昨天,我的公司遭受了一个新的木马病毒的攻击,它使用“它来自我信任的人”这一古老的社交方法来暂停用户的怀疑(和理性),并且它被打开并运行。
在查找、控制和消除此问题的过程中,我使用 Exchange Online (Office365) 传输规则阻止了受感染用户发送的所有外发电子邮件(并向我发送了被阻止的消息)。在确定漏洞已被消除后,我取消了传输规则的勾选,但发现用户仍然无法发送。然后我删除了传输规则,并对一个用户进行了测试,有些用户通过了,而有些用户被阻止了。
我使用 Powershell 登录,Get-TransportRule 没有显示半小时后仍然(偶尔、随机地)阻止这些用户的规则。
预计需要多长时间?我多久才能开始办理工单?还是我错过了什么?
答案1
根据我的经验,运输规则的更改大约 15 分钟后生效。
在 Azure AD 中,利用称为“正向同步”的过程将更新推送到整个基础架构中的对象。我不知道传输规则是否是使用此机制的对象,或者它是否是一个单独的 Exchange 过程。
在 O365 中,这实际上取决于您组织的规模和在 Microsoft 数据中心的分布情况。我在 O365 Shared 中有 10,000 多名用户,因此需要一段时间。
具体来说,Exchange Online 和 Exchange 2013 的 Technet 文章有所不同。Exchange 2013 帮助解释说,传输规则的复制时间依赖于 Active Directory 复制。我只能希望/假设 Exchange Online 使用 Azure AD 解决方案,但文章中根本没有提到这一点Exchange Online 帮助。
答案2
我会运行快速跟踪(O365 会让您运行详细跟踪),以确保是传输规则导致了问题。在大多数情况下,我发现它们启动和停止得相当快。我想我等待看到一个工作的最长时间是 10 分钟。我不确定官方的说法是什么。我肯定会开一张票——无论如何,他们需要几个小时才能回复你。
如果您遇到了一些外发问题 - 微软可能检测到了这个问题并为您屏蔽了一些用户。如果是这种情况 - 您必须开具一张票据来解除对他们的屏蔽。