Inzicht in adresvervalsingsinformatie in EOP

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, worden binnenkomende e-mailberichten automatisch beveiligd tegen adresvervalsing. EOP maakt gebruik van spoof intelligence als onderdeel van de algehele bescherming van uw organisatie tegen phishing. Zie Bescherming tegen adresvervalsing in EOP voor meer informatie.

Wanneer een afzender een e-mailadres spooft, lijkt het een gebruiker te zijn in een van de domeinen van uw organisatie of een gebruiker in een extern domein dat e-mail naar uw organisatie verzendt. Aanvallers die afzenders spoofen om spam- of phishing-e-mail te verzenden, moeten worden geblokkeerd. Maar er zijn scenario's waarin legitieme afzenders spoofing uitvoeren. Bijvoorbeeld:

• Legitieme scenario's voor spoofing van interne domeinen:

  • Externe afzenders gebruiken uw domein om bulkmail naar uw eigen werknemers te verzenden voor bedrijfspeilingen.
  • Een extern bedrijf genereert en verzendt namens u reclame- of productupdates.
  • Een assistent moet regelmatig e-mail verzenden voor een andere persoon binnen uw organisatie.
  • Een interne toepassing verzendt e-mailmeldingen.

• Legitieme scenario's voor adresvervalsing van externe domeinen:

  • De afzender staat op een adressenlijst (ook wel een discussielijst genoemd) en de adressenlijst stuurt e-mail van de oorspronkelijke afzender door naar alle deelnemers op de adressenlijst.
  • Een extern bedrijf verzendt e-mail namens een ander bedrijf (bijvoorbeeld een geautomatiseerd rapport of een software-as-a-service-bedrijf).

U kunt het inzicht in spoof intelligence in de Microsoft Defender portal gebruiken om snel vervalste afzenders te identificeren die u legitiem niet-geverifieerde e-mailberichten sturen (berichten van domeinen die niet door SPF-, DKIM- of DMARC-controles komen) en deze afzenders handmatig toestaan.

Door bekende afzenders toe te staan vervalste berichten te verzenden vanaf bekende locaties, kunt u fout-positieven verminderen (goede e-mail gemarkeerd als slecht). Door de toegestane vervalste afzenders te bewaken, biedt u een extra beveiligingslaag om te voorkomen dat onveilige berichten binnenkomen in uw organisatie.

Op dezelfde manier kunt u het inzicht in spoof intelligence gebruiken om vervalste afzenders te controleren die zijn toegestaan door spoof-informatie en deze afzenders handmatig te blokkeren.

In de rest van dit artikel wordt uitgelegd hoe u het inzicht in spoof intelligence gebruikt in de Microsoft Defender portal en in PowerShell (Exchange Online PowerShell voor Microsoft 365-organisaties met postvakken in Exchange Online; zelfstandige EOP PowerShell voor organisaties zonder Exchange Online postvakken).

Opmerking

• Alleen vervalste afzenders die zijn gedetecteerd door spoof intelligence worden weergegeven in het inzicht in spoof intelligence. Wanneer u de beoordeling toestaan of blokkeren in het inzicht overschrijft, wordt de vervalste afzender een handmatige vermelding voor toestaan of blokkeren die alleen wordt weergegeven op het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten op https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. U kunt ook handmatig toegestane of blokkeringsvermeldingen maken voor vervalste afzenders voordat ze worden gedetecteerd door spoof intelligence. Zie Vervalste afzenders in de lijst Tenant toestaan/blokkeren voor meer informatie.

• De actiewaardenToestaan of Blokkeren in het inzicht in spoof intelligence verwijzen naar detectie van adresvervalsing (of Microsoft 365 het bericht heeft geïdentificeerd als vervalst of niet). De waarde Actie heeft niet noodzakelijkerwijs invloed op het algehele filteren van het bericht. Om bijvoorbeeld fout-positieven te voorkomen, kan een vervalst bericht worden bezorgd als we vaststellen dat het geen kwaadwillende bedoelingen heeft.

• Het inzicht in spoof intelligence en het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren vervangen de functionaliteit van het spoof intelligence-beleid dat beschikbaar was op de pagina antispambeleid in het Beveiligings- & Compliancecentrum.

• Het inzicht in spoof intelligence toont 7 dagen aan gegevens. De cmdlet Get-SpoofIntelligenceInsight toont 30 dagen aan gegevens.

Wat moet u weten voordat u begint?

• U opent de Microsoft Defender portal op https://security.microsoft.com. Gebruik om rechtstreeks naar het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Als u rechtstreeks naar de pagina Spoof Intelligence Insight wilt gaan, gebruikt u https://security.microsoft.com/spoofintelligence.

• Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

• Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

  • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell): Autorisatie en instellingen/Beveiligingsinstellingen/Beveiligingsinstellingen/Core Security-instellingen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Core Security-instellingen (lezen).
  • Exchange Online machtigingen:
    • Vervalste afzenders toestaan of blokkeren of spoof intelligence in- of uitschakelen: Lidmaatschap van een van de volgende rollengroepen:
      • Organisatiebeheer
      • BeveiligingsbeheerderenAlleen-weergevenconfiguratie of Alleen-weergeven organisatiebeheer.
    • Alleen-lezentoegang tot het spoof intelligence-inzicht: lidmaatschap van de rolgroepen Globale lezer, Beveiligingslezer of Alleen-weergeven organisatiebeheer .
  • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

• Zie EOP-beleidsinstellingen voor antiphishing voor onze aanbevolen instellingen voor antiphishingbeleid.

• U schakelt spoof intelligence in en uit in antiphishingbeleid in EOP en Microsoft Defender voor Office 365. Adresvervalsingsinformatie is standaard ingeschakeld. Zie Antiphishingbeleid configureren in EOP of Antiphishingbeleid configureren in Microsoft Defender voor Office 365 voor meer informatie.

• Zie EOP-beleidsinstellingen voor antiphishing voor onze aanbevolen instellingen voor spoof intelligence.

Zoek het inzicht in spoof intelligence in de Microsoft Defender-portal

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Tenant toestaan/blokkeren Lijsten in de sectie Regels. Of gebruik om rechtstreeks naar de pagina Tenant toestaan/blokkeren Lijsten te gaanhttps://security.microsoft.com/tenantAllowBlockList.

2. Selecteer het tabblad Vervalste afzenders .

3. Op het tabblad Vervalste afzenders ziet het inzicht in spoof intelligence er als volgt uit:

   

   Het inzicht heeft twee modi:

   • Inzichtmodus: als spoof intelligence is ingeschakeld, ziet u in het inzicht hoeveel berichten zijn gedetecteerd door spoof intelligence in de afgelopen zeven dagen.
   • What if-modus: als spoof intelligence is uitgeschakeld, ziet u in het inzicht hoeveel berichten de afgelopen zeven dagen door spoof intelligence zijn gedetecteerd.

Als u informatie wilt weergeven over de detecties van adresvervalsingsinformatie, selecteert u Spoofing-activiteit weergeven in het spoof intelligence-inzicht om naar de pagina Spoof intelligence insight te gaan.

Informatie weergeven over spoofdetecties

Opmerking

Onthoud dat alleen vervalste afzenders die zijn gedetecteerd door spoof intelligence op deze pagina worden weergegeven.

De pagina Spoof intelligence insight op https://security.microsoft.com/spoofintelligence is beschikbaar wanneer u Spoofing activity weergeven selecteert in het inzicht in spoof intelligence op het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten.

Op de pagina Inzicht in adresvervalsingsinformatie kunt u de vermeldingen sorteren door op een beschikbare kolomkop te klikken. De volgende kolommen zijn beschikbaar:

• Vervalste gebruiker: het domein van de vervalste gebruiker dat wordt weergegeven in het vak Van in e-mailclients. Het Van-adres wordt ook wel het 5322.From adres genoemd.
• Infrastructuur verzenden: ook wel de infrastructuur genoemd. De infrastructuur voor verzenden is een van de volgende waarden:
  • Het domein dat is gevonden in een PTR-record (reverse DNS lookup) van het IP-adres van de bron-e-mailserver.
  • Als het bron-IP-adres geen PTR-record heeft, wordt de verzendende infrastructuur geïdentificeerd als <bron-IP>/24 (bijvoorbeeld 192.168.100.100/24).
  • Een geverifieerd DKIM-domein.
• Aantal berichten: het aantal berichten uit de combinatie van het vervalste domein en de verzendende infrastructuur naar uw organisatie in de afgelopen zeven dagen.
• Laatst gezien: de laatste datum waarop een bericht is ontvangen van de verzendende infrastructuur die het vervalste domein bevat.
• Type adresvervalsing: een van de volgende waarden:
  • Intern: de vervalste afzender bevindt zich in een domein dat deel uitmaakt van uw organisatie (een geaccepteerd domein).
  • Extern: de vervalste afzender bevindt zich in een extern domein.
• Actie: deze waarde is Toegestaan of Geblokkeerd:
  • Toegestaan: Het domein heeft SPF, DKIM en DMARC niet gecontroleerd op expliciete e-mailverificatie. Het domein heeft echter onze impliciete e-mailverificatiecontroles (samengestelde verificatie) doorstaan. Als gevolg hiervan is er geen anti-adresvervalsingsactie uitgevoerd op het bericht.
  • Geblokkeerd: Berichten uit de combinatie van het vervalste domein en de verzendende infrastructuur worden gemarkeerd als slecht door spoof intelligence. De actie die wordt uitgevoerd op de vervalste berichten met kwaadwillende bedoelingen, wordt bepaald door het standaard- of strikt vooraf ingestelde beveiligingsbeleid, het standaard antiphishingbeleid of het aangepaste antiphishingbeleid. Zie Antiphishingbeleid configureren in Microsoft Defender voor Office 365 voor meer informatie.

Als u de lijst met vervalste afzenders wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u Vervolgens Lijst comprimeren.

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

• Type adresvervalsing: de beschikbare waarden zijn Intern en Extern.
• Actie: De beschikbare waarden zijn Toestaan en Blokkeren

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke vermeldingen te zoeken.

Gebruik Exporteren om de lijst met adresvervalsingsdetecties te exporteren naar een CSV-bestand.

Details weergeven over adresvervalsingsdetecties

Wanneer u een detectie van adresvervalsing in de lijst selecteert door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom, wordt er een details-flyout geopend die de volgende informatie bevat:

• Waarom hebben we dit gepakt? sectie: Waarom we deze afzender als adresvervalsing hebben gedetecteerd en wat u kunt doen voor meer informatie.

• Sectie Domeinoverzicht : bevat dezelfde informatie van de hoofdpagina Spoof intelligence insight .

• Sectie WhoIs-gegevens : technische informatie over het domein van de afzender.

• Sectie Explorer-onderzoek: in Defender voor Office 365 organisatie bevat deze sectie een koppeling om Threat Explorer te openen voor meer informatie over de afzender op het tabblad Phish.

• Sectie Vergelijkbare e-mailberichten : bevat de volgende informatie over de detectie van adresvervalsing:

  • Datum
  • Onderwerp
  • Ontvanger
  • Afzender
  • IP-adres van afzender

  Selecteer Kolommen aanpassen om de weergegeven kolommen te verwijderen. Wanneer u klaar bent, selecteert u Toepassen.

Tip

Als u details over andere vermeldingen wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

Als u de detectie van adresvervalsing wilt wijzigen van Toestaan in Blokkeren of omgekeerd, raadpleegt u de volgende sectie.

Het spoof intelligence-oordeel overschrijven

Gebruik op de pagina Spoof intelligence insight op https://security.microsoft.com/spoofintelligenceeen van de volgende methoden om het spoof intelligence-verdict te overschrijven:

• Selecteer een of meer vermeldingen in de lijst door het selectievakje naast de eerste kolom in te schakelen.

  1. Selecteer de actie Bulkacties die wordt weergegeven.
  2. Selecteer in de flyout Bulkacties die wordt geopend de optie Spoof toestaan of Blokkeren van adresvervalsing en selecteer vervolgens Toepassen.

• Selecteer de vermelding in de lijst door op een andere plaats in de rij dan het selectievakje te klikken.

  Selecteer in de flyout details die wordt geopend de optie Spoof toestaan of Blokkeren van adresvervalsing bovenaan de flyout en selecteer vervolgens Toepassen.

Terug op de pagina Spoof Intelligence Insight wordt de vermelding verwijderd uit de lijst en toegevoegd aan het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten op https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Over toegestane vervalste afzenders

Berichten van een toegestane vervalste afzender (automatisch gedetecteerd of handmatig geconfigureerd) zijn alleen toegestaan met behulp van de combinatie van het vervalste domein en de verzendende infrastructuur. De volgende vervalste afzender mag bijvoorbeeld spoofen:

• Domein: gmail.com
• Infrastructuur: tms.mx.com

Alleen e-mail van dat domein/het verzendende infrastructuurpaar mag spoof gebruiken. Andere afzenders die proberen gmail.com te vervalsen, worden niet automatisch toegestaan. Berichten van afzenders in andere domeinen die afkomstig zijn van tms.mx.com, worden nog steeds gecontroleerd door spoof intelligence en kunnen worden geblokkeerd.

Het inzicht in spoof intelligence gebruiken in Exchange Online PowerShell of zelfstandige EOP PowerShell

In PowerShell gebruikt u de cmdlet Get-SpoofIntelligenceInsight om toegestane en geblokkeerde vervalste afzenders weer te geven die zijn gedetecteerd door spoof intelligence. Als u de vervalste afzenders handmatig wilt toestaan of blokkeren, moet u de cmdlet New-TenantAllowBlockListSpoofItems gebruiken. Zie PowerShell gebruiken om toegestane vermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren en PowerShell gebruiken om blokvermeldingen te maken voor vervalste afzenders in de lijst Tenant toestaan/blokkeren voor meer informatie.

Voer de volgende opdracht uit om de informatie in het spoof intelligence-inzicht weer te geven:

Get-SpoofIntelligenceInsight

Zie Get-SpoofIntelligenceInsight voor gedetailleerde syntaxis- en parameterinformatie.

Andere manieren om spoofing en phishing te beheren

Wees zorgvuldig met betrekking tot adresvervalsing en phishingbeveiliging. Hier volgen gerelateerde manieren om afzenders te controleren die uw domein spoofen en helpen voorkomen dat ze uw organisatie beschadigen:

• Controleer het Spoof-e-mailrapport. Gebruik dit rapport vaak om vervalste afzenders weer te geven en te beheren. Zie Spoof Detections report (Spoof Detections report) voor meer informatie.

• Controleer uw SPF-, DKIM- en DMARC-configuratie. Zie de volgende artikelen voor meer informatie:

  • E-mailverificatie in Microsoft 365
  • SPF instellen om adresvervalsing te helpen voorkomen
  • DKIM gebruiken om uitgaande e-mail te valideren die wordt verzonden vanuit uw aangepaste domein
  • DMARC gebruiken om e-mail te valideren
  • Vertrouwde ARC-sealers configureren