如果您在运行网络钓鱼活动时看到异常的结果，可能是您执行了错误点击的操作。在检查活动结果时，如果您看到 100% 点击率或不属于您组织的 IP 地址，这表明可能是误报。以下是一些常见的误报原因及其处理建议。

哪些属于点击操作？

当用户点击模拟电子邮件中的网络钓鱼链接时，我们所追踪的这些内容属于点击操作。然而，还有其他方式可以记录点击操作。如果点击操作不是由用户点击网络钓鱼链接而引起的，我们可称之为误报。下列是一些常见的误报原因：

• 垃圾邮件筛选器白名单设置不当。白名单设置不当会引发自动点击或机器人点击。如需了解如何判断您的点击是否为机器人点击，请参阅以下如何识别机器人点击部分。
• 可能需要设置额外的白名单。您的垃圾邮件筛选器可能需要设置额外的白名单，才能从链接分析或链接探测中豁免模拟的网络钓鱼电子邮件。
• 邮件筛选器所含的安全插件包尚未被列入白名单。
• 端点安全或防病毒软件。
• 链接预览功能属于移动设备操作系统的一部分。
• 安全软件被集成到移动设备管理 (MDM) 系统中。
• 网络钓鱼电子邮件从一个用户转发给另一个用户。此操作可能会被记录为点击操作，因为所转发的电子邮件已被邮件服务器沙盒化和检查，或者因为已转发电子邮件的收件人点击了链接。

如何识别机器人点击

白名单设置不当或不足的实例可能会引发机器人点击。机器人点击是由基础设施内的自动化流程引起的。检查您的网络钓鱼活动结果，即可识别机器人点击。下列是一些识别机器人点击的方法：

• 已送达、已打开和已点击列中所示的次数全都相同或相差时间不超过 1 分钟。
• 已点击选项卡会说明浏览器或浏览器版本是未在您的环境中使用的或已过时的浏览器或浏览器版本。
• 所列的操作系统是用户在您的环境中没有访问权限的操作系统。
• IP 地址属于您的其中一个安全产品的提供商。

活动结果中的不明 IP 地址

在控制台中记录点击操作时，将从点击出现的位置记录 IP 地址。查看以下示例，了解为什么您会看到来历不明的 IP 地址：

• 如果用户用移动设备点击链接，则该点击可能显示为来自蜂窝服务提供商。
• 如果用户用的是家里的 Wi-Fi，则点击操作将被记录为来自该互联网服务提供商 (ISP) 的 IP 地址。
• 如果用户用的是公共 Wi-Fi，则点击操作会从用户点击时所在的位置被记录下来。
• 如果您或您的某一个产品使用托管服务提供商（如 AWS），则 IP 地址可能来自其他位置，甚至其他国家/地区。某些链接分析流程可能不会在客户端运行，而且链接可能会被传递至安全提供商后端的处理或分析中心。
• 如果 URL 被发送至 VirusTotal，则 IP 地址可能来自其他位置。可能由您所用的产品或您的用户自动发送此链接。当某个 URL 被提交至 VirusTotal 时，他们会分析该 URL，从而确定是否需要将其按恶意属性添加到威胁定义中。这种链接分析有时会即时进行，有时也可能会经过几个小时后才运行。这些 IP 地址可能注册为安全供应商，也可能注册为 ISP。

误报的常见原因

模拟网络钓鱼中的误报通常有三个主要来源：

• 链接扫描器干扰：安全工具会在用户看到电子邮件之前自动选择链接
• 白名单不全：没有从安全扫描中正确豁免 KnowBe4 域
• 错误配置安全政策：垃圾邮件筛选器或邮件流规则与网络钓鱼测试投递相冲突

为了尽量减少误报，请配置您的垃圾邮件筛选器，从链接分析和探测中排除 KnowBe4 网络钓鱼电子邮件。确保智能主机和高级投递策略与您的活动配置一致。在调查与链接扫描器相关的问题时，请与 IT 管理员一起检查白名单设置，以便平衡安全需求和准确的培训指标。

如何防止误报

了解您的基础设施是防止误报最重要的一步。由于安全软件产品种类繁多，您可能需要查阅所用的软件或服务提供商的相关文档，看看是否有对应部分讲解如何从链接扫描、链接分析或链接探测中豁免链接或域。

另外，您还可以在设备上使用几个不同的模板来运行测试活动。所用的设备与用户的工作站具有相同的设置。这些测试活动有助于您了解当前设置是否会导致误报。

确保您的用户只通过 Phish Alert Button 报告电子邮件，而非通过邮件服务器的网络钓鱼按钮或任何其他第三方的报告功能。

检查您的安全产品是否有额外设置白名单的选项。如果可以，请将我们的网络钓鱼链接域和登陆页域加入白名单。这一额外步骤有助于防止误报。如需查看我们的根网络钓鱼域的列表，请前往 KnowBe4 控制台中的网络钓鱼选项卡并选择域子选项卡。有关域子选项卡的更多信息，请参阅文章管理网络钓鱼链接域。

如果您仍然遇到误报问题，请联系我们的支持团队支持团队。