Proteção antispoofing na EOP

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a

• Proteção do Exchange Online
• Plano 1 e plano 2 do Microsoft Defender para Office 365
• Microsoft 365 Defender

Em organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações do Proteção do Exchange Online (EOP) Exchange Online sem caixas de correio do Exchange Online, Exchange Online EOP inclui funcionalidades que ajudam a proteger a sua organização contra remessas spoofed (forged).

No que diz respeito à proteção dos seus utilizadores, a Microsoft leva a ameaça de phishing a sério. O spoofing é uma técnica comum que é utilizada pelos atacantes. As mensagens spoofed parecem ter origem numa pessoa ou noutro local que não a origem real. Esta técnica é frequentemente utilizada em campanhas de phishing concebidas para obter credenciais de utilizador. A tecnologia antispoofing na EOP examina especificamente a forgery do cabeçalho De no corpo da mensagem (utilizado para apresentar o remetente da mensagem nos clientes de e-mail). Quando a EOP tem a confiança de que o cabeçalho From é forged, a mensagem é identificada como spoofed.

As seguintes tecnologias antisspoofing estão disponíveis na EOP:

• Autenticação de e-mail: uma parte integral de qualquer esforço antispoofing é a utilização da autenticação de e-mail (também conhecida como validação de e-mail) pelos registos SPF, DKIM e DMARC no DNS. Pode configurar estes registos para os seus domínios, para que os sistemas de e-mail de destino possam verificar a validade das mensagens que afirmam ser de remeteres nos seus domínios. Para mensagens de receção, o Microsoft 365 necessita de autenticação de e-mail para os domínios do remetente. Para obter mais informações, consulte Autenticação de e-mail Microsoft 365.

  A EOP analisa e bloqueia mensagens que não podem ser autenticadas com a combinação de métodos padrão de autenticação de e-mail e técnicas de reputação do remetente.

  

• Informações de informações de informações de spoof intelligence: reveja mensagens spoofed de remessas em domínios internos e externos durante os últimos 7 dias e permita ou bloqueie esses remessas. Para obter mais informações, consulte Informações de spoof intelligence na EOP.

• Permitir ou bloquear remetentes falsos na Lista de Remetentes Por / Bloquear Inquilinos: quando o utilizador sobressai o veredito nas informações da inserção de informações de spoof intelligence, o remetente da informação de spoofof torna-se uma entrada de permitir ou bloquear manualmente que só aparece no separador Spoof na Lista de Acesso/Bloqueio do Inquilino. Também pode criar manualmente entradas de permitir ou bloquear entradas de spoof remetidos antes que estes são detetados por informações de spoof. Para obter mais informações, consulte Gerir a Lista de Acesso/Bloqueio do Inquilino na EOP.

• Políticas anti phishing: na EOP e Microsoft Defender para Office 365, as políticas anti-phishing contêm as seguintes definições anti-spoofing:

  • Ativar ou desativar as informações de spoof.
  • Atenda ou desativou os indicadores do remetente Outlook autenticados.
  • Especifique a ação para remessas de spoofed bloqueados.

  Para obter mais informações, consulte Definições de spoof em políticas anti-phishing.

  Nota: as políticas anti-phishing Defender para Office 365 contêm proteção contra representação, incluindo proteção contra representação. Para obter mais informações, consulte Definições exclusivas em políticas anti phishing Microsoft Defender para Office 365.

• Relatório de deteções de spoof: Para obter mais informações, consulte Relatório Spoof Deteções.

  Nota: Defender para Office 365 organizações também podem utilizar deteções em tempo real (Plano 1) ou o Explorador de Ameaças (Plano 2) para ver informações sobre tentativas de phishing. Para obter mais informações, consulte a Microsoft 365 e investigação e resposta a ameaças.

Como o spoofing é utilizado em ataques de phishing

As mensagens de spoofing têm as seguintes implicações negativas para os utilizadores:

• Utilizadores enganadores de mensagens spoofed: uma mensagem spoofed pode fazer com que o destinatário clique numa ligação e descarregue as respetivas credenciais, transfira software malicioso ou responda a uma mensagem com conteúdos confidenciais (conhecido como compromisso de e-mail empresarial ou BEC).

  A mensagem seguinte é um exemplo de phishing que utiliza o remetente spoofed msoutlook94@service.outlook.com:

  

  Esta mensagem não veio do service.outlook.com, mas o atacante fez um spoofof no campo de cabeçalho De para que pareça que era. Esta foi uma tentativa de fazer com que o destinatário clique na ligação para alterar a sua palavra-passe e que desiste das credenciais.

  A seguinte mensagem é um exemplo de BEC que utiliza o domínio de e-mail spoofed contoso.com:

  

  A mensagem parece legítima, mas o remetente é spoofed.

• Os utilizadores confundam mensagens reais com mensagens falsas: mesmo os utilizadores que conhecem phishing podem ter dificuldades em ver as diferenças entre mensagens reais e mensagens falsificadas.

  A seguinte mensagem é um exemplo de uma mensagem de reposição de palavra-passe real da conta Microsoft Security:

  

  Na verdade, a mensagem veio da Microsoft, mas os utilizadores foram condicionados para ficarem suspeitos. Uma vez que é difícil a diferença entre uma mensagem de reposição de palavra-passe real e uma mensagem falsa, os utilizadores podem ignorar a mensagem, denúnciá-la como spam ou denunciar desnecessariamente a mensagem à Microsoft como phishing.

Diferentes tipos de spoofing

A Microsoft diferencia entre dois tipos diferentes de mensagens spoofed:

• Spoofing intra-org: também conhecido como spoofing auto-a-self . Por exemplo:

  • O remetente e o destinatário estão no mesmo domínio:

    De: chris@contoso.com
    Para: michelle@contoso.com

  • O remetente e o destinatário estão em subdomínios do mesmo domínio:

    De: laura@marketing.fabrikam.com
    Para: julia@engineering.fabrikam.com

  • O remetente e o destinatário estão em domínios diferentes que pertencem à mesma organização (ou seja, ambos os domínios estão configurados como domínios aceites na mesma organização):

    De: remetente @ microsoft.com
    Para: destinatário @ bing.com

    Os espaços são utilizados nos endereços de e-mail para impedir a recolha de spam.

  As mensagens que falham a autenticação composta devido ao spoofing intra-org contêm os seguintes valores de cabeçalho:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx indica spoofing intra-org.

  • SFTY é o nível de segurança da mensagem. 9 indica phishing, .11 indica spoofing intra-org.

• Spoofing entre domínios: os domínios do remetente e do destinatário são diferentes e não têm relação entre si (também conhecidos como domínios externos). Por exemplo:

  De: chris@contoso.com
  Para: michelle@tailspintoys.com

  As mensagens que falham a autenticação composta devido ao spoofing entre domínios contêm os seguintes valores de cabeçalho:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 indica que a mensagem falhou a autenticação explícita do e-mail. reason=001 indica que a mensagem falhou a autenticação de e-mail implícita.

  • SFTY é o nível de segurança da mensagem. 9 indica phishing, .22 indica spoofing entre domínios.

Nota

Se você foi recebido uma mensagem como *compauth=fail reason=### _ e precisa de saber sobre a autenticação composta (compauth) e os valores relacionados com spoofing, consulte cabeçalhos de mensagens de spam _Anti em Microsoft 365*. Ou vá diretamente para os códigos de razão.

Para obter mais informações sobre o DMARC, consulte Utilizar o DMARC para validar e-mails em Microsoft 365.

Problemas com a proteção antispoofing

Sabe-se que as listas de correio (também conhecidas como listas de debate) têm problemas com o antispoofing devido à forma como reenaminham e modificam mensagens.

Por exemplo, a Adriana Laureano (glaureano@contoso.com) está interessada em ver pássaros, junta-se à lista de correio birdwatchers@fabrikam.com e envia a seguinte mensagem para a lista:

De: "Luciano" <glaureano@contoso.com>
Para: Lista de Debates do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: Excelente visualização de jays azuis na parte superior do Sra. Rainier esta semana

Qualquer pessoa que queira ver esta semana a partir da Sra. Rainier?

O servidor da lista de correio recebe a mensagem, modifica o conteúdo e repô-la aos membros da lista. A mensagem repetida tem o mesmo endereço De (glaureano@contoso.com), mas é adicionada uma etiqueta ao assunto da mensagem e é adicionado um rodapé à parte inferior da mensagem. Este tipo de modificação é comum nas listas de correio e pode resultar em falsos positivos para spoofing.

De: "Luciano" <glaureano@contoso.com>
Para: Lista de Debates do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: [BIRDWATCHERS] Excelente visualização de jays azuis na parte superior do Mt. Rainier esta semana

Qualquer pessoa que queira ver esta semana a partir da Sra. Rainier?

Esta mensagem foi enviada para a Lista de Debates do Birdwatchers. Pode anular a subscrição a qualquer momento.

Para ajudar a que as mensagens da lista de correio passem por verificações antisspoofing, faça os seguintes passos com base no controlo da lista de correio:

• A sua organização é a dona da lista de correio:

  • Consulte as FAQ no DMARC.org: trabalho numa lista de correio e quero interagir com o DMARC, o que devo fazer?.

  • Leia as instruções nesta mensagem de blogue: Uma sugestão para os operadores da lista de correio interagirem com o DMARC para evitar falhas.

  • Considere instalar atualizações no seu servidor de lista de correio para suportar o ARC, consulte http://arc-spec.org.

• A sua organização não tem a lista de correio:

  • Peça ao manutenção da lista de correio para configurar a autenticação de e-mail para o domínio a partir do onde a lista de correio está a reatar.

    Quando os recetores suficientes respondem aos proprietários do domínio a quem devem configurar os registos de autenticação de e-mail, isso leva-os a tomar medidas. Embora a Microsoft também trabalhe com proprietários de domínio para publicar os registos necessários, ajuda ainda mais quando os utilizadores individuais o solicitarem.

  • Crie regras de caixa de entrada no seu cliente de e-mail para mover mensagens para a Caixa de Entrada. Também pode pedir aos administradores para configurar substituições conforme descrito nas Informações de Spoof Intelligence na EOP e Gerir a Lista de Perfis de Inquilino /Lista de Bloqueios.

  • Utilize a Lista de Permitidos/Bloqueios de Inquilinos para criar uma override para a lista de correio para tratá-la como legítima. Para obter mais informações, consulte Adicionar autorizações na Lista de Permitidos/Bloqueios do Inquilino.

Se nada falhar, pode denunciar a mensagem como um falso positivo para a Microsoft. Para obter mais informações, consulte Comunicar mensagens e ficheiros à Microsoft.

Considerações sobre a proteção antispoofing

Se for um administrador que atualmente envia mensagens para o Microsoft 365, tem de se certificar de que o seu e-mail está corretamente autenticado. Caso contrário, pode ser marcado como spam ou phishing. Para obter mais informações, consulte soluções para remessas legítimas que estão a enviar e-mails não autenticados.

Os remessas na lista de utilizadores individuais (ou administradores) Cofre a lista de Remessas não passará por partes da pilha de filtragem, incluindo a proteção contra spoof. Para obter mais informações, consulte Outlook Cofre Remendos.

Os administradores devem evitar (sempre que possível) a utilização de listas de remetente permitidas ou listas de domínios permitidas. Estes remetentes não recebem todo o spam, spoofing e proteção de phishing e também a autenticação do remetente (SPF, DKIM, DMARC). Para obter mais informações, consulte Utilizar listas de remetente permitidas ou listas de domínios permitidas.