邮件规则
邮件规则允许您指定不应补救或扫描的某些类型的邮件。您可以创建:
注意: “允许列表”和“判定覆盖”规则不适用于无身份验证模式下的企业。
从 管理 (Administration) > 邮件规则 (Message Rules) 页面创建和管理邮件规则。
“绕过分析”规则优先于“允许列表”和“判定覆盖”规则。如果邮件受规则影响,则会在“邮件”(Messages) 页面的“邮件规则”(Message Rules) 列中指明。将光标悬停在“规则”(Rules) 列中的项目上即可查看应用的规则。

注意: 规则不会自动应用于子域。域会完全按照规则中的指示进行匹配。
允许列表规则
“允许列表”规则让您能够阻止对来自特定发件人邮件地址、发件人域或发件人 IP 地址的威胁、垃圾邮件和/或灰色邮件进行补救。系统仍会分析邮件,但不会应用自动补救。例如,如果思科安全邮件威胁防御确定来自某个发件人的项目是垃圾邮件,但您希望将这些项目保留在用户收件箱中,则可以创建“允许列表”规则来覆盖对此类邮件进行补救的任何策略。“允许列表”(Allow List) 规则是整体策略设置的例外情况。与“允许列表”规则匹配的邮件仍会显示在“影响”(Impact) 报告中。
n 指定允许的发件人邮件地址、发件人域或发件人 IP 地址(IPv4 或 CIDR 块)。
判定覆盖规则
“判定覆盖”(Verdict Override) 规则允许您覆盖与规则指定的条件匹配的威胁、垃圾邮件和/或灰色邮件判定。邮件会被标记为“中性”判定,并且不会进行补救。判定被覆盖的邮件不会显示在“影响”(Impact) 报告中。
n 指定允许的发件人邮件地址、发件人域或发件人 IP 地址(IPv4 或 CIDR 块)。
绕过分析规则
“绕过分析”(Bypass Analysis) 规则让您能绕过对网络钓鱼测试或符合条件的安全邮箱邮件的分析。符合规则条件的邮件将绕过所有引擎分析,因此您可以在不受引擎干扰的情况下处理安全测试。思科安全邮件威胁防御不会打开或扫描附件和链接。
注意: 如果创建了绕过分析规则用于测试,则应在适当的时间段后重新考虑该规则,以防止出现漏洞。
n 应用于来自指定发件人邮件地址、发件人域或 IP 地址的所有传入邮件(IPv4 或 CIDR 块);邮件不会被分析。
注意 :我们建议仅使用发件人 IP 地址/CIDR 条件来绕过特定的发件人基础设施;IP 地址不像发件人电子邮件地址或域那么容易被欺骗。
注意:
如果指定的收件人是邮件的唯一收件人,则会应用“安全邮箱”规则。如果其他收件人被复制或作为密件抄送
(密件抄送),则邮件不会绕过分析引擎。
活动“绕过分析”规则的数量限制为 20。规则可以停用或删除。
关于创建和使用绕过规则的公告
n 绕过规则会绕过对匹配规则条件的邮件的所有扫描和保护。除了客户员工安全意识培训(网络钓鱼测试)或最终邮箱用户向组织的安全邮箱报告之外,请勿将绕过规则用于任何其他使用案例。这些是“绕过规则”仅支持的场景。对于所有其他场景,仅支持“判定覆盖”或“允许规则”。
n 强烈建议仅使用网络钓鱼测试供应商提供的专用发件人 IP 地址/CIDR 块作为绕过规则的基础。
n 请注意,如果网络钓鱼测试供应商无法提供专用的发件人 IP 地址/CIDR 块;在“绕过”规则中使用“发件人域”(Sender Domain) 或“邮件地址”(Sender Email Address) 让您有机会绕过潜在的欺骗性邮件。
n 请勿在绕过规则中使用发件人域名或电子邮件地址,除非您已单独验证组织的上游边缘电子邮件控件已严格执行发件人电子邮件身份验证,且指定的发件人域名或发件人电子邮件地址与所有打算匹配绕过规则的邮件的最终返回路径信头完全匹配。
添加邮件规则
添加新的允许列表或判定覆盖规则
1. 选择 管理 (Administration) > 邮件规则 (Message Rules) 。
2. 选择要创建的规则类别: 允许列表 (Allow List) 或 判定覆盖 (Verdict Override) 。
5. 选择条件类型。您可以选择发件人邮件、发件人域、发件人 IP 地址 (IPv4) 或发件人 IP 地址 (CIDR)。
7. 根据要允许的判定,选择“垃圾邮件”(Spam)、“灰色邮件”(Graymail) 和/或“威胁”(Threats)。
添加新的绕过分析规则
1. 选择 管理 (Administration) > 邮件规则 (Message Rules) 。
2. 选择 绕过分析 (Bypass Analysis) 。
5. 选择要创建的规则类型: 网络钓鱼测试 (Phish Test) 或 安全邮箱 (Security Mailbox) 。
6. 对于网络钓鱼测试规则,请选择条件类型:发件人邮件地址、发件人域、发件人 IP 地址 (IPv4) 或 IP 地址 (CIDR)。然后,输入您的项目,以逗号分隔。
您的规则会被添加到列表中。更改最多可能需要 20 分钟即可生效。
注意: 如果创建了绕过分析规则用于测试,则应在适当的时间段后重新考虑该规则,以防止出现漏洞。请参阅有关创建和使用“绕过规则”时要记住的重要警告。
编辑规则
1. 选择 管理 (Administration) > 邮件规则 (Message Rules) 。
3. 在“操作”(Actions) 列下,点击要编辑的规则旁边的铅笔图标。
启用或禁用规则
1. 选择 管理 (Administration) > 邮件规则 (Message Rules) 。
Microsoft 允许列表和安全发件人
思科安全邮件威胁防御 遵循添加到 Microsoft 365 垃圾邮件和灰色邮件中的垃圾邮件过滤器允许列表中的发件人和域。威胁判定(BEC、诈骗、恶意、网络钓鱼)不遵循 MS 允许列表;这些项目将根据您的策略设置进行补救。有关详细信息,请参阅
思科安全邮件威胁防御常见问题解答:思科安全邮件威胁防御和 Microsoft 365
。
如果您的组织允许个人用户在其邮箱中配置允许列表,并且邮件恰好属于用户的允许列表,则思科安全邮件威胁防御不总是遵循 Microsoft 允许列表。如果要让思科安全邮件威胁防御遵循这些设置,请在“策略”(Policy) 页面上选中 不补救包含垃圾邮件或灰色邮件判定的 Microsoft 安全发件人邮件 (Do not remediate Microsoft Safe Sender messages with Spam or Graymail verdicts) 复选框。垃圾邮件和灰色邮件判定会遵循安全发件人标志,但恶意和网络钓鱼判定不会遵循安全发件人标志。也就是说,带有垃圾邮件或灰色邮件判定的安全发件人邮件将不会进行补救。