Exchange Online 是如何判定垃圾邮件？看完这篇你就懂了！（下）

六、发件人的"信誉分"有多重要

就像我们在生活中讲究信用一样，发件人在邮件世界里也有一个"信誉分"。这个分数是怎么来的呢？

首先，发件人使用的服务器 IP 地址会被检查。如果这个 IP 以前发过大量垃圾邮件，被列入了黑名单，那从这里发出的邮件，大概率会被当成垃圾邮件处理。这就好比一个人以前经常骗人，大家自然会对他说的话保持警惕。

其次，发件人使用的域名也会被考察。一个新注册的域名，就像一个新开张的店铺，没有历史记录，大家自然会比较谨慎。所以很多公司用新域名发营销邮件，效果往往不太好。

还有一点很关键，就是发件人的发送行为。如果你平时一天发几十封邮件，突然有一天发了几千封，系统就会觉得不对劲，可能会把你的邮件当成垃圾邮件处理。

小李遇到的问题，很大程度上就是因为她用的是公司新注册的营销域名，加上一次性发送数量比较大，触发了系统的风控机制。

不知道你有没有注意过，有些邮件一看就像是垃圾邮件。比如标题里写着"恭喜您中奖了"、"免费领取"、"限时优惠"之类的内容。

Exchange Online 的内容分析系统，就像是一个经验丰富的老编辑，它能识别出这些"敏感词"。如果一封邮件里出现了太多这样的词汇，就很容易被判定为垃圾邮件。

除了关键词，邮件的格式也很重要。有些垃圾邮件为了规避检测，会把内容做成图片，文字很少。这种做法现在已经被系统识破了，图片占比过高、文字过少的邮件，反而更容易被拦截。

还有一些细节也值得注意，比如邮件里用了太多的感叹号，或者整段文字都是大写的，这些都会被系统认为是"过度营销"的信号。

现在钓鱼邮件越来越猖獗，经常有人冒充公司老板或者合作伙伴发邮件。为了防止这种情况，邮件界有三样"法宝"，分别是 SPF、DKIM 和 DMARC。

SPF 就像是发件人的"户口本"，它记录了哪些服务器有权限代表这个域名发送邮件。如果一封邮件声称来自某个公司，但发送服务器不在这个公司的 SPF 记录里，那就很可能是伪造的。

DKIM 则像是邮件的"防伪标签"。发送方会用私钥对邮件进行签名，接收方用公钥验证。如果验证通过，说明邮件在传输过程中没有被篡改过。

DMARC 是前面两者的"升级版"，它告诉接收方，如果 SPF 或 DKIM 验证失败了，应该怎么处理。可以拒收，可以放行但标记，也可以先观察一段时间。

有一个真实的案例，某公司的财务人员收到了一封"CEO"发来的邮件，要求紧急转账。邮件看起来非常逼真，发件人名字、签名都很完整。但幸好公司的 IT 部门配置了 DMARC，这封伪造的邮件被直接拒绝了，避免了一场损失。

很多网络攻击都是通过邮件里的链接或附件发起的。所以 Exchange Online 对这两样东西检查得特别严格。

对于链接，系统会实时检查这个网址是不是指向已知的恶意网站。有些钓鱼网站会伪装成正常的登录页面，骗取用户的账号密码。系统会把这些网站的特征记录下来，一旦发现类似的链接，就会发出警告。

附件的检查更加严格。像 exe、bat、js 这类可执行文件，基本上是被禁止的。带宏的 Office 文件（比如 docm、xlsm）也会被重点检查，因为宏病毒曾经造成过很大的损失。

对于一些可疑的附件，系统还会把它们放到一个隔离的"沙箱"环境里运行，看看它到底想干什么。如果发现有恶意行为，就会直接拦截。

Exchange Online 有一个很聪明的设计，就是会学习用户的行为。

如果你经常把某个发件人的邮件标记为垃圾邮件，系统就会记住这个偏好，以后类似的邮件会更可能被拦截。反过来，如果你经常把垃圾邮件文件夹里的某些邮件移回收件箱，系统也会明白，这些邮件其实是你想要的。

所以说，每个用户都在帮助训练这个过滤系统。你每一次标记垃圾邮件，都是在为整个社区做贡献。

说了这么多判定标准，那误判的情况是怎么发生的呢？

第一种情况是正常营销邮件被拦截。这通常是因为邮件内容里包含了太多敏感词，或者发送频率突然增加。解决方法是优化邮件内容，减少营销感过强的词汇，同时可以请管理员把发件域名加入白名单。

第二种情况是合作伙伴的邮件进了垃圾箱。这可能是因为对方没有配置好身份验证，或者对方的邮件服务器信誉不太好。这时候可以临时把对方的邮箱加入联系人白名单，或者通知对方完善他们的邮件配置。

第三种情况是内部邮件被误判。这种情况比较少见，但如果发生了，通常是内部邮件服务器的配置有问题。可以检查一下反向 DNS 设置，或者配置内部域名白名单。

如果你是公司的邮件管理员，有几件事是必须要做的：

首先，要配置好垃圾邮件策略。在Exchange管理中心里，可以设置垃圾邮件的处理方式。一般来说，建议把垃圾邮件移动到垃圾邮件文件夹，而不是直接删除，这样可以避免误判导致重要邮件丢失。

其次，要合理设置白名单和黑名单。白名单里应该包括重要的合作伙伴域名、公司内部域名，以及信任的第三方服务。黑名单里则可以放入已知的垃圾邮件源和钓鱼域名。预算允许的情况下，建议升级到Microsoft Defender for Office 365。

如果希望给邮件安全加上双重保障，也可以在Exchange Online前端接入专业的反垃圾云网关（例如 靠谱邮件M365邮件安全网关服务），在微软过滤的基础上二次拦截中文垃圾和钓鱼邮件。很多M365国际版和世纪互联版的客户已经采用这种“前端网关+原生防护”的组合方案。

作为普通用户，我们也可以做一些事情来保护自己：

收到可疑邮件时，可以先问自己几个问题：发件人地址是否熟悉？邮件内容是否有紧迫感，比如"立即处理"、"马上确认"之类的？是否要求点击链接或下载附件？是否索要密码、银行卡号等敏感信息？邮件的语法和格式是否规范？

如果以上问题有两个以上的答案是肯定的，那这封邮件就很可疑了。最好的做法是直接删除，或者向公司的 IT 部门报告。

还有一点很重要，就是不要随意在不明网站上留下自己的邮箱地址。很多垃圾邮件的来源，就是被泄露的邮箱地址列表。