ضبط الحماية من التصيد الاحتيالي

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

على الرغم من أن Microsoft 365 يأتي مزودا بمجموعة متنوعة من ميزات مكافحة التصيد الاحتيالي التي يتم تمكينها بشكل افتراضي، فمن المحتمل أن بعض رسائل التصيد الاحتيالي لا يزال بإمكانها الوصول إلى علب البريد في مؤسستك. توضح هذه المقالة ما يمكنك فعله لاكتشاف سبب مرور رسالة التصيد الاحتيالي، وما يمكنك القيام به لضبط إعدادات مكافحة التصيد الاحتيالي في مؤسسة Microsoft 365 دون أن تجعل الأمور أسوأ عن طريق الخطأ.

الأمور الأولى أولا: التعامل مع أي حسابات مخترقة والتأكد من حظر أي رسائل تصيد احتيالي أخرى من الوصول

إذا تم اختراق حساب المستلم نتيجة لرسالة التصيد الاحتيالي، فاتبع الخطوات الواردة في الرد على حساب بريد إلكتروني مخترق في Microsoft 365.

إذا كان اشتراكك يتضمن Microsoft Defender لـ Office 365، يمكنك استخدام Office 365 التحليل الذكي للمخاطر لتحديد المستخدمين الآخرين الذين تلقوا رسالة التصيد الاحتيالي أيضا. لديك خيارات إضافية لحظر رسائل التصيد الاحتيالي:

• الارتباطات الآمنة في Microsoft Defender لـ Office 365
• المرفقات الآمنة في Microsoft Defender لـ Office 365
• نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365. يمكنك زيادة عتبات التصيد الاحتيالي المتقدمة مؤقتا في النهج من قياسي إلى عدواني أو أكثر عدوانية أو أكثر عدوانية.

تحقق من أن هذه النهج تعمل. يتم تشغيل الحماية من الارتباطات الآمنة والمرفقات الآمنة بشكل افتراضي، وذلك بفضل الحماية المضمنة في نهج الأمان المحددة مسبقا. يحتوي مكافحة التصيد الاحتيالي على نهج افتراضي ينطبق على جميع المستلمين حيث يتم تشغيل الحماية من الانتحال بشكل افتراضي. لا يتم تشغيل حماية انتحال الهوية في النهج، وبالتالي يجب تكوينها. للحصول على الإرشادات، راجع تكوين نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365.

الإبلاغ عن رسالة التصيد الاحتيالي إلى Microsoft

يعد الإبلاغ عن رسائل التصيد الاحتيالي مفيدا في ضبط عوامل التصفية المستخدمة لحماية جميع العملاء في Microsoft 365. للحصول على الإرشادات، راجع استخدام صفحة عمليات الإرسال لإرسال البريد العشوائي المشتبه به والتصيد الاحتيالي وعناوين URL وحظر البريد الإلكتروني المشروع ومرفقات البريد الإلكتروني إلى Microsoft.

فحص رؤوس الرسائل

يمكنك فحص رؤوس رسالة التصيد الاحتيالي لمعرفة ما إذا كان هناك أي شيء يمكنك القيام به بنفسك لمنع المزيد من رسائل التصيد الاحتيالي من الوصول إليها. بمعنى آخر، يمكن أن يساعدك فحص رؤوس الرسائل في تحديد أي إعدادات في مؤسستك كانت مسؤولة عن السماح برسائل التصيد الاحتيالي فيها.

على وجه التحديد، يجب عليك التحقق من حقل رأس X-Forefront-Antispam-Report في رؤوس الرسائل للحصول على مؤشرات على التصفية التي تم تخطيها للبريد العشوائي أو التصيد الاحتيالي في قيمة حكم تصفية البريد العشوائي (SFV). تحتوي الرسائل التي تتخطى التصفية على إدخال SCL:-1، مما يعني أن أحد إعداداتك سمح لهذه الرسالة من خلال تجاوز أحكام البريد العشوائي أو التصيد الاحتيالي التي حددتها الخدمة. لمزيد من المعلومات حول كيفية الحصول على رؤوس الرسائل والقائمة الكاملة بجميع رؤوس الرسائل المتوفرة لمكافحة البريد العشوائي ومكافحة التصيد الاحتيالي، راجع رؤوس رسائل مكافحة البريد العشوائي في Microsoft 365.

تلميح

يمكنك نسخ محتويات رأس رسالة ولصقها في أداة محلل رأس الرسالة . تساعد هذه الأداة في تحليل العناوين ووضعها في تنسيق أكثر قابلية للقراءة.

يمكنك أيضا استخدام محلل التكوين لمقارنة نهج أمان EOP Defender لـ Office 365 بالتوصيات القياسية والصارمة.

أفضل الممارسات للبقاء محميا

• على أساس شهري، قم بتشغيل Secure Score لتقييم إعدادات الأمان لمؤسستك.

• بالنسبة للرسائل التي ينتهي بها الأمر في العزل عن طريق الخطأ (الإيجابيات الخاطئة)، أو للرسائل المسموح بها من خلال (السلبيات الخاطئة)، نوصي بالبحث عن هذه الرسائل في مستكشف التهديدات والكشف في الوقت الحقيقي. يمكنك البحث حسب المرسل أو المستلم أو معرف الرسالة. بعد تحديد موقع الرسالة، انتقل إلى التفاصيل بالنقر فوق الموضوع. للحصول على رسالة معزولة، ابحث لمعرفة ما كانت عليه "تقنية الكشف" بحيث يمكنك استخدام الأسلوب المناسب للتجاوز. للحصول على رسالة مسموح بها، ابحث لمعرفة النهج المسموح به للرسالة.

• يتم تصنيف البريد الإلكتروني من المرسلين المخادعين (عنوان من للرسالة لا يتطابق مع مصدر الرسالة) على أنه تصيد احتيالي في Defender لـ Office 365. في بعض الأحيان يكون الانتحال حميدا، وأحيانا لا يرغب المستخدمون في عزل الرسائل الواردة من مرسل معين منتحل. لتقليل التأثير على المستخدمين، راجع بشكل دوري تحليل التحليل الذكي للتزييف، وإدخالات المرسلين الذين تم تزييف هوياتهم في قائمة السماح/الحظر للمستأجر، وتقرير اكتشافات تزييف الهوية. بعد مراجعة المرسلين المسموح لهم والممنوعين وإجراء أي تجاوزات ضرورية، يمكنك تكوين التحليل الذكي للتزييف بثقة في نهج مكافحة التصيد الاحتيالي إلى عزل الرسائل المشبوهة بدلا من تسليمها إلى مجلد البريد الإلكتروني غير الهام الخاص بالمستخدم.

• في Defender لـ Office 365، يمكنك أيضا استخدام صفحة نتيجة تحليلات انتحال الهوية في https://security.microsoft.com/impersonationinsight لتتبع انتحال هوية المستخدم أو اكتشافات انتحال المجال. لمزيد من المعلومات، راجع رؤية انتحال الهوية في Defender لـ Office 365.

• راجع تقرير حالة الحماية من التهديدات بشكل دوري لاكتشاف التصيد الاحتيالي.

• يسمح بعض العملاء عن غير قصد برسائل التصيد الاحتيالي عن طريق وضع مجالاتهم الخاصة في قائمة السماح بالمرسل أو السماح بالمجال في نهج مكافحة البريد العشوائي. على الرغم من أن هذا التكوين يسمح ببعض الرسائل المشروعة من خلال، فإنه يسمح أيضا بالرسائل الضارة التي عادة ما يتم حظرها بواسطة عوامل تصفية البريد العشوائي و/أو التصيد الاحتيالي. بدلا من السماح بالمجال، يجب تصحيح المشكلة الأساسية.

  أفضل طريقة للتعامل مع الرسائل المشروعة التي تم حظرها بواسطة Microsoft 365 (الإيجابيات الخاطئة) التي تتضمن المرسلين في مجالك هي تكوين سجلات SPF وDKIM وDMARC بالكامل في DNS لجميع مجالات البريد الإلكتروني الخاصة بك:

  • تحقق من أن سجل SPF الخاص بك يحدد جميع مصادر البريد الإلكتروني للمرسلين في مجالك (لا تنس خدمات الجهات الخارجية!).

  • استخدم الفشل الثابت (-all) للتأكد من رفض المرسلين غير المصرح لهم بواسطة أنظمة البريد الإلكتروني التي تم تكوينها للقيام بذلك. يمكنك استخدام تحليل التحليل الذكي للتزييف للمساعدة في تحديد المرسلين الذين يستخدمون مجالك بحيث يمكنك تضمين مرسلين معتمدين من جهات خارجية في سجل SPF الخاص بك.

  للحصول على إرشادات التكوين، راجع:

  • إعداد SPF للمساعدة في منع تزييف الهوية
  • استخدام DKIM للتحقق من صحة البريد الإلكتروني الصادر المرسل من مجالك المخصص
  • استخدام DMARC للتحقق من صحة البريد الإلكتروني

• كلما أمكن، نوصي بتسليم البريد الإلكتروني لمجالك مباشرة إلى Microsoft 365. بمعنى آخر، قم بإشارة سجل MX لمجال Microsoft 365 إلى Microsoft 365. Exchange Online Protection (EOP) قادرة على توفير أفضل حماية لمستخدمي السحابة عند تسليم بريدهم مباشرة إلى Microsoft 365. إذا كان يجب عليك استخدام نظام حماية بريد إلكتروني تابع لجهة خارجية أمام EOP، فاستخدم التصفية المحسنة للموصلات. للحصول على الإرشادات، راجع التصفية المحسنة للموصلات في Exchange Online.

• يتعين على المستخدمين استخدام الزر "تقرير" المضمن في Outlook على ويب وظائف Microsoft Report Message أو Report Phishing الإضافية في مؤسستك أو توزيعها. قم بتكوين الإعدادات التي أبلغ عنها المستخدم لإرسال رسائل أبلغ عنها المستخدم إلى علبة بريد التقارير أو إلى Microsoft أو كليهما. ثم تتوفر الرسائل التي أبلغ عنها المستخدم للمسؤولين في علامة التبويب المستخدم المبلغ عنه في صفحة عمليات الإرسال في https://security.microsoft.com/reportsubmission?viewid=user. يمكن مسؤول الإبلاغ عن رسائل أبلغ عنها المستخدم أو أي رسائل إلى Microsoft كما هو موضح في صفحة استخدام عمليات الإرسال لإرسال البريد العشوائي المشتبه به والتصيد الاحتيالي وعناوين URL وحظر البريد الإلكتروني المشروع ومرفقات البريد الإلكتروني إلى Microsoft. يعد إبلاغ المستخدم أو المسؤول عن الإيجابيات الخاطئة أو السلبيات الكاذبة إلى Microsoft أمرا مهما، لأنه يساعد على تدريب أنظمة الكشف الخاصة بنا.

• المصادقة متعددة العوامل (MFA) هي طريقة جيدة لمنع الحسابات المخترقة. يجب أن تفكر بقوة في تمكين المصادقة متعددة العوامل لجميع المستخدمين. للحصول على نهج مرحلي، ابدأ بتمكين المصادقة متعددة العوامل (MFA) للمستخدمين الأكثر حساسية (المسؤولين والتنفيذيين وما إلى ذلك) قبل تمكين المصادقة متعددة العوامل للجميع. للحصول على الإرشادات، راجع إعداد المصادقة متعددة العوامل.

• غالبا ما يستخدم المهاجمون قواعد إعادة التوجيه إلى مستلمين خارجيين لاستخراج البيانات. استخدم معلومات قواعد إعادة توجيه علبة البريد في Microsoft Secure Score للبحث عن قواعد إعادة التوجيه إلى مستلمين خارجيين ومنعها. لمزيد من المعلومات، راجع تخفيف قواعد إعادة التوجيه الخارجية للعميل باستخدام درجة الأمان.

  استخدم تقرير الرسائل التي تم إعادة توجيهها تلقائيا لعرض تفاصيل محددة حول البريد الإلكتروني الذي تمت إعادة توجيهه.