Politikker til bekæmpelse af phishing i Microsoft 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Politikker til konfiguration af indstillinger for beskyttelse mod phishing er tilgængelige i Microsoft 365-organisationer med Exchange Online postkasser, enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser, og Microsoft Defender for Office 365 organisationer.

Eksempler på Microsoft Defender for Office 365 organisationer omfatter:

Forskellene på højt niveau mellem anti-phishing-politikker i EOP og anti-phishing-politikker i Defender for Office 365 er beskrevet i følgende tabel:

Funktion Politikker for antiphishing
i EOP		 Politikker for antiphishing
i Defender for Office 365
Automatisk oprettet standardpolitik
Create brugerdefinerede politikker
Almindelige politikindstillinger*
Spoof-indstillinger
Sikkerhedstip til første kontakt
Repræsentationsindstillinger
Avancerede tærskler for phishing

* I standardpolitikken er politiknavnet og beskrivelsen skrivebeskyttet (beskrivelsen er tom), og du kan ikke angive, hvem politikken gælder for (standardpolitikken gælder for alle modtagere).

Hvis du vil konfigurere politikker til bekæmpelse af phishing, skal du se følgende artikler:

I resten af denne artikel beskrives de indstillinger, der er tilgængelige i politikker til bekæmpelse af phishing i EOP og Defender for Office 365.

Almindelige politikindstillinger

Følgende politikindstillinger er tilgængelige i politikker til bekæmpelse af phishing i EOP og Defender for Office 365:

  • Navn: Du kan ikke omdøbe standardpolitikken til anti-phishing. Når du har oprettet en brugerdefineret anti-phishing-politik, kan du ikke omdøbe politikken på Microsoft Defender-portalen.

  • Beskrivelse Du kan ikke føje en beskrivelse til standardpolitikken til anti-phishing, men du kan tilføje og ændre beskrivelsen af brugerdefinerede politikker, som du opretter.

  • Brugere, grupper og domæner og Udelad disse brugere, grupper og domæner: Modtagerfiltre til at identificere de interne modtagere, som politikken gælder for. Der kræves mindst én betingelse i brugerdefinerede politikker. Betingelser og undtagelser er ikke tilgængelige i standardpolitikken (standardpolitikken gælder for alle modtagere). Du kan bruge følgende modtagerfiltre til betingelser og undtagelser:

    • Brugere: En eller flere postkasser, mailbrugere eller mailkontakter i organisationen.
    • Grupper:
      • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
      • Den angivne Microsoft 365-grupper.
    • Domæner: Et eller flere af de konfigurerede accepterede domæner i Microsoft 365. Modtagerens primære mailadresse er i det angivne domæne.

    Du kan kun bruge en betingelse eller undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier:

    • Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <modtager1> eller <modtager2>):

      • Betingelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken på dem.
      • Undtagelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.

    • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

    • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

      • Brugere: romain@contoso.com
      • Grupper: Direktører

      Politikken anvendes kunromain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

    Tip

    Der kræves mindst ét valg i indstillingerne for brugere, grupper og domæner i brugerdefinerede politikker til bekæmpelse af phishing for at identificere de meddelelsesmodtagere , som politikken gælder for. Politikker til bekæmpelse af phishing i Defender for Office 365 har også repræsentationsindstillinger, hvor du kan angive afsendermailadresser eller afsenderdomæner, der modtager repræsentationsbeskyttelse, som beskrevet senere i denne artikel.

Spoof-indstillinger

Spoofing er, når Fra-adressen i en mail (den afsenderadresse, der vises i mailklienter) ikke svarer til domænet for mailkilden. Du kan få flere oplysninger om spoofing under Beskyttelse mod spoofing i Microsoft 365.

Følgende spoof-indstillinger er tilgængelige i politikker til bekæmpelse af phishing i EOP og Defender for Office 365:

  • Aktivér spoof intelligence: Slår spoof intelligence til eller fra. Vi anbefaler, at du lader den være tændt.

    Når spoof intelligence er aktiveret, viser indsigten spoof intelligence spoofed afsendere, der automatisk blev registreret og tilladt eller blokeret af spoof intelligence. Du kan tilsidesætte spoof intelligence-dommen manuelt for at tillade eller blokere de registrerede spoofed-afsendere fra indsigten. Men når du gør det, forsvinder den spoofede afsender fra indsigten spoof intelligence og er kun synlig på fanen Spoofed sendere på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Du kan også manuelt oprette tillad eller blokere poster for spoofede afsendere på lejerlisten tillad/bloker, også selvom de ikke registreres af indsigten spoof intelligence. Du kan finde flere oplysninger i følgende artikler:

    Bemærk!

    • Beskyttelse mod spoofing er aktiveret i standard- og strenge forudindstillede sikkerhedspolitikker og er som standard aktiveret i standardpolitikken for anti-phishing og i nye brugerdefinerede politikker til anti-phishing, som du opretter.
    • Du behøver ikke at deaktivere beskyttelse mod spoofing, hvis din MX-post ikke peger på Microsoft 365. du aktiverer forbedret filtrering for forbindelser i stedet. Du kan finde instruktioner under Udvidet filtrering for forbindelser i Exchange Online.
    • Deaktivering af beskyttelse mod spoofing deaktiverer kun implicit spoofing-beskyttelse fra kontrol af sammensatte godkendelser . Du kan få oplysninger om, hvordan eksplicitteDMARC-kontroller påvirkes af beskyttelse mod spoofing og konfigurationen af kildedomænets DMARC-politik (p=quarantine eller p=reject i DMARC TXT-posten), i afsnittet Spoof protection and sender DMARC policies .

  • Ikke-godkendte afsenderindikatorer: Tilgængelige i afsnittet Tip til sikkerhed & kun indikatorer , når spoof intelligence er slået til. Se detaljerne i næste afsnit.

  • Handlinger: For meddelelser fra blokerede spoofede afsendere (automatisk blokeret af spoof intelligence (mislykket sammensat godkendelse plus ondsindet hensigt) eller manuelt blokeret på listen Over tilladte/blokerede lejere), kan du også angive den handling, der skal udføres på meddelelserne:

Spoof beskyttelse og afsender DMARC-politikker

I politikker til bekæmpelse af phishing kan du styre, om p=quarantine DMARC-politikker for afsendere p=reject eller værdier skal anvendes. Hvis en meddelelse ikke kan kontrolleres af DMARC, kan du angive separate handlinger for p=quarantine eller p=reject i afsenderens DMARC-politik. Følgende indstillinger er involveret:

  • Honor DMARC-postpolitik, når meddelelsen registreres som spoof: Denne indstilling aktiverer hædring af afsenderens DMARC-politik for eksplicitte godkendelsesfejl i mails. Når denne indstilling er valgt, er følgende indstillinger tilgængelige:

    • Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som p=karantæne: De tilgængelige handlinger er:
      • Sæt meddelelsen i karantæne
      • Flyt meddelelsen til modtagernes mapper med uønsket mail
    • Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som p=afvis: De tilgængelige handlinger er:
      • Sæt meddelelsen i karantæne
      • Afvis meddelelsen

    Hvis du vælger Sæt meddelelsen i karantæne som en handling, bruges den karantænepolitik, der er valgt til spoof intelligence-beskyttelse.

DMARC-indstillinger i en anti-phishing-politik.

Relationen mellem spoof intelligence, og om DMARC-politikker for afsender anvendes, er beskrevet i følgende tabel:

  Honor DMARC-politik slået til Honor DMARC-politik slået fra
Spoof intelligence slået til Separate handlinger for implicitte og eksplicitte mailgodkendelsesfejl:
  • Implicitte fejl: Brug handlingen Hvis meddelelsen registreres som spoof af spoof intelligence i politikken til bekæmpelse af phishing.
  • Eksplicitte fejl:
    • DMARC-politik p=quarantine: Brug politikken Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som p=karantæne i politikken til bekæmpelse af phishing.
    • DMARC-politik p=reject: Brug politikken Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som handlingen p=reject i politikken til anti-phishing.
    • DMARC-politik p=none: Der anvendes ingen handling af Microsoft 365, men andre beskyttelsesfunktioner i filtreringsstakken kan stadig reagere på meddelelsen.
 Handlingen If the message is detected as spoof by spoof intelligence in the anti-phishing policy is detected as spoof by spoof intelligence bruges til både implicitte og eksplicitte mailgodkendelsesfejl. Eksplicitte godkendelsesfejl i mail ignorerer p=quarantine, p=reject, p=noneeller andre værdier i DMARC-politikken.
Spoof intelligence fra Implicit kontrol af mailgodkendelse bruges ikke.

Eksplicitte godkendelsesfejl i mail:
  • DMARC-politik p=quarantine: Brug politikken Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som p=karantæne i politikken til bekæmpelse af phishing.
  • DMARC-politik p=reject: Brug politikken Hvis meddelelsen registreres som spoof, og DMARC-politikken er angivet som handlingen p=reject i politikken til anti-phishing.
  • DMARC-politik p=none: Meddelelsen identificeres ikke som spoofing af Microsoft 365, men andre beskyttelsesfunktioner i filtreringsstakken kan stadig reagere på meddelelsen.
 Implicit kontrol af mailgodkendelse bruges ikke.

Eksplicitte godkendelsesfejl i mail:
  • DMARC-politik p=quarantine: Meddelelser er sat i karantæne.
  • DMARC-politik p=reject: Meddelelser er sat i karantæne.
  • DMARC-politik p=none: Der anvendes ingen handling af Microsoft 365, men andre beskyttelsesfunktioner i filtreringsstakken kan stadig reagere på meddelelsen.

Bemærk!

Hvis MX-posten for Microsoft 365-domænet peger på en tredjepartstjeneste eller -enhed, der er placeret foran Microsoft 365, anvendes politikindstillingen Ære DMARC kun, hvis Udvidet filtrering for forbindelser er aktiveret for den connector, der modtager indgående meddelelser.

Kunder kan tilsidesætte DMARC-politikindstillingen for bestemte mails og/eller afsendere ved hjælp af følgende metoder:

  • Administratorer eller brugere kan føje afsenderne til listen Afsendere, der er tillid til i brugerens postkasse.
  • Administratorer kan bruge indsigt i spoof intelligence eller lejerens tilladelses-/blokliste til at tillade meddelelser fra den spoofede afsender.
  • Administratorer opretter en Regel for Exchange-mailflow (også kendt som en transportregel) for alle brugere, der tillader meddelelser for disse bestemte afsendere.
  • Administratorer opretter en Regel for Exchange-mailflow for alle brugere for afviste mails, der mislykkes for organisationens DMARC-politik.

Ikke-godkendte afsenderindikatorer

Ikke-godkendte afsenderindikatorer er en del af de Spoof-indstillinger, der er tilgængelige i afsnittet Sikkerhedstips & indikatorer i politikker til bekæmpelse af phishing i både EOP og Defender for Office 365. Følgende indstillinger er kun tilgængelige, når spoof intelligence er slået til:

  • Vis (?) for ikke-godkendte afsendere til spoof: Føjer et spørgsmålstegn til afsenderens foto i feltet Fra, hvis meddelelsen ikke sender SPF- eller DKIM-kontroller, og meddelelsen ikke består DMARC- eller sammensat godkendelse. Når denne indstilling er slået fra, føjes spørgsmålstegnet ikke til afsenderens foto.

  • Vis mærket "via": Tilføjer mærket "via" (chris@contoso.comvia fabrikam.com) i feltet Fra, hvis domænet i fra-adressen (den meddelelsesafsender, der vises i mailklienter) er forskellig fra domænet i DKIM-signaturen eller MAIL FROM-adressen . Du kan få flere oplysninger om disse adresser under En oversigt over standarder for mailmeddelelser.

Hvis du vil forhindre, at spørgsmålstegnet eller "via"-koden føjes til meddelelser fra bestemte afsendere, har du følgende muligheder:

  • Tillad den spoofede afsender i indsigten spoof intelligence eller manuelt på lejerlisten tillad/bloker. Hvis du tillader den spoofede afsender, kan koden "via" ikke vises i meddelelser fra afsenderen, selvom kodeindstillingen Vis "via" er slået til i politikken.
  • Konfigurer mailgodkendelse for afsenderdomænet.
    • For spørgsmålstegnet på afsenderens billede er SPF eller DKIM det vigtigste.
    • For koden "via" skal du bekræfte, at domænet i DKIM-signaturen eller MAIL FROM-adressen matcher (eller er et underdomæne af) domænet i Fra-adressen.

Du kan finde flere oplysninger under Identificer mistænkelige meddelelser i Outlook.com og Outlook på internettet

Sikkerhedstip til første kontakt

Indstillingen Vis sikkerhedstip til første kontakt er tilgængelig i EOP og Defender for Office 365 organisationer og er ikke afhængig af indstillinger for spoof intelligence eller repræsentationsbeskyttelse. Sikkerhedstip vises til modtagere i følgende scenarier:

  • Første gang, de modtager en meddelelse fra en afsender
  • De modtager ikke ofte meddelelser fra afsenderen.

Denne funktion tilføjer et ekstra lag beskyttelse mod potentielle repræsentationsangreb, så vi anbefaler, at du slår den til.

Den første kontaktsikkerhedstip styres af værdien 9,25 for SFTY feltet i meddelelsens X-Forefront-Antispam-Report-header . Denne funktion erstatter behovet for at oprette regler for mailflow (også kaldet transportregler), der tilføjer en header med navnet X-MS-Exchange-EnableFirstContactSafetyTip med værdien Enable i meddelelser, selvom denne funktion stadig er tilgængelig.

Afhængigt af antallet af modtagere i meddelelsen kan det første kontaktsikkerhedstip være en af følgende værdier:

  • Enkelt modtager:

    Du modtager ikke ofte mail fra <mailadressen>.

    Sikkerhedstip til første kontakt for meddelelser med én modtager

  • Flere modtagere:

    Nogle personer, der har modtaget denne meddelelse, modtager ikke ofte mails fra <mailadressen>.

    Sikkerhedstip til første kontakt til meddelelser med flere modtagere

Bemærk!

Hvis meddelelsen har flere modtagere, om tip vises, og til hvem der er baseret på en flertalsmodel. Hvis størstedelen af modtagerne aldrig eller ofte modtager meddelelser fra afsenderen, modtager de berørte modtagere tipet Nogle personer, der har modtaget denne meddelelse... Hvis du er bekymret for, at denne funktionsmåde viser en modtagers kommunikationsvaner for en anden, bør du ikke aktivere det første kontaktsikkerhedstip og fortsætte med at bruge regler for mailflow og X-MS-Exchange-EnableFirstContactSafetyTip-headeren i stedet.

Det første kontaktsikkerhedstip stemples ikke i S/MIME-signerede meddelelser.

Eksklusive indstillinger i anti-phishing-politikker i Microsoft Defender for Office 365

I dette afsnit beskrives de politikindstillinger, der kun er tilgængelige i politikker til bekæmpelse af phishing i Defender for Office 365.

Bemærk!

Standardpolitikken mod phishing i Defender for Office 365 giver spoof-beskyttelse og postkasseintelligens til alle modtagere. De andre tilgængelige repræsentationsbeskyttelsesfunktioner og avancerede indstillinger er dog ikke konfigureret eller aktiveret i standardpolitikken. Hvis du vil aktivere alle beskyttelsesfunktioner, skal du ændre standardpolitikken for anti-phishing eller oprette yderligere politikker til bekæmpelse af phishing.

Repræsentationsindstillinger i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365

Repræsentation er det tilfælde, hvor afsenderens eller afsenderens maildomæne i en meddelelse ligner en rigtig afsender eller et rigtigt domæne:

  • Et eksempel på repræsentation af domæne contoso.com er ćóntoso.com.
  • Bruger repræsentation er en kombination af brugerens viste navn og mailadresse. Valeria Barrios (vbarrios@contoso.com) kan f.eks. repræsenteres som Valeria Barrios, men med en anden mailadresse.

Bemærk!

Repræsentationsbeskyttelse søger efter domæner, der ligner hinanden. Hvis dit domæne f.eks. er contoso.com, søger vi efter forskellige domæner på øverste niveau (.com, .biz osv.), men også domæner, der ligner hinanden noget. Contosososo.com eller contoabcdef.com kan f.eks. ses som repræsentationsforsøg på contoso.com.

Et repræsenterede domæne kan ellers blive betragtet som legitimt (domænet er registreret, DNS-poster til mailgodkendelse er konfigureret osv.), medmindre formålet med domænet er at bedrage modtagere.

De repræsentationsindstillinger, der er beskrevet i følgende afsnit, er kun tilgængelige i politikker til bekæmpelse af phishing i Defender for Office 365.

Beskyttelse af brugeridentificeret repræsentation

Beskyttelse mod repræsentation af brugere forhindrer, at bestemte interne eller eksterne mailadresser repræsenteres som afsendere af meddelelser. Du modtager f.eks. en mail fra virksomhedens næstformand, hvor du bliver bedt om at sende hende nogle interne firmaoplysninger. Vil du gøre det? Mange ville sende svaret uden at tænke.

Du kan bruge beskyttede brugere til at tilføje interne og eksterne afsendermailadresser for at beskytte mod repræsentation. Denne liste over afsendere , der er beskyttet mod brugerrepræsentation, er forskellig fra listen over modtagere , som politikken gælder for (alle modtagere for standardpolitikken, bestemte modtagere som konfigureret i indstillingen Brugere, grupper og domæner i afsnittet Indstillinger for fælles politik ).

Bemærk!

Du kan maksimalt angive 350 brugere for beskyttelse mod phishing i hver enkelt politik til beskyttelse mod phishing.

Beskyttelse af brugerrepræsentation fungerer ikke, hvis afsenderen og modtageren tidligere har kommunikeret via mail. Hvis afsenderen og modtageren aldrig har kommunikeret via mail, kan meddelelsen identificeres som et repræsentationsforsøg.

Du får muligvis vist fejlmeddelelsen "Mailadressen findes allerede", hvis du forsøger at føje en bruger til beskyttelse mod brugerpræsentation, når denne mailadresse allerede er angivet til beskyttelse mod brugerpræsentation i en anden politik til beskyttelse mod phishing. Denne fejl forekommer kun i Defender-portalen. Du får ikke vist fejlen, hvis du bruger den tilsvarende parameter TargetedUsersToProtect i cmdlet'erne New-AntiPhishPolicy eller Set-AntiPhishPolicy i Exchange Online PowerShell.

Som standard er ingen afsendermailadresser konfigureret til repræsentationsbeskyttelse, hverken i standardpolitikken eller i brugerdefinerede politikker.

Når du føjer interne eller eksterne mailadresser til brugerne for at beskytte listen, er meddelelser fra disse afsendere underlagt kontrol af repræsentationsbeskyttelse. Meddelelsen kontrolleres for repræsentation , hvis meddelelsen sendes til en modtager , som politikken gælder for (alle modtagere for standardpolitikken. Brugere, grupper og domæner modtagere i brugerdefinerede politikker). Hvis der registreres repræsentation i afsenderens mailadresse, anvendes handlingen for repræsenterede brugere på meddelelsen.

For registrerede forsøg på at repræsentere brugeren er følgende handlinger tilgængelige:

Beskyttelse mod repræsentation af domæne

Beskyttelse mod repræsentation af domæner forhindrer, at bestemte domæner i afsenderens mailadresse repræsenteres . For eksempel alle domæner, som du ejer (accepterede domæner) eller specifikke brugerdefinerede domæner (domæner, du ejer eller partnerdomæner). Afsenderdomæner , der er beskyttet mod repræsentation, adskiller sig fra den liste over modtagere , som politikken gælder for (alle modtagere for standardpolitikken, bestemte modtagere som konfigureret i indstillingen Brugere, grupper og domæner i afsnittet Almindelige politikindstillinger ).

Bemærk!

Du kan maksimalt angive 50 brugerdefinerede domæner til beskyttelse mod phishing i forbindelse med domænerepræsentation.

Meddelelser fra afsendere i de angivne domæner er underlagt kontrol af repræsentationsbeskyttelse. Meddelelsen kontrolleres for repræsentation , hvis meddelelsen sendes til en modtager , som politikken gælder for (alle modtagere for standardpolitikken. Brugere, grupper og domæner modtagere i brugerdefinerede politikker). Hvis der registreres repræsentation i domænet for afsenderens mailadresse, anvendes handlingen for domænepersonation på meddelelsen.

Som standard er ingen afsenderdomæner konfigureret til repræsentationsbeskyttelse, hverken i standardpolitikken eller i brugerdefinerede politikker.

For registrerede forsøg på at repræsentere et domæne er følgende handlinger tilgængelige:

Beskyttelse af repræsentation af postkasseintelligens

Postkasseintelligens bruger kunstig intelligens til at bestemme brugermailmønstre med deres hyppige kontakter.

Gabriela Laureano (glaureano@contoso.com) er f.eks. ceo for din virksomhed, så du tilføjer hende som beskyttet afsender i Aktivér brugere for at beskytte indstillingerne for politikken. Men nogle af modtagerne i politikken kommunikerer regelmæssigt med en leverandør, der også hedder Gabriela Laureano (glaureano@fabrikam.com). Da disse modtagere har en kommunikationsoversigt med glaureano@fabrikam.com, identificerer postkasseintelligens ikke meddelelser fra glaureano@fabrikam.com som et repræsentationsforsøg for glaureano@contoso.com disse modtagere.

Bemærk!

Beskyttelse af postkasseintelligens fungerer ikke, hvis afsenderen og modtageren tidligere har kommunikeret via mail. Hvis afsenderen og modtageren aldrig har kommunikeret via mail, kan meddelelsen identificeres som et repræsentationsforsøg ved hjælp af postkasse intelligence.

Postkasseintelligens har to specifikke indstillinger:

  • Aktivér intelligens i postkasse: Slå postkasseintelligens til eller fra. Denne indstilling hjælper AI'en med at skelne mellem meddelelser fra legitime og repræsenterede afsendere. Denne indstilling er som standard slået til.
  • Aktivér intelligens til repræsentationsbeskyttelse: Denne indstilling er som standard slået fra. Brug den kontakthistorik, der er lært fra postkasseintelligens (både hyppige kontakter og ingen kontakt) til at beskytte brugerne mod repræsentationsangreb. Hvis postkasseintelligens skal kunne udføre handlinger på registrerede meddelelser, skal denne indstilling og indstillingen Aktivér postkasseintelligens begge være slået til.

Følgende handlinger er tilgængelige for repræsentationsforsøg, der registreres af postkasseintelligens:

  • Anvend ikke nogen handling: Dette er standardværdien. Denne handling har det samme resultat, som når Aktivér postkasseintelligens er slået til, men Aktivér beskyttelse mod repræsentation af intelligens er slået fra.
  • Omdiriger meddelelsen til andre mailadresser
  • Flyt meddelelsen til modtagernes mapper med uønsket mail
  • Sæt meddelelsen i karantæne: Hvis du vælger denne handling, kan du også vælge den karantænepolitik, der gælder for meddelelser, der er sat i karantæne af mailbox intelligence Protection. Karantænepolitikker definerer, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.
  • Levér meddelelsen, og føj andre adresser til Bcc-linjen
  • Slet meddelelsen, før den leveres

Tip til repræsentation af sikkerhed

Repræsentationssikkerhedstips vises for brugerne, når meddelelser identificeres som repræsentationsforsøg. Følgende tip til sikkerhed er tilgængelige:

  • Vis sikkerhedstip til brugerpræsentation: Fra-adressen indeholder en bruger, der er angivet i beskyttelse mod brugerpræsentation. Kun tilgængelig, hvis Aktivér brugere til at beskytte er slået til og konfigureret.

    Dette sikkerhedstip styres af værdien 9,20 for SFTY feltet i meddelelsens X-Forefront-Antispam-Report-header . Teksten siger:

    Denne afsender ser ud som en person, der tidligere har sendt dig en mail, men som muligvis ikke er den pågældende person.

  • Vis tip til sikkerhed ved repræsentation af domæne: Fra-adressen indeholder et domæne, der er angivet i beskyttelse mod repræsentation af domæner. Kun tilgængelig, hvis Aktivér domæner for at beskytte er slået til og konfigureret.

    Dette sikkerhedstip styres af værdien 9.19 for SFTY feltet i meddelelsens X-Forefront-Antispam-Report-header . Teksten siger:

    Denne afsender repræsenterer muligvis et domæne, der er knyttet til din organisation.

  • Vis sikkerhedstip til usædvanlig brugerrepræsentation: Fra-adressen indeholder usædvanlige tegnsæt (f.eks. matematiske symboler og tekst eller en blanding af store og små bogstaver) i en afsender, der er angivet i beskyttelse mod brugerrepræsentation. Kun tilgængelig, hvis Aktivér brugere til at beskytte er slået til og konfigureret. Teksten siger:

    <email address> Mailadressen indeholder uventede bogstaver eller tal. Vi anbefaler, at du ikke interagerer med denne meddelelse.

Bemærk!

Sikkerhedstips stemples ikke i følgende meddelelser:

  • S/MIME-signerede meddelelser.
  • Meddelelser, der er tilladt af dine organisationsindstillinger.

Afsendere og domæner, der er tillid til

Afsendere og domæner, der er tillid til, er undtagelser fra indstillingerne for repræsentationsbeskyttelse. Meddelelser fra de angivne afsendere og afsenderdomæner klassificeres aldrig som repræsentationsbaserede angreb af politikken. Det vil sige, at handlingen for beskyttede afsendere, beskyttede domæner eller postkasseintelligensbeskyttelse ikke anvendes på disse afsendere eller afsenderdomæner, der er tillid til. Den maksimale grænse for disse lister er 1024 poster.

Bemærk!

De domænenavne, der er tillid til, indeholder ikke underdomæner for det angivne domæne. Du skal tilføje en post for hvert underdomæne.

Hvis Microsoft 365-systemmeddelelser fra følgende afsendere identificeres som repræsentationsforsøg, kan du føje afsenderne til listen over afsendere, der er tillid til:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Avancerede tærskler for phishing i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365

Følgende avancerede tærskler for phishing er kun tilgængelige i politikker til bekæmpelse af phishing i Defender for Office 365. Disse tærskler styrer følsomheden for anvendelse af modeller til maskinel indlæring på meddelelser for at fastslå en phishing-dom:

  • 1 – Standard: Dette er standardværdien. Alvorsgraden af den handling, der udføres på meddelelsen, afhænger af graden af tillid til, at meddelelsen er phishing (lav, mellem, høj eller meget høj tillid). Meddelelser, der identificeres som phishing med en meget høj grad af tillid, har f.eks. de mest alvorlige handlinger anvendt, mens meddelelser, der er identificeret som phishing med en lav grad af tillid, har anvendt mindre alvorlige handlinger.
  • 2 – Aggressive: Meddelelser, der identificeres som phishing med en høj grad af tillid, behandles, som om de blev identificeret med en meget høj grad af tillid.
  • 3 – Mere aggressive: Meddelelser, der identificeres som phishing med en medium eller høj grad af tillid, behandles, som om de blev identificeret med en meget høj grad af tillid.
  • 4 – Mest aggressive: Meddelelser, der identificeres som phishing med lav, mellem eller høj grad af tillid, behandles, som om de blev identificeret med en meget høj grad af tillid.

Chancen for falske positiver (gode meddelelser markeret som dårlige) øges, efterhånden som du øger denne indstilling. Du kan få oplysninger om de anbefalede indstillinger under Indstillinger for politik til bekæmpelse af phishing i Microsoft Defender for Office 365.