Direct Message Injection (DMI) 功能可免去将模拟网络钓鱼电子邮件加入白名单的麻烦。DMI 可绕过电子邮件筛选规则,将电子邮件发送至用户的收件箱。借助此功能,即可在 KSAT 控制台与 Microsoft 365 或 Google Workspace 帐户之间创建安全链接。DMI 可用于将我们的网络钓鱼测试电子邮件加入白名单,但若使用这种方法,培训电子邮件仍需加入额外的白名单。有关更多信息,请参阅白名单指南。
在 Microsoft 365 中设置 DMI
如果您在使用 Microsoft 365,请在 Azure 中授权 DMI 应用程序,创建 KSAT 与 Microsoft 365 之间的安全连接。DMI 可用作企业应用程序,连接至您的 Microsoft 365 帐户。一经授权,DMI 可使用 Microsoft Exchange Web Services (EWS) API,将模拟网络钓鱼电子邮件发送至用户的收件箱。
Microsoft 365 的必要管理员角色
要在 Microsoft 365 中设置 DMI,您需要特定的管理角色。
我们建议,先创建一个 DMI 授权的 Microsoft 365 专用管理员帐户,然后在 Microsoft 365 帐户中设置 DMI。您需要为 DMI 授权帐户分配以下角色:
- Microsoft 365 Exchange 管理中心的应用模拟。
- Microsoft Azure 门户的应用管理员
建议使用未启用多重身份验证 (MFA) 的服务帐户。MFA 会妨碍 DMI 成功运行,可能导致您网络钓鱼活动的“已退回”选项卡发生模拟错误。
选择以下选项卡,了解如何在各个 Microsoft 365 应用中启用这些权限。
要添加并启用应用模拟角色,请按照以下步骤操作:
- 登录您的 Microsoft 365 Exchange 管理中心。
- 打开左侧菜单,单击角色并选择管理员角色。
- 单击添加角色组按钮。
- 输入新角色组的名称和描述。点击“下一步”。
- 在添加权限页面,选择应用模拟,然后点击下一步。
提示:如果您没有看到此选项,可以尝试切换视图。例如,如果您正在查看新 Exchange 管理员中心,可切换至经典 Exchange 管理员中心。
- 选择将负责 DMI 授权的用户帐户,然后点击下一步。
- 检查您的选项并单击添加角色组。
要启用应用管理员角色,请按照以下步骤操作:
- 登录您的 Azure 门户。
- 在 Azure 服务标题下,选择用户。
- 选择将负责 DMI 授权的用户帐户。
- 打开左侧菜单,单击已分配的角色。
- 打开符合条件的分配选项卡,查找应用管理员并将此角色设置为活跃角色。如果没有看到应用管理员,请按照以下步骤操作:
- 单击页面顶部的添加分配按钮。
- 在下拉菜单中,选择应用管理员。
- 针对范围类型,选择目录,然后点击下一步。
- 针对分配类型,选择活动。
- 单击分配,将此角色分配至选定用户。
要确保连接安全,DMI 必须使用 EWS 连接至您的用户的收件箱。EWS 连接的权限包括阅读、发送和删除电子邮件的权利。EWS 连接也可以配置邮箱设置。这些权限仅允许 DMI 将电子邮件发送至您的用户收件箱。
将 DMI 连接至 Microsoft 365
要使用 DMI,您需要将您的邮件客户端帐户连接至您的 KSAT 控制台。要将 KSAT 控制台安全连接至 Microsoft 365 帐户,请按照以下步骤操作:
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection (DMI) 部分。
- 单击添加 DMI 连接下拉菜单。
- 在下拉菜单中,选择 Microsoft 365。系统会跳转到 Microsft 登录页面。
- 登录将负责 DMI 授权的 Microsoft 帐户。确保使用已分配 Microsoft 365 必要管理员角色的 Microsoft 帐户。
- 审核所请求的权限,以便向 KnowBe4 提供对您的 Microsoft 365 信息的访问权限。
- 如果您同意这些权限,请单击接受。
- 窗口关闭后,请参阅下方在 Microsoft 365 中启用 DMI 部分,然后继续。
在 Microsoft 365 中启用 DMI
KSAT 控制台连接至邮件客户端帐户之后,您需要在 KSAT 中启用 DMI。要在 Microsoft 365 中启用 DMI,请按照以下步骤操作:
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection (DMI) 部分。
- 单击显示 DMI 设置按钮。
- 连接名称:在此字段中输入连接名称。
-
在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。
-
如果 DMI 连接失败,发送通知至:如果连接失败,请在此字段中输入相应人员的电子邮件地址,以便发送通知。在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表:
- 单击保存连接设置按钮。
如何在 Microsoft 365 中修复失败的连接
如果连接 KSAT 控制台与 Microsoft 365 帐户的 Exchange Web Service 令牌无效,DMI 连接就会失败。
不会发送任何原定使用 DMI 投递的网络钓鱼活动电子邮件。
按照上述将 DMI 连接至 Microsoft 365 部分中的说明,重新连接您的 Microsoft 365 帐户。如果在重新连接时遇到问题,请联系支持团队。
如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中
如果您的用户在其他收件箱而非集中收件箱中看到 DMI 电子邮件,请按以下步骤解决此问题:
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮箱,选择帐户设置。
- 前往网络钓鱼设置子选项卡。
- 启用添加自定义标题。
- 在标题名称(左侧方框)中,输入以下文本:MS-Exchange-Organization-BypassFocusedInbox。
- 在标题值(右侧方框)中,输入以下文本:“true”。
- 单击保存设置。
在 Google 中设置 DMI
如果您在使用 Google Workspace,请在 Google Workspace 中授权 DMI 应用程序,创建此安全连接。一经授权,DMI 可使用 Google Workspace API,将模拟网络钓鱼电子邮件发送至用户的收件箱。
Google 的必要管理员角色
如果要在 Google Workspace 中设置 DMI,则需使用含超级管理员角色的帐户。有关更多信息,请参阅 Google 的文章使用域范围委派控制 API 访问。
将 DMI 连接至 Google
要将 DMI 连接至 Google Workspace,则需将客户端 ID 和范围添加到您的 Google Workspace 管理员控制台。要添加客户端 ID 和范围,请按照以下步骤操作:
- 前往 admin.google.com。
- 登录 Google Workspace 管理员控制台,选择安全部分。
注意:如果没有看到安全,请单击页面底部的更多控件。
- 单击概览。
- 选择 API 控件部分。
- 打开域范围委派部分,单击管理域范围委派按钮。
- 单击新增按钮。
- 在客户端 ID 字段中,输入“117081416267426756182”。
- 在 OAuth Scopes 字段中,输入 "https://www.googleapis.com/auth/gmail.insert"。
- 单击授权按钮。
在 Google 中启用 DMI
连接 DMI 至 Google 之后,您需要在 KSAT 控制台中启用 DMI。您还需要启用使用发件人地址覆盖固定的返回路径地址设置。要在 Google Workspace 中启用 DMI,请按照以下步骤操作:
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection (DMI) 部分。
- 单击添加 DMI 连接下拉菜单并选择 Google Workspace。
- 在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表:
- 连接名称:输入 DMI 连接的名称。
-
在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。
-
如果 DMI 连接失败,发送通知至:如果 DMI 连接失败,请输入相应人员的电子邮件地址,以便发送通知。
注意:在此字段输入的电子邮件地址与在选定域中启用此连接字段列出的域无需匹配。
- 输入您的 Google Workspace 域所示电子邮件地址:输入相应电子邮件地址,以便接收测试消息。
- 单击保存连接设置按钮。
您还需要覆盖您的网络钓鱼电子邮件的返回路径标题。“使用发件人地址覆盖固定的返回路径地址”位于您的帐户设置中。有关启用此设置的更多信息,请参阅我们的文章如何在您的帐户设置中更改返回路径标题。
如何在 Google Workspace 中修复失败的连接
将 DMI 连接到 Google Workspace 时,如果您在单击授权后收到错误消息,说明您的客户端 ID 和范围可能有误。
要检查客户端 ID 和范围,请按照以下步骤操作:
- 找到您创建的新的域范围委派权限。
- 单击查看详情。
- 确保已列出每个范围,没有重复范围,且客户端 ID 正确。
- 如果范围缺失或包含错误,请单击编辑,输入缺失的范围,然后单击授权,即可应用变更。
注意:客户端 ID 无法更改。
如何向网络钓鱼电子邮件中添加横幅、前缀和签名
启用 DMI 后,我们的网络钓鱼电子邮件能够绕过所有邮件流规则,这些规则可能包括出现在已接收电子邮件上的横幅、前缀和签名。
要使用我们的占位符将横幅、前缀和签名添加回我们的网络钓鱼电子邮件,请按照以下步骤操作:
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮箱,选择帐户设置。
- 导航至占位符部分。
- 单击 + 占位符。
- 从下拉菜单中选择您想添加回网络钓鱼电子邮件的占位符。
- 在所示字段中输入占位符信息。您可在该字段中输入任何文本,包括来自现有电子邮件横幅、前缀或签名的源代码。
- 从下拉菜单中选择您想显示电子邮件横幅和主题前缀占位符的网络钓鱼电子邮件。
- 单击保存占位符。
断开 DMI 连接
禁用 DMI 时,我们建议移除您的 KSAT 控制台与您的邮件客户端帐户的连接。
要断开 DMI 连接,请按照以下步骤操作::
- 登录您的 KSAT 控制台。
- 单击页面右上角的电子邮箱,选择帐户设置。
- 选择网络钓鱼中的 Direct Message Injection (DMI) 部分。
- 找到要删除的 DMI 连接,并单击显示设置按钮。
注意:此按钮名称会随着您的连接名称而改变。例如,如果您的连接名称是“DMI 1”,则此按钮名称将显示为“显示 DMI 1 设置”。
- 单击移除 DMI 连接按钮。
- 确认消息打开后,单击确认按钮。
如果您以后要重新启用 DMI,则需重新授权 KnowBe4 访问权限。如需重新启用 DMI,请按照上述部分中的步骤为邮件服务器进行操作。