Policyer for anti-phishing i Microsoft 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Policyer for å konfigurere innstillinger for beskyttelse mot phishing er tilgjengelige i Microsoft 365-organisasjoner med Exchange Online postbokser, frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, og Microsoft Defender for Office 365 organisasjoner.

Eksempler på Microsoft Defender for Office 365 organisasjoner inkluderer:

Forskjellene mellom anti-phishing-policyer i EOP og anti-phishing-policyer i Defender for Office 365 beskrives i tabellen nedenfor:

Funksjon Anti-phishing-policyer
i EOP		 Anti-phishing-policyer
i Defender for Office 365
Automatisk opprettet standardpolicy
Opprett egendefinerte policyer
Vanlige policyinnstillinger*
Innstillinger for forfalskning
Første kontaktsikkerhetstips
Representasjonsinnstillinger
Avanserte phishing-terskler

* I standardpolicyen er policynavnet og beskrivelsen skrivebeskyttet (beskrivelsen er tom), og du kan ikke angi hvem policyen gjelder for (standardpolicyen gjelder for alle mottakere).

Hvis du vil konfigurere policyer for anti-phishing, kan du se følgende artikler:

Resten av denne artikkelen beskriver innstillingene som er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365.

Vanlige policyinnstillinger

Følgende policyinnstillinger er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365:

  • Navn: Du kan ikke gi nytt navn til standard policy for anti-phishing. Når du har opprettet en egendefinert policy for anti-phishing, kan du ikke gi nytt navn til policyen i Microsoft Defender-portalen.

  • Beskrivelse Du kan ikke legge til en beskrivelse i standardpolicyen for anti-phishing, men du kan legge til og endre beskrivelsen for egendefinerte policyer du oppretter.

  • Brukere, grupper og domener og utelat disse brukerne, gruppene og domenene: Mottakerfiltre for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse kreves i egendefinerte policyer. Betingelser og unntak er ikke tilgjengelige i standardpolicyen (standardpolicyen gjelder for alle mottakere). Du kan bruke følgende mottakerfiltre for betingelser og unntak:

    • Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.
    • Grupper:
      • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
      • Den angitte Microsoft 365 Groups.
    • Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

    Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

    • Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

      • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
      • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

    • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

    • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

      • Brukere: romain@contoso.com
      • Grupper: Ledere

      Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

    Tips

    Minst ett valg i innstillingene for brukere, grupper og domener kreves i egendefinerte policyer for anti-phishing for å identifisere meldingsmottakerne som policyen gjelder for. Anti-phishing-policyer i Defender for Office 365 har også representasjonsinnstillinger der du kan angi avsenderens e-postadresser eller avsenderdomener som mottar representasjonsbeskyttelse som beskrevet senere i denne artikkelen.

Innstillinger for forfalskning

Forfalskning er når Fra-adressen i en e-postmelding (avsenderadressen som vises i e-postklienter) ikke samsvarer med domenet til e-postkilden. Hvis du vil ha mer informasjon om forfalskning, kan du se Beskyttelse mot forfalskning i Microsoft 365.

Følgende innstillinger for forfalskning er tilgjengelige i policyer for anti-phishing i EOP og Defender for Office 365:

  • Aktiver forfalskningsintelligens: Aktiverer eller deaktiverer forfalskningsintelligens. Vi anbefaler at du lar den være slått på.

    Når forfalskningsintelligens er aktivert, viser den falske intelligensinnsikten falske avsendere som automatisk ble oppdaget og tillatt eller blokkert av forfalskningsintelligens. Du kan overstyre dommen for falsk intelligens manuelt for å tillate eller blokkere de oppdagede falske avsenderne fra innsikten. Men når du gjør det, forsvinner den forfalskede avsenderen fra den falske intelligensinnsikten, og er bare synlig på fanen Falske avsendere på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItempå . Du kan også manuelt opprette tillatelses- eller blokkeringsoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste, selv om de ikke oppdages av innsikten om forfalskningsintelligens. Hvis du vil ha mer informasjon, kan du se følgende artikler:

    Obs!

    • Beskyttelse mot forfalskning er aktivert i standard sikkerhetspolicyer for standard og streng forhåndsinnstilt, og er aktivert som standard i standard anti-phishing-policy og i nye egendefinerte policyer for anti-phishing som du oppretter.
    • Du trenger ikke å deaktivere beskyttelse mot forfalskning hvis MX-posten ikke peker til Microsoft 365. du aktiverer utvidet filtrering for koblinger i stedet. Hvis du vil ha instruksjoner, kan du se Utvidet filtrering for koblinger i Exchange Online.
    • Deaktivering av beskyttelse mot forfalskning deaktiverer bare implisitt forfalskningsbeskyttelse fra sammensatte godkjenningskontroller . Hvis du vil ha informasjon om hvordan eksplisitteDMARC-kontroller påvirkes av beskyttelse mot forfalskning og konfigurasjonen av DMARC-policyen for kildedomenet (p=quarantine eller p=reject I DMARC TXT-posten), kan du se avsnittet Forfalskingsbeskyttelse og DMARC-policyer for avsender .

  • Ikke godkjente avsenderindikatorer: Tilgjengelig i delen Sikkerhetstips & indikatorer bare når forfalskningsintelligens er aktivert. Se detaljene i neste del.

  • Handlinger: For meldinger fra blokkerte forfalskede avsendere (automatisk blokkert av forfalskningsintelligens (sammensatt godkjenningsfeil pluss ondsinnede hensikter) eller manuelt blokkert i listen Over tillatte/blokkerede tenanter), kan du også angi handlingen som skal utføres på meldingene:

Forfalskningsbeskyttelse og DMARC-policyer for avsender

I policyer for anti-phishing kan du kontrollere om p=quarantine eller p=reject verdier i DMARC-policyer for avsender overholdes. Hvis en melding mislykkes med DMARC-kontroller, kan du angi separate handlinger for p=quarantine eller p=reject i avsenderens DMARC-policy. Følgende innstillinger er involvert:

  • Overtred policyen for DMARC-post når meldingen oppdages som forfalskning: Denne innstillingen aktiverer å overholde avsenderens DMARC-policy for eksplisitte feil ved e-postgodkjenning. Når denne innstillingen er valgt, er følgende innstillinger tilgjengelige:

    • Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=karantene: De tilgjengelige handlingene er:
      • Sett meldingen i karantene
      • Flytte meldingen til mottakernes søppelpostmapper
    • Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=avvis: De tilgjengelige handlingene er:
      • Sett meldingen i karantene
      • Avvis meldingen

    Hvis du velger Karantenemeldingen som en handling, brukes karantenepolicyen som er valgt for beskyttelse mot forfalskningsintelligens.

DMARC-innstillinger i en policy for anti-phishing.

Relasjonen mellom forfalskningsintelligens og om DMARC-policyer for avsender overholdes, beskrives i tabellen nedenfor:

  Overtred DMARC-policy på Overtred DMARC-policy av
Forfalskningsintelligens på Separate handlinger for implisitte og eksplisitte feil ved godkjenning av e-post:
  • Implisitte feil: Bruk hvis meldingen oppdages som forfalskning av forfalskningsintelligenshandling i anti-phishing-policyen.
  • Eksplisitte feil:
    • DMARC-policy p=quarantine: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=karantenehandling i policyen for anti-phishing.
    • DMARC-policy p=reject: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=avvis handling i policyen for anti-phishing.
    • DMARC-policy p=none: Ingen handling brukes av Microsoft 365, men andre beskyttelsesfunksjoner i filtreringsstakken kan fremdeles handle på meldingen.
 Hvis meldingen oppdages som forfalskning av forfalskningsintelligenshandling i anti-phishing-policyen, brukes den for både implisitte og eksplisitte feil ved e-postgodkjenning. Eksplisitte feil ved e-postgodkjenning ignorerer p=quarantine, p=reject, p=noneeller andre verdier i DMARC-policyen.
Forfalskningsintelligens av Implisitte e-postgodkjenningskontroller brukes ikke.

Mislykket e-postgodkjenning:
  • DMARC-policy p=quarantine: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=karantenehandling i policyen for anti-phishing.
  • DMARC-policy p=reject: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=avvis handling i policyen for anti-phishing.
  • DMARC-policy p=none: Meldingen identifiseres ikke som forfalskning av Microsoft 365, men andre beskyttelsesfunksjoner i filtreringsstakken kan fortsatt utføres på meldingen.
 Implisitte e-postgodkjenningskontroller brukes ikke.

Mislykket e-postgodkjenning:
  • DMARC-policy p=quarantine: Meldinger er satt i karantene.
  • DMARC-policy p=reject: Meldinger er satt i karantene.
  • DMARC-policy p=none: Ingen handling brukes av Microsoft 365, men andre beskyttelsesfunksjoner i filtreringsstakken kan fremdeles handle på meldingen.

Obs!

Hvis MX-posten for Microsoft 365-domenet peker til en tredjepartstjeneste eller enhet som sitter foran Microsoft 365, brukes policyinnstillingen Honor DMARC bare hvis Utvidet filtrering for koblinger er aktivert for koblingen som mottar innkommende meldinger.

Kunder kan overstyre policyinnstillingen Honor DMARC for bestemte e-postmeldinger og/eller avsendere ved hjelp av følgende metoder:

  • Administratorer eller brukere kan legge til avsenderne i listen over klarerte avsendere i brukerens postboks.
  • Administratorer kan bruke falsk intelligensinnsikt eller leierens tillatelses-/blokkeringsliste til å tillate meldinger fra den forfalskede avsenderen.
  • Administratorer oppretter en Exchange-regel for e-postflyt (også kjent som en transportregel) for alle brukere som tillater meldinger for de bestemte avsenderne.
  • Administratorer oppretter en Exchange-e-postflytregel for alle brukere for avvist e-post som ikke oppfyller organisasjonens DMARC-policy.

Indikatorer for uautorisert avsender

Indikatorer for uautorisert avsender er en del av innstillingene for forfalskning som er tilgjengelige i delen Sikkerhetstips & indikatorer i anti-phishing-policyer i både EOP og Defender for Office 365. Følgende innstillinger er bare tilgjengelige når forfalskningsintelligens er aktivert:

  • Vis (?) for uautoriserte avsendere for forfalskning: Legger til et spørsmålstegn i avsenderens bilde i Fra-boksen hvis meldingen ikke består SPF- eller DKIM-kontroller , og meldingen ikke består DMARC eller sammensatt godkjenning. Når denne innstillingen er deaktivert, legges ikke spørsmålstegnet til avsenderens bilde.

  • Vis «via»-koden: Legger til «via»-koden (chris@contoso.comvia fabrikam.com) i Fra-boksen hvis domenet i Fra-adressen (meldingsavsenderen som vises i e-postklienter) er forskjellig fra domenet i DKIM-signaturen eller MAIL FROM-adressen . Hvis du vil ha mer informasjon om disse adressene, kan du se En oversikt over standarder for e-postmeldinger.

Hvis du vil hindre at spørsmålstegnet eller via-merket legges til i meldinger fra bestemte avsendere, har du følgende alternativer:

  • Tillat den forfalskede avsenderen i den falske intelligensinnsikten eller manuelt i leierens tillatelses-/blokkeringsliste. Hvis du tillater at den forfalskede avsenderen hindrer at «via»-koden vises i meldinger fra avsenderen, selv om innstillingen Vis via er aktivert i policyen.
  • Konfigurer e-postgodkjenning for avsenderdomenet.
    • For spørsmålstegnet i avsenderens bilde er SPF eller DKIM det viktigste.
    • Bekreft domenet i DKIM-signaturen eller E-POST FRA-adressesamsvar (eller er et underdomene for) domenet i Fra-adressen for «via»-koden.

Hvis du vil ha mer informasjon, kan du se Identifisere mistenkelige meldinger i Outlook.com og Outlook på nettet

Første kontaktsikkerhetstips

Innstillingen Vis første kontaktsikkerhetstips er tilgjengelig i EOP og Defender for Office 365 organisasjoner og har ingen avhengighet av innstillinger for beskyttelse mot forfalskningsintelligens eller representasjon. Sikkerhetstipset vises for mottakerne i følgende scenarioer:

  • Første gang de får en melding fra en avsender
  • De får ikke ofte meldinger fra avsenderen.

Denne funksjonen legger til et ekstra lag med beskyttelse mot potensielle etterligningsangrep, så vi anbefaler at du slår det på.

Det første kontaktsikkerhetstipset kontrolleres av verdien 9,25 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Denne funksjonaliteten erstatter behovet for å opprette regler for e-postflyt (også kjent som transportregler) som legger til en topptekst kalt X-MS-Exchange-EnableFirstContactSafetyTip med verdien Enable i meldinger, selv om denne funksjonen fortsatt er tilgjengelig.

Avhengig av antall mottakere i meldingen, kan det første kontaktsikkerhetstipset være en av følgende verdier:

  • Én enkelt mottaker:

    Du får ikke ofte e-post fra <e-postadressen>.

    Første kontaktsikkerhetstips for meldinger med én mottaker

  • Flere mottakere:

    Noen personer som har mottatt denne meldingen, får ikke ofte e-post fra <e-postadressen>.

    Første kontaktsikkerhetstips for meldinger med flere mottakere

Obs!

Hvis meldingen har flere mottakere, om tipset vises og hvem som er basert på en flertallsmodell. Hvis de fleste mottakerne aldri har eller ikke ofte mottar meldinger fra avsenderen, vil de berørte mottakerne motta noen personer som mottok denne meldingen... tips. Hvis du er bekymret for at denne virkemåten viser kommunikasjonsvanene til én mottaker til en annen, bør du ikke aktivere det første kontaktsikkerhetstipset og fortsette å bruke regler for e-postflyt og hodet X-MS-Exchange-EnableFirstContactSafetyTip i stedet.

Det første kontaktsikkerhetstipset er ikke stemplet i S/MIME-signerte meldinger.

Eksklusive innstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Denne delen beskriver policyinnstillingene som bare er tilgjengelige i policyer for anti-phishing i Defender for Office 365.

Obs!

Standard policy for anti-phishing i Defender for Office 365 gir forfalskningsbeskyttelse og postboksintelligens for alle mottakere. De andre tilgjengelige funksjonene for representasjonsbeskyttelse og avanserte innstillinger er imidlertid ikke konfigurert eller aktivert i standardpolicyen. Hvis du vil aktivere alle beskyttelsesfunksjoner, endrer du standard policy for anti-phishing eller oppretter flere policyer for anti-phishing.

Representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Representasjon er der avsenderen eller avsenderens e-postdomene i en melding ligner på en ekte avsender eller et domene:

  • Et eksempel på representasjon av domenet contoso.com er ćóntoso.com.
  • Brukerrepresentasjon er kombinasjonen av brukerens visningsnavn og e-postadresse. For eksempel kan Valeria Barrios (vbarrios@contoso.com) representeres som Valeria Barrios, men med en annen e-postadresse.

Obs!

Representasjonsbeskyttelse ser etter domener som ligner. Hvis for eksempel domenet er contoso.com, ser vi etter forskjellige toppdomener (.com, .biz osv.), men også domener som er enda litt like. For eksempel kan contosososo.com eller contoabcdef.com bli sett på som etterligningsforsøk på contoso.com.

Et representert domene kan ellers betraktes som legitimt (domenet er registrert, DNS-poster for e-postgodkjenning konfigureres osv.), bortsett fra at hensikten med domenet er å lure mottakere.

Representasjonsinnstillingene som er beskrevet i avsnittene nedenfor, er bare tilgjengelige i policyer for anti-phishing i Defender for Office 365.

Beskyttelse mot brukerrepresentasjon

Beskyttelse mot brukerrepresentasjon hindrer at bestemte interne eller eksterne e-postadresser blir representert som avsendere av meldinger. Du mottar for eksempel en e-postmelding fra visepresidenten i firmaet som ber deg om å sende henne intern firmainformasjon. Ville du gjort det? Mange ville sendt svaret uten å tenke.

Du kan bruke beskyttede brukere til å legge til interne og eksterne avsender-e-postadresser for å beskytte mot representasjon. Denne listen over avsendere som er beskyttet mot brukerrepresentasjon, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som er konfigurert i innstillingene for brukere, grupper og domener i delen Felles policyinnstillinger ).

Obs!

Du kan angi maksimalt 350 brukere for beskyttelse mot brukerrepresentasjon i hver policy for anti-phishing.

Beskyttelse mot brukerrepresentasjon fungerer ikke hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et representasjonsforsøk.

Du kan få feilmeldingen «E-postadressen finnes allerede» hvis du prøver å legge til en bruker i beskyttelse mot brukerrepresentasjon når denne e-postadressen allerede er angitt for beskyttelse mot brukerrepresentasjon i en annen policy for anti-phishing. Denne feilen oppstår bare i Defender-portalen. Du får ikke feilen hvis du bruker tilsvarende TargetedUsersToProtect-parameter i cmdletene New-AntiPhishPolicy eller Set-AntiPhishPolicy i Exchange Online PowerShell.

Som standard er ingen avsender-e-postadresser konfigurert for representasjonsbeskyttelse, verken i standardpolicyen eller i egendefinerte policyer.

Når du legger til interne eller eksterne e-postadresser i brukere for å beskytte listen, er meldinger fra disse avsenderne underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i avsenderens e-postadresse, brukes handlingen for representerte brukere på meldingen.

For oppdagede forsøk på brukerrepresentasjon er følgende handlinger tilgjengelige:

Beskyttelse mot domenerepresentasjon

Beskyttelse mot domenerepresentasjon hindrer at bestemte domener i avsenderens e-postadresse blir representert. For eksempel alle domener som du eier (godtatte domener) eller bestemte egendefinerte domener (domener du eier eller partnerdomener). Avsenderdomener som er beskyttet mot etterligning, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som er konfigurert i innstillingene for brukere, grupper og domener i delen Innstillinger for felles policy ).

Obs!

Du kan angi maksimalt 50 egendefinerte domener for beskyttelse mot domenerepresentasjon i hver anti-phishing-policy.

Meldinger fra avsendere i de angitte domenene er underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i domenet til avsenderens e-postadresse, brukes handlingen for domenerepresentasjon på meldingen.

Som standard er ingen avsenderdomener konfigurert for representasjonsbeskyttelse, verken i standardpolicyen eller i egendefinerte policyer.

For oppdagede forsøk på domenerepresentasjon er følgende handlinger tilgjengelige:

Beskyttelse mot etterligning av postboksintelligens

Postboksintelligens bruker kunstig intelligens (AI) til å bestemme bruker-e-postmønstre med sine hyppige kontakter.

Gabriela Laureano (glaureano@contoso.com) er for eksempel administrerende direktør i firmaet, så du legger henne til som en beskyttet avsender i Aktiver brukere for å beskytte innstillingene for policyen. Men noen av mottakerne i politikken kommuniserer regelmessig med en leverandør som også heter Gabriela Laureano (glaureano@fabrikam.com). Fordi disse mottakerne har en kommunikasjonslogg med glaureano@fabrikam.com, identifiserer ikke postboksintelligens meldinger som glaureano@fabrikam.com et etterligningsforsøk glaureano@contoso.com for disse mottakerne.

Obs!

Beskyttelse mot postboksintelligens fungerer ikke hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et representasjonsforsøk av postboksintelligens.

Postboksintelligens har to spesifikke innstillinger:

  • Aktivere postboksintelligens: Aktivere eller deaktivere postboksintelligens. Denne innstillingen hjelper kunstig intelligens med å skille mellom meldinger fra legitime og representerte avsendere. Som standard er denne innstillingen aktivert.
  • Aktiver intelligens for representasjonsbeskyttelse: Som standard er denne innstillingen deaktivert. Bruk kontaktloggen som er lært fra postboksintelligens (både hyppige kontakter og ingen kontakter) for å beskytte brukere mot representasjonsangrep. For at postboksintelligens skal kunne utføre handlinger på oppdagede meldinger, må denne innstillingen og innstillingen Aktiver postboksintelligens være aktivert.

For etterligningsforsøk som oppdages av postboksintelligens, er følgende handlinger tilgjengelige:

  • Ikke bruk noen handling: Dette er standardverdien. Denne handlingen har samme resultat som når Aktiver postboksintelligens er aktivert, men Aktiver beskyttelse mot intelligensrepresentasjon er deaktivert.
  • Omdirigere meldingen til andre e-postadresser
  • Flytte meldingen til mottakernes søppelpostmapper
  • Sett meldingen i karantene: Hvis du velger denne handlingen, kan du også velge karantenepolicyen som gjelder for meldinger som er satt i karantene av beskyttelse mot postboksintelligens. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
  • Levere meldingen og legge til andre adresser i Blindkopi-linjen
  • Slette meldingen før den leveres

Sikkerhetstips for representasjon

Sikkerhetstips for representasjon vises for brukere når meldinger identifiseres som representasjonsforsøk. Følgende sikkerhetstips er tilgjengelige:

  • Vis sikkerhetstips for brukerrepresentasjon: Fra-adressen inneholder en bruker som er angitt i beskyttelse mot brukerrepresentasjon. Bare tilgjengelig hvis Aktiver brukere å beskytte er aktivert og konfigurert.

    Dette sikkerhetstipset kontrolleres av verdien 9,20 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Teksten sier:

    Denne avsenderen ligner på noen som tidligere har sendt deg e-post, men som kanskje ikke er den personen.

  • Vis sikkerhetstips for domenerepresentasjon: Fra-adressen inneholder et domene som er angitt i beskyttelse mot domenerepresentasjon. Bare tilgjengelig hvis Aktiver domener som skal beskyttes , er aktivert og konfigurert.

    Dette sikkerhetstipset kontrolleres av verdien 9,19 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Teksten sier:

    Denne avsenderen representerer kanskje et domene som er knyttet til organisasjonen.

  • Vis sikkerhetstips for brukerrepresentasjon uvanlige tegn: Fra-adressen inneholder uvanlige tegnsett (for eksempel matematiske symboler og tekst eller en blanding av store og små bokstaver) i en avsender som er angitt i beskyttelse mot brukerrepresentasjon. Bare tilgjengelig hvis Aktiver brukere å beskytte er aktivert og konfigurert. Teksten sier:

    E-postadressen <email address> inneholder uventede bokstaver eller tall. Vi anbefaler at du ikke samhandler med denne meldingen.

Obs!

Sikkerhetstips stemples ikke i følgende meldinger:

  • S/MIME-signerte meldinger.
  • Meldinger som tillates av organisasjonsinnstillingene.

Klarerte avsendere og domener

Klarerte avsendere og domene er unntak fra innstillingene for representasjonsbeskyttelse. Meldinger fra angitte avsendere og avsenderdomener klassifiseres aldri som representasjonsbaserte angrep fra policyen. Handlingen for beskyttede avsendere, beskyttede domener eller postboksintelligensbeskyttelse brukes med andre ord ikke for disse klarerte avsenderne eller avsenderdomenene. Maksimumsgrensen for disse listene er 1024 oppføringer.

Obs!

Klarerte domeneoppføringer inkluderer ikke underdomener for det angitte domenet. Du må legge til en oppføring for hvert underdomene.

Hvis Microsoft 365-systemmeldinger fra følgende avsendere identifiseres som representasjonsforsøk, kan du legge til avsenderne i listen over klarerte avsendere:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Avanserte phishing-terskler i policyer for anti-phishing i Microsoft Defender for Office 365

Følgende avanserte phishing-terskler er bare tilgjengelige i policyer for anti-phishing i Defender for Office 365. Disse terskler styrer følsomheten for å bruke maskinlæringsmodeller på meldinger for å fastslå en phishing-dom:

  • 1 – Standard: Dette er standardverdien. Alvorsgraden for handlingen som er utført på meldingen, avhenger av graden av tillit til at meldingen er phishing (lav, middels, høy eller svært høy konfidens). Meldinger som identifiseres som phishing med svært høy grad av konfidens, har for eksempel de mest alvorlige handlingene, mens meldinger som identifiseres som phishing med lav visshet, har mindre alvorlige handlinger.
  • 2 – Aggressive: Meldinger som identifiseres som phishing med høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 3 – Mer aggressive: Meldinger som identifiseres som phishing med middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 4 – Mest aggressive: Meldinger som identifiseres som phishing med lav, middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.

Sjansen for falske positiver (gode meldinger merket som dårlige) øker etter hvert som du øker denne innstillingen. Hvis du vil ha informasjon om de anbefalte innstillingene, kan du se innstillinger for anti-phishing-policy i Microsoft Defender for Office 365.