直接消息注入

分享

本文是否有帮助?

上次更新时间:

Direct Message Injection (DMI) 配置指南

注意:2025 年 2 月,Microsoft 已取消我们的 Microsoft DMI 连接所用的应用模拟管理员角色。本次更改将影响您的 DMI 连接并导致连接中断。如果您目前将 DMI 用作白名单设置方法,我们建议您更新白名单,以便使用高级传递策略。设置高级交付政策白名单后,您必须禁用 DMI 连接。

Direct Message Injection (DMI) 功能可免去将模拟网络钓鱼电子邮件加入白名单的麻烦。DMI 可绕过电子邮件筛选规则,将电子邮件发送至用户的收件箱。借助此功能,即可在 KSAT 控制台与 Microsoft 365 或 Google Workspace 帐户之间创建安全链接。DMI 可用于将我们的网络钓鱼测试电子邮件加入白名单,但若使用这种方法,培训电子邮件仍需加入额外的白名单。有关更多信息,请参阅白名单指南

重要提示:有些白名单配置在非美国环境中可能无法使用。

在 Microsoft 365 中设置 DMI

注意:DMI 仅与 Microsoft Azure 的公共实例兼容。由于需要权限,DMI 无法与 Microsoft GCC High 和 DoD 搭配使用。

如果您在使用 Microsoft 365,请在 Azure 中授权 DMI 应用程序,创建 KSAT 与 Microsoft 365 之间的安全连接。DMI 可用作企业应用程序,连接至您的 Microsoft 365 帐户。一经授权,DMI 可使用 Microsoft Exchange Web Services (EWS) API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

重要提示:如果您使用 Microsoft 365,我们建议先尝试使用 Microsoft 的高级传递策略添加白名单,再使用 DMI。但是,我们不建议同时使用高级传递策略和 DMI。有关更多信息,请参阅文章Office 365 版 Microsoft Defender 中的高级传递策略

Microsoft 365 的必要管理员角色

要在 Microsoft 365 中设置 DMI,您需要特定的管理角色。

我们建议,先创建一个 DMI 授权的 Microsoft 365 专用管理员帐户,然后在 Microsoft 365 帐户中设置 DMI。您需要为 DMI 授权帐户分配以下角色:

  • Microsoft 365 Exchange 管理中心的应用模拟
  • Microsoft Azure 门户的应用管理员

建议使用未启用多重身份验证 (MFA) 的服务帐户。MFA 会妨碍 DMI 成功运行,可能导致您网络钓鱼活动的“已退回”选项卡发生模拟错误。

注意:即使现有帐户已分配高级别角色(如全局管理员),您仍需要分配上述权限。

选择以下选项卡,了解如何在各个 Microsoft 365 应用中启用这些权限。

要添加并启用应用模拟角色,请按照以下步骤操作:

  1. 登录您的 Microsoft 365 Exchange 管理中心
  2. 打开左侧菜单,单击角色并选择管理员角色
  3. 单击添加角色组按钮。
  4. 输入新角色组的名称和描述。点击“下一步”。
  5. 添加权限页面,选择应用模拟,然后点击下一步
    提示:如果您没有看到此选项,可以尝试切换视图。例如,如果您正在查看新 Exchange 管理员中心,可切换至经典 Exchange 管理员中心
  6. 选择将负责 DMI 授权的用户帐户,然后点击下一步
  7. 检查您的选项并单击添加角色组
或者,您也可以将此权限添加至现有角色组。

要启用应用管理员角色,请按照以下步骤操作:

  1. 登录您的 Azure 门户
  2. Azure 服务标题下,选择用户
  3. 选择将负责 DMI 授权的用户帐户。
  4. 打开左侧菜单,单击已分配的角色
  5. 打开符合条件的分配选项卡,查找应用管理员并将此角色设置为活跃角色。如果没有看到应用管理员,请按照以下步骤操作:
    1. 单击页面顶部的添加分配按钮。
    2. 在下拉菜单中,选择应用管理员
    3. 针对范围类型,选择目录,然后点击下一步
    4. 针对分配类型,选择活动
    5. 单击分配,将此角色分配至选定用户。

您将看到下列权限请求:

要确保连接安全,DMI 必须使用 EWS 连接至您的用户的收件箱。EWS 连接的权限包括阅读、发送和删除电子邮件的权利。EWS 连接也可以配置邮箱设置。这些权限仅允许 DMI 将电子邮件发送至您的用户收件箱。

重要提示:DMI 不会以任何形式阅读电子邮件、删除电子邮件或更改您的组织邮箱设置。接受这些权限即表示您理解并同意 KnowBe4 的服务条款隐私声明

将 DMI 连接至 Microsoft 365

要使用 DMI,您需要将您的邮件客户端帐户连接至您的 KSAT 控制台。要将 KSAT 控制台安全连接至 Microsoft 365 帐户,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection (DMI) 部分。
  4. 单击添加 DMI 连接下拉菜单。添加 DMI 连接下拉菜单
  5. 在下拉菜单中,选择 Microsoft 365。系统会跳转到 Microsft 登录页面。
  6. 登录将负责 DMI 授权的 Microsoft 帐户。确保使用已分配 Microsoft 365 必要管理员角色的 Microsoft 帐户。
  7. 审核所请求的权限,以便向 KnowBe4 提供对您的 Microsoft 365 信息的访问权限。 
  8. 如果您同意这些权限,请单击接受Microsoft 365 的 DMI 权限
  9. 窗口关闭后,请参阅下方在 Microsoft 365 中启用 DMI 部分,然后继续。
注意:如果要使用 Microsoft 365 的高级威胁防护 (ATP),则需编辑 ATP 链接政策,以防链接重写。有关更多信息,请参阅文章如何防止 Microsoft 365 ATP 重写 KnowBe4 网络钓鱼链接

在 Microsoft 365 中启用 DMI

KSAT 控制台连接至邮件客户端帐户之后,您需要在 KSAT 中启用 DMI。要在 Microsoft 365 中启用 DMI,请按照以下步骤操作:

注意:对于 Microsoft 365 连接,如果您已在 Microsoft 365 中启用连接,DMI 将在Azure 门户中显示为企业应用程序。您可在 Azure 门户中查看任何已授予权限和使用日志。
  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection (DMI) 部分。
  4. 单击显示 DMI 设置按钮。显示 DMI 设置按钮
    1. 连接名称:在此字段中输入连接名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。
    3. 如果 DMI 连接失败,发送通知至:如果连接失败,请在此字段中输入相应人员的电子邮件地址,以便发送通知。在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表:Microsoft 365 DMI 设置
  5. 单击保存连接设置按钮。
重要提示:为 Microsoft 365 配置 DMI 后,投递后收件箱筛选条件可能仍会干扰已记录的电子邮件互动、电子邮件投递或附件功能。

如何在 Microsoft 365 中修复失败的连接

如果连接 KSAT 控制台与 Microsoft 365 帐户的 Exchange Web Service 令牌无效,DMI 连接就会失败。

不会发送任何原定使用 DMI 投递的网络钓鱼活动电子邮件。

按照上述将 DMI 连接至 Microsoft 365 部分中的说明,重新连接您的 Microsoft 365 帐户。如果在重新连接时遇到问题,请联系支持团队。

如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中

如果您的用户在其他收件箱而非集中收件箱中看到 DMI 电子邮件,请按以下步骤解决此问题:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择帐户设置
  3. 前往网络钓鱼设置子选项卡。
  4. 启用添加自定义标题
  5. 标题名称(左侧方框)中,输入以下文本:MS-Exchange-Organization-BypassFocusedInbox。
  6. 标题值(右侧方框)中,输入以下文本:“true”。
  7. 单击保存设置

在 Google 中设置 DMI

如果您在使用 Google Workspace,请在 Google Workspace 中授权 DMI 应用程序,创建此安全连接。一经授权,DMI 可使用 Google Workspace API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

注意:不能使用 Google Workspace DMI 连接向电子邮件地址别名发送消息。

Google 的必要管理员角色

如果要在 Google Workspace 中设置 DMI,则需使用含超级管理员角色的帐户。有关更多信息,请参阅 Google 的文章使用域范围委派控制 API 访问

将 DMI 连接至 Google

要将 DMI 连接至 Google Workspace,则需将客户端 ID 和范围添加到您的 Google Workspace 管理员控制台。要添加客户端 ID 和范围,请按照以下步骤操作:

  1. 前往 admin.google.com。
  2. 登录 Google Workspace 管理员控制台,选择安全部分。
    注意:如果没有看到安全,请单击页面底部的更多控件
    Google Workspace 管理员安全部分
  3. 单击概览
  4. 选择 API 控件部分。
  5. 打开域范围委派部分,单击管理域范围委派按钮。管理域范围委派按钮
  6. 单击新增按钮。新增按钮
  7. 客户端 ID 字段中,输入“117081416267426756182”。客户端 ID 字段
  8. OAuth Scopes 字段中,输入 "https://www.googleapis.com/auth/gmail.insert"。
  9. 单击授权按钮。

在 Google 中启用 DMI

连接 DMI 至 Google 之后,您需要在 KSAT 控制台中启用 DMI。您还需要启用使用发件人地址覆盖固定的返回路径地址设置。要在 Google Workspace 中启用 DMI,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection (DMI) 部分。
  4. 单击添加 DMI 连接下拉菜单并选择 Google Workspace添加 DMI 连接下拉菜单
  5. 在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表: 
    1. 连接名称:输入 DMI 连接的名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。 
    3. 如果 DMI 连接失败,发送通知至:如果 DMI 连接失败,请输入相应人员的电子邮件地址,以便发送通知。
      注意:在此字段输入的电子邮件地址与在选定域中启用此连接字段列出的域无需匹配。
    4. 输入您的 Google Workspace 域所示电子邮件地址:输入相应电子邮件地址,以便接收测试消息。
  6. 单击保存连接设置按钮。

您还需要覆盖您的网络钓鱼电子邮件的返回路径标题。“使用发件人地址覆盖固定的返回路径地址”位于您的帐户设置中。有关启用此设置的更多信息,请参阅我们的文章如何在您的帐户设置中更改返回路径标题

重要提示:为 Google Workspace 配置 DMI 后,投递后收件箱筛选条件可能仍会干扰已记录的电子邮件互动、电子邮件投递或附件功能。

如何在 Google Workspace 中修复失败的连接

将 DMI 连接到 Google Workspace 时,如果您在单击授权后收到错误消息,说明您的客户端 ID 和范围可能有误。

要检查客户端 ID 和范围,请按照以下步骤操作:

  1. 找到您创建的新的域范围委派权限。
  2. 单击查看详情
  3. 确保已列出每个范围,没有重复范围,且客户端 ID 正确。
  4. 如果范围缺失或包含错误,请单击编辑,输入缺失的范围,然后单击授权,即可应用变更。
    注意:客户端 ID 无法更改。

如何向网络钓鱼电子邮件中添加横幅、前缀和签名

启用 DMI 后,我们的网络钓鱼电子邮件能够绕过所有邮件流规则,这些规则可能包括出现在已接收电子邮件上的横幅、前缀和签名。

要使用我们的占位符将横幅、前缀和签名添加回我们的网络钓鱼电子邮件,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择帐户设置
  3. 导航至占位符部分。
  4. 单击 + 占位符
  5. 从下拉菜单中选择您想添加回网络钓鱼电子邮件的占位符。
  6. 在所示字段中输入占位符信息。您可在该字段中输入任何文本,包括来自现有电子邮件横幅、前缀或签名的源代码。
  7. 从下拉菜单中选择您想显示电子邮件横幅主题前缀占位符的网络钓鱼电子邮件。
  8. 单击保存占位符

断开 DMI 连接

禁用 DMI 时,我们建议移除您的 KSAT 控制台与您的邮件客户端帐户的连接。

要断开 DMI 连接,请按照以下步骤操作::

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择帐户设置
  3. 选择网络钓鱼中的 Direct Message Injection (DMI) 部分。
  4. 找到要删除的 DMI 连接,并单击显示设置按钮。
    注意:此按钮名称会随着您的连接名称而改变。例如,如果您的连接名称是“DMI 1”,则此按钮名称将显示为“显示 DMI 1 设置”。
  5. 单击移除 DMI 连接按钮。
  6. 确认消息打开后,单击确认按钮。
重要提示:移除 DMI 连接后,激活的网络钓鱼活动将使用标准邮件协议 (SMTP) 发送电子邮件。如果在创建活动时启用了 DMI,那么在此活动的概览子选项卡中,电子邮件仍会显示为 DMI 投递

如果您以后要重新启用 DMI,则需重新授权 KnowBe4 访问权限。如需重新启用 DMI,请按照上述部分中的步骤为邮件服务器进行操作。

提示:如需确保您已正确设置白名单,请参阅文章验证您的白名单

本文是否有帮助?

25 人中有 19 人觉得有帮助

未找到您需要的内容?

联系支持人员