Skydd mot förfalskning i EOP

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

För Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection (EOP)-organisationer utan Exchange Online-postlådor, ingår det funktioner i EOP som hjälper till att skydda organisationen mot falska (förfalskade) avsändare.

När det gäller att skydda sina användare tar Microsoft hot om nätfiske på allvar. Förfalskning är en vanlig teknik som används av angripare. Falska meddelanden ser ut att komma från en person eller plats som inte är den verkliga källan. Metoden används ofta i nätfiskekampanjer som är utformade för att få tag på användaruppgifter. Metoden för förfalskningsskydd i EOP undersöker särskilt förfalskningar av Från-rubriken i meddelandetexten (används för att visa meddelandets avsändare i e-postklienter). När EOP är övertygat om att huvudraden Från är förfalskad identifieras meddelandet som förfalskat.

Här följer de förfalskningsskyddsmetoder som finns tillgängliga i EOP:

  • E-postautentisering: en integrerad del av allt förfalskningsskydd är användningen av e-postautentisering (även kallat e-postverifiering) genom SPF-, DKIM- och DMARC-poster i DNS. Du kan konfigurera dessa poster för dina domäner så att mål-e-postsystemen kan kontrollera giltigheten i meddelanden som gör anspråk på att komma från avsändare i dina domäner. För inkommande meddelanden kräver Microsoft 365 autentisering av e-post för avsändardomäner. Mer information finns i E-postautentisering i Microsoft 365.

    EOP analyserar och blockerar meddelanden som inte kan autentiseras med kombinationen av standardmetoder för e-postautentisering och metoder för avsändaromdöme.

    EOP-kontroller för förfalskningsskydd.

  • Insikter om förfalskningsinformation: Granska falska meddelanden från avsändare i interna och externa domäner under de senaste 7 dagarna och tillåt eller blockera dessa avsändare. Mer information finns i Insikter om förfalskningsinformation i EOP.

  • Tillåt eller blockera falska avsändare i Tillåten av klient/blockeringslista: När du åsidosätter domen i Insikt om förfalskningsinformation blir den falska avsändaren en manuell tillåtelse eller blockera posten som bara visas på fliken Falska i Tillåten av klient/blockeringslistan. Du kan också skapa tillåtna eller blockera poster manuellt för falska avsändare innan de upptäcks av förfalskningsinformation. För mer information se Hantera Tillåten av klient/blockeringslista i EOP.

  • Skydd mot nätfiske: I EOP och Microsoft Defender för Office 365 innehåller principer för skydd mot nätfiske följande inställningar för funktioner mot förfalskning:

    • Aktivera eller inaktivera förfalskningsinformation.
    • Aktivera eller inaktivera identifiering av oautentiserad avsändare i Outlook.
    • Ange åtgärd för blockerade falska avsändare.

    Mer information finns i Principer för skydd mot nätfiske.

    Obs! Principer för skydd mot nätfiske i Defender för Office 365 innehåller ytterligare skydd, inklusive imitationsskydd. Mer information finns på Exklusiva inställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

  • Rapport över identifierad förfalskning: Mer information finns i Rapport över identifierad förfalskning.

    OBS: Defender för Office 365-organisationer kan också använda realtidsidentifieringar (abonnemang 1) eller Hotutforskaren (abonnemang 2) för att visa information om nätfiskeförsök. Mer information finns i Microsoft 365 hotundersökning och svar.

Hur förfalskning används i nätfiskeattacker

Förfalskade meddelanden har följande två negativa konsekvenser för användare:

  • Falska meddelanden lurar användare: Ett falskt meddelande kan lura en användare att klicka på en länk och lämna ut sina autentiseringsuppgifter, ladda ned skadlig kod eller svara på ett meddelande med känsligt innehåll (även kallat för business email compromise (BEC) – kompromettering av företags-e-post).

    Följande är ett exempel på ett nätfiskemeddelande med den falska avsändaren msoutlook94@service.outlook.com:

    Nätfiskemeddelande som imiterar service.outlook.com.

    Det här meddelandet kom inte från service.outlook.com, men rubrikfältet Från förfalskades så att det ger intryck av att göra det. Det här var ett försök att lura mottagaren att klicka på Ändra lösenords-länken och uppge sina autentiseringsuppgifter.

    Följande meddelande är ett exempel på BEC (business email compromise) som använder den falska e-postdomänen contoso.com:

    Nätfiskemeddelande – kompromettering av företags-e-post.

    Meddelandet ser äkta ut men avsändaren är i själva verket falsk.

  • Användare förväxlar riktiga meddelanden med falska: även användare som känner till nätfiske kan ha svårt att se skillnaderna mellan riktiga och falska meddelanden.

    Följande meddelande är ett exempel på en faktisk lösenordsåterställning från Microsofts säkerhetskonto:

    Legitim lösenordsåterställning från Microsoft.

    Meddelandet kom faktiskt från Microsoft, men användarna har lärt sig att vara misstänksamma. Det är nämligen svårt att se skillnad på ett riktigt och ett falskt meddelande om lösenordsåterställning. Därför ignorerar många användare dessa meddelanden, rapporterar dem som skräppost eller rapporterar dem i onödan till Microsoft som nätfiskebedrägerier.

Olika typer av förfalskning

Microsoft skiljer mellan två olika typer av falska meddelanden:

  • Förfalskning inom organisationen: kallas även för self-to-self-förfalskning. Till exempel:

    • Avsändaren och mottagaren finns i samma domän:

      Från: chris@contoso.com
      Till: michelle@contoso.com

    • Avsändaren och mottagaren finns i underdomäner till samma domän:

      Från: laura@marketing.fabrikam.com
      Till: julia@engineering.fabrikam.com

    • Avsändaren och mottagaren finns i olika domäner som tillhör samma organisation (d.v.s. båda domänerna är konfigurerade som godkända domäner i samma organisation):

      Från: avsändare @ microsoft.com
      Till: mottagare @ bing.com

      Mellanslag används i e-postadresserna för att förhindra spambot-insamling.

    Meddelanden som inte klarar sammansatt autentisering på grund av förfalskning inom organisationen innehåller följande värden i meddelandehuvudet:

    Authentication-Results: ... compauth=fail reason=6xx

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

    • reason=6xx tyder på förfalskning inom organisationen.

    • SFTY är meddelandets säkerhetsnivå. 9 anger nätfiske, .11 anger förfalskning inom organisationen.

  • Förfalskningar mellan domäner: avsändarens och mottagarens domäner skiljer sig åt och har ingen relation sinsemellan (kallas även externa domäner). Till exempel:

    Från: chris@contoso.com
    Till: michelle@tailspintoys.com

    Meddelanden som inte klarar sammansatt autentisering på grund av förfalskning mellan domäner innehåller följande värden i meddelandehuvudet:

    Authentication-Results: ... compauth=fail reason=000/001

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

    • reason=000 betyder att meddelandet inte har klarat explicit e-postautentisering. reason=001 betyder att meddelandet inte har klarat implicit e-postautentisering.

    • SFTYär meddelandets säkerhetsnivå. 9 anger nätfiske, .22 anger förfalskning mellan domäner.

Anteckning

Om du har fått ett meddelande som *compauth=fail reason=### _ och behöver veta om sammansatt autentisering (compauth) och värdena relaterade till förfalskning kan du läsa mer under meddelanderubriker för _Anti-skräppost i Microsoft 365*. Eller gå direkt till orsakskoderna.

Mer information om DMARC finns i Använda DMARC för att validera e-post i Microsoft 365.

Problem med förfalskningsskydd

E-postlistor (även kallade diskussionslistor) är kända för att ha problem med förfalskning på grund av det sätt de vidarebefordrar meddelanden och ändrar innehållet i dem.

Anta till exempel att Gabriela Laureano (glaureano@contoso.com) är intresserad av fågelskådning och går med i diskussionslistan fagelskadare@fabrikam.com. och skickar följande meddelande till listan:

From: "Gabriela Laureano" <glaureano@contoso.com>
Till: Birdwatcherens diskussions lista <birdwatchers@fabrikam.com>
Ämne: Bra visning av blåskrikor högst upp i Mt. Rainier den här veckan

Vem vill kolla in bilderna från Mt. Rainier den här veckan?

E-postlistans server tar emot meddelandet, ändrar innehållet och skickar tillbaka det till medlemmarna i listan. Det återgivna meddelandet har samma Från:-adress (glaureano@contoso.com) men en tagg har lagts till i ämnesraden och en sidfot har lagts till längst ned i meddelandet. Den här typen av ändringar är vanliga i distributionslistor och kan leda till falska positiva identifieringar av förfalskning.

From: "Gabriela Laureano" <glaureano@contoso.com>
Till: Birdwatcherens diskussions lista <birdwatchers@fabrikam.com>
Ämne: [FÅGELSKÅDARE] Fantastiska bilder av blåskrikor på Mt. Rainier den här veckan

Vem vill kolla in bilderna från Mt. Rainier den här veckan?

Meddelandet skickades till diskussionslistan Fågelskådare. Du kan avbryta prenumerationen när du vill.

Om du vill se till att e-post från distributionslistor klarar förfalskningskontroller, följer du dessa anvisningar beroende på om du har kontroll över distributionslistan:

Om ingenting annat fungerar kan du rapportera meddelandet som en falsk positiv identifiering till Microsoft. Mer informations finns i Anmäla meddelanden och filer till Microsoft.

Överväganden för skydd mot förfalskning

Om du är en administratör som för närvarande skickar meddelanden till Microsoft 365 måste du se till att e-postmeddelandet autentiseras på rätt sätt. Annars kan det markeras som skräppost eller nätfiske. Mer information finns i Lösningar för legitima avsändare som skickar icke autentiserad e-post.

Avsändare i en enskild användares (eller administratörens) lista över betrodda avsändare kringgår delar av filtreringsstacken, inklusive förfalskningsskydd. Mer information finns i Outlook betrodda användare.

Administratörer bör (om möjligt) undvika att använda tillåtna avsändarlistor eller tillåtna domänlistor. Dessa avsändare övergår allt skräppost, förfalskning och nätfiskningsskydd och även avsändarautentisering (SPF, DKIM, DMARC). Mer information finns i Använd tillåtna avsändarlistor eller tillåtna domänlistor.