Zásady ochrany proti útokům phishing v Microsoftu 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Zásady konfigurace nastavení ochrany proti útokům phishing jsou dostupné v organizacích Microsoft 365, které mají Exchange Online poštovní schránky, samostatné organizace Exchange Online Protection (EOP) bez Exchange Online poštovních schránek a Microsoft Defender pro Office 365 organizací.
Příklady Microsoft Defender pro Office 365 organizací:
- Microsoft 365 Enterprise E5, Microsoft 365 Education A5 atd.
- Microsoft 365 Enterprise
- Microsoft 365 Business
- Microsoft Defender pro Office 365 jako doplněk
Tip
Jako doplněk k tomuto článku si projděte našeho průvodce nastavením analyzátoru zabezpečení , kde si projděte osvědčené postupy a naučte se posílit ochranu, zlepšit dodržování předpisů a s důvěrou se pohybovat v oblasti kybernetické bezpečnosti. Pokud chcete mít přizpůsobené prostředí založené na vašem prostředí, můžete získat přístup k průvodci automatizovaným nastavením analyzátoru zabezpečení v Centrum pro správu Microsoftu 365.
Základní rozdíly mezi zásadami ochrany před útoky phishing v EOP a zásadami ochrany proti útokům phishing v Defender pro Office 365 jsou popsány v následující tabulce:
Funkce | Zásady proti útokům phishing v EOP |
Zásady proti útokům phishing v Defender pro Office 365 |
---|---|---|
Automaticky vytvořené výchozí zásady | ✔ | ✔ |
Vytvoření vlastních zásad | ✔ | ✔ |
Běžná nastavení zásad* | ✔ | ✔ |
Nastavení falšování identity | ✔ | ✔ |
Bezpečnostní tip pro první kontakt | ✔ | ✔ |
Nastavení zosobnění | ✔ | |
Pokročilé prahové hodnoty útoků phishing | ✔ |
* Ve výchozích zásadách jsou název a popis zásady jen pro čtení (popis je prázdný) a nemůžete určit, na koho se zásada vztahuje (výchozí zásada platí pro všechny příjemce).
Informace o konfiguraci zásad ochrany proti útokům phishing najdete v následujících článcích:
- Konfigurace zásad ochrany proti útokům phishing v EOP
- Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365
Zbývající část tohoto článku popisuje nastavení, která jsou k dispozici v zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365.
Tip
Jako doplněk k tomuto článku doporučujeme při přihlášení k Centrum pro správu Microsoftu 365 použít průvodce Microsoft Defender for Endpoint automatizovaným nastavením. Tato příručka přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte do průvodce nastavením Microsoftu 365.
Běžná nastavení zásad
Následující nastavení zásad jsou k dispozici v zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365:
Název: Výchozí zásady ochrany proti útokům phishing nemůžete přejmenovat. Po vytvoření vlastní zásady ochrany proti útokům phishing nemůžete zásadu na portálu Microsoft Defender přejmenovat.
Popis K výchozím zásadám ochrany proti útokům phishing nemůžete přidat popis, ale můžete přidat a změnit popis vlastních zásad, které vytvoříte.
Uživatelé, skupiny a domény a Vyloučit tyto uživatele, skupiny a domény: Filtry příjemců identifikují interní příjemce, na které se zásady vztahují. Ve vlastních zásadách se vyžaduje alespoň jedna podmínka. Podmínky a výjimky nejsou dostupné ve výchozích zásadách (výchozí zásada platí pro všechny příjemce). Pro podmínky a výjimky můžete použít následující filtry příjemců:
- Uživatelé: Jedna nebo více poštovních schránek, uživatelů pošty nebo poštovních kontaktů v organizaci.
-
Skupiny:
- Členové zadaných distribučních skupin nebo skupin zabezpečení s podporou pošty (dynamické distribuční skupiny se nepodporují).
- Zadaný Skupiny Microsoft 365.
- Domény: Jedna nebo více nakonfigurovaných přijatých domén v Microsoftu 365. Primární e-mailová adresa příjemce je v zadané doméně.
Podmínku nebo výjimku můžete použít jenom jednou, ale podmínka nebo výjimka může obsahovat více hodnot:
Logiku NEBO používá více hodnotstejné podmínky nebo výjimky (například <příjemce1> nebo <příjemce2>):
- Podmínky: Pokud příjemce odpovídá některé ze zadaných hodnot, použijí se na ně zásady.
- Výjimky: Pokud příjemce odpovídá některé ze zadaných hodnot, zásada se na ně nepoužije.
Různé typy výjimek používají logiku NEBO (například <příjemce1> nebo <člen skupiny1> nebo <člen domény1>). Pokud příjemce odpovídá některé ze zadaných hodnot výjimek, zásada se na ně nepoužije.
Logiku AND používají různé typy podmínek . Příjemce musí splňovat všechny zadané podmínky, aby se na ně zásady vztahovaly. Například nakonfigurujete podmínku s následujícími hodnotami:
- Uživatelé:
romain@contoso.com
- Skupiny: Vedení
Tato zásada se vztahuje pouze na
romain@contoso.com
to, že je zároveň členem skupiny vedoucích pracovníků. Jinak se na něj zásady nevztahují.- Uživatelé:
Tip
K identifikaci příjemců zpráv, na které se zásady vztahují, je potřeba vybrat alespoň jeden výběr v nastavení Uživatelé, skupiny a domény ve vlastních zásadách ochrany proti útokům phishing. Zásady ochrany proti útokům phishing v Defender pro Office 365 mají také nastavení zosobnění, ve kterém můžete zadat e-mailové adresy odesílatele nebo domény odesílatele, které obdrží ochranu před zosobněním, jak je popsáno dále v tomto článku.
Nastavení falšování identity
Falšování identity nastane, když adresa odesílatele v e-mailové zprávě (adresa odesílatele zobrazená v e-mailových klientech) neodpovídá doméně zdroje e-mailu. Další informace o falšování identity najdete v tématu Ochrana proti falšování identity v Microsoftu 365.
V zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365 jsou k dispozici následující nastavení falšování:
Povolit falšování informací: Zapne nebo vypne informace o falšování. Doporučujeme nechat ho zapnuté.
Když je povolená funkce falšování, zobrazí se v přehledu zfalšovaných odesílatelů zfalšovaní odesílatelé, kteří byli automaticky zjištěni a povoleni nebo zablokováni informacemi o falšování identity. Verdikt falšování informací můžete ručně přepsat a povolit nebo zablokovat zjištěné zfalšované odesílatele v přehledu. Když to ale uděláte, zfalšovaný odesílatel zmizí z přehledu zfalšovaných informací a bude viditelný jenom na kartě Zfalšovaní odesílatelé na stránce Povolit nebo blokovat Seznamy tenanta na adrese https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Nebo můžete ručně vytvořit položky povolení nebo blokování pro zfalšované odesílatele v seznamu povolených nebo blokovaných uživatelů tenanta, a to i v případě, že je nerozpoznal přehled falšování identity. Další informace najdete v následujících článcích:
- Přehled informací o falšování identity v EOP
- Zfalšovaní odesílatelé v seznamu povolených/blokovaných klientů
Poznámka
- Ochrana před falšováním identity je povolená v přednastavených zásadách zabezpečení Standard a Strict a ve výchozím nastavení je povolená ve výchozích zásadách ochrany proti útokům phishing a v nových vlastních zásadách ochrany proti útokům phishing, které vytvoříte.
- Pokud váš záznam MX neodkazuje na Microsoft 365, nemusíte zakazovat ochranu proti falšování identity. Místo toho povolíte rozšířené filtrování pro konektory. Pokyny najdete v tématu Rozšířené filtrování konektorů v Exchange Online.
- Zakázání ochrany proti falšování identity zakáže jenom implicitní ochranu před falšováním identity při kontrolách složeného ověřování . Informace o tom, jak jsou explicitní kontroly DMARC ovlivněné ochranou proti falšování identity a konfigurací zásad DMARC zdrojové domény (
p=quarantine
nebop=reject
v záznamu TXT DMARC), najdete v části Zásady DMARC ochrany před falšováním a odesílatelů.
Indikátory neověřeného odesílatele: K dispozici v části Bezpečnostní tipy & indikátory , jenom když je zapnutá funkce falšování identity. Podrobnosti najdete v další části.
Akce: Pro zprávy od blokovaných falšovaných odesílatelů (automaticky blokované falšovanými informacemi o falšování (selhání složeného ověřování a škodlivý záměr) nebo ručně blokované v seznamu povolených nebo blokovaných uživatelů tenanta) můžete také určit akci, která se má u zpráv provést:
Přesunutí zpráv do složek nevyžádaných Email příjemců: Toto je výchozí hodnota. Zpráva se doručí do poštovní schránky a přesune se do složky Nevyžádaná pošta Email. Další informace najdete v článku Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek v Microsoftu 365.
Umístit zprávu do karantény: Odešle zprávu do karantény místo zamýšlených příjemců. Informace o karanténě najdete v následujících článcích:
- Karanténa v Microsoftu 365
- Správa zpráv a souborů v karanténě jako správce v Microsoftu 365
- Vyhledání a uvolnění zpráv v karanténě jako uživatel v Microsoftu 365
Pokud vyberete Umístit zprávu do karantény, můžete také vybrat zásadu karantény, která se vztahuje na zprávy, které byly v karanténě ochranou před falšováním informací. Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
Ochrana před falšováním a zásady DMARC odesílatele
V zásadách ochrany proti útokům phishing můžete řídit, jestli p=quarantine
se v zásadách DMARC odesílatele dodržují hodnoty nebo p=reject
. Pokud zpráva selže v kontrolách DMARC, můžete v p=quarantine
p=reject
zásadách DMARC odesílatele zadat samostatné akce. Jedná se o následující nastavení:
Respektovat zásadu záznamu DMARC, když se zpráva zjistí jako falšování: Toto nastavení zapne zásadu DMARC odesílatele při selhání explicitního ověřování e-mailu. Při výběru tohoto nastavení jsou k dispozici následující nastavení:
-
Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=quarantine: Dostupné akce jsou:
- Umístit zprávu do karantény
- Přesunutí zprávy do složek nevyžádaných Email příjemců
-
Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=reject: Dostupné akce jsou:
- Umístit zprávu do karantény
- Odmítnout zprávu
Pokud jako akci vyberete Umístit zprávu do karantény , použije se zásada karantény, která je vybraná pro ochranu před falšováním informací.
-
Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=quarantine: Dostupné akce jsou:
Vztah mezi informacemi o falšování identity a dodržováním zásad DMARC odesílatele je popsaný v následující tabulce:
Zásady DMARC je zapnuté | Vypnuté zásady DMARC | |
---|---|---|
Zapnuto falšování inteligentních informací | Samostatné akce pro selhání implicitního a explicitního ověřování e-mailů:
|
Akce falšování informací o falšování zprávy v zásadách ochrany proti útokům phishing se používá pro implicitní i explicitní selhání ověřování e-mailů. Explicitní selhání ověřování e-mailů ignorují p=quarantine , p=reject , p=none nebo jiné hodnoty v zásadách DMARC. |
Inteligentní funkce falšování je vypnutá. | Implicitní kontroly ověřování e-mailů se nepoužívají. Selhání explicitního ověřování e-mailu:
|
Implicitní kontroly ověřování e-mailů se nepoužívají. Selhání explicitního ověřování e-mailu:
|
Poznámka
Pokud záznam MX pro doménu Microsoft 365 odkazuje na službu nebo zařízení třetí strany, které se nachází před Microsoft 365, nastavení zásad Honor DMARC se použije jenom v případě, že je pro konektor, který přijímá příchozí zprávy, povolené rozšířené filtrování konektorů .
Zákazníci můžou přepsat nastavení zásad Honor DMARC pro konkrétní e-mailové zprávy nebo odesílatele pomocí následujících metod:
- Správci nebo uživatelé můžou přidávat odesílatele do seznamu bezpečných odesílatelů v poštovní schránce uživatele.
- Správci můžou pomocí přehledu informací o falšování identity nebo seznamu povolených/blokovaných tenantů povolit zprávy od zfalšovaného odesílatele.
- Správci vytvoří pravidlo toku pošty Exchange (označované také jako pravidlo přenosu) pro všechny uživatele, které povoluje zprávy pro tyto konkrétní odesílatele.
- Správci vytvoří pravidlo toku pošty Exchange pro všechny uživatele pro odmítnuté e-maily, které selže v zásadách DMARC organizace.
Indikátory neověřeného odesílatele
Neověřené indikátory odesílatelů jsou součástí nastavení falšování, která jsou k dispozici v části Bezpečnostní tipy & indikátory v zásadách ochrany proti útokům phishing v EOP i Defender pro Office 365. Následující nastavení jsou dostupná jenom v případech, kdy je zapnutá funkce falšování identity:
Zobrazit (?) pro neověřené odesílatele pro falšování: Přidá otazník k fotce odesílatele v poli Od, pokud zpráva neprojde kontrolami SPF nebo DKIM a zpráva neprojde ověřováním DMARC nebo složeným ověřováním. Když je toto nastavení vypnuté, otazník se nepřidá na fotku odesílatele.
Zobrazit značku "via": Přidá značku "via" (chris@contoso.comvia fabrikam.com) do pole Od, pokud se doména v adrese Odesílatele (odesílatel zprávy zobrazená v e-mailových klientech) liší od domény v podpisu DKIM nebo na adrese MAIL FROM . Další informace o těchto adresách najdete v tématu Přehled standardů e-mailových zpráv.
Pokud chcete zabránit přidání otazníku nebo značky via do zpráv od konkrétních odesílatelů, máte následující možnosti:
- Povolte zfalšovaného odesílatele v přehledu informací o falšování identity nebo ručně v seznamu povolených/blokovaných klientů. Povolení zfalšovaného odesílatele zabrání tomu, aby se značka "via" zobrazovala ve zprávách od odesílatele, a to i v případě, že je v zásadách zapnuté nastavení Zobrazit značku "via" .
-
Nakonfigurujte ověřování e-mailů pro doménu odesílatele.
- Pro otazník na fotce odesílatele je nejdůležitější SPF nebo DKIM.
- U značky "via" ověřte, že doména v podpisu DKIM nebo adresa MAIL FROM odpovídá doméně v adrese Od (nebo je to subdoména).
Další informace najdete v tématu Identifikace podezřelých zpráv v Outlook.com a Outlook na webu
Bezpečnostní tip pro první kontakt
Nastavení Zobrazit bezpečnostní tip pro první kontakt je dostupné v EOP a Defender pro Office 365 organizacích a není závislé na nastavení ochrany před falšováním identity nebo zosobněním. Bezpečnostní tip se zobrazí příjemcům v následujících scénářích:
- Při prvním doručení zprávy od odesílatele
- Často nedostanou zprávy od odesílatele.
Tato funkce přidává další vrstvu ochrany před potenciálními útoky zosobnění, takže doporučujeme ji zapnout.
První bezpečnostní tip kontaktu je řízen hodnotou 9,25 SFTY
pole v záhlaví zprávy X-Forefront-Antispam-Report . Tato funkce nahrazuje potřebu vytvářet pravidla toku pošty (označovaná také jako pravidla přenosu), která přidávají hlavičku s názvem X-MS-Exchange-EnableFirstContactSafetyTip s hodnotou Enable
pro zprávy, i když tato funkce je stále dostupná.
V závislosti na počtu příjemců ve zprávě může být první bezpečnostní tip pro první kontakt některou z následujících hodnot:
Jeden příjemce:
Z e-mailové adresy> často nedostanou e-maily<.
Více příjemců:
Někteří lidé, kteří dostali tuto zprávu, často nedostanou e-maily z <e-mailové adresy>.
Poznámka
Pokud má zpráva více příjemců, zda se tip zobrazuje a komu je založen na většinovém modelu. Pokud většina příjemců nikdy nebo často nedostává zprávy od odesílatele, dostanou ovlivnění příjemci tip Někteří lidé, kteří dostali tuto zprávu ... Pokud se obáváte, že toto chování vystavuje komunikační návyky jednoho příjemce jinému, neměli byste povolit bezpečnostní tip prvního kontaktu a nadále používat pravidla toku pošty a hlavičku X-MS-Exchange-EnableFirstContactSafetyTip .
První bezpečnostní tip kontaktu není ve zprávách podepsaných pomocí S/MIME.
Výhradní nastavení v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365
Tato část popisuje nastavení zásad, která jsou dostupná pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365.
Poznámka
Výchozí zásady ochrany proti útokům phishing v Defender pro Office 365 poskytují ochranu před falšováním a inteligentní funkce poštovní schránky pro všechny příjemce. Ostatní dostupné funkce ochrany před zosobněním a upřesňující nastavení ale nejsou ve výchozích zásadách nakonfigurované ani povolené. Pokud chcete povolit všechny funkce ochrany, upravte výchozí zásady ochrany proti útokům phishing nebo vytvořte další zásady ochrany proti útokům phishing.
Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365
Zosobnění je místo, kde odesílatel nebo e-mailová doména odesílatele ve zprávě vypadá podobně jako skutečný odesílatel nebo doména:
- Příklad zosobnění contoso.com domény je ćóntoso.com.
- Zosobnění uživatele je kombinace zobrazovaného jména a e-mailové adresy uživatele. Například Valeria Barrios (vbarrios@contoso.com) se může vydávat za Valerii Barriosovou, ale s jinou e-mailovou adresou.
Poznámka
Ochrana před zosobněním hledá podobné domény. Pokud je například vaše doména contoso.com, zkontrolujeme různé domény nejvyšší úrovně (.com, .biz atd.), ale také domény, které jsou si dokonce poněkud podobné. Například contosososo.com nebo contoabcdef.com se můžou považovat za pokusy o zosobnění contoso.com.
Zosobněná doména by jinak mohla být považována za legitimní (doména je zaregistrovaná, nakonfigurované záznamy DNS ověřování e-mailů atd.), s výjimkou toho, že cílem domény je oklamat příjemce.
Nastavení zosobnění popsané v následujících částech jsou k dispozici pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365.
Tip
Podrobnosti o zjištěných pokusech o zosobnění najdete v přehledu zosobnění. Další informace najdete v tématu Přehled zosobnění v Defender pro Office 365.
Ochrana před zosobněním uživatele
Ochrana před zosobněním uživatelů zabraňuje zosobnění konkrétních interních nebo externích e-mailových adres jako odesílatelů zpráv. Například dostanete e-mailovou zprávu od viceprezidenta vaší společnosti s žádostí, abyste jí poslali interní informace o společnosti. Udělala bys to? Mnoho lidí by poslalo odpověď bez rozmýšlení.
Chráněné uživatele můžete použít k přidání interních a externích e-mailových adres odesílatele, aby se chránily před zosobněním. Tento seznam odesílatelů, kteří jsou chráněni před zosobněním uživatele, se liší od seznamu příjemců , na který se zásady vztahují (všichni příjemci pro výchozí zásadu; konkrétní příjemci nakonfigurovaní v nastavení Uživatelé, skupiny a domény v části Běžná nastavení zásad ).
Poznámka
Pro ochranu před zosobněním uživatelů můžete v každé zásadě ochrany proti útokům phishing zadat maximálně 350 uživatelů.
Ochrana před zosobněním uživatele nefunguje, pokud odesílatel a příjemce dříve komunikovali e-mailem. Pokud odesílatel a příjemce nikdy nekomunikovali e-mailem, lze zprávu identifikovat jako pokus o zosobnění.
Pokud se pokusíte přidat uživatele do ochrany před zosobněním uživatele, může se vám zobrazit chyba "E-mailová adresa už existuje", když je tato e-mailová adresa už určená pro ochranu před zosobněním uživatele v jiné zásadě ochrany proti útokům phishing. K této chybě dochází jenom na portálu Defender. Pokud použijete odpovídající parametr TargetedUsersToProtect v rutinách New-AntiPhishPolicy nebo Set-AntiPhishPolicy v Exchange Online PowerShellu, chyba se nezobrazí.
Ve výchozím nastavení nejsou pro ochranu před zosobněním nakonfigurované žádné e-mailové adresy odesílatele, a to buď ve výchozích zásadách, nebo ve vlastních zásadách.
Když do seznamu Uživatelé k ochraně přidáte interní nebo externí e-mailové adresy, budou zprávy od těchto odesílatelů podléhat kontrolám ochrany před zosobněním. Zpráva se zkontroluje zosobnění, pokud je zpráva odeslána příjemci , na kterého se zásady vztahují (všichni příjemci výchozí zásady; Uživatelé, skupiny a příjemci domén ve vlastních zásadách). Pokud se v e-mailové adrese odesílatele zjistí zosobnění, použije se na zprávu akce pro zosobněné uživatele.
Pro zjištěné pokusy o zosobnění uživatele jsou k dispozici následující akce:
Nepoužívejte žádnou akci: Jedná se o výchozí akci.
Přesměrovat zprávu na jiné e-mailové adresy: Odešle zprávu určeným příjemcům místo zamýšleným příjemcům.
Přesunutí zpráv do složek nevyžádaných Email příjemců: Zpráva se doručí do poštovní schránky a přesune se do složky Nevyžádaná pošta Email. Další informace najdete v článku Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek v Microsoftu 365.
Umístit zprávu do karantény: Odešle zprávu do karantény místo zamýšlených příjemců. Informace o karanténě najdete v následujících článcích:
- Karanténa v Microsoftu 365
- Správa zpráv a souborů v karanténě jako správce v Microsoftu 365
- Vyhledání a uvolnění zpráv v karanténě jako uživatel v Microsoftu 365
Pokud vyberete Umístit zprávu do karantény, můžete také vybrat zásadu karantény, která se vztahuje na zprávy, které jsou v karanténě ochranou před zosobněním uživatele. Zásady karantény definují, co uživatelé můžou se zprávami v karanténě dělat. Další informace najdete v tématu Anatomie zásad karantény.
Doručte zprávu a přidejte další adresy na řádek Skrytá: Doručte zprávu zamýšleným příjemcům a bezobslužně doručte zprávu určeným příjemcům.
Odstranit zprávu před doručením: Bezobslužně odstraňte celou zprávu včetně všech příloh.
Ochrana před zosobněním domény
Ochrana před zosobněním domény zabraňuje zosobnění konkrétních domén v e-mailové adrese odesílatele . Například všechny domény, které vlastníte (akceptované domény), nebo konkrétní vlastní domény (domény, které vlastníte nebo domény partnera). Domény odesílatelů , které jsou chráněné před zosobněním, se liší od seznamu příjemců , na který se zásady vztahují (všichni příjemci výchozí zásady; konkrétní příjemci podle konfigurace v nastavení Uživatelé, skupiny a domény v části Běžná nastavení zásad ).
Poznámka
Pro ochranu před zosobněním domény můžete v každé zásadě ochrany proti útokům phishing zadat maximálně 50 vlastních domén.
Zprávy od odesílatelů v zadaných doménách podléhají kontrolám ochrany před zosobněním. Zpráva se zkontroluje zosobnění, pokud je zpráva odeslána příjemci , na kterého se zásady vztahují (všichni příjemci výchozí zásady; Uživatelé, skupiny a příjemci domén ve vlastních zásadách). Pokud se v doméně e-mailové adresy odesílatele zjistí zosobnění, použije se u zprávy akce zosobnění domény.
Ve výchozím nastavení nejsou pro ochranu před zosobněním nakonfigurované žádné domény odesílatele, a to ani ve výchozích zásadách, ani ve vlastních zásadách.
Pro zjištěné pokusy o zosobnění domény jsou k dispozici následující akce:
Nepoužívejte žádnou akci: Toto je výchozí hodnota.
Přesměrovat zprávu na jiné e-mailové adresy: Odešle zprávu určeným příjemcům místo zamýšleným příjemcům.
Přesunutí zpráv do složek nevyžádaných Email příjemců: Zpráva se doručí do poštovní schránky a přesune se do složky Nevyžádaná pošta Email. Další informace najdete v článku Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek v Microsoftu 365.
Umístit zprávu do karantény: Odešle zprávu do karantény místo zamýšlených příjemců. Informace o karanténě najdete v následujících článcích:
- Karanténa v Microsoftu 365
- Správa zpráv a souborů v karanténě jako správce v Microsoftu 365
- Vyhledání a uvolnění zpráv v karanténě jako uživatel v Microsoftu 365
Pokud vyberete Umístit zprávu do karantény, můžete také vybrat zásadu karantény, která se vztahuje na zprávy, které jsou v karanténě ochranou před zosobněním domény. Zásady karantény definují, co uživatelé můžou se zprávami v karanténě dělat. Další informace najdete v tématu Anatomie zásad karantény.
Doručte zprávu a přidejte další adresy na řádek Skrytá: Doručte zprávu zamýšleným příjemcům a bezobslužně doručte zprávu určeným příjemcům.
Odstranit zprávu před doručením: Bezobslužně odstraní celou zprávu včetně všech příloh.
Ochrana před zosobněním inteligentních poštovních schránek
Inteligentní funkce poštovních schránek používá umělou inteligenci (AI) k určení vzorů e-mailů uživatelů s jejich častými kontakty.
Například Gabriela Laureano (glaureano@contoso.com) je generální ředitelkou vaší společnosti, takže ji přidáte jako chráněného odesílatele v nastavení Povolit uživatelům ochranu zásad. Někteří příjemci v zásadách ale pravidelně komunikují s dodavatelem, který se také jmenuje Gabriela Laureano (glaureano@fabrikam.com). Vzhledem k tomu, že tito příjemci mají historii komunikace s glaureano@fabrikam.comnástrojem , neidentifikuje inteligentní funkce poštovní schránky zprávy od glaureano@fabrikam.com těchto příjemců jako pokus o glaureano@contoso.com zosobnění.
Poznámka
Ochrana inteligentních funkcí poštovní schránky nefunguje, pokud odesílatel a příjemce dříve komunikovali prostřednictvím e-mailu. Pokud odesílatel a příjemce nikdy nekomunikovali prostřednictvím e-mailu, může být zpráva identifikována jako pokus o zosobnění pomocí funkce inteligentní poštovní schránky.
Inteligentní funkce poštovní schránky mají dvě specifická nastavení:
- Povolit inteligentní funkce poštovní schránky: Zapněte nebo vypněte inteligentní funkce poštovní schránky. Toto nastavení pomáhá umělé inteligenci rozlišovat mezi zprávami od legitimních a zosobněných odesílatelů. Ve výchozím nastavení je toto nastavení zapnuté.
- Povolit inteligentní funkce pro ochranu před zosobněním: Ve výchozím nastavení je toto nastavení vypnuté. Pomocí historie kontaktů získaných z inteligentních funkcí poštovní schránky (časté kontakty i žádné kontakty) můžete uživatele chránit před útoky zosobnění. Aby inteligentní funkce poštovní schránky mohly provádět akce s rozpoznanými zprávami, musí být zapnuté toto nastavení i nastavení Povolit inteligentní funkce poštovní schránky .
V případě pokusů o zosobnění zjištěných inteligentními funkcemi poštovní schránky jsou k dispozici následující akce:
- Nepoužívejte žádnou akci: Toto je výchozí hodnota. Tato akce má stejný výsledek, jako když je zapnutá možnost Povolit inteligentní funkce poštovní schránky , ale možnost Povolit ochranu před zosobněním inteligentních funkcí je vypnutá.
- Přesměrování zprávy na jiné e-mailové adresy
- Přesunutí zprávy do složek nevyžádaných Email příjemců
- Umístit zprávu do karantény: Pokud vyberete tuto akci, můžete také vybrat zásadu karantény, která se vztahuje na zprávy, které jsou v karanténě pomocí ochrany inteligentních zpráv poštovní schránky. Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
- Doručení zprávy a přidání dalších adres na řádek Skrytá
- Odstranit zprávu před doručením
Bezpečnostní tipy pro zosobnění
Když jsou zprávy identifikovány jako pokusy o zosobnění, zobrazí se uživatelům tipy pro zabezpečení zosobnění. K dispozici jsou následující bezpečnostní tipy:
Zobrazit bezpečnostní tip pro zosobnění uživatele: Adresa Odesílatele obsahuje uživatele zadaného v ochraně před zosobněním uživatele. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit ochranu uživatelům .
Tento bezpečnostní tip je řízen hodnotou 9,20
SFTY
pole v záhlaví X-Forefront-Antispam-Report zprávy. V textu je uvedeno:Tento odesílatel se zdá být podobný někomu, kdo vám poslal e-mail, ale nemusí to být tato osoba.
Zobrazit bezpečnostní tip pro zosobnění domény: Adresa Odesílatele obsahuje doménu zadanou v ochraně před zosobněním domény. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit domény k ochraně .
Tento bezpečnostní tip je řízen hodnotou 9,19
SFTY
pole v záhlaví X-Forefront-Antispam-Report zprávy. V textu je uvedeno:Tento odesílatel může zosobňující doménu přidruženou k vaší organizaci.
Bezpečnostní tip Pro zobrazení neobvyklých znaků zosobnění uživatele: Adresa Odesílatele obsahuje neobvyklé znakové sady (například matematické symboly a text nebo kombinaci velkých a malých písmen) u odesílatele zadaného v ochraně před zosobněním uživatele. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit ochranu uživatelům . V textu je uvedeno:
E-mailová adresa
<email address>
obsahuje neočekávaná písmena nebo čísla. Doporučujeme, abyste s touto zprávou neinteragovali.
Poznámka
Bezpečnostní tipy nejsou orazítkovány v následujících zprávách:
- Zprávy podepsané S/MIME.
- Zprávy, které jsou povolené v nastavení vaší organizace.
Důvěryhodní odesílatelé a domény
Důvěryhodní odesílatelé a doména jsou výjimky z nastavení ochrany před zosobněním. Zprávy od zadaných odesílatelů a domén odesílatelů nejsou nikdy klasifikovány jako útoky založené na zosobnění podle zásad. Jinými slovy, akce u chráněných odesílatelů, chráněných domén nebo ochrany inteligentních poštovních schránek se u těchto důvěryhodných odesílatelů nebo domén odesílatelů nepoužije. Maximální limit pro tyto seznamy je 1024 položek.
Poznámka
Položky důvěryhodné domény nezahrnují subdomény zadané domény. Musíte přidat položku pro každou subdoménu.
Pokud jsou systémové zprávy Microsoftu 365 od následujících odesílatelů identifikovány jako pokusy o zosobnění, můžete je přidat do seznamu důvěryhodných odesílatelů:
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
Pokročilé prahové hodnoty útoků phishing v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365
Následující pokročilé prahové hodnoty útoků phishing jsou k dispozici pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365. Tyto prahové hodnoty řídí citlivost při použití modelů strojového učení na zprávy k určení verdiktu útoku phishing:
- 1 – Standardní: Toto je výchozí hodnota. Závažnost akce, která se se zprávou provede, závisí na stupni spolehlivosti, že se jedná o zprávu typu phishing (nízká, střední, vysoká nebo velmi vysoká). Například u zpráv, které jsou identifikovány jako phishing s velmi vysokou mírou spolehlivosti, se používají nejzávažnější akce, zatímco zprávy, které jsou identifikovány jako phishing s nízkým stupněm spolehlivosti, mají méně závažné akce.
- 2 – Agresivní: Se zprávami, které jsou identifikovány jako phishing s vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.
- 3 – Agresivnější: Se zprávami, které jsou identifikovány jako phishing se středním nebo vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.
- 4 – Nejagresivnější: Se zprávami, které jsou identifikovány jako phishing s nízkým, středním nebo vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.
Při zvýšení tohoto nastavení se zvyšuje pravděpodobnost falešně pozitivních výsledků (dobré zprávy označené jako špatné). Informace o doporučených nastaveních najdete v tématu Nastavení zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.