離的郵件

  如果您選取 [隔離郵件]，您也可以選取套用至使用者模擬保護所隔離之郵件的隔離原則。 隔離原則會定義用戶能夠對隔離郵件執行的動作。 如需詳細資訊， 請參閱隔離原則的結構。

• 傳遞郵件並將其他位址新增至密件抄送行：將郵件傳遞給預定的收件者，並以無訊息方式將郵件傳遞給指定的收件者。

• 傳遞訊息之前先刪除訊息：以無訊息方式刪除整個訊息，包括所有附件。

網域模擬保護

網域模擬保護可防止模擬 寄件者電子郵件位址中的 特定網域。 例如，您擁有的所有網域 (接受的網域) 或特定自定義網域 (您擁有的網域或合作夥伴網域) 。 受保護免於仿真的發件者網域與原則套用至默認原則的所有收件者 (收件者清單不同;[一般原則設定] 區段中的 [使用者、群組和網域] 設定中所設定的特定收件者) 。

注意事項

在每個防網路釣魚原則中，您可以指定最多 50 個自定義網域來保護網域模擬。

來自指定網域中 發件者的 訊息會受到模擬保護檢查。 如果郵件傳送給套用原則的收件者， (默認原則的所有收件者;如果訊息傳送給套用至默認原則的所有收件者，則會檢查郵件是否為模擬;自定義原則中的使用者、群組和網域收件者) 。 如果在寄件者電子郵件地址的網域中偵測到模擬，則網域仿真的動作會套用至郵件。

根據預設，默認原則或自定義原則中不會設定任何發件者網域進行模擬保護。

針對偵測到的網域模擬嘗試，可以使用下列動作：

• 請勿套用任何動作：這是預設值。

• 將郵件重新導向至其他電子郵件位址：將郵件傳送給指定的收件者，而不是預定的收件者。

• 將郵件移至收件者的垃圾郵件 Email 資料夾：郵件會傳遞至信箱，並移至 [垃圾郵件] Email資料夾。 如需詳細資訊，請參閱在 Microsoft 365 中 Exchange Online 信箱上設定垃圾郵件設定。

• 隔離郵件：將郵件傳送至隔離區，而不是預期的收件者。 如需隔離的相關資訊，請參閱下列文章：

  • Microsoft 365 中的隔離
  • 在 Microsoft 365 中以系統管理員身分管理隔離的郵件和檔案
  • 在 Microsoft 365 中以使用者身分尋找並釋放隔離的郵件

  如果您選取 [隔離郵件]，您也可以選取套用至網域模擬保護所隔離之郵件的隔離原則。 隔離原則會定義用戶能夠對隔離郵件執行的動作。 如需詳細資訊， 請參閱隔離原則的結構。

• 傳遞郵件並將其他位址新增至密件抄送行：將郵件傳遞給預定的收件者，並以無訊息方式將郵件傳遞給指定的收件者。

• 傳遞訊息之前先刪除訊息：以無訊息方式刪除整個訊息，包括所有附件。

信箱智慧模擬保護

信箱智慧會使用人工智慧 (AI) 來判斷使用者電子郵件模式與其經常聯繫人。

例如， () 是 glaureano@contoso.com 貴公司的CEO，因此您在 [ 啟用使用者保護 ] 原則的設定中，將她新增為受保護的發件者。 但是，原則中的某些收件者會定期與一位廠商通訊，而廠商也名為許可權： () glaureano@fabrikam.com 。 由於這些收件者具有的 glaureano@fabrikam.com通訊歷程記錄，因此信箱智慧不會將來自 glaureano@fabrikam.com 的郵件識別為這些收件者的模擬嘗試 glaureano@contoso.com 。

注意事項

如果寄件人和收件者先前已透過電子郵件進行通訊，信箱智慧保護將無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊，則信箱智慧可以將郵件識別為模擬嘗試。

信箱智慧有兩個特定設定：

• 啟用信箱智慧：開啟或關閉信箱智慧。 此設定可協助 AI 區別郵件與合法和仿真的發件者。 根據預設，此設定會開啟。
• 啟用智慧以進行模擬保護：根據預設，此設定會關閉。 使用從信箱智慧學習的聯繫人歷程記錄， (頻繁的聯繫人和沒有聯繫人) 來協助保護使用者免於遭受模擬攻擊。 若要讓信箱智慧對偵測到的郵件採取動作，必須開啟此設定和 [啟用信箱智慧 ] 設定。

針對信箱智慧偵測到的模擬嘗試，可以使用下列動作：

• 請勿套用任何動作：這是預設值。 此動作的結果與開啟 [啟用信箱智慧 ] 但 [ 啟用智慧模擬保護 ] 關閉時的結果相同。
• 將郵件重新導向至其他電子郵件位址
• 將郵件移至收件者的垃圾郵件 Email資料夾
• 隔離郵件：如果您選取此動作，也可以選取套用至信箱情報保護所隔離郵件的隔離原則。 隔離原則會定義使用者可以對隔離郵件執行哪些操作，以及使用者是否收到隔離通知。 如需詳細資訊， 請參閱隔離原則的結構。
• 傳遞訊息，並將其他位址新增至密件抄送行
• 在訊息傳遞之前先刪除訊息

模擬安全提示

當訊息識別為模擬嘗試時，使用者會出現模擬安全提示。 有下列安全秘訣可供使用：

• 顯示用戶模擬安全提示：寄件者位址包含 用戶模擬保護中指定的使用者。 只有在 [ 啟用使用者保護 ] 已開啟並設定時才能使用。

  此安全提示是由訊息之 X-Forefront-Antispam-Report 標頭中字段的值 9.20 SFTY 所控制。 文字顯示：

  此寄件者看起來與先前傳送電子郵件給您的人類似，但可能不是該人。

• 顯示網域模擬安全提示：寄件者位址包含網 域模擬保護中指定的網域。 只有在開啟並設定 [ 啟用要保護的網域 ] 時才能使用。

  此安全提示是由訊息之 X-Forefront-Antispam-Report 標頭中的 欄位值 9.19 SFTY 所控制。 文字顯示：

  此寄件者可能正在模擬與您組織相關聯的網域。

• 顯示用戶模擬不尋常的字元安全提示：寄件者位址包含不尋常的字元集 (例如，數學符號和文字，或在 用戶模擬保護中指定的寄件者中) 大寫和小寫字母的混合。 只有在 [ 啟用使用者保護 ] 已開啟並設定時才能使用。 文字顯示：

  電子郵件位址 <email address> 包含非預期的信件或數位。 建議您不要與此訊息互動。

注意事項

安全提示不會在下列訊息中加上戳記：

• S/MIME 簽署的訊息。
• 組織設定允許的訊息。

受信任的寄件人和網域

受信任的寄件人和網域是模擬保護設定的例外狀況。 原則永遠不會將來自指定寄件人和寄件者網域的訊息歸類為模擬型攻擊。 換句話說，受保護的發件者、受保護的網域或信箱智慧保護的動作不會套用至這些受信任的發件者或發件者網域。 這些清單的最大限制是1024個專案。

注意事項

受信任的網域專案不包含指定網域的子域。 您需要為每個子域新增一個專案。

如果下列寄件者的 Microsoft 365 系統訊息識別為模擬嘗試，您可以將寄件者新增至受信任的寄件人清單：

• noreply@email.teams.microsoft.com
• noreply@emeaemail.teams.microsoft.com
• no-reply@sharepointonline.com

適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的進階網路釣魚閾值

下列進階網路釣魚閾值僅適用於 適用於 Office 365 的 Defender 中的反網路釣魚原則。 這些臨界值可控制將機器學習模型套用至訊息以判斷網路釣魚決策的敏感度：

• 1 - 標準：這是預設值。 對訊息採取的動作嚴重性取決於訊息網路釣魚的信賴程度， (低、中、高或非常高的信賴度) 。 例如，識別為具有極高信賴度之網路釣魚的訊息會套用最嚴重的動作，而識別為低信賴度網路釣魚的訊息則套用了較不嚴重的動作。
• 2 - 積極：識別為具有高度信賴度之網路釣魚的訊息會被視為以非常高的信賴度識別。
• 3 - 更積極：識別為具有中度或高度信賴度之網路釣魚的訊息，會被視為以非常高的信賴度來識別。
• 4 - 最積極：識別為具有低度、中度或高度信賴度之網路釣魚的訊息，會被視為以非常高的信賴度來識別。

當您增加此設定時， (標示為不良) 良好訊息的誤判機率會增加。 如需建議設定的相關信息，請參閱 適用於 Office 365 的 Microsoft Defender 中的反網路釣魚原則設定。