الحماية من الانتحال في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في مؤسسات Microsoft 365 التي تحتوي على علب بريد في مؤسسات Exchange Online أو مستقلة Exchange Online Protection (EOP) بدون علب بريد Exchange Online، يتضمن EOP ميزات للمساعدة في حماية مؤسستك من المرسلين المخادعين (المزورين).

عندما يتعلق الأمر بحماية مستخدميها، تأخذ Microsoft خطر التصيد الاحتيالي على محمل الجد. الانتحال هو تقنية شائعة يستخدمها المهاجمون. يبدو أن الرسائل المخادعة تنشأ من شخص ما أو في مكان آخر غير المصدر الفعلي. غالبا ما تستخدم هذه التقنية في حملات التصيد الاحتيالي المصممة للحصول على بيانات اعتماد المستخدم. تفحص تقنية مكافحة الانتحال في EOP على وجه التحديد تزوير رأس من في نص الرسالة، لأن قيمة الرأس هذه هي مرسل الرسالة الذي يظهر في عملاء البريد الإلكتروني. عندما يكون EOP لديه ثقة عالية في أن رأس من تم تزويره، يتم تحديد الرسالة على أنها منتحلة.

تتوفر تقنيات مكافحة الانتحال التالية في EOP:

• مصادقة البريد الإلكتروني: جزء لا يتجزأ من أي جهد لمكافحة الانتحال هو استخدام مصادقة البريد الإلكتروني (المعروفة أيضا باسم التحقق من صحة البريد الإلكتروني) بواسطة سجلات SPF وDKIM وDMARC في DNS. يمكنك تكوين هذه السجلات للمجالات الخاصة بك حتى تتمكن أنظمة البريد الإلكتروني الوجهة من التحقق من صحة الرسائل التي تدعي أنها من المرسلين في المجالات الخاصة بك. بالنسبة للرسائل الواردة، يتطلب Microsoft 365 مصادقة البريد الإلكتروني لمجالات المرسل. لمزيد من المعلومات، راجع مصادقة البريد الإلكتروني في Microsoft 365.

  يحلل EOP الرسائل ويحظرها استنادا إلى الجمع بين أساليب مصادقة البريد الإلكتروني القياسية وتقنيات سمعة المرسل.

  

• رؤى التحليل الذكي للانتحال: راجع الرسائل المخادعة المكتشفة من المرسلين في المجالات الداخلية والخارجية خلال الأيام السبعة الماضية. لمزيد من المعلومات، راجع رؤى التحليل الذكي للتزييف في EOP.

• السماح بالمرسلين الذين تم تزييف هوياتهم أو حظرهم في قائمة السماح/الحظر للمستأجر: عند تجاوز الحكم في رؤى التحليل الذكي للانتحال، يصبح المرسل المخادع إدخالا يدويا للسماح أو الحظر يظهر فقط في علامة تبويب المرسلين المخادعين في صفحة السماح/الحظر للمستأجر القوائم في https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. يمكنك أيضا إنشاء إدخالات السماح أو الحظر يدويا لمرسلي تزييف الهوية قبل اكتشافها بواسطة التحليل الذكي للتزييف. لمزيد من المعلومات، راجع المرسلين المخادعين في قائمة السماح/الحظر للمستأجر.

• نهج مكافحة التصيد الاحتيالي: في EOP Microsoft Defender لـ Office 365، تحتوي نهج مكافحة التصيد الاحتيالي على إعدادات مكافحة التزييف التالية:

  • تشغيل التحليل الذكي للانتحال أو إيقاف تشغيله.
  • تشغيل مؤشرات المرسل غير المصادق عليها في Outlook أو إيقاف تشغيلها.
  • حدد الإجراء للمرسلين المحظورين الذين تم تزييف هوياتهم.

  لمزيد من المعلومات، راجع إعدادات الانتحال في نهج مكافحة التصيد الاحتيالي.

  تحتوي نهج مكافحة التصيد الاحتيالي في Defender لـ Office 365 على حماية إضافية، بما في ذلك حماية انتحال الهوية. لمزيد من المعلومات، راجع الإعدادات الحصرية في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

• تقرير اكتشافات الانتحال: لمزيد من المعلومات، راجع تقرير اكتشافات الانتحال.

  يمكن للمؤسسات Defender لـ Office 365 أيضا استخدام عمليات الكشف في الوقت الحقيقي (الخطة 1) أو مستكشف التهديدات (الخطة 2) لعرض معلومات حول محاولات التصيد الاحتيالي. لمزيد من المعلومات، راجع التحقيق في تهديدات Microsoft 365 والاستجابة لها.

تلميح

من المهم أن نفهم أن فشل المصادقة المركبة لا يؤدي مباشرة إلى حظر رسالة. يستخدم نظامنا استراتيجية تقييم شاملة تأخذ في الاعتبار الطبيعة المشبوهة الشاملة للرسالة جنبا إلى جنب مع نتائج المصادقة المركبة. تم تصميم هذا الأسلوب للتخفيف من خطر حظر البريد الإلكتروني المشروع بشكل غير صحيح من المجالات التي قد لا تلتزم بدقة ببروتوكولات مصادقة البريد الإلكتروني. يساعد هذا النهج المتوازن على التمييز بين البريد الإلكتروني الضار حقا ومرسلي الرسائل الذين يفشلون ببساطة في التوافق مع ممارسات مصادقة البريد الإلكتروني القياسية.

كيفية استخدام الانتحال في هجمات التصيد الاحتيالي

للمرسلين المخادعين في الرسائل الآثار السلبية التالية للمستخدمين:

• الخداع: قد تخدع الرسائل الواردة من المرسلين المخادعين المستلمين لتحديد ارتباط والتخلي عن بيانات الاعتماد الخاصة بهم أو تنزيل البرامج الضارة أو الرد على رسالة ذات محتوى حساس (يعرف باسم اختراق البريد الإلكتروني للأعمال أو BEC).

  الرسالة التالية هي مثال على التصيد الاحتيالي الذي يستخدم المرسل msoutlook94@service.outlook.comالمخادع :

  

  لم تأت هذه الرسالة من service.outlook.com، ولكن المهاجم انتحال حقل رأس من لجعله يبدو كما فعل. حاول المرسل خداع المستلم لتحديد ارتباط تغيير كلمة المرور وتوفير بيانات الاعتماد الخاصة به.

  الرسالة التالية هي مثال على BEC الذي يستخدم مجال البريد الإلكتروني المخادع contoso.com:

  

  تبدو الرسالة شرعية، ولكن يتم انتحال المرسل.

• الارتباك: قد يواجه حتى المستخدمون الذين يعرفون التصيد الاحتيالي صعوبة في رؤية الاختلافات بين الرسائل والرسائل الحقيقية من المرسلين الذين تم تزييف هوياتهم.

  الرسالة التالية هي مثال على رسالة إعادة تعيين كلمة مرور حقيقية من حساب Microsoft Security:

  

  لقد جاءت الرسالة بالفعل من Microsoft، ولكن تم تكييف المستخدمين ليكونوا مريبين. نظرا لأنه من الصعب الفرق بين رسالة إعادة تعيين كلمة المرور الحقيقية ورسالة مزيفة، فقد يتجاهل المستخدمون الرسالة أو يبلغون عنها على أنها بريد عشوائي أو يبلغون Microsoft عن الرسالة على أنها تصيد احتيالي دون داع.

أنواع مختلفة من الانتحال

تميز Microsoft بين نوعين مختلفين من المرسلين المخادعين في الرسائل:

• الانتحال داخل المؤسسة: يعرف أيضا باسم انتحال الذات . على سبيل المثال:

  • المرسل والمستلم في نفس المجال:

    من: chris@contoso.com
    ل: michelle@contoso.com

  • المرسل والمستلم في مجالات فرعية من نفس المجال:

    من: laura@marketing.fabrikam.com
    ل: julia@engineering.fabrikam.com

  • يوجد المرسل والمستلم في مجالات مختلفة تنتمي إلى نفس المؤسسة (أي يتم تكوين كلا المجالين كمجالات مقبولة في نفس المؤسسة):

    من: المرسل @ microsoft.com
    إلى: المستلم @ bing.com

    يتم استخدام المسافات في عناوين البريد الإلكتروني لمنع حصاد spambot.

  تحتوي الرسائل التي تفشل في المصادقة المركبة بسبب تزييف الهوية داخل المؤسسة على قيم العنوان التالية:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx يشير إلى تزييف هوية داخل المؤسسة.

  • SFTY هو مستوى أمان الرسالة. 9 يشير إلى التصيد الاحتيالي، .11 ويشير إلى انتحال داخل المؤسسة.

• الانتحال عبر المجالات: تختلف مجالات المرسل والمستلم، وليس لها علاقة ببعضها البعض (تعرف أيضا باسم المجالات الخارجية). على سبيل المثال:

  من: chris@contoso.com
  ل: michelle@tailspintoys.com

  تحتوي الرسائل التي تفشل في المصادقة المركبة بسبب تزييف الهوية عبر المجال على قيم العناوين التالية:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 يشير إلى فشل الرسالة في مصادقة البريد الإلكتروني الصريحة. reason=001 يشير إلى فشل الرسالة في مصادقة البريد الإلكتروني الضمنية.

  • SFTY هو مستوى أمان الرسالة. 9 يشير إلى التصيد الاحتيالي، .22 ويشير إلى الانتحال عبر المجالات.

  لمزيد من المعلومات حول Authentication-Results and compauth values، راجع حقول عنوان رسالة Authentication-results.

مشاكل في الحماية من الانتحال

من المعروف أن القوائم البريدية (المعروفة أيضا باسم قوائم المناقشة) تواجه مشكلات في الحماية من الانتحال بسبب طريقة إعادة توجيه الرسائل وتعديلها.

على سبيل المثال، تهتم غابرييلا لاureانو (glaureano@contoso.com) بمراقبة الطيور، وتنضم إلى القائمة birdwatchers@fabrikam.comالبريدية، وترسل الرسالة التالية إلى القائمة:

من: "غابرييلا لورونو" <glaureano@contoso.com>
ل: قائمة مناقشات Birdwatcher <birdwatchers@fabrikam.com>
الموضوع: مشاهدة كبيرة من jays الأزرق في الجزء العلوي من Mt. رينييه هذا الأسبوع

أي شخص يريد الاطلاع على العرض هذا الأسبوع من Mt. رينييه؟

يتلقى خادم القائمة البريدية الرسالة ويعدل محتواها ويعيد تشغيلها إلى أعضاء القائمة. تحتوي الرسالة التي تمت إعادة تشغيلها على نفس عنوان من (glaureano@contoso.com)، ولكن تتم إضافة علامة إلى سطر الموضوع، ويتم إضافة تذييل إلى أسفل الرسالة. هذا النوع من التعديل شائع في القوائم البريدية، وقد يؤدي إلى نتائج إيجابية خاطئة للانتحال.

من: "غابرييلا لورونو" <glaureano@contoso.com>
ل: قائمة مناقشات Birdwatcher <birdwatchers@fabrikam.com>
الموضوع: [BIRDWATCHERS] مشاهدة كبيرة من jays الأزرق في الجزء العلوي من Mt. رينييه هذا الأسبوع

أي شخص يريد الاطلاع على العرض هذا الأسبوع من Mt. رينييه؟

تم إرسال هذه الرسالة إلى قائمة مناقشات مراقبي الطيور. يمكنك إلغاء الاشتراك في أي وقت.

للمساعدة في تمرير رسائل القائمة البريدية للتحقق من عدم الانتحال، اتبع الخطوات التالية بناء على ما إذا كنت تتحكم في القائمة البريدية:

• تمتلك مؤسستك القائمة البريدية:

  • تحقق من الأسئلة المتداولة في DMARC.org: أقوم بتشغيل قائمة بريدية وأريد التشغيل المتداخل مع DMARC، ماذا يجب أن أفعل؟.
  • اقرأ الإرشادات الواردة في منشور المدونة هذا: تلميح لمشغلي القوائم البريدية للتشغيل المتداخل مع DMARC لتجنب حالات الفشل.
  • ضع في اعتبارك تثبيت التحديثات على خادم القائمة البريدية لدعم ARC. لمزيد من المعلومات، راجع http://arc-spec.org.

• لا تملك مؤسستك القائمة البريدية:

  • اطلب من المشرف على القائمة البريدية تكوين مصادقة البريد الإلكتروني للمجال الذي يتم ترحيل القائمة البريدية منه. من المرجح أن يتصرف المالكون إذا طلب منهم عدد كاف من الأعضاء إعداد مصادقة البريد الإلكتروني. بينما تعمل Microsoft أيضا مع مالكي المجالات لنشر السجلات المطلوبة، فإنها تساعد أكثر عندما يطلبها المستخدمون الفرديون.
  • الإنشاء قواعد علبة الوارد في عميل البريد الإلكتروني لنقل الرسائل إلى علبة الوارد.
  • استخدم قائمة السماح/الحظر للمستأجر لإنشاء إدخال السماح للقائمة البريدية لمعاملتها على أنها شرعية. لمزيد من المعلومات، راجع الإنشاء السماح بإدخالات المرسلين الذين تم تزييف هوياتهم.

إذا فشل كل شيء آخر، يمكنك الإبلاغ عن الرسالة على أنها إيجابية خاطئة ل Microsoft. لمزيد من المعلومات، راجع الإبلاغ عن الرسائل والملفات إلى Microsoft.

اعتبارات الحماية من الانتحال

إذا كنت مسؤولا يرسل رسائل حاليا إلى Microsoft 365، فستحتاج إلى التأكد من مصادقة بريدك الإلكتروني بشكل صحيح. وإلا، فقد يتم وضع علامة عليه على أنه بريد عشوائي أو تصيد احتيالي. لمزيد من المعلومات، راجع كيفية تجنب فشل مصادقة البريد الإلكتروني عند إرسال البريد إلى Microsoft 365.

يتخطى المرسلون في المستخدم الفردي (أو المسؤول) المرسلون الآمنون أجزاء من مكدس التصفية، بما في ذلك حماية تزييف الهوية. لمزيد من المعلومات، راجع Outlook Safe Senders.

إذا كان ذلك ممكنا على الإطلاق، يجب على المسؤولين تجنب استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها في نهج مكافحة البريد العشوائي. يتجاوز هؤلاء المرسلون معظم مكدس التصفية (يتم دائما عزل رسائل التصيد الاحتيالي والبرامج الضارة عالية الثقة). لمزيد من المعلومات، راجع استخدام قوائم المرسلين المسموح بها أو قوائم المجال المسموح بها.