邮件规则

邮件规则

邮件规则允许您指定不应补救或扫描的某些类型的邮件。您可以创建:

n “允许列表”规则

n “判定覆盖”规则

n “绕过分析”规则

注意: “允许列表”和“判定覆盖”规则不适用于无身份验证模式下的企业。

管理 (Administration) > 邮件规则 (Message Rules) 页面创建和管理邮件规则。

“绕过分析”规则优先于“允许列表”和“判定覆盖”规则。如果邮件受规则影响,则会在“邮件”(Messages) 页面的“邮件规则”(Message Rules) 列中指明。将光标悬停在“规则”(Rules) 列中的项目上即可查看应用的规则。

注意: 规则不会自动应用于子域。域会完全按照规则中的指示进行匹配。

允许列表规则

“允许列表”规则让您能够阻止对来自特定发件人邮件地址、发件人域或发件人 IP 地址的威胁、垃圾邮件和/或灰色邮件进行补救。系统仍会分析邮件,但不会应用自动补救。例如,如果思科安全邮件威胁防御确定来自某个发件人的项目是垃圾邮件,但您希望将这些项目保留在用户收件箱中,则可以创建“允许列表”规则来覆盖对此类邮件进行补救的任何策略。“允许列表”(Allow List) 规则是整体策略设置的例外情况。与“允许列表”规则匹配的邮件仍会显示在“影响”(Impact) 报告中。

“允许列表”规则:

n 应用于威胁、垃圾邮件和/或灰色邮件。

n 指定允许的发件人邮件地址、发件人域或发件人 IP 地址(IPv4 或 CIDR 块)。

n 每个规则最多可以包含 50 个条件。也就是说,可以包含 50 个邮件地址、域或地址。

活动规则的数量限制为 20。规则可以停用或删除。

判定覆盖规则

“判定覆盖”(Verdict Override) 规则允许您覆盖与规则指定的条件匹配的威胁、垃圾邮件和/或灰色邮件判定。邮件会被标记为“中性”判定,并且不会进行补救。判定被覆盖的邮件不会显示在“影响”(Impact) 报告中。

“判定覆盖”规则:

n 应用于威胁、垃圾邮件和/或灰色邮件。

n 指定允许的发件人邮件地址、发件人域或发件人 IP 地址(IPv4 或 CIDR 块)。

n 每个规则最多可以包含 50 个条件。也就是说,可以包含 50 个邮件地址、域或 IP 地址。

活动规则的数量限制为 20。规则可以停用或删除。

绕过分析规则

“绕过分析”(Bypass Analysis) 规则让您能绕过对网络钓鱼测试或符合条件的安全邮箱邮件的分析。符合规则条件的邮件将绕过所有引擎分析,因此您可以在不受引擎干扰的情况下处理安全测试。思科安全邮件威胁防御不会打开或扫描附件和链接。

注意: 如果创建了绕过分析规则用于测试,则应在适当的时间段后重新考虑该规则,以防止出现漏洞。

“网络钓鱼测试”规则:

n 应用于来自指定发件人邮件地址、发件人域或 IP 地址的所有传入邮件(IPv4 或 CIDR 块);邮件不会被分析。

注意 :我们建议仅使用发件人 IP 地址/CIDR 条件来绕过特定的发件人基础设施;IP 地址不像发件人电子邮件地址或域那么容易被欺骗。

n 每个规则最多可以包含 50 个条件。

“安全邮箱”规则:

n 应用于指定收件人邮件地址的传入邮件;邮件不会被分析。

注意: 如果指定的收件人是邮件的唯一收件人,则会应用“安全邮箱”规则。如果其他收件人被复制或作为密件抄送
(密件抄送),则邮件不会绕过分析引擎。

n 每个规则最多可以包含 50 个条件。

活动“绕过分析”规则的数量限制为 20。规则可以停用或删除。

关于创建和使用绕过规则的公告

创建和使用“绕过规则”时,请注意以下重要警告。

n 绕过规则会绕过对匹配规则条件的邮件的所有扫描和保护。除了客户员工安全意识培训(网络钓鱼测试)或最终邮箱用户向组织的安全邮箱报告之外,请勿将绕过规则用于任何其他使用案例。这些是“绕过规则”仅支持的场景。对于所有其他场景,仅支持“判定覆盖”或“允许规则”。

n 强烈建议仅使用网络钓鱼测试供应商提供的专用发件人 IP 地址/CIDR 块作为绕过规则的基础。

n 请注意,如果网络钓鱼测试供应商无法提供专用的发件人 IP 地址/CIDR 块;在“绕过”规则中使用“发件人域”(Sender Domain) 或“邮件地址”(Sender Email Address) 让您有机会绕过潜在的欺骗性邮件。

n 请勿在绕过规则中使用发件人域名或电子邮件地址,除非您已单独验证组织的上游边缘电子邮件控件已严格执行发件人电子邮件身份验证,且指定的发件人域名或发件人电子邮件地址与所有打算匹配绕过规则的邮件的最终返回路径信头完全匹配。

添加邮件规则

添加邮件规则的步骤会因规则类别而异。

添加新的允许列表或判定覆盖规则

完成以下步骤以创建新规则:

1. 选择 管理 (Administration) > 邮件规则 (Message Rules)

2. 选择要创建的规则类别: 允许列表 (Allow List) 判定覆盖 (Verdict Override)

3. 点击 Add New Rule 按钮。

4. 创建规则名称。每个规则必须有唯一名称。

5. 选择条件类型。您可以选择发件人邮件、发件人域、发件人 IP 地址 (IPv4) 或发件人 IP 地址 (CIDR)。

6. 输入要允许或覆盖的项目,以逗号分隔。

7. 根据要允许的判定,选择“垃圾邮件”(Spam)、“灰色邮件”(Graymail) 和/或“威胁”(Threats)。

8. 点击 提交 (Submit) 完成创建此规则。

您的规则会被添加到列表中。更改最多可能需要 20 分钟即可生效。

添加新的绕过分析规则

完成以下步骤以创建新规则:

1. 选择 管理 (Administration) > 邮件规则 (Message Rules)

2. 选择 绕过分析 (Bypass Analysis)

3. 点击 Add New Rule 按钮。

4. 创建规则名称。每个规则必须有唯一名称。

5. 选择要创建的规则类型: 网络钓鱼测试 (Phish Test) 安全邮箱 (Security Mailbox)

6. 对于网络钓鱼测试规则,请选择条件类型:发件人邮件地址、发件人域、发件人 IP 地址 (IPv4) 或 IP 地址 (CIDR)。然后,输入您的项目,以逗号分隔。

对于安全邮箱规则,请输入收件人邮件地址,以逗号分隔。

7. 点击 提交 (Submit) 完成创建此规则。

您的规则会被添加到列表中。更改最多可能需要 20 分钟即可生效。

注意: 如果创建了绕过分析规则用于测试,则应在适当的时间段后重新考虑该规则,以防止出现漏洞。请参阅有关创建和使用“绕过规则”时要记住的重要警告。

编辑规则

请注意,只能编辑已启用的规则。要编辑规则,请执行以下操作:

1. 选择 管理 (Administration) > 邮件规则 (Message Rules)

2. 选择要编辑的规则类型。

3. 在“操作”(Actions) 列下,点击要编辑的规则旁边的铅笔图标。

4. 进行所需的更改,然后点击 保存更改 (Save Changes)

您的规则已更新。更改最多可能需要 20 分钟即可生效。

启用或禁用规则

要启用或禁用现有规则,请执行以下操作:

1. 选择 管理 (Administration) > 邮件规则 (Message Rules)

2. 选择要启用或禁用的规则类型。

3. 在“操作”(Actions) 列下,点击要更改其状态的规则旁边的启用或禁用图标。

规则的状态已更新。更改最多可能需要 20 分钟即可生效。

删除规则

要删除规则:

1. 选择 管理 (Administration) > 邮件规则 (Message Rules)

2. 选择要删除的规则类型。

3. 在“操作”(Actions) 列下,点击要删除的规则旁边的删除图标。

您的规则会被删除。

Microsoft 允许列表和安全发件人

思科安全邮件威胁防御 遵循添加到 Microsoft 365 垃圾邮件和灰色邮件中的垃圾邮件过滤器允许列表中的发件人和域。威胁判定(BEC、诈骗、恶意、网络钓鱼)不遵循 MS 允许列表;这些项目将根据您的策略设置进行补救。有关详细信息,请参阅
思科安全邮件威胁防御常见问题解答:思科安全邮件威胁防御和 Microsoft 365

如果您的组织允许个人用户在其邮箱中配置允许列表,并且邮件恰好属于用户的允许列表,则思科安全邮件威胁防御不总是遵循 Microsoft 允许列表。如果要让思科安全邮件威胁防御遵循这些设置,请在“策略”(Policy) 页面上选中 不补救包含垃圾邮件或灰色邮件判定的 Microsoft 安全发件人邮件 (Do not remediate Microsoft Safe Sender messages with Spam or Graymail verdicts) 复选框。垃圾邮件和灰色邮件判定会遵循安全发件人标志,但恶意和网络钓鱼判定不会遵循安全发件人标志。也就是说,带有垃圾邮件或灰色邮件判定的安全发件人邮件将不会进行补救。