我们使用第三方 SaaS 向用户的 Outlook 客户端发送网络钓鱼模拟电子邮件。我还为所有用户在全球范围内注册了他们正在积极使用的“报告消息”加载项。 (微软自己的插件)
我在 Defender 365 管理门户中看到 Microsoft 会自动检测这些模拟电子邮件并将其置于“网络钓鱼模拟”下。
现在,我想制定某种交换规则,在用户成功报告我们的模拟电子邮件后对其进行“奖励”。这可能是弹出的通知,也可能是电子邮件。
这样做的全部目的是让用户看到他们已经成功报告了模拟电子邮件,+最大限度地减少了在 365 Defender 门户中手动回复这些模拟电子邮件的劳动力。
有人可以指导我制定这样的规则的正确方向吗?
我已经查看了许多 Exchange 规则,但我没有在任何地方看到检测用户是否举报电子邮件的选项。另一方面,检测我们的网络钓鱼模拟非常容易,因为我们可以检测到电子邮件标头中始终有一个唯一值。
我在想这样的事情:
用户报告电子邮件 > 系统检查某些标头值是否与我们的网络钓鱼模拟的标头值匹配 > 向报告电子邮件的用户发送通知/电子邮件。
谢谢!
(请对我宽容一些,因为我对这些东西还很陌生!)
如果添加了邮件标头,您是否查看了 https://learn.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/conditions-and-exceptions 中的 MessageHeaderField运输规则。另一种方法是编写您自己的 Outlook 插件来检测操作,但这需要做更多的工作。
您可以做的另一件事(因为时间不紧迫)是进行基于需求的报告,例如运行一个脚本来扫描用户邮箱以查看他们是否对网络钓鱼电子邮件采取了操作。例如,如果电子邮件位于收件箱中并标记为已读,您将称其为失败,如果报告电子邮件位于已发送邮件中或网络钓鱼电子邮件被删除等。这将允许在响应中进行更高级别的自定义,例如下次等等