Einblick in spoofintelligenz in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online- oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden eingehende E-Mail-Nachrichten automatisch vor Spoofing geschützt. EOP verwendet Spoofing intelligence als Teil des allgemeinen Schutzes Ihrer Organisation gegen Phishing. Weitere Informationen finden Sie unter Antispoofingschutz in EOP.

Wenn ein Absender eine E-Mail-Adresse spoofiert, scheint er ein Benutzer in einer der Domänen Ihrer Organisation oder ein Benutzer in einer externen Domäne zu sein, die E-Mails an Ihre Organisation sendet. Angreifer, die Absender zum Senden von Spam- oder Phishing-E-Mails spoofieren, müssen blockiert werden. Es gibt jedoch Szenarien, in denen legitime Absender Spoofing ausführen. Beispiel:

  • Legitime Szenarien für das Spoofing interner Domänen:

    • Absender von Drittanbietern verwenden Ihre Domäne, um Massen-E-Mails für Unternehmensabfragen an Ihre eigenen Mitarbeiter zu senden.
    • Ein externes Unternehmen generiert und sendet in Ihrem Auftrag Werbung oder Produktupdates.
    • Ein Assistent muss regelmäßig E-Mails für eine andere Person innerhalb Ihrer Organisation senden.
    • Eine interne Anwendung sendet E-Mail-Benachrichtigungen.
  • Legitime Szenarien für das Spoofing externer Domänen:

    • Der Absender befindet sich in einer Adressenliste (auch als Diskussionsliste bezeichnet), und die Adressenliste leitet E-Mails vom ursprünglichen Absender an alle Teilnehmer in der Adressenliste weiter.
    • Ein externes Unternehmen sendet E-Mails im Auftrag eines anderen Unternehmens (z. B. einen automatisierten Bericht oder ein Software-as-a-Service-Unternehmen).

Sie können den Einblick in die Spoofintelligenz im Microsoft 365 Defender Portal verwenden, um spoofierte Absender schnell zu identifizieren, die Ihnen legitimerweise nicht authentifizierte E-Mails senden (Nachrichten von Domänen, die keine SPF-, DKIM- oder DMARC-Prüfungen bestehen) und diese Absender manuell zulassen.

Indem Sie bekannten Absendern das Senden von gefälschten Nachrichten von bekannten Speicherorten gestatten, können Sie falsch positive Ergebnisse reduzieren (gute E-Mails, die als schlecht gekennzeichnet sind). Durch die Überwachung der zulässigen gefälschten Absender bieten Sie eine zusätzliche Sicherheitsebene, um zu verhindern, dass unsichere Nachrichten in Ihrer Organisation eingehen.

Ebenso können Sie gefälschte Absender überprüfen, die von Spoofing intelligence zugelassen wurden, und diese Absender manuell vom Spoofing Intelligence-Einblick blockieren.

Im restlichen Teil dieses Artikels wird erläutert, wie Sie den Einblick in die Spoofintelligenz im Microsoft 365 Defender-Portal und in PowerShell verwenden (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Hinweis

  • Nur spoofierte Absender, die von Spoofing-Intelligenz erkannt wurden, werden in den Erkenntnissen der Spoofintelligenz angezeigt. Wenn Sie die Zulassungs- oder Blockbewertung in den Einblicken überschreiben, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Blockeintrag, der nur auf der Registerkarte Spoof in der Zulassungs-/Sperrliste des Mandanten angezeigt wird. Sie können auch manuell Zulassungs- oder Blockeinträge für gefälschte Absender erstellen, bevor sie durch Spoofintelligenz erkannt werden. Weitere Informationen finden Sie unter Verwalten der Mandantenzulassungsliste/ -sperrliste in EOP.

  • Der Einblick in die Spoofintelligenz und die Registerkarte " Spoof " in der Liste "Mandanten zulassen/blockieren" ersetzen die Funktionalität der Spoofintelligenzrichtlinie, die auf der Seite "Antispamrichtlinie" im Security & Compliance Center verfügbar war.

  • Der Einblick in die Spoofintelligenz zeigt Daten im Wert von 7 Tagen. Das Cmdlet Get-SpoofIntelligenceInsight zeigt Daten im Wert von 30 Tagen an.

Was sollten Sie wissen, bevor Sie beginnen?

Öffnen des Spoofing Intelligence-Einblicks im Microsoft 365 Defender-Portal

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu "E-Mail & Zusammenarbeitsrichtlinien > & Regelbedrohungsrichtlinien > >– Mandanten-Zulassungs-/Blocklisten" im Abschnitt "Regeln". Um direkt zur Registerkarte " Spoofing " auf der Seite " Mandanten-Zulassungs-/Sperrliste " zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

  2. Auf der Seite "Mandanten-Zulassungs-/Sperrlisten " sieht der Spoofintelligenz-Einblick wie folgt aus:

    Der Einblick in die Spoofintelligenz auf der Seite "Antiphishingrichtlinie"

    Der Einblick hat zwei Modi:

    • Einblickmodus: Wenn Spoofing intelligence aktiviert ist, zeigt der Einblick, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden.
    • Was wäre, wenn der Modus": Wenn Spoofing intelligence deaktiviert ist, zeigt der Einblick, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt worden wären .

Wenn Sie Informationen zu den Spoofing-Intelligence-Erkennungen anzeigen möchten, klicken Sie im Spoofintelligenz-Einblick auf Spoofingaktivität anzeigen .

Anzeigen von Informationen zu gefälschten Nachrichten

Hinweis

Denken Sie daran, dass auf dieser Seite nur gefälschte Absender angezeigt werden, die von Spoofingintelligenz erkannt wurden. Wenn Sie die Zulassungs- oder Blockbewertung in den Einblicken überschreiben, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Blockeintrag, der nur auf der Registerkarte Spoof in der Zulassungs-/Sperrliste des Mandanten angezeigt wird.

Auf der Spoofing Intelligence Insight-Seite , die angezeigt wird, nachdem Sie auf "Spoofingaktivität im Spoofintelligenz-Einblick anzeigen" geklickt haben, enthält die Seite die folgenden Informationen:

  • Spoofed user: The domain of the spoofed user that's displayed in the From box in email clients. Die Absenderadresse wird auch als 5322.From Adresse bezeichnet.
  • Sendeinfrastruktur: Auch als Infrastruktur bezeichnet. Die sendende Infrastruktur ist einer der folgenden Werte:
    • Die Domäne, die in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers gefunden wurde.
    • Wenn die QUELL-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <source IP>/24 identifiziert (z. B. 192.168.100.100/24).
  • Anzahl der Nachrichten: Die Anzahl der Nachrichten aus der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur an Ihre Organisation innerhalb der letzten 7 Tage.
  • Zuletzt gesehen: Das letzte Datum, an dem eine Nachricht von der sendenden Infrastruktur empfangen wurde, die die gefälschte Domäne enthält.
  • Spoof-Typ: Einer der folgenden Werte:
    • Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrer Organisation gehört (eine akzeptierte Domäne).
    • Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
  • Aktion: Dieser Wert ist zulässig oder blockiert:
    • Zulässig: Fehler bei expliziten E-Mail-Authentifizierungsprüfungen für SPF, DKIM und DMARC durch die Domäne. Die Domäne hat jedoch unsere impliziten E-Mail-Authentifizierungsprüfungen (zusammengesetzte Authentifizierung) bestanden. Daher wurde keine Antispoofingaktion für die Nachricht ausgeführt.
    • Blockiert: Nachrichten aus der Kombination aus Spoofingdomäne und Sendeinfrastruktur werden durch Spoofintelligenz als schlecht gekennzeichnet. Die Aktion, die für die gefälschten Nachrichten ausgeführt wird, wird durch die Standardmäßige Antiphishingrichtlinie oder benutzerdefinierte Antiphishingrichtlinien gesteuert (der Standardwert ist "Nachricht in Junk-E-Mail-Ordner verschieben"). Weitere Informationen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender für Office 365.

Sie können auf ausgewählte Spaltenüberschriften klicken, um die Ergebnisse zu sortieren.

Zum Filtern der Ergebnisse haben Sie die folgenden Optionen:

  • Klicken Sie auf die Schaltfläche " Filtern ". Im angezeigten Filter-Flyout können Sie die Ergebnisse filtern nach:
    • Spoof-Typ
    • Aktion
  • Verwenden Sie das Suchfeld , um eine durch Kommas getrennte Liste von gefälschten Domänenwerten einzugeben oder Infrastrukturwerte zum Filtern der Ergebnisse zu senden.

Anzeigen von Details zu gefälschten Nachrichten

Wenn Sie einen Eintrag aus der Liste auswählen, wird ein Detail-Flyout angezeigt, das die folgenden Informationen und Features enthält:

  • Spoofing zulassen oder Spoofing blockieren: Wählen Sie einen dieser Werte aus, um die ursprüngliche Spoofingintelligenzbewertung zu überschreiben und den Eintrag aus dem Spoofintelligenz-Einblick in die Mandanten-Zulassungs-/Blockliste als Zulassungs- oder Blockeintrag für Spoofing zu verschieben.
  • Warum wir das erwischt haben.
  • Was Sie tun müssen.
  • Eine Domänenzusammenfassung, die die meisten der gleichen Informationen von der Hauptseite der Spoofintelligenz enthält.
  • WhoIs-Daten über den Absender.
  • Ein Link zum Öffnen des Bedrohungs-Explorers, um weitere Details zum Absender unter "Phishing anzeigen>" in Microsoft Defender für Office 365 anzuzeigen.
  • Ähnliche Nachrichten, die wir in Ihrem Mandanten vom gleichen Absender gesehen haben.

Informationen zu zulässigen spoofierten Absendern

Ein zulässiger Spoofing-Absender im Spoofing Intelligence-Einblick oder ein blockierter Spoofing-Absender, den Sie manuell in "Spoofing zulassen " geändert haben, erlaubt nur Nachrichten aus der Kombination der gefälschten Domäne und der sendenden Infrastruktur. Es lässt weder E-Mails aus der gefälschten Domäne aus einer Quelle noch E-Mails aus der sendenden Infrastruktur für eine Domäne zu.

Der folgende spoofierte Absender darf z. B. spoofieren:

  • Domäne: gmail.com
  • Infrastruktur: tms.mx.com

Nur E-Mails von diesem Domänen-/Sendeinfrastrukturpaar dürfen spoofieren. Andere Absender, die versuchen, gmail.com zu spoofieren, sind nicht automatisch zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden weiterhin durch Spoofintelligenz überprüft und möglicherweise blockiert.

Verwenden des Spoofing Intelligence-Einblicks in Exchange Online PowerShell oder eigenständige EOP PowerShell

In PowerShell verwenden Sie das Cmdlet "Get-SpoofIntelligenceInsight ", um zulässige und blockierte spoofierte Absender anzuzeigen , die von Spoofing intelligence erkannt wurden. Um die gefälschten Absender manuell zuzulassen oder zu blockieren, müssen Sie das Cmdlet New-TenantAllowBlockListSpoofItems verwenden. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Verwalten von gefälschten Absendereinträgen in der Mandanten-Zulassungs-/Sperrliste.

Führen Sie den folgenden Befehl aus, um die Informationen im Spoofintelligenz-Einblick anzuzeigen:

Get-SpoofIntelligenceInsight

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SpoofIntelligenceInsight.

Weitere Möglichkeiten zum Verwalten von Spoofing und Phishing

Seien Sie sorgfältig in Bezug auf Spoofing und Phishingschutz. Hier sind verwandte Möglichkeiten zum Überprüfen von Absendern, die Ihre Domäne spoofieren, und um zu verhindern, dass sie Ihre Organisation beschädigen: