Защита от спуфинга в EOPAnti-spoofing protection in EOP

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область примененияApplies to

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online и в автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online служба EOP включает функции для защиты организации от поддельных отправителей.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, EOP includes features to help protect your organization from spoofed (forged) senders.

Когда речь идет о защите пользователей, Майкрософт серьезно относится к угрозе фишинга.When it comes to protecting its users, Microsoft takes the threat of phishing seriously. Спуфинг - распространенная техника, используемая злоумышленниками.Spoofing is a common technique that's used by attackers. Поддельные сообщения, похоже, исходят от кого-то или откуда-то, кроме фактического источника.Spoofed messages appear to originate from someone or somewhere other than the actual source. Этот метод часто используется в фишинговых кампаниях, предназначенных для получения учетных данных пользователя.This technique is often used in phishing campaigns that are designed to obtain user credentials. Технология защиты от спуфинга в EOP специально проверяет подделку заголовка From в теле сообщения (используется для отображения отправителя сообщения в почтовых клиентах).The anti-spoofing technology in EOP specifically examines forgery of the From header in the message body (used to display the message sender in email clients). Когда EOP имеет высокую уверенность в том, что заголовок From подделан, сообщение идентифицируется как поддельное.When EOP has high confidence that the From header is forged, the message is identified as spoofed.

В EOP доступны следующие технологии против спуфинга:The following anti-spoofing technologies are available in EOP:

  • Проверка подлинности электронной почты: неотъемлемой частью любых усилий по борьбе со спуфингом является использование аутентификации электронной почты (также известной как проверка электронной почты) записями SPF, DKIM и DMARC в DNS.Email authentication: An integral part of any anti-spoofing effort is the use of email authentication (also known as email validation) by SPF, DKIM, and DMARC records in DNS. Вы можете настроить эти записи для своих доменов, чтобы почтовые системы назначения могли проверять достоверность сообщений, которые, как утверждают, были отправлены в ваших доменах.You can configure these records for your domains so destination email systems can check the validity of messages that claim to be from senders in your domains. Для входящих сообщений Microsoft 365 требует проверки подлинности электронной почты для доменов отправителей.For inbound messages, Microsoft 365 requires email authentication for sender domains. Дополнительные сведения см. в статье Поверка подлинности электронной почты в Microsoft 365.For more information, see Email authentication in Microsoft 365.

    EOP анализирует и блокирует сообщения, которые не могут быть аутентифицированы с помощью комбинации стандартных методов аутентификации электронной почты и методов репутации отправителя.EOP analyzes and blocks messages that can't be authenticated by the combination of standard email authentication methods and sender reputation techniques.

    EOP антиспуфинговые проверки

  • Аналитика спуфинга: Просмотрите поддельные сообщения от отправителей во внутренних и внешних доменах за последние 7 дней и разрешите или заблокируйте этих отправителей.Spoof intelligence insight: Review spoofed messages from senders in internal and external domains during the last 7 days, and allow or block those senders. Дополнительные сведения см. в статье Аналитика спуфинга в EOP.For more information, see Spoof intelligence insight in EOP.

  • Разрешить или заблокировать поддельных отправителей в списке разрешенных или заблокированных клиентов. При переопределении решения в аналитике спуфинга поддельный отправитель становится вручную разрешающим или блокирующим элементом, который отображается только на вкладке Спуфинг в списке разрешенных или заблокированных клиентов.Allow or block spoofed senders in the Tenant Allow/Block List: When you override the verdict in the spoof intelligence insight, the spoofed sender becomes a manual allow or block entry that only appears on the Spoof tab in the Tenant Allow/Block List. Вы также можете вручную создать разрешающие или заблокированные записи для поддельных отправителей до того, как они будут обнаружены с помощью спуфинга.You can also manually create allow or block entries for spoof senders before they're detected by spoof intelligence. Дополнительные сведения см. в статье Управление списком разрешенных или заблокированных клиентов в EOP.For more information, see Manage the Tenant Allow/Block List in EOP.

  • Политики защиты от фишинга. В EOP и Microsoft Defender для Office 365 политики защиты от фишинга содержат следующие параметры защиты от спуфинга:Anti-phishing policies: In EOP and Microsoft Defender for Office 365, anti-phishing policies contain the following anti-spoofing settings:

    • Включите или отключите аналитику спуфинга.Turn spoof intelligence on or off.
    • Включите или отключите идентификацию отправителя без проверки пользователей в Outlook.Turn unauthenticated sender identification in Outlook on or off.
    • Определение действия для заблокированных поддельных отправителей.Specify the action for blocked spoofed senders.

    Дополнительные сведения см. в статье Параметры фишинга в политиках защиты от фишинга.For more information, see Spoof settings in anti-phishing policies.

    Примечание. Политики защиты от фишинга в Defender для Office 365 содержат дополнительные средства защиты, в том числе защиту от олицетворения.Note: Anti-phishing policies in Defender for Office 365 contain addition protections, including impersonation protection. Дополнительные сведения см. в статье Монопольные параметры в политиках защиты от фишинга в Microsoft Defender для Office 365.For more information, see Exclusive settings in anti-phishing policies in Microsoft Defender for Office 365.

  • Отчет об обнаружении подделки. Для получения дополнительной информации см. статью Отчет об обнаружении подделки.Spoof detections report: For more information, see Spoof Detections report.

    Примечание. Организации Defender для Office 365 также могут использовать обнаружения в режиме реального времени (план 1) или обозреватель угроз (план 2) для просмотра сведений о попытках фишинга.Note: Defender for Office 365 organizations can also use Real-time detections (Plan 1) or Threat Explorer (Plan 2) to view information about phishing attempts. Дополнительные сведения см. в статье Исследование угроз Microsoft 365 и реагирование на них.For more information, see Microsoft 365 threat investigation and response.

Как спуфинг используется при фишинговых атакахHow spoofing is used in phishing attacks

Поддельные сообщения имеют следующие негативные последствия для пользователей:Spoofing messages have the following negative implications for users:

  • Поддельные сообщения обманывают пользователей: Поддельное сообщение может заставить получателя щелкнуть ссылку и отказаться от своих учетных данных, загрузить вредоносное ПО или ответить на сообщение с конфиденциальным содержимым (известное как компрометация деловой электронной почты или BEC).Spoofed messages deceive users: A spoofed message might trick the recipient into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content (known as a business email compromise or BEC).

    Следующее сообщение является примером фишинга, в котором используется поддельный отправитель msoutlook94@service.outlook.com:The following message is an example of phishing that uses the spoofed sender msoutlook94@service.outlook.com:

    Фишинговое сообщение олицетворяет service.outlook.com

    Это сообщение не пришло с service.outlook.com, но злоумышленник подделал поле заголовка От, чтобы оно выглядело так, как оно было.This message didn't come from service.outlook.com, but the attacker spoofed the From header field to make it look like it did. Это была попытка обмануть получателя, щелкнув ссылку изменить ваш пароль и отказавшись от его учетных данных.This was an attempt to trick the recipient into clicking the change your password link and giving up their credentials.

    Следующее сообщение является примером BEC, который использует поддельный почтовый домен contoso.com:The following message is an example of BEC that uses the spoofed email domain contoso.com:

    Фишинговое сообщение — компрометация рабочей почты

    Сообщение выглядит законным, но отправитель подделан.The message looks legitimate, but the sender is spoofed.

  • Пользователи путают настоящие сообщения с поддельными: Даже пользователи, которые знают о фишинге, могут с трудом увидеть разницу между реальными и поддельными сообщениями.Users confuse real messages for fake ones: Even users who know about phishing might have difficulty seeing the differences between real messages and spoofed messages.

    Следующее сообщение является примером сообщения о сбросе реального пароля из учетной записи Microsoft Security:The following message is an example of a real password reset message from the Microsoft Security account:

    Реальный запрос сброса пароля от Майкрософт

    Это сообщение в самом деле от Майкрософт. Но поскольку реальное сообщение о сбросе пароля трудно отличить от поддельного, пользователи могут игнорировать сообщение, сообщить о нем как о спаме или ошибочно сообщить о нем в Майкрософт как о фишинге.The message really did come from Microsoft, but users have been conditioned to be suspicious. Because it's difficult to the difference between a real password reset message and a fake one, users might ignore the message, report it as spam, or unnecessarily report the message to Microsoft as phishing.

Различные виды подменыDifferent types of spoofing

Microsoft различает два разных типа поддельных сообщений:Microsoft differentiates between two different types of spoofed messages:

  • Спуфинг внутри организации: также известен как спуфинг самому себе.Intra-org spoofing: Also known as self-to-self spoofing. Например,For example:

    • Отправитель и получатель находятся в одном домене:The sender and recipient are in the same domain:

      От: chris@contoso.comFrom: chris@contoso.com
      Кому: michelle@contoso.comTo: michelle@contoso.com

    • Отправитель и получатель находятся в поддоменах одного домена:The sender and the recipient are in subdomains of the same domain:

      От: laura@marketing.fabrikam.comFrom: laura@marketing.fabrikam.com
      Кому: julia@engineering.fabrikam.comTo: julia@engineering.fabrikam.com

    • Отправитель и получатель находятся в разных доменах, принадлежащих одной организации (то есть оба домена настроены как принятые домены в одной организации):The sender and recipient are in different domains that belong to the same organization (that is, both domains are configured as accepted domains in the same organization):

      От: отправитель @ microsoft.comFrom: sender @ microsoft.com
      Кому: получатель @ поисковой системой bing.comTo: recipient @ bing.com

      Пробелы используются в адресах электронной почты, чтобы предотвратить сбор спамботов.Spaces are used in the email addresses to prevent spambot harvesting.

    Сообщения, которые не проходят составную аутентификацию из-за подделки внутри организации, содержат следующие значения заголовка:Messages that fail composite authentication due to intra-org spoofing contain the following header values:

    Authentication-Results: ... compauth=fail reason=6xx

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

    • reason=6xx обозначает подделку внутри Организации.reason=6xx indicates intra-org spoofing.

    • SFTY — уровень безопасности сообщения.SFTY is the safety level of the message. 9 указывает на фишинг, .11 указывает на подделку внутри организации.9 indicates phishing, .11 indicates intra-org spoofing.

  • Междоменная спуфинг: домены отправителя и получателя отличаются и не имеют отношения друг к другу (также известные как внешние домены).Cross-domain spoofing: The sender and recipient domains are different, and have no relationship to each other (also known as external domains). Например,For example:

    От: chris@contoso.comFrom: chris@contoso.com
    Кому: michelle@tailspintoys.comTo: michelle@tailspintoys.com

    Сообщения, которые не проходят составную аутентификацию из-за междоменной спуфинга, содержат следующие значения заголовков:Messages that fail composite authentication due to cross-domain spoofing contain the following headers values:

    Authentication-Results: ... compauth=fail reason=000/001

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

    • reason=000 указывает, что сообщение не прошло явную проверку подлинности электронной почты.reason=000 indicates the message failed explicit email authentication. reason=001 означает, что сообщение не прошло неявную проверку подлинности электронной почты.reason=001 indicates the message failed implicit email authentication.

    • SFTY — уровень безопасности сообщения.SFTY is the safety level of the message. 9 указывает на фишинг, .22 указывает на междоменную спуфинг.9 indicates phishing, .22 indicates cross-domain spoofing.

Примечание

Если вы получили сообщение *compauth=fail reason=### _ и вам нужно узнать о составной проверке подлинности (compauth) и значениях, связанных со спуфингом, см. статью _Заголовки сообщений для защиты от нежелательной почты в Microsoft 365*.If you've gotten a message like *compauth=fail reason=### _ and need to know about composite authentication (compauth), and the values related to spoofing, see _Anti-spam message headers in Microsoft 365*. Или перейдите непосредственно к кодам причины.Or go directly to the reason codes.

Дополнительные сведения о DMARC см. в статье Использование DMARC для проверки электронной почты в Microsoft 365.For more information about DMARC, see Use DMARC to validate email in Microsoft 365.

Проблемы с защитой от спуфингаProblems with anti-spoofing protection

Известно, что списки рассылки (также называемые списками обсуждений) имеют проблемы с антиспуфингом из-за способа пересылки и изменения сообщений.Mailing lists (also known as discussion lists) are known to have problems with anti-spoofing due to the way they forward and modify messages.

Например, Марта Артемьева (martemyeva@contoso.com) заинтересована в наблюдении за птицами, присоединяется к списку рассылки birdwatchers@fabrikam.com и отправляет в список следующее сообщение:For example, Gabriela Laureano (glaureano@contoso.com) is interested in bird watching, joins the mailing list birdwatchers@fabrikam.com, and sends the following message to the list:

От: "Марта Артемьева" <glaureano@contoso.com>From: "Gabriela Laureano" <glaureano@contoso.com>
Кому: Список обсуждений наблюдателей за птицами <birdwatchers@fabrikam.com>To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Тема: Прекрасный вид голубой сойки на вершине горыSubject: Great viewing of blue jays at the top of Mt. Рейнир на этой неделеRainier this week

Кто-нибудь хочет посмотреть птиц на этой неделе на горе Рейнир?Anyone want to check out the viewing this week from Mt. Rainier?

Сервер списка рассылки принимает сообщение, изменяет его содержимое и передает его членам списка.The mailing list server receives the message, modifies its content, and replays it to the members of list. Воспроизводимое сообщение имеет тот же адрес отправителя (glaureano@contoso.com), но в строку темы добавляется тег, а нижний колонтитул добавляется в конец сообщения.The replayed message has the same From address (glaureano@contoso.com), but a tag is added to the subject line, and a footer is added to the bottom of the message. Этот тип изменений распространен в списках рассылки и может привести к ложным срабатываниям при подделке.This type of modification is common in mailing lists, and may result in false positives for spoofing.

От: "Марта Артемьева" <glaureano@contoso.com>From: "Gabriela Laureano" <glaureano@contoso.com>
Кому: Список обсуждений наблюдателей за птицами <birdwatchers@fabrikam.com>To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Тема: [BIRDWATCHERS] Прекрасный вид голубой сойки на вершине горыSubject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Рейнир на этой неделеRainier this week

Кто-нибудь хочет посмотреть птиц на этой неделе на горе Рейнир? Anyone want to check out the viewing this week from Mt. Rainier?

Это сообщение было отправлено в список обсуждения для любителей птиц Birdwatchers.This message was sent to the Birdwatchers Discussion List. Вы можете отменить подписку в любое время.You can unsubscribe at any time.

Чтобы помочь сообщениям списка рассылки проходить проверку на спуфинг, выполните следующие действия в зависимости от того, управляете ли вы списком рассылки:To help mailing list messages pass anti-spoofing checks, do following steps based on whether you control the mailing list:

Если ничего не помогло, вы можете сообщить об этом сообщении Microsoft как о ложном срабатывании.If all else fails, you can report the message as a false positive to Microsoft. Для получения дополнительной информации см. Отчет о сообщениях и файлах в Microsoft.For more information, see Report messages and files to Microsoft.

Вы также можете связаться со своим администратором, который может поднять его в качестве заявки в службу поддержки Microsoft.You may also contact your admin who can raise it as a support ticket with Microsoft. Команда разработчиков Microsoft должна выяснить, почему сообщение было помечено как поддельное.The Microsoft engineering team will investigate why the message was marked as a spoof.

Соображения по поводу защиты от спуфингаConsiderations for anti-spoofing protection

Если вы являетесь администратором, который в настоящее время отправляет сообщения в Microsoft 365, вам необходимо убедиться, что ваша электронная почта должным образом аутентифицирована.If you're an admin who currently sends messages to Microsoft 365, you need to ensure that your email is properly authenticated. В противном случае она может быть помечена как спам или фишинг.Otherwise, it might be marked as spam or phishing. Дополнительные сведения см. в разделе Решения для законных отправителей, отправляющих электронную почту без проверки подлинности.For more information, see Solutions for legitimate senders who are sending unauthenticated email.

Отправители, внесенные в список надежных отправителей пользователя (или администратора), будут обходить части стека фильтрации, включая защиту от спуфинга.Senders in an individual user's (or admin's) Safe Senders list will bypass parts of the filtering stack, including spoof protection. Подробнее см. в статье Надежные отправители в Outlook.For more information, see Outlook Safe Senders.

Администраторам следует избегать (по возможности) использование списка разрешенных отправителей или списков разрешенных доменов.Admins should avoid (when possible) using allowed sender lists or allowed domain lists. Такие отправители обходят всю защиту от спама, спуфинга и фишинга, а также проверку подлинности отправителя (SPF, DKIM, DMARC).These senders bypass all spam, spoofing, and phishing protection, and also sender authentication (SPF, DKIM, DMARC). Подробнее см. в статье Использование списков разрешенных отправителей и списков разрешенных доменов.For more information, see Use allowed sender lists or allowed domain lists.