Principer för skydd mot nätfiske i Microsoft 365

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

Principer för att konfigurera inställningar för skydd mot nätfiske är tillgängliga i Microsoft 365 organisationer med Exchange Online postlådor, fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor och Microsoft Defender för Office 365 organisationer.

Exempel på Microsoft Defender för Office 365 organisationer är:

De övergripande skillnaderna mellan principer för skydd mot nätfiske i EOP och principer för skydd mot nätfiske i Defender för Office 365 beskrivs i följande tabell:

Funktion Principer för skydd mot nätfiske i EOP Principer för skydd mot nätfiske i Defender för Office 365
Standardprincip skapas automatiskt Bockmarkering. Bockmarkering.
Skapa anpassade principer Bockmarkering. Bockmarkering.
Vanliga principinställningar* Bockmarkering. Bockmarkering.
Förfalskningsinställningar Bockmarkering. Bockmarkering.
Första kontakten säkerhetstips Bockmarkering. Bockmarkering
Personifieringsinställningar Bockmarkering
Avancerade tröskelvärden för nätfiske Bockmarkering

* I standardprincipen är principnamnet och beskrivningen skrivskyddade (beskrivningen är tom) och du kan inte ange vem principen gäller för (standardprincipen gäller för alla mottagare).

Information om hur du konfigurerar principer för skydd mot nätfiske finns i följande artiklar:

Resten av den här artikeln beskriver de inställningar som är tillgängliga i principer för skydd mot nätfiske i EOP och Defender för Office 365.

Vanliga principinställningar

Följande principinställningar är tillgängliga i principer för skydd mot nätfiske i EOP och Defender för Office 365:

  • Namn: Du kan inte byta namn på standardprincipen för skydd mot nätfiske. När du har skapat en anpassad princip för skydd mot nätfiske kan du inte byta namn på principen i Microsoft 365 Defender-portalen.

  • Beskrivning Du kan inte lägga till en beskrivning i standardprincipen för skydd mot nätfiske, men du kan lägga till och ändra beskrivningen för anpassade principer som du skapar.

  • Användare, grupper och domäner: Identifierar interna mottagare som principen för skydd mot nätfiske gäller för. Det här värdet krävs i anpassade principer och är inte tillgängligt i standardprincipen (standardprincipen gäller för alla mottagare).

    Du kan bara använda ett villkor eller undantag en gång, men du kan ange flera värden för villkoret eller undantaget. Flera värden för samma villkor eller undantag använder ELLER-logik (till exempel <recipient1> eller <recipient2>). Olika villkor och undantag använder OCH-logik (till exempel <recipient1> och <member of group 1>).

    • Användare: En eller flera postlådor, e-postanvändare eller e-postkontakter i din organisation.

    • Grupper: En eller flera grupper i din organisation.

    • Domäner: En eller flera av de konfigurerade godkända domänerna i Microsoft 365.

    • Exkludera dessa användare, grupper och domäner: Undantag för principen. Inställningarna och beteendet är precis som villkoren:

      • Användare
      • Grupper
      • Domäner

    Anteckning

    Minst ett val i inställningarna Användare, grupper och domäner krävs i anpassade principer för skydd mot nätfiske för att identifiera de meddelandemottagare som principen gäller för. Principer för skydd mot nätfiske i Defender för Office 365 har också personifieringsinställningar där du kan ange enskilda avsändar-e-postadresser eller avsändardomäner som ska få personifieringsskydd enligt beskrivningen senare i den här artikeln.

    Flera olika villkor eller undantag är inte additiva; de är inkluderande. Principen tillämpas endast på de mottagare som matchar alla angivna mottagarfilter. Du kan till exempel konfigurera ett mottagarfiltervillkor i principen med följande värden:

    • Mottagaren är: romain@contoso.com
    • Mottagaren är medlem i: Chefer

    Principen tillämpas endast på romain@contoso.com om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen tillämpas inte policyn på honom.

    Om du använder samma mottagarfilter som ett undantag till principen tillämpas principen inte på romain@contoso.com endast om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen gäller policyn fortfarande för honom.

Förfalskningsinställningar

Förfalskning är när Från-adressen i ett e-postmeddelande (avsändaradressen som visas i e-postklienter) inte matchar e-postkällans domän. Mer information om förfalskning finns i Skydd mot förfalskning i Microsoft 365.

Följande förfalskningsinställningar är tillgängliga i principer för skydd mot nätfiske i EOP och Defender för Office 365:

  • Aktivera förfalskningsinformation: Aktiverar eller inaktiverar förfalskningsinformation. Vi rekommenderar att du låter den vara aktiverad.

    När förfalskningsinformation är aktiverat visar insikten om förfalskningsinformation falska avsändare som automatiskt har identifierats och tillåtits eller blockerats av förfalskningsinformation. Du kan åsidosätta förfalskningsinformationsutfallet manuellt för att tillåta eller blockera de identifierade falska avsändarna inifrån insikten. Men när du gör det försvinner den falska avsändaren från insikten om förfalskningsinformation och visas nu bara på fliken Förfalskning i listan Tillåt/blockera klientorganisation. Du kan också manuellt skapa tillåtna eller blockera poster för falska avsändare i listan Tillåt/blockera klientorganisation. Mer information finns i följande artiklar:

    Anteckning

    • Skydd mot förfalskning är aktiverat som standard i standardprincipen för skydd mot nätfiske och i alla nya anpassade principer för skydd mot nätfiske som du skapar.
    • Du behöver inte inaktivera skydd mot förfalskning om MX-posten inte pekar på Microsoft 365. Du aktiverar utökad filtrering för anslutningsappar i stället. Anvisningar finns i Förbättrad filtrering för anslutningsappar i Exchange Online.
    • Om du inaktiverar skydd mot förfalskning inaktiveras endast implicit förfalskningsskydd från sammansatta autentiseringskontroller . Om avsändaren misslyckas med explicita DMARC-kontroller där principen har angetts till karantän eller avvisande, sätts meddelandet fortfarande i karantän eller avvisas.
  • Indikatorer för oautentiserad avsändare: Finns endast i avsnittet Säkerhetstips & indikatorer när förfalskningsinformation är aktiverat. Se informationen i nästa avsnitt.

  • Åtgärder: För meddelanden från blockerade falska avsändare (automatiskt blockerade av förfalskningsinformation eller manuellt blockerade i listan Tillåt/blockera klientorganisation) kan du också ange vilken åtgärd som ska vidtas för meddelandena:

Indikatorer för oautentiserad avsändare

Indikatorer för oautentiserad avsändare är en del av förfalskningsinställningarna som är tillgängliga i avsnittet Säkerhetstips & indikatorer i principer för skydd mot nätfiske i både EOP och Defender för Office 365. Följande inställningar är endast tillgängliga när förfalskningsinformation är aktiverat:

  • Visa (?) för oautentiserade avsändare för förfalskning: Lägger till ett frågetecken i avsändarens foto i rutan Från om meddelandet inte klarar SPF- eller DKIM-kontroller och meddelandet inte klarar DMARC eller sammansatt autentisering. När den här inställningen är inaktiverad läggs inte frågetecknet till i avsändarens foto.

  • Visa "via"-tagg: Lägger till via-taggen (chris@contoso.com via fabrikam.com) i rutan Från om domänen i Från-adressen (meddelandesändaren som visas i e-postklienter) skiljer sig från domänen i DKIM-signaturen eller MAIL FROM-adressen . Mer information om dessa adresser finns i En översikt över e-poststandarder.

För att förhindra att frågetecknet eller via taggen läggs till i meddelanden från specifika avsändare har du följande alternativ:

  • Tillåt den falska avsändaren i insikten om förfalskningsinformation eller manuellt i listan Tillåt/blockera klientorganisation. Om den falska avsändaren tillåts förhindras att via-taggen visas i meddelanden från avsändaren, även om tagginställningen Visa "via" är aktiverad i principen.
  • Konfigurera e-postautentisering för avsändardomänen.
    • För frågetecknet i avsändarens foto är SPF eller DKIM de viktigaste.
    • För via-taggen bekräftar du att domänen i DKIM-signaturen eller MAIL FROM-adressen matchar (eller är en underdomän till) domänen i Från-adressen.

Mer information finns i Identifiera misstänkta meddelanden i Outlook.com och Outlook på webben

Första kontakten säkerhetstips

Inställningarna Visa första kontakt säkerhetstips är tillgängliga i EOP och Defender för Office 365 organisationer och har inget beroende av inställningar för förfalskningsinformation eller personifieringsskydd. Säkerhetstips visas för mottagarna i följande scenarier:

  • Första gången de får ett meddelande från en avsändare
  • De får inte ofta meddelanden från avsändaren.

Den första kontakten säkerhetstips för meddelanden med en mottagare

Den första kontakten säkerhetstips för meddelanden med flera mottagare

Den här funktionen lägger till ett extra säkerhetsskydd mot potentiella personifieringsattacker, så vi rekommenderar att du aktiverar den.

Den första kontakten säkerhetstips ersätter också behovet av att skapa e-postflödesregler (även kallade transportregler) som lägger till rubriken X-MS-Exchange-EnableFirstContactSafetyTip med värdet Aktivera för meddelanden (även om den här funktionen fortfarande är tillgänglig).

Anteckning

Om meddelandet har flera mottagare, om tipset visas och till vem baseras på en majoritetsmodell. Om de flesta mottagare aldrig eller inte ofta tar emot meddelanden från avsändaren får de berörda mottagarna tipset Vissa personer som har fått det här meddelandet... Om du är orolig för att det här beteendet exponerar kommunikationsvanorna för en mottagare för en annan bör du inte aktivera den första kontakten säkerhetstips och fortsätta att använda e-postflödesregler i stället.

Exklusiva inställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365

I det här avsnittet beskrivs de principinställningar som endast är tillgängliga i principer för skydd mot nätfiske i Defender för Office 365.

Anteckning

Standardprincipen för skydd mot nätfiske i Defender för Office 365 ger förfalskningsskydd och postlådeinformation för alla mottagare. De andra tillgängliga personifieringsskyddsfunktionerna och de avancerade inställningarna är dock inte konfigurerade eller aktiverade i standardprincipen. Om du vill aktivera alla skyddsfunktioner ändrar du standardprincipen för skydd mot nätfiske eller skapar ytterligare principer för skydd mot nätfiske.

Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365

Personifiering är den plats där avsändarens eller avsändarens e-postdomän i ett meddelande ser ut ungefär som en verklig avsändare eller domän:

  • Ett exempel på personifiering av domänen contoso.com är contoso.com.
  • Personifiering av användare är kombinationen av användarens visningsnamn och e-postadress. Till exempel kan Valeria Barrios (vbarrios@contoso.com) imiteras som Valeria Barrios, men med en helt annan e-postadress.

Anteckning

Personifieringsskydd söker efter domäner som är liknande. Om din domän till exempel är contoso.com söker vi efter olika toppnivådomäner (.com, .biz osv.) som personifieringsförsök, men även domäner som är något liknande. Till exempel kan contosososo.com eller contoabcdef.com ses som personifieringsförsök av contoso.com.

En personifierad domän kan annars betraktas som legitim (registrerad domän, konfigurerade e-postautentiseringsposter osv.), förutom att avsikten är att lura mottagare.

Följande personifieringsinställningar är endast tillgängliga i principer för skydd mot nätfiske i Defender för Office 365:

  • Gör det möjligt för användare att skydda: Förhindrar att angivna interna eller externa e-postadresser personifieras som meddelandeavsändare. Du får till exempel ett e-postmeddelande från företagets vice vd som ber dig att skicka intern företagsinformation till henne. Skulle du göra det? Många skulle skicka svaret utan att tänka.

    Du kan använda skyddade användare för att lägga till interna och externa avsändaradresser för att skydda mot personifiering. Den här listan över avsändare som skyddas från användarpersonifiering skiljer sig från listan över mottagare som principen gäller för (alla mottagare för standardprincipen, specifika mottagare som konfigurerats i inställningen Användare, grupper och domäner i avsnittet Gemensamma principinställningar ).

    Anteckning

    • I varje princip för skydd mot nätfiske kan du ange högst 350 skyddade användare (avsändarens e-postadresser). Du kan inte ange samma skyddade användare i flera principer. Oavsett hur många principer som gäller för en mottagare är därför det maximala antalet skyddade användare (avsändarens e-postadresser) för varje enskild mottagare 350. Mer information om principprioritet och hur principbearbetningen stoppas efter att den första principen har tillämpats finns i Ordning och prioritet för e-postskydd.
    • Skydd mot personifiering av användare fungerar inte om avsändaren och mottagaren tidigare har kommunicerat via e-post. Om avsändaren och mottagaren aldrig har kommunicerat via e-post identifieras meddelandet som ett personifieringsförsök.

    Som standard konfigureras inga e-postadresser för avsändare för personifieringsskydd i Användare att skydda. Därför omfattas inga avsändar-e-postadresser som standard av personifieringsskydd, antingen i standardprincipen eller i anpassade principer.

    När du lägger till interna eller externa e-postadresser i listan Användare för att skydda , omfattas meddelanden från dessa avsändare av personifieringsskyddskontroller. Meddelandet kontrolleras för personifiering om meddelandet skickas till en mottagare som principen gäller för (alla mottagare för standardprincipen; Användare, grupper och domänmottagare i anpassade principer). Om personifiering identifieras i avsändarens e-postadress tillämpas personifieringsskyddsåtgärderna för användare på meddelandet (vad du ska göra med meddelandet, om du vill visa säkerhetstips för personifierade användare osv.).

  • Aktivera domäner att skydda: Förhindrar att de angivna domänerna personifieras i meddelandesändardomänen. Till exempel alla domäner som du äger (godkända domäner) eller specifika anpassade domäner (domäner som du äger eller partnerdomäner). Den här listan över avsändardomäner som skyddas från personifiering skiljer sig från listan över mottagare som principen gäller för (alla mottagare för standardprincipen, specifika mottagare som konfigurerats i inställningen Användare, grupper och domäner i avsnittet Gemensamma principinställningar ).

    Anteckning

    Du kan ange högst 50 anpassade domäner i varje princip för skydd mot nätfiske.

    Som standard konfigureras inga avsändardomäner för personifieringsskydd i Aktivera domäner att skydda. Därför omfattas inga avsändardomäner som standard av personifieringsskydd, antingen i standardprincipen eller i anpassade principer.

    När du lägger till domäner i listan Aktivera domäner att skydda , omfattas meddelanden från avsändare i dessa domäner av personifieringsskyddskontroller. Meddelandet kontrolleras för personifiering om meddelandet skickas till en mottagare som principen gäller för (alla mottagare för standardprincipen; Användare, grupper och domänmottagare i anpassade principer). Om personifiering identifieras i avsändarens domän tillämpas personifieringsskyddsåtgärderna för domäner på meddelandet (vad du ska göra med meddelandet, om du vill visa säkerhetstips för personifierade användare osv.).

  • Åtgärder: Välj den åtgärd som ska vidtas för inkommande meddelanden som innehåller personifieringsförsök mot skyddade användare och skyddade domäner i principen. Du kan ange olika åtgärder för personifiering av skyddade användare jämfört med personifiering av skyddade domäner:

  • Säkerhetstips för personifiering: Aktivera eller inaktivera följande personifieringssäkerhetstips som visas när personifieringskontroller misslyckas:

    • Visa tips för personifierade användare: Från-adressen innehåller en Aktivera användare för att skydda användaren. Endast tillgängligt om Aktivera användare att skydda är aktiverat och konfigurerat.
    • Visa tips för personifierade domäner: Från-adressen innehåller en Aktivera domäner för att skydda domänen. Endast tillgängligt om Aktivera domäner att skydda är aktiverat och konfigurerat.
    • Visa tips för ovanliga tecken: Från-adressen innehåller ovanliga teckenuppsättningar (till exempel matematiska symboler och text eller en blandning av versaler och gemener) i en Aktivera användare att skydda avsändaren eller en Aktivera domäner för att skydda avsändardomänen. Endast tillgängligt om Aktivera användare att skydda eller Aktivera domäner att skydda är aktiverat och konfigurerat.
  • Aktivera postlådeinformation: Aktiverar eller inaktiverar artificiell intelligens (AI) som avgör användarens e-postmönster med sina frekventa kontakter. Den här inställningen hjälper AI att skilja mellan meddelanden från legitima och personifierade avsändare.

    Gabriela Laureano (glaureano@contoso.com) är till exempel VD för ditt företag, så du lägger till henne som skyddad avsändare i Aktivera användare att skydda inställningarna för principen. Men några av mottagarna som principen gäller för att kommunicera regelbundet med en leverantör som också heter Gabriela Laureano (glaureano@fabrikam.com). Eftersom dessa mottagare har en kommunikationshistorik med glaureano@fabrikam.com identifierar postlådeinformation inte meddelanden från glaureano@fabrikam.com som ett personifieringsförsök av glaureano@contoso.com för dessa mottagare.

    Om du vill använda vanliga kontakter som har lärts av postlådeinformation (och brist på sådan) för att skydda användare från personifieringsattacker kan du aktivera Aktivera skydd mot intelligensimitation när du har aktiverat Aktivera postlådeinformation.

  • Aktivera skydd mot personifiering av intelligens: Aktivera den här inställningen för att ange vilken åtgärd som ska vidtas för meddelanden för personifieringsidentifieringar från postlådeinformationsresultat:

    • Tillämpa ingen åtgärd: Observera att det här värdet har samma resultat som att aktivera postlådeinformation , men inaktivera Aktivera skydd mot intelligensimitation.
    • Omdirigera meddelande till andra e-postadresser
    • Flytta meddelandet till mottagarnas skräppostmappar
    • Placera meddelandet i karantän: Om du väljer den här åtgärden kan du också välja den karantänprincip som gäller för meddelanden som placeras i karantän av postlådeskydd. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Karantänprinciper.
    • Leverera meddelandet och lägg till andra adresser på hemlig kopia
    • Ta bort meddelandet innan det levereras
  • Lägg till betrodda avsändare och domäner: Undantag till inställningarna för personifieringsskydd. Meddelanden från angivna avsändare och avsändardomäner klassificeras aldrig som personifieringsbaserade attacker av principen. Med andra ord tillämpas inte åtgärden för skyddade avsändare, skyddade domäner eller skydd mot postlådeinformation på dessa betrodda avsändare eller avsändardomäner. Den maximala gränsen för dessa listor är 1 024 poster.

Avancerade tröskelvärden för nätfiske i principer för skydd mot nätfiske i Microsoft Defender för Office 365

Följande avancerade tröskelvärden för nätfiske är endast tillgängliga i principer för skydd mot nätfiske i Defender för Office 365. Dessa tröskelvärden styr känsligheten för att tillämpa maskininlärningsmodeller på meddelanden för att fastställa en nätfiskedom:

  • 1 – Standard: Det här är standardvärdet. Allvarlighetsgraden för den åtgärd som vidtas på meddelandet beror på graden av förtroende för att meddelandet är nätfiske (låg, medel, hög eller mycket hög konfidens). Meddelanden som identifieras som nätfiske med mycket hög grad av konfidens har till exempel de allvarligaste åtgärderna, medan meddelanden som identifieras som nätfiske med låg konfidens har mindre allvarliga åtgärder.
  • 2 – Aggressiv: Meddelanden som identifieras som nätfiske med hög grad av förtroende behandlas som om de identifierades med en mycket hög grad av förtroende.
  • 3 – Mer aggressiva: Meddelanden som identifieras som nätfiske med medelhög eller hög grad av förtroende behandlas som om de identifierades med en mycket hög grad av konfidens.
  • 4 – Mest aggressiva: Meddelanden som identifieras som nätfiske med låg, medel eller hög grad av konfidens behandlas som om de identifierades med en mycket hög grad av konfidens.

Risken för falska positiva identifieringar (bra meddelanden som markerats som dåliga) ökar när du ökar den här inställningen. Information om de rekommenderade inställningarna finns i princip för skydd mot nätfiske i Microsoft Defender för Office 365 inställningar.