Ochrana proti falšování identity v EOP

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek obsahuje EOP funkce, které vaši organizaci pomáhají chránit před zfalšovanými (zfalšovanými) odesílateli.

Pokud jde o ochranu svých uživatelů, bere Microsoft hrozbu útoku phishing vážně. Falšování identity je běžná technika, kterou používají útočníci. Zfalšované zprávy vypadají, že pocházejí od někoho nebo od jiného místa, než je skutečný zdroj. Tato technika se často používá v phishingových kampaních, které jsou navržené tak, aby získaly přihlašovací údaje uživatele. Technologie ochrany proti falšování identity v EOP konkrétně zkoumá padělání hlavičky From v textu zprávy, protože tato hodnota hlavičky je odesílatel zprávy zobrazený v e-mailových klientech. Pokud má EOP vysokou jistotu, že hlavička From je zfalšovaná, zpráva se identifikuje jako zfalšovaná.

V EOP jsou k dispozici následující technologie ochrany proti falšování identity:

• Email ověřování: Nedílnou součástí veškerého úsilí o ochranu proti falšování identity je použití ověřování e-mailů (označované také jako ověření e-mailu) pomocí záznamů SPF, DKIM a DMARC v DNS. Tyto záznamy můžete nakonfigurovat pro své domény, aby cílové e-mailové systémy mohly zkontrolovat platnost zpráv, které tvrdí, že jsou od odesílatelů ve vašich doménách. U příchozích zpráv Vyžaduje Microsoft 365 ověření e-mailu pro domény odesílatele. Další informace najdete v tématu Email ověřování v Microsoftu 365.

  EOP analyzuje a blokuje zprávy na základě kombinace standardních metod ověřování e-mailu a technik reputace odesílatele.

  

• Přehled informací o falšování identity: Zkontrolujte zjištěné zfalšované zprávy od odesílatelů v interních a externích doménách za posledních sedm dnů. Další informace najdete v tématu Přehled informací o falšování identity v EOP.

• Povolit nebo blokovat zfalšované odesílatele v seznamu povolených/blokovaných uživatelů tenanta: Když v přehledu falšování identity přepíšete verdikt, stane se zfalšovaný odesílatel ručně povoleným nebo blokovaným záznamem, který se zobrazí jenom na kartě Zfalšovaní odesílatelé na stránce Seznamy povolení/blokování tenanta na https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemadrese . Můžete také ručně vytvořit položky povolení nebo blokování pro falšování odesílatelů předtím, než je rozpoznají funkcemi falšování. Další informace najdete v tématu Falšovaní odesílatelé v seznamu povolených/blokovaných klientů.

• Zásady ochrany před útoky phishing: V EOP a Microsoft Defender pro Office 365 obsahují zásady ochrany proti útokům phishing následující nastavení ochrany proti falšování identity:

  • Zapněte nebo vypněte informace o falšování.
  • Zapnutí nebo vypnutí indikátorů neověřených odesílatelů v Outlooku
  • Zadejte akci pro blokované zfalšované odesílatele.

  Další informace najdete v tématu Nastavení falšování identity v zásadách ochrany proti útokům phishing.

  Zásady ochrany proti útokům phishing v Defender pro Office 365 obsahují další ochranu, včetně ochrany před zosobněním. Další informace najdete v tématu Exkluzivní nastavení v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.

• Sestava detekce falšování identity: Další informace najdete v tématu Sestava zjišťování falšování identity.

  Defender pro Office 365 organizace můžou také používat detekce v reálném čase (Plán 1) nebo Průzkumníka hrozeb (Plán 2) k zobrazení informací o pokusech o útok phishing. Další informace najdete v článku o vyšetřování hrozeb Microsoft 365 a jejich reakci.

Tip

Je důležité si uvědomit, že při selhání složeného ověřování nedojde přímo k zablokování zprávy. Náš systém používá holistickou strategii hodnocení, která bere v úvahu celkovou podezřelou povahu zprávy spolu s výsledky složeného ověřování. Tato metoda je navržená tak, aby zmírnila riziko nesprávného blokování legitimních e-mailů z domén, které nemusí striktně dodržovat protokoly pro ověřování e-mailů. Tento vyvážený přístup pomáhá odlišit skutečně škodlivé e-maily od odesílatelů zpráv, kteří jednoduše nevyhovují standardním postupům ověřování e-mailů.

Jak se falšování identity používá při phishingových útocích

Zfalšovaní odesílatelé ve zprávách mají pro uživatele následující negativní důsledky:

• Podvod: Zprávy od zfalšovaných odesílatelů můžou příjemce oklamat, aby vybral odkaz a zahodil se svých přihlašovacích údajů, stáhl malware nebo odpověděl na zprávu s citlivým obsahem (označuje se jako ohrožení zabezpečení obchodních e-mailů nebo BEC).

  Následující zpráva je příkladem útoku phishing, který používá zfalšovaného odesílatele msoutlook94@service.outlook.com:

  

  Tato zpráva nepochází z service.outlook.com, ale útočník zfalšoval pole hlavičky Od , aby vypadalo stejně jako vy. Odesílatel se pokusil příjemce oklamat, aby vybral odkaz pro změnu hesla a poskytl jeho přihlašovací údaje.

  Následující zpráva je příkladem bec, který používá zfalšovanou e-mailovou doménu contoso.com:

  

  Zpráva vypadá legitimní, ale odesílatel je zfalšovaný.

• Nejasnosti: I uživatelé, kteří vědí o phishingu, můžou mít potíže vidět rozdíly mezi skutečnými zprávami a zprávami od zfalšovaných odesílatelů.

  Následující zpráva je příkladem zprávy o skutečném resetování hesla z účtu Microsoft Security:

  

  Zpráva skutečně přišla od Microsoftu, ale uživatelé byli podezřívaví. Vzhledem k tomu, že je obtížné zjistit rozdíl mezi skutečnou zprávou o resetování hesla a falešnou zprávou, můžou uživatelé tuto zprávu ignorovat, nahlásit ji jako spam nebo ji microsoftu zbytečně nahlásit jako phishing.

Různé typy falšování identity

Microsoft rozlišuje dva různé typy zfalšovaných odesílatelů ve zprávách:

• Falšování identity v rámci organizace: Označuje se také jako falšování identity sama sobě . Příklady:

  • Odesílatel a příjemce jsou ve stejné doméně:

    Z: chris@contoso.com
    Postup: michelle@contoso.com

  • Odesílatel a příjemce jsou v subdoménách stejné domény:

    Z: laura@marketing.fabrikam.com
    Postup: julia@engineering.fabrikam.com

  • Odesílatel a příjemce jsou v různých doménách, které patří do stejné organizace (to znamená, že obě domény jsou nakonfigurované jako akceptované domény ve stejné organizaci):

    Od: odesílatel @ microsoft.com
    Do: příjemce @ bing.com

    V e-mailových adresách se používají mezery, aby se zabránilo sběru spambotu.

  Zprávy, které selžou složené ověřování kvůli falšování identity uvnitř organizace, obsahují následující hodnoty hlaviček:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx označuje falšování identity uvnitř organizace.

  • SFTY je bezpečnostní úroveň zprávy. 9 indikuje phishing, .11 indikuje falšování identity uvnitř organizace.

• Falšování identity mezi doménami: Domény odesílatele a příjemce se liší a nemají k sobě žádný vztah (označované také jako externí domény). Příklady:

  Z: chris@contoso.com
  Postup: michelle@tailspintoys.com

  Zprávy, které selžou složené ověřování kvůli falšování identity mezi doménami, obsahují následující hodnoty hlaviček:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 označuje, že zpráva selhala při explicitním ověření e-mailu. reason=001 označuje, že zpráva selhala implicitní ověření e-mailu.

  • SFTY je bezpečnostní úroveň zprávy. 9 označuje phishing, .22 označuje falšování identity mezi doménami.

  Další informace o výsledcích ověřování a compauth hodnotách najdete v tématu Pole záhlaví zprávy s výsledky ověřování.

Problémy s ochranou proti falšování identity

O seznamech adresátů (označovaných také jako seznamy diskuzí) se ví, že mají problémy s ochranou proti falšování identity kvůli způsobu, jakým přeposílají a upravují zprávy.

Například Gabriela Laureano (glaureano@contoso.com) se zajímá o pozorování ptáků, připojí se k seznamu birdwatchers@fabrikam.comadresátů a odešle do seznamu následující zprávu:

Z: "Gabriela Laureano" <glaureano@contoso.com>
Postup: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Předmět: Skvělý pohled na modré jays na vrcholu Mt. Rainier tento týden

Každý, kdo se chce podívat na prohlížení tento týden z Mt. Rainier?

Server seznamu adresátů zprávu přijme, upraví její obsah a přehraje ji členům seznamu. Přehráovaná zpráva má stejnou adresu Od (glaureano@contoso.com), ale do řádku předmětu se přidá značka a na konec zprávy se přidá zápatí. Tento typ úpravy je běžný v seznamech adresátů a může vést k falešně pozitivním výsledkům pro falšování identity.

Z: "Gabriela Laureano" <glaureano@contoso.com>
Postup: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Předmět: [BIRDWATCHERS] Skvělé prohlížení modrých jays na vrcholu Mt. Rainier tento týden

Každý, kdo se chce podívat na prohlížení tento týden z Mt. Rainier?

Tato zpráva byla odeslána do seznamu diskuzí birdwatchers. Odběr můžete kdykoliv zrušit.

Pokud chcete pomoct zprávám seznamu adresátů projít kontrolami ochrany před falšováním identity, proveďte následující kroky podle toho, jestli řídíte seznam adresátů:

• Seznam adresátů vlastní vaše organizace:

  • Projděte si nejčastější dotazy na DMARC.org: Obsluhuji seznam adresátů a chci spolupracovat s DMARC, co mám dělat?
  • Přečtěte si pokyny v tomto blogovém příspěvku: Tip pro operátory seznamu adresátů pro spolupráci s DMARC, aby nedocházelo k selháním.
  • Zvažte instalaci aktualizací na server seznamu adresátů pro podporu ARC. Další informace najdete v tématu http://arc-spec.org.

• Vaše organizace nevlastní seznam adresátů:

  • Požádejte správce seznamu adresátů, aby nakonfigurovali ověřování e-mailů pro doménu, ze které seznam adresátů předává. Vlastníci pravděpodobněji zareagují, pokud je dostatek členů požádá o nastavení ověřování e-mailem. Microsoft sice také spolupracuje s vlastníky domény na publikování požadovaných záznamů, ale ještě více pomáhá, když o to jednotliví uživatelé požádají.
  • Create pravidla doručené pošty v e-mailovém klientovi, aby se zprávy přesunuly do složky Doručená pošta.
  • Pomocí seznamu povolených/blokovaných tenantů vytvořte položku povolení pro seznam adresátů, která ho bude považovat za legitimní. Další informace najdete v tématu Create povolit položky pro zfalšované odesílatele.

Pokud všechno ostatní selže, můžete zprávu společnosti Microsoft nahlásit jako falešně pozitivní. Další informace najdete v tématu Hlášení zpráv a souborů společnosti Microsoft.

Důležité informace o ochraně proti falšování identity

Pokud jste správce, který aktuálně odesílá zprávy do Microsoftu 365, musíte zajistit, aby byl váš e-mail správně ověřený. V opačném případě může být označena jako spam nebo phishing. Další informace najdete v článku Jak se vyhnout selhání ověřování e-mailu při odesílání pošty do Microsoftu 365.

Odesílatelé v jednotlivých uživatelích (nebo správci) Bezpeční odesílatelé můžou vynechat části zásobníku filtrování, včetně ochrany před falšováním. Další informace najdete v článku Bezpeční odesílatelé Outlooku.

Pokud je to možné, neměli by správci používat seznamy povolených odesílatelů nebo seznamy povolených domén v zásadách ochrany proti spamu. Tito odesílatelé obcházejí většinu zásobníku filtrování (vysoce důvěryhodné phishingové a malwarové zprávy jsou vždy v karanténě). Další informace najdete v tématu Použití seznamů povolených odesílatelů nebo seznamů povolených domén.