檢視次數:
雲端電子郵件和協作保護 利用 Content Scanning 提供高級垃圾郵件保護,作為您電子郵件閘道端電子郵件保護服務的補充,進一步保護您的電子郵件服務使用者免受灰色郵件、詐騙、商業電子郵件詐騙 (BEC)、勒索軟體、高級網路釣魚和其他高知名度攻擊的侵害。它使用以下組件在檢測不需要的內容、阻擋或自動允許電子郵件訊息時實施啟發式策略:
  • 趨勢科技垃圾郵件防護引擎
  • 趨勢科技垃圾郵件防護病毒碼檔案
趨勢科技經常更新引擎和樣本檔案,並提供下載。雲端電子郵件和協作保護 會透過預約更新自動下載這些元件。
垃圾郵件防護引擎使用垃圾郵件簽名和啟發式規則來過濾電子郵件訊息。它會掃描電子郵件訊息,並根據其與病毒碼檔案中的規則和模式的匹配程度,指派每封郵件一個垃圾郵件分數。然後,它會將分數與使用者定義的垃圾郵件偵測等級進行比較,並將結果發送給雲端電子郵件和協作保護。當垃圾郵件分數超過偵測等級時,雲端電子郵件和協作保護會根據訊息所屬的類別對電子郵件訊息採取行動。您無法修改垃圾郵件防護引擎用來指派垃圾郵件分數的方法,但可以調整雲端電子郵件和協作保護使用的偵測等級,以決定什麼是垃圾郵件,什麼不是垃圾郵件。
垃圾郵件防護引擎還利用其趨勢科技電子郵件行為分析 (EBA) 模組來檢測灰色郵件和詐騙信息:
  • 灰色郵件:不符合垃圾郵件定義的已請求大量電子郵件。不同用戶可能會合理地將其視為垃圾郵件或好郵件。
  • 詐騙:在首先獲得某人或某團體的信任後,試圖欺詐他們的行為,例如,預付款詐騙如419詐騙、彩票詐騙和比特幣詐騙。
此外,雲端電子郵件和協作保護 與趨勢科技的寫作風格 DNA 整合,為您組織的使用者提供針對 BEC 威脅的額外保護層。欲了解詳細資訊,請參閱 關於寫作風格 DNA
相關資訊

關於寫作風格 DNA

雲端電子郵件和協作保護 與趨勢科技的寫作風格 DNA 整合,為您組織的用戶提供針對 BEC 威脅的額外保護層。
通過利用隨附的寫作風格分析 Writing Style DNA,雲端電子郵件和協作保護 掃描目標個人的書面電子郵件訊息,以了解其特定的寫作風格,然後在電子郵件系統上訓練寫作風格模型以進行作者身份識別。這個寫作風格模型是一組使用自動化方法探索的屬性或特徵,能夠唯一識別個人撰寫電子郵件訊息的方式。雲端電子郵件和協作保護 然後使用該模型與受保護郵箱中聲稱由該個人發送的來信進行比較,以識別作者身份。
注意
注意
在此版本中,寫作風格分析適用於用英語、日語、德語、法語、西班牙語、瑞典語、丹麥語、挪威語、芬蘭語和巴西葡萄牙語撰寫的電子郵件訊息。
這需要雲端電子郵件和協作保護來訓練和分析每個高知名度用戶的特定寫作風格模型。由於用戶的寫作風格模型可能會隨時間變化,因此也有必要不斷更新它們以微調電子郵件正在過濾。因此,一旦啟用此功能,雲端電子郵件和協作保護就會開始訓練高知名度用戶的寫作風格,以建立可用的個人模型,並在有新的電子郵件消息時改進它們。

配置高級垃圾郵件保護

步驟

  1. 選擇Advanced Spam Protection
  2. 啟用高級垃圾郵件保護。
  3. (可選)選擇Allow Trend Micro to collect suspicious email information to improve its detection capabilities.
  4. 配置規則設定。
    設定
    說明
    套用至
    選擇高級垃圾郵件保護適用的電子郵件範圍。
    • All messages:表示此政策適用於收件、發件和內部電子郵件訊息。收件/發件電子郵件訊息是從/發送到非內部網域。
    • Incoming messages:表示此政策僅適用於來自非內部網域的傳入電子郵件訊息。
    注意
    注意
    有關內部網域的詳細資訊,請參閱 配置內部網域清單
    對於 Exchange Online(內聯模式),範圍固定為Inbound messages 用於輸入保護,Outbound messages 用於輸出保護。輸入郵件是從組織外部發送到組織內部地址,而輸出郵件是從組織內部發送到外部地址。
    偵測層級
    選擇偵測級別。選項包括:
    • :這是最嚴格的垃圾郵件偵測級別。雲端電子郵件和協作保護 監控所有電子郵件中的可疑檔案或文字,但誤判的機率較高。誤判是指那些被 雲端電子郵件和協作保護 過濾為垃圾郵件但實際上是合法的電子郵件。
    • 雲端電子郵件和協作保護 以高水準的垃圾郵件偵測進行監控,並具有中等機率的誤判過濾。
    • :這是最寬鬆的垃圾郵件偵測等級。雲端電子郵件和協作保護 只會過濾最明顯和常見的垃圾郵件,但幾乎不會過濾誤判的郵件。
    增強型BEC偵測
    前往 全域設定User-Defined ListsHigh Profile ListsHigh Profile UsersHigh Profile Domains,或 全域設定User-Defined ListsInternal Domain List,並根據需要指定高級用戶、外部或內部域。
    注意
    注意
    • 這使得雲端電子郵件和協作保護能夠進一步檢查聲稱來自最常被偽造的用戶或域的電子郵件訊息,應用欺詐檢查標準來識別偽造訊息,並對BEC攻擊採取行動。
    • 此功能不適用於 Exchange Online(內聯模式)的輸出保護。
    異常信號檢測
    (僅限 Exchange Online)
    注意
    注意
    此功能不適用於 Exchange Online(內嵌模式)。
    異常信號是指電子郵件中看起來對 雲端電子郵件和協作保護 可疑的行為或特徵。單一的異常信號並不意味著一定的安全威脅,但可能表示潛在風險。當在電子郵件訊息中檢測到一個異常信號時,雲端電子郵件和協作保護 支援對該訊息採取 Unusual Signal 的動作。關於異常信號的詳細資訊,請參閱 異常訊號
    • 選擇是否檢查具有以下任何可疑屬性的外部發件人:
      • 寄件者的顯示名稱與高級用戶列表相符。
        此功能需要您配置高級用戶列表
      • 發件人在過去至少30天內未發送任何電子郵件。
        發件人可以來自現有的網域或新註冊的網域。
        注意
        注意
        雲端電子郵件和協作保護 根據趨勢科技收集的資訊來判斷發件人是否符合標準。
    • 選擇是否檢查其他異常信號。
      以下是一些範例:
      • 異常品牌行為
      • URL 類似於已知的惡意連結
      • 陌生發件人討論付款相關問題
      趨勢科技將持續新增新的異常信號,以幫助您檢測更多偏離正常或常規的電子郵件行為或特徵。
    顯示名稱偽造檢測
    選擇此選項以啟用顯示名稱欺騙檢測。預設情況下,此選項為禁用狀態。
    雲端電子郵件和協作保護 檢查外部發件人的顯示名稱,以確定該名稱是否與您組織中使用的名稱相似或相同,然後分析來自該發件人的電子郵件,以確定該郵件是否為詐騙、網路釣魚、商業電子郵件詐騙 (BEC) 或勒索軟體攻擊。雲端電子郵件和協作保護 根據檢測到的安全威脅類別採取配置的操作,以保護您組織的用戶免受使用顯示名稱欺騙的電子郵件冒充攻擊。
    注意
    注意
    • 如果您想要排除某些外部發件人以免被此偵測到,請前往全域設定User-Defined ListsDisplay Name Spoofing Detection Exception List,並將發件人的電子郵件地址添加到例外清單中。
    • 此功能不適用於 Exchange Online(內聯模式)的輸出保護。
    回溯掃瞄與自動修復
    選擇是否重新掃描歷史電子郵件訊息並採取補救措施。此選項預設為停用。
    注意
    注意
    • 此功能不適用於 Exchange Online(內嵌模式)。
    • 此功能不適用於符合高級垃圾郵件保護中的核准/已封鎖寄件者清單或核准標頭欄位清單,或全球核准標頭欄位清單的電子郵件訊息。
    啟用此功能需要開啟Allow Trend Micro to collect suspicious email information to improve its detection capabilities.
    一旦選項已啟動,雲端電子郵件和協作保護 在掃描訊息時開始收集電子郵件訊息的元數據。當更多元數據累積時,雲端電子郵件和協作保護 會分析這些元數據,利用更新的模式檔案和機器學習技術來觀察和分析電子郵件行為,從而檢測先前未識別或未知的威脅。回溯掃瞄的一個顯著優勢是它可以關聯不同電子郵件訊息的屬性,這有助於檢測無法通過逐一分析訊息來發現的威脅。
    根據回溯掃瞄結果,雲端電子郵件和協作保護 會自動對受影響的電子郵件訊息採取補救措施。
    • 對於應該被過濾為垃圾郵件或其他類型威脅但未被過濾的電子郵件訊息,雲端電子郵件和協作保護 會對該電子郵件訊息採取管理員配置的操作。
    • 對於被錯誤過濾為垃圾郵件或其他類型威脅的電子郵件訊息,雲端電子郵件和協作保護 會在訊息被高級垃圾郵件保護過濾器隔離時恢復該電子郵件訊息,或在訊息被此過濾器移至垃圾郵件資料夾時將訊息移至收件匣。雲端電子郵件和協作保護 不會撤銷其他操作。
    灰郵檢測
    (僅限 Exchange Online)
    注意
    注意
    此功能不適用於 Exchange Online(內聯模式)的輸出保護。
    1. 選擇Enable Graymail Detection
      雲端電子郵件和協作保護 偵測到以下為灰郵件訊息:
      • 行銷訊息和電子報
      • 社群網路通知
      • 論壇通知
      • 大量電子郵件訊息
    2. 請選擇至少一個灰郵件類別。
    BEC 寫作風格分析
    注意
    注意
    • 此功能為雲端電子郵件和協作保護提供了一種增強的方法,以訓練高級用戶的寫作風格模型來檢測可能的BEC攻擊。需要進行額外的配置。
    • 此功能不適用於 Exchange Online(內聯模式)的輸出保護。
    在配置寫作風格分析設定之前,請前往全域設定進行配置:
    配置 BEC 設定的寫作風格分析。詳情請參閱 配置 BEC 的寫作風格分析
  5. 點選Approved/Blocked Lists
  6. 配置已核准/已封鎖的寄件者清單。
    1. 啟用已核准的寄件者清單。
    2. 指定一個發送電子郵件地址或網域以繞過高級垃圾郵件保護掃描,然後點選Add >
      注意
      注意
      您可以使用萬用字元 (*) 來表示電子郵件地址或網域名稱中的任何字符。範例:*@example.comname@*.com*@*.example.com
      以下格式無效:*@**
    3. 您可以選擇點選匯入以批次匯入寄件者電子郵件地址。
    4. 啟用已封鎖的寄件者清單。
      注意
      注意
      對於符合已封鎖寄件者清單的電子郵件,雲端電子郵件和協作保護 會套用 Blocked sender/header field lists 指定的動作。
    5. 指定一個發送電子郵件地址或網域以直接對訊息執行動作,然後點選Add >
      注意
      注意
      您可以使用萬用字元 (*) 來表示電子郵件地址或網域名稱中的任何字符。範例:*@example.comname@*.com*@*.example.com
      以下格式無效:*@**
    6. 您可以選擇點選匯入以批次匯入寄件者電子郵件地址。
    7. 前往處理行動以設定已封鎖的寄件者/標頭欄位清單的操作。
    • 對於 Gmail,Label email刪除隔離 皆受支援。
    • 對於其他應用程式和服務,隔離刪除 受到支援。
  7. 配置已核准的標頭欄位列表。
    1. 啟用已核准的標頭欄位清單。
    2. 指定標頭欄位名稱和欄位的值,並根據需要選擇ContainsEquals
    3. 點選新增
      指定的條目顯示在下方區域。
      當電子郵件訊息的指定標頭欄位包含或完全符合指定值,這取決於選擇ContainsEquals,該訊息將不會被高級垃圾郵件保護掃描垃圾郵件,但仍會通過政策中的其他安全過濾器。
      注意
      注意
      請注意,標頭欄位名稱和值區分大小寫,不支援萬用字元和正則表達式。
      標頭欄位名稱和值不能超過 128 個字元。
    4. 如有需要,可選擇重複步驟bc以添加另一個標頭欄位。
      符合任何指定條目的電子郵件標頭欄位將不會被高級垃圾郵件保護掃描。
      注意
      注意
      最多支援 10 個標頭欄位。
    5. 若要刪除指定的標頭欄位,請從列表中選擇它並點選刪除
    此處配置的已批准標頭欄位列表僅適用於當前策略。您還可以創建適用於所有已啟動的 Exchange Online 策略的已批准標頭欄位列表。詳細資訊,請參閱 為 Exchange Online 配置已批准的標頭欄位列表
  8. 配置已封鎖的標頭欄位列表。
    1. 啟用已封鎖的標頭欄位列表。
      注意
      注意
      對於符合已封鎖標頭欄位列表的電子郵件,雲端電子郵件和協作保護 會應用為 Blocked sender/header field lists 指定的操作。
    2. 通過指定標頭欄位名稱和欄位值,並選擇ContainsEquals作為它們的關係來定義規則。
    3. 通過點擊Add Header Field添加電子郵件需要匹配的更多標頭欄位。
      當電子郵件符合規則中指定的所有標頭欄位時,即符合已封鎖的標頭欄位規則。
      您可以在一個規則中添加最多 10 個標頭欄位。
      注意
      注意
      請注意,標頭欄位名稱和值區分大小寫,不支援萬用字元和正則表達式。
      標頭欄位名稱和值不能超過 128 個字元。
    4. 通過點擊Add to Rule List將定義的規則添加到現有的規則列表中。
      您可以新增最多 10 條已封鎖的標頭欄位規則。
  9. 點選Action & Notification
  10. 為每個類別配置處理行動設定。
    雲端電子郵件和協作保護 允許您按以下類別配置操作:
    • (僅限 Exchange Online)灰郵件
    • (僅限 Exchange Online)詐騙:例如,419 詐騙、彩票詐騙和比特幣詐騙。
    • 商業電子郵件詐騙
    • 網路釣魚
    • 勒索軟體
    • 惡意內容:攜帶其他類型惡意攻擊的垃圾郵件,例如指揮與控制 (C&C)、惡意程式和銀行特洛伊木馬程式。
    • 垃圾郵件:例如,未經請求的商業電子郵件或未經請求的大量電子郵件。
      如果某些內部電子郵件被 雲端電子郵件和協作保護 檢測為其他垃圾郵件,但根據您組織的安全政策將其視為正常郵件,您可以選擇 Pass all the messages sent from internal domains if detected as other spam 來幫助減少誤報。
      注意
      注意
      若要為 Exchange Online(內嵌模式)啟用輸出保護,請選擇Pass all outbound messages detected as other spam without logging(可選)。
    • 已封鎖寄件者/標頭欄位列表:來自電子郵件地址與已封鎖寄件者列表匹配的寄件者的訊息。
    • 異常信號:與任何異常特徵或行為相符的訊息,對雲端電子郵件和協作保護來說看起來可疑。
      注意
      注意
      趨勢科技建議您採取“添加免責聲明”操作,以提醒您的用戶電子郵件中的不尋常特徵或行為。由於單一的不尋常信號並不意味著一定是安全威脅,我們不建議採取“隔離”或“刪除”操作。
    有關操作的詳細資訊,請參閱 不同服務可用的操作
    如需了解有關高級垃圾郵件保護過濾操作的詳細資訊,請參閱 高級垃圾郵件保護正在過濾操作標準
  11. 配置通知設定。
    選項 說明
    通知管理員
    1. 透過選擇收件者群組或指定個別收件者來指定要通知的管理員。您可以點選Manage recipient groups來編輯群組中的成員或新增更多群組。
    2. 指定訊息詳細資訊以通知管理員雲端電子郵件和協作保護檢測到安全風險並對電子郵件訊息、附件或檔案採取了行動。
    3. 設定通知閾值以限制發送通知訊息的數量。閾值設定包括:
      • Send consolidated notifications periodically雲端電子郵件和協作保護 發送一封電子郵件,匯總一段時間內的所有通知。請在框中輸入一個數字並選擇小時或天來指定時間段。
      • Send consolidated notifications by occurrences雲端電子郵件和協作保護 發送一封電子郵件,匯總一定數量的過濾操作通知。請在框中輸入一個數字以指定病毒/惡意程式發生的次數。
      • 發送個人通知雲端電子郵件和協作保護每次都會發送電子郵件通知雲端電子郵件和協作保護執行過濾操作。
    通知使用者
    指定訊息詳細資訊,通知收件者雲端電子郵件和協作保護檢測到安全風險並對其電子郵件訊息或附件採取了行動。
    注意
    注意
    指定通知訊息時,請包含相關的標記並根據需要編輯訊息內容。有關標記的詳細資訊,請參閱 代幣列表
  12. 點選儲存或在左側導航中選擇其他政策配置以繼續添加規則。
相關資訊

配置 BEC 的寫作風格分析

步驟

  1. 選擇Enable writing style analysis
    雲端電子郵件和協作保護 會自動開始從已配置的電子郵件地址檢索高級用戶撰寫的電子郵件訊息,並分析它們以訓練每個用戶的寫作風格模型。要查看訓練進度,請前往 全域設定User-Defined ListsHigh Profile ListsHigh Profile Users
    要為新增至您電子郵件服務(即 Exchange Online 或 Gmail)的每位高級用戶訓練寫作風格模型,您必須在該服務的至少一個進階安全威脅防護政策中啟用寫作風格分析。如果您在該服務的所有政策中關閉寫作風格分析,訓練過程將會暫停,並在至少一個政策中啟用寫作風格分析時恢復。
    重要
    重要
    雲端電子郵件和協作保護 只掃描電子郵件訊息以訓練每個高級用戶的特定寫作風格模型,並不會收集任何實際的電子郵件訊息或其內容。
  2. 選擇一個動作。
    符合寫作風格分析標準的來信電子郵件訊息將根據此處配置的操作進行處理,無論處理行動中的BEC設定如何。
    有關操作的詳細資訊,請參閱 不同服務可用的操作
    如果在電子郵件服務的多個政策中已啟動寫作風格分析,則適用優先級較高的政策中配置的操作。
    如果您希望與高級用戶相關的電子郵件地址跳過寫作風格驗證掃描,請將電子郵件地址添加到High Profile User Exception List
  3. 選擇Notify supposed sender來決定是否向預期為電子郵件訊息真實發送者的高級用戶發送通知訊息。
    • 選擇Attach the original email message來決定在通知假定的發件人時是否將原始電子郵件訊息作為附件添加。
      注意
      注意
      處理行動設置為刪除隔離時,此選項不適用。
    • 選擇Allow the supposed sender to provide feedback來決定是否在通知訊息中添加反饋選項。
      假設的發件人可以點選來確認發件人是否真的發送了該電子郵件訊息。這不會影響對電子郵件訊息的中毒處理行動,但有助於趨勢科技改進其寫作風格分析能力。
  4. (可選)選擇Notify administrator
    專門為寫作風格分析違規設計的訊息將被發送,以通知管理員雲端電子郵件和協作保護通過電子郵件檢測到可能的BEC攻擊並對該電子郵件訊息採取了行動。無論管理員是否收到通知訊息,均取決於此處的設定,而不受通知中的設定影響。
    • 如有需要,可選擇點選Edit notification來修改訊息內容。有關代幣的詳細資訊,請參閱代幣列表
    • 選擇Attach the original email message來決定在通知管理員時是否將原始電子郵件訊息作為附件添加。
      注意
      注意
      處理行動設置為刪除隔離時,此選項不適用。

高級垃圾郵件保護正在過濾操作標準

高級垃圾郵件保護正在過濾Exchange Online的動作標準如下:
  • 對於詐騙、商業電子郵件詐騙、網路釣魚、勒索軟體和惡意垃圾郵件類別,預設中毒處理行動是隔離,對於灰色郵件是暫不處理,對於其他垃圾郵件是Move to Junk Email folder
  • 雲端電子郵件和協作保護 對電子郵件訊息採取 Move to Junk Email folder 動作後,該電子郵件訊息仍會被送至其他掃描過濾器進行進一步處理。
  • 如果一封電子郵件同時符合多個類別,雲端電子郵件和協作保護 會結合每個類別設定的動作,並僅採取優先級最高的動作。這些動作的優先級從高到低依次為:刪除隔離Move to Junk Email folderTag subject暫不處理
  • 如果使用者將電子郵件訊息移至或從垃圾郵件資料夾還原,雲端電子郵件和協作保護 將在新的手動掃瞄開始時掃瞄並處理該訊息。
  • 如果電子郵件訊息在執行Move to Junk Email folder操作後被雲端電子郵件和協作保護移至垃圾郵件資料夾,雲端電子郵件和協作保護將不會再次掃瞄和處理該訊息。
  • 如果電子郵件被 Exchange Online 移動到垃圾郵件資料夾,雲端電子郵件和協作保護 會處理它,並且只要對應垃圾郵件類別設定的動作優先於 Move to Junk Email folder,仍會對其採取行動。
高級垃圾郵件保護正在過濾Gmail的動作標準如下:
  • 對於企業電子郵件詐騙、網路釣魚、勒索軟體和惡意垃圾郵件類別,預設中毒處理行動是Label email,而其他垃圾郵件的預設中毒處理行動是Move to Spam
  • 雲端電子郵件和協作保護 對電子郵件訊息採取 Move to Spam 動作後,該電子郵件訊息仍會被發送到其他掃描過濾器進行進一步處理。
  • 如果一封電子郵件符合多個垃圾郵件類別,雲端電子郵件和協作保護 會結合每個類別設定的動作,並僅採取優先級最高的動作。這些動作的優先級從高到低依次為:刪除Label emailMove to Spam暫不處理
  • 如果電子郵件被 Gmail 移至垃圾郵件資料夾,雲端電子郵件和協作保護 仍會處理並對其採取行動,只要對應垃圾郵件類別設定的動作優先於 Move to Spam

異常訊號

下表列出了雲端電子郵件和協作保護可以檢測到的異常信號。
訊號
說明
帳戶接管
此寄件者帳戶可能已遭入侵。
異常URL
電子郵件中的網址類似於其他惡意電子郵件中的網址。
付款-PDF-免費-電子郵件
此訊息來自免費電子郵件服務,並在 PDF 附件中討論付款相關問題。
付款-HTML-免費-電子郵件
此訊息來自免費電子郵件服務,並在 HTML 附件中討論與付款相關的問題。
付款-HTML-NB-帳戶
此帳戶之前未與您有過聯繫,並在 HTML 附件中討論付款相關問題。
偽造品牌
發件人聲稱是知名品牌。然而,發件人的行為與該品牌的已知行為不符。
可疑-通知
附件可能包含用於惡意活動的連結。