الحماية من الانتحال في EOP

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• خطة 1 وخطة 2 من Microsoft Defender لـ Office 365
• Microsoft 365 Defender

في المؤسسات Microsoft 365 التي لها علب بريد في Exchange Online أو مؤسسات Exchange Online Protection مستقلة (EOP) بدون علب بريد Exchange Online، يتضمن EOP ميزات للمساعدة في حماية مؤسستك من المرسلين المخادعة (المخادعة).

عندما يتعلق الأمر بحماية مستخدميها، تأخذ Microsoft خطر التصيد الاحتيالي على محمل الجد. الانتحال هو تقنية شائعة يستخدمها المهاجمون. يبدو أن الرسائل المنتحلة تنشأ من شخص ما أو في مكان آخر غير المصدر الفعلي. غالبا ما تستخدم هذه التقنية في حملات التصيد الاحتيالي المصممة للحصول على بيانات اعتماد المستخدم. تفحص تقنية مكافحة الانتحال في EOP على وجه التحديد تزييف رأس الرسالة من النص الأساسي للرسالة (تستخدم لعرض مرسل الرسالة في عملاء البريد الإلكتروني). عندما يكون لدى EOP ثقة عالية في أن رأس من قد تم تزييفه، يتم تعريف الرسالة على أنها منتحلة.

تتوفر تقنيات مكافحة الانتحال التالية في EOP:

• مصادقة البريد الإلكتروني: جزء لا يتجزأ من أي جهد لمكافحة الانتحال هو استخدام مصادقة البريد الإلكتروني (المعروفة أيضا بالتحقق من صحة البريد الإلكتروني) بواسطة سجلات SPF وDKIM وDMARC في DNS. يمكنك تكوين هذه السجلات لمجالاتك حتى تتمكن أنظمة البريد الإلكتروني الوجهة من التحقق من صلاحية الرسائل التي يدعي أنها واردة من المرسلين في مجالاتك. بالنسبة للرسائل الواردة، يتطلب Microsoft 365 مصادقة البريد الإلكتروني لمجالات المرسل. لمزيد من المعلومات، راجع مصادقة البريد الإلكتروني في Microsoft 365.

  يقوم EOP بتحليل الرسائل التي لا يمكن مصادقتها بواسطة مجموعة من أساليب مصادقة البريد الإلكتروني القياسية وتقنيات سمعة المرسل وحظرها.

  

• التحليل الذكي المخادعة: راجع الرسائل المنتحلة من المرسلين في المجالات الداخلية والخارجية خلال آخر 7 أيام، والسماح لهؤلاء المرسلين أو حظرهم. لمزيد من المعلومات، راجع التحليل الذكي المخادعة في EOP.

• السماح بالمرسلين الذين تم تزييفهم أو حظرهم في قائمة السماح/الحظر للمستأجر: عند تجاوز الحكم في التحليل الذكي المخادع، يصبح المرسل المخادع اسما يدويا أو إدخال حظر يظهر فقط على علامة تبويب تزييف الهوية في قائمة السماح/الحظر للمستأجر. يمكنك أيضا إنشاء إدخالات السماح أو الحظر يدويا للمرسلين المخادعة قبل اكتشافهم بواسطة التحليل الذكي للانتحال. لمزيد من المعلومات، راجع إدارة قائمة السماح/الحظر للمستأجر في EOP.

• نهج مكافحة التصيد الاحتيالي: في EOP و Microsoft Defender لـ Office 365، تحتوي نهج مكافحة التصيد الاحتيالي على إعدادات مكافحة الانتحال التالية:

  • تشغيل التحليل الذكي للانتحال أو إيقاف تشغيله.
  • تشغيل مؤشرات المرسلين غير المصادق عليهم في Outlook أو إيقاف تشغيلها.
  • حدد الإجراء للمرسلين المخادعة المحظورين.

  لمزيد من المعلومات، راجع إعدادات الانتحال في نهج مكافحة التصيد الاحتيالي.

  ملاحظة: تحتوي نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365 على حماية إضافية، بما في ذلك حماية الانتحال. لمزيد من المعلومات، راجع الإعدادات الحصرية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

• تقرير عمليات الكشف عن الانتحال: لمزيد من المعلومات، راجع تقرير عمليات الكشف عن الانتحال.

  ملاحظة: يمكن للمؤسسات Defender لـ Office 365 أيضا استخدام عمليات الكشف في الوقت الحقيقي (الخطة 1) أو مستكشف التهديدات (الخطة 2) لعرض معلومات حول محاولات التصيد الاحتيالي. لمزيد من المعلومات، راجع Microsoft 365 التحقيق في التهديدات والاستجابة لها.

كيفية استخدام الانتحال في هجمات التصيد الاحتيالي

رسائل تزييف المعلومات لها الآثار السلبية التالية للمستخدمين:

• تخدع الرسائل المنتحلة المستخدمين: قد تخدع رسالة منتحلة المستلم بالنقر فوق ارتباط والتنازل عن بيانات اعتماده أو تنزيل البرامج الضارة أو الرد على رسالة ذات محتوى حساس (المعروفة باسم اختراق البريد الإلكتروني للأعمال أو BEC).

  الرسالة التالية هي مثال على التصيد الاحتيالي الذي يستخدم msoutlook94@service.outlook.com المرسل المخادع:

  

  لم تأتي هذه الرسالة من service.outlook.com، ولكن المهاجم قام بانتحال حقل رأس من لجعله يبدو كما فعل. كانت هذه محاولة لخداع المستلم للنقر فوق تغيير ارتباط كلمة المرور والتنازل عن بيانات الاعتماد الخاصة به.

  الرسالة التالية هي مثال على BEC الذي يستخدم مجال البريد الإلكتروني المخادعة contoso.com:

  

  تبدو الرسالة شرعية، ولكن المرسل منتحل.

• يخلط المستخدمون بين الرسائل الحقيقية للرسائل المزيفة: حتى المستخدمين الذين يعرفون التصيد الاحتيالي قد يجدون صعوبة في رؤية الاختلافات بين الرسائل الحقيقية والرسائل المنتحلة.

  الرسالة التالية هي مثال على رسالة إعادة تعيين كلمة مرور حقيقية من حساب Microsoft Security:

  

  لقد جاءت الرسالة بالفعل من Microsoft، ولكن تم شرط أن يكون المستخدمون مريبين. نظرا لأنه من الصعب الفرق بين رسالة إعادة تعيين كلمة مرور حقيقية ورسالة مزيفة، فقد يتجاهل المستخدمون الرسالة، أو يبلغون عنها على أنها بريد عشوائي، أو يبلغون Microsoft عن الرسالة على أنها تصيد احتيالي دون داع.

أنواع مختلفة من الانتحال

تفرق Microsoft بين نوعين مختلفين من الرسائل المخادعة:

• تزييف هوية داخل المؤسسة: يعرف أيضا بالانتحال الذاتي إلى الذاتي . على سبيل المثال:

  • يكون المرسل والمستلم في المجال نفسه:

    من: chris@contoso.com
    إلى: michelle@contoso.com

  • يوجد المرسل والمستلم في مجالات فرعية للمجال نفسه:

    من: laura@marketing.fabrikam.com
    إلى: julia@engineering.fabrikam.com

  • المرسل والمستلم في مجالات مختلفة تنتمي إلى نفس المؤسسة (أي، يتم تكوين كلا المجالين كمجالين مقبولين في نفس المؤسسة):

    من: المرسل @ microsoft.com
    إلى: المستلم @ bing.com

    يتم استخدام المسافات في عناوين البريد الإلكتروني لمنع جني روبوت البريد العشوائي.

  تحتوي الرسائل التي تفشل في المصادقة المركبة بسبب تزييف الهوية داخل المؤسسة على قيم العنوان التالية:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx يشير إلى تزييف هوية داخل المؤسسة.

  • SFTY هو مستوى أمان الرسالة. 9 يشير إلى التصيد الاحتيالي، يشير .11 إلى تزييف هوية داخل المؤسسة.

• الانتحال عبر المجالات: يختلف مجالا المرسل والمستلم، ولا علاقة بينهما (تعرف أيضا بالمجالات الخارجية). على سبيل المثال:

  من: chris@contoso.com
  إلى: michelle@tailspintoys.com

  تحتوي الرسائل التي تفشل في المصادقة المركبة بسبب تزييف المجالات على قيم الرؤوس التالية:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 يشير إلى فشل مصادقة البريد الإلكتروني الصريحة للرسالة. reason=001 يشير إلى فشل مصادقة البريد الإلكتروني الضمنية للرسالة.

  • SFTY هو مستوى أمان الرسالة. 9 يشير إلى التصيد الاحتيالي، يشير .22 إلى تزييف المجالات.

ملاحظة

إذا تلقيت رسالة مثل *compauth=fail reason=### _ وتحتاج إلى معرفة المصادقة المركبة (compauth) والقيم المتعلقة بالانتحال، فراجع رؤوس رسائل البريد العشوائي _Anti في Microsoft 365*. أو انتقل مباشرة إلى رموز الأسباب .

لمزيد من المعلومات حول DMARC، راجع استخدام DMARC للتحقق من صحة البريد الإلكتروني في Microsoft 365.

مشاكل في الحماية من الانتحال

من المعروف أن القوائم البريدية (المعروفة أيضا بقوائم المناقشة) تواجه مشاكل في مكافحة الانتحال بسبب طريقة إعادة توجيه الرسائل وتعديلها.

على سبيل المثال، تهتم واسيترا لاوريانو (glaureano@contoso.com) بمراقبة الطيور، وتنضم إلى القائمة البريدية birdwatchers@fabrikam.com، وترسل الرسالة التالية إلى القائمة:

من: "ستريلا لاوريانو" <glaureano@contoso.com>
ل: قائمة مناقشة مراقب الطيور <birdwatchers@fabrikam.com>
الموضوع: عرض رائع ل jays الأزرق في أعلى Mt. ممطر هذا الأسبوع

أي شخص يريد الاطلاع على العرض هذا الأسبوع من Mt. رينييه؟

يتلقى خادم القائمة البريدية الرسالة ويعدل محتواها ويعيد عرضها على أعضاء القائمة. تحتوي الرسالة التي تمت إعادة تشغيلها على العنوان "من" نفسه (glaureano@contoso.com)، ولكن تتم إضافة علامة إلى سطر الموضوع، كما تتم إضافة تذييل إلى أسفل الرسالة. هذا النوع من التعديل شائع في القوائم البريدية، وقد ينتج عنه إيجابيات خاطئة للانتحال.

من: "ستريلا لاوريانو" <glaureano@contoso.com>
ل: قائمة مناقشة مراقب الطيور <birdwatchers@fabrikam.com>
الموضوع: [BIRDWATCHERS] عرض رائع ل jays الأزرق في أعلى Mt. ممطر هذا الأسبوع

أي شخص يريد الاطلاع على العرض هذا الأسبوع من Mt. رينييه؟

تم إرسال هذه الرسالة إلى قائمة مناقشات مراقبي الطيور. يمكنك إلغاء الاشتراك في أي وقت.

لمساعدة رسائل القائمة البريدية على تمرير عمليات التحقق من الانتحال، نفذ الخطوات التالية استنادا إلى ما إذا كنت تتحكم في القائمة البريدية:

• تمتلك مؤسستك القائمة البريدية:

  • تحقق من الأسئلة المتداولة في DMARC.org: أقوم بتشغيل قائمة بريدية وأريد أن أتداخل مع DMARC، ماذا يجب أن أفعل؟.

  • اقرأ الإرشادات الموجودة في منشور المدونة هذا: تلميح لمشغلي القائمة البريدية للتشغيل المتداخل مع DMARC لتجنب حالات الفشل.

  • ضع في اعتبارك تثبيت التحديثات على خادم القائمة البريدية لدعم ARC، راجع http://arc-spec.org.

• لا تملك مؤسستك القائمة البريدية:

  • اطلب من مشرف القائمة البريدية تكوين مصادقة البريد الإلكتروني للمجال الذي تقوم القائمة البريدية بترحيله منه.

    عندما يرد عدد كاف من المرسلين على مالكي المجالات بحيث يجب عليهم إعداد سجلات مصادقة البريد الإلكتروني، فإنه يدفعهم إلى اتخاذ إجراء. بينما تعمل Microsoft أيضا مع مالكي المجالات لنشر السجلات المطلوبة، فإنها تساعد أكثر عندما يطلبها المستخدمون الفرديون.

  • إنشاء قواعد علبة الوارد في عميل البريد الإلكتروني لنقل الرسائل إلى علبة الوارد. يمكنك أيضا أن تطلب من المسؤولين تكوين التجاوزات كما هو موضح في التحليل الذكي للانتحال في EOP وإدارة قائمة السماح/الحظر للمستأجر.

  • استخدم قائمة السماح/الحظر للمستأجر لإنشاء تجاوز للقائمة البريدية لمعاملتها على أنها شرعية. لمزيد من المعلومات، راجع "إضافة السماح" في قائمة السماح/الحظر للمستأجر.

إذا فشل كل شيء آخر، يمكنك الإبلاغ عن الرسالة على أنها إيجابية خاطئة إلى Microsoft. لمزيد من المعلومات، راجع تقارير الرسائل والملفات إلى Microsoft.

اعتبارات الحماية من الانتحال

إذا كنت مسؤولا ترسل رسائل حاليا إلى Microsoft 365، فستحتاج إلى التأكد من مصادقة بريدك الإلكتروني بشكل صحيح. وإلا، فقد يتم وضع علامة عليه على أنه بريد عشوائي أو تصيد احتيالي. لمزيد من المعلومات، راجع الحلول للمرسلين الشرعيين الذين يرسلون بريدا إلكترونيا غير مصادق عليه.

سيتجاوز المرسلون في قائمة خزينة المرسلين (أو المسؤولين) الخاصة بالمستخدم الفردي (أو المسؤول) أجزاء من مكدس التصفية، بما في ذلك الحماية من الانتحال. لمزيد من المعلومات، راجع Outlook خزينة المرسلين.

يجب على المسؤولين تجنب استخدام قوائم المرسلين المسموح بها أو قوائم المجالات المسموح بها (كلما أمكن ذلك). يتجاوز هؤلاء المرسلون كل البريد العشوائي والانتحال وحماية التصيد الاحتيالي، وكذلك مصادقة المرسل (SPF، وDKIM، وDMARC). لمزيد من المعلومات، راجع استخدام قوائم المرسلين المسموح بها أو قوائم المجالات المسموح بها.