微软称无需额外邮件安全工具，专家持保留意见

尽管防御方竭尽全力，恶意邮件仍在持续突破网络安全防线，促使部分企业采用融合多种工具的"纵深防御"策略。

微软似乎正在对这一理念发起挑战。该公司发布的最新季度基准测试数据显示，在 Defender for Office 365 的防护体系之外，额外叠加集成的预发送与后发送合作伙伴方案，带来的安全收益十分有限。

根据这份数据，微软在邮件送达前便能拦截绝大多数恶意邮件和垃圾邮件，漏检率远低于竞争对手，且对已进入收件箱的危险邮件，清除率接近 100%。其集成合作伙伴对总体拦截率的提升幅度不足 0.05%。

尽管上述数字似乎有力支撑了"单一厂商邮件安全"的方案选择，但多位专家提醒企业对此类厂商声明保持审慎态度。

Info-Tech Research Group 高级研究分析师 Seva Ioussoufovitch 指出："百分比数字掩盖了实际漏过邮件的数量与危害程度。考虑到只需一封邮件就可能引发安全事件，完全有理由认为，多工具所提供的纵深防御具有切实价值。"

微软季度基准报告详解

微软于 2025 年 7 月发布了这份季度基准报告，同期推出了支持多厂商安全策略的 Defender 集成云端邮件安全（ICES）生态系统。

此次参与对比评估的安全邮件网关（SEG）厂商包括：Mimecast、Proofpoint、Hornetsecurity、Trend Micro、Iron Port（思科）、Barracuda 和 FireEye（Trellix）；ICES 厂商则包括：Abnormal、Checkpoint Harmony、思科、DarkTrace、KnowBe4 Defend、Tessian 和 Trend Micro。

微软表示，Defender 在预发送检测方面"持续领先"，对高危网络威胁的漏检率比其他参评 SEG 厂商低 59%，最接近的竞争对手为 Mimecast 和 Proofpoint。微软还引入了一项新指标：每千名员工的威胁漏检数。微软的数据为 194 起/千人，Mimecast 为 478 起，Proofpoint 为 483 起。

在后发送防护方面，Defender 对已送达收件箱的恶意邮件平均清除率达 96.03%，相较于微软第二份报告开始追踪该数据时的初始值 45%，已有显著提升。

微软 Defender 副总裁兼总经理 Jeff Pinkston 在博客文章中写道，这使 Defender 成为"日益关键的兜底防线，即便在已部署 ICES 解决方案的环境中同样有效运作"。他同时表示，与微软 Defender 协同运行的 ICES 工具"仍能带来额外价值"，可将恶意邮件拦截率提升 0.29%，垃圾邮件拦截率提升 0.68%。

Ioussoufovitch 表示："如果只看基本数据，微软的论点确实有说服力——你真的需要为不到 1% 的额外拦截量单独引入一家 ICES 厂商吗？"他指出，微软仅聚焦于原始拦截率，描绘出了一幅"颇具吸引力的图景"，但故事的另一面却未被提及："那些 Defender 没有拦截到的邮件，究竟潜藏着怎样的威胁？"

电子邮件过滤的真实挑战

Beauceron Security 的 David Shipley 指出，该报告印证了一个事实："大量邮件依然能够绕过过滤器"。

他的公司长期分析数十万封邮件，他表示，成功突破过滤的内容"从人类专家眼中显而易见的低级手段，到极具迷惑性的延时攻击，不一而足"。

Shipley 还指出，过滤效果的高低与白名单设置密切相关：将系统调至"全面严格模式"虽能大幅提升拦截率，但也会带来大量误报。"凡是经历过销售人员因采购订单 PDF 被误判为威胁而丢单的人，都深知这种痛苦。"

此外还有一个 AI 难题：Shipley 表示，"使用基于智能体大语言模型进行分析的邮件厂商面临一项关键风险——攻击者现在可以通过隐藏内容（例如'请忽略这封邮件'之类的提示语）来污染这些模型。"这意味着企业需要采用多元化的分析手段。

Ioussoufovitch 也认同，跟上利用 AI 手段的威胁行为者的步伐是整个行业面临的共同挑战，尤其是当 AI 能够生成质量更高的钓鱼邮件时。过滤器正在不断改进，能够拦截其中一部分，但仍会有漏网之鱼。这类邮件往往具有高度针对性，数量虽少，却更难被识别。

"目前来看，现有工具似乎确实难以完全跟上威胁演进的步伐，但这并不意味着这些工具毫无必要，"Ioussoufovitch 说，"这只是进一步说明，广义上的纵深防御正变得愈发重要。"

如何正确解读微软的报告

Shipley 表示，与那些声称钓鱼邮件拦截率高达 99.99% 的报告相比，这份报告"显得更为诚实、准确和成熟，因为那种数字从来都不是真的"。这同时也是一步"聪明的营销棋"——微软与其他安全工具竞争的是同一块安全预算，自然希望企业放弃其他厂商，转而在邮件安全以外的领域向微软购买更多产品。

不过，他也指出，微软此举客观上为其他厂商做了一次曝光，"Mimecast 排名第二，值得祝贺"。

从长远来看，首席信息安全官们需要在有限的安全预算中做出最优选择。企业需要一个可靠的过滤工具，是否需要两个则见仁见智。"显然，他们还需要持续投资于完善的安全意识培训，"Shipley 说，"因为正如这份报告所示，大量钓鱼邮件仍在成功送达。"

Ioussoufovitch 指出，尽管这项研究中的数据颇具参考价值，但呈现方式缺乏足够的细节与背景，难以直接转化为可操作的决策依据。

"我们对厂商通过数据包装来讲述有利于自己的故事已经太过熟悉，因此我建议各位领导者不要过度解读这些数据，不要超越数据本身所能说明的范围，"他说。

他表示，这篇报告真正传递的信息不是"淘汰现有厂商"，而是说明 Defender 具有"相当大的价值"。至于是否值得增减其他厂商，应当结合组织自身的风险承受能力、整体安全预算和环境，逐案讨论、具体分析。

"我建议将这些数据更多地视为一个提醒——去评估你自己的环境，并对比实际的检测结果，"他说，"要基于你自己掌握的数据得出结论，而不是厂商展示给你的数据。"

Q&A

Q1：微软 Defender for Office 365 的邮件安全性能到底怎么样？

A：根据微软发布的季度基准数据，Defender 在预发送阶段的高危威胁漏检率比其他主流 SEG 厂商低 59%，对已进入收件箱的恶意邮件清除率平均达 96.03%。每千名员工的威胁漏检数为 194 起，而 Mimecast 为 478 起，Proofpoint 为 483 起。整体来看，Defender 在主要指标上表现突出，但专家提醒，百分比数字可能掩盖了实际漏过邮件的真实风险。

Q2：企业还需要在 Defender 之外额外部署 ICES 邮件安全工具吗？

A：微软数据显示，集成 ICES 合作伙伴对总体拦截率的提升不足 0.05%，其中恶意邮件拦截率提升 0.29%，垃圾邮件拦截率提升 0.68%。是否值得额外投入，取决于企业自身的风险承受能力和安全预算。专家建议，不应直接采纳厂商结论，而应结合自身环境的实际检测数据进行判断。

Q3：AI 技术对邮件安全威胁带来了哪些新挑战？

A：AI 使钓鱼邮件的质量显著提升，更难被过滤器识别。此外，基于智能体大语言模型的邮件分析系统本身也面临风险——攻击者可通过在邮件中嵌入隐藏指令来干扰模型判断。专家指出，当前工具普遍面临跟上 AI 驱动威胁演进的压力，企业需采用多元化分析手段，并持续投资安全意识培训。