有一天同事说收到一封钓鱼邮件,对方邮件地址是个外国的域名,但是发件人名称却仿冒我们公司内部的管理邮箱。
看到该邮件后,首先第一时间应当告知该上报的用户不要点击里面的链接,并建议立即修改邮箱密码。
随后,我们在exchange后台追踪该域名的垃圾邮件。
我追踪后看到该域名发送到我们公司的垃圾邮件只有一封,只发给了这一个用户。不过这种一般都是用户的邮箱地址被某些黑客得知了,后面可能会换成其他域名的邮箱继续发垃圾邮件来轰炸,所以建议对用户进行防钓鱼邮件安全意识培训,避免以后真的中招。
同时,我们可以创建一条邮件规则,防止该域名的邮件继续对其他用户发送钓鱼邮件。创建规则时点击“更多选项…”,能看到更丰富的选项。
注意:我这里是把这整个域名的邮件都放到托管隔离邮箱去,因为我确定我们公司不会和这个域名的人通讯,如果对方使用的是gmail、qq等公共邮箱,建议是把条件改成具体的邮件地址。
之后可以在安全管理中心这里看到被隔离的邮件,这些邮件只会保留15天,点击该邮件可以预览,如果是误拦截,可以释放该邮件。
隔离原因是“传输规则”的就是被我们刚刚设置的规则拦截了的,可以看到O365自己也有反垃圾邮件规则,这次的这封邮件没被它的反垃圾邮件规则匹配中,所以要我们自己创建规则来拦截下。