Sdílet prostřednictvím


Zásady ochrany proti útokům phishing v Microsoftu 365

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Zásady konfigurace nastavení ochrany proti útokům phishing jsou dostupné v organizacích Microsoft 365, které mají Exchange Online poštovní schránky, samostatné organizace Exchange Online Protection (EOP) bez Exchange Online poštovních schránek a Microsoft Defender pro Office 365 organizací.

Příklady Microsoft Defender pro Office 365 organizací:

Tip

Jako doplněk k tomuto článku si projděte našeho průvodce nastavením analyzátoru zabezpečení , kde si projděte osvědčené postupy a naučte se posílit ochranu, zlepšit dodržování předpisů a s důvěrou se pohybovat v oblasti kybernetické bezpečnosti. Pokud chcete mít přizpůsobené prostředí založené na vašem prostředí, můžete získat přístup k průvodci automatizovaným nastavením analyzátoru zabezpečení v Centrum pro správu Microsoftu 365.

Základní rozdíly mezi zásadami ochrany před útoky phishing v EOP a zásadami ochrany proti útokům phishing v Defender pro Office 365 jsou popsány v následující tabulce:

Funkce Zásady proti útokům phishing
v EOP
Zásady proti útokům phishing
v Defender pro Office 365
Automaticky vytvořené výchozí zásady
Vytvoření vlastních zásad
Běžná nastavení zásad*
Nastavení falšování identity
Bezpečnostní tip pro první kontakt
Nastavení zosobnění
Pokročilé prahové hodnoty útoků phishing

* Ve výchozích zásadách jsou název a popis zásady jen pro čtení (popis je prázdný) a nemůžete určit, na koho se zásada vztahuje (výchozí zásada platí pro všechny příjemce).

Informace o konfiguraci zásad ochrany proti útokům phishing najdete v následujících článcích:

Zbývající část tohoto článku popisuje nastavení, která jsou k dispozici v zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365.

Tip

Jako doplněk k tomuto článku doporučujeme při přihlášení k Centrum pro správu Microsoftu 365 použít průvodce Microsoft Defender for Endpoint automatizovaným nastavením. Tato příručka přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte do průvodce nastavením Microsoftu 365.

Běžná nastavení zásad

Následující nastavení zásad jsou k dispozici v zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365:

  • Název: Výchozí zásady ochrany proti útokům phishing nemůžete přejmenovat. Po vytvoření vlastní zásady ochrany proti útokům phishing nemůžete zásadu na portálu Microsoft Defender přejmenovat.

  • Popis K výchozím zásadám ochrany proti útokům phishing nemůžete přidat popis, ale můžete přidat a změnit popis vlastních zásad, které vytvoříte.

  • Uživatelé, skupiny a domény a Vyloučit tyto uživatele, skupiny a domény: Filtry příjemců identifikují interní příjemce, na které se zásady vztahují. Ve vlastních zásadách se vyžaduje alespoň jedna podmínka. Podmínky a výjimky nejsou dostupné ve výchozích zásadách (výchozí zásada platí pro všechny příjemce). Pro podmínky a výjimky můžete použít následující filtry příjemců:

    • Uživatelé: Jedna nebo více poštovních schránek, uživatelů pošty nebo poštovních kontaktů v organizaci.
    • Skupiny:
      • Členové zadaných distribučních skupin nebo skupin zabezpečení s podporou pošty (dynamické distribuční skupiny se nepodporují).
      • Zadaný Skupiny Microsoft 365.
    • Domény: Jedna nebo více nakonfigurovaných přijatých domén v Microsoftu 365. Primární e-mailová adresa příjemce je v zadané doméně.

    Podmínku nebo výjimku můžete použít jenom jednou, ale podmínka nebo výjimka může obsahovat více hodnot:

    • Logiku NEBO používá více hodnotstejné podmínky nebo výjimky (například <příjemce1> nebo <příjemce2>):

      • Podmínky: Pokud příjemce odpovídá některé ze zadaných hodnot, použijí se na ně zásady.
      • Výjimky: Pokud příjemce odpovídá některé ze zadaných hodnot, zásada se na ně nepoužije.
    • Různé typy výjimek používají logiku NEBO (například <příjemce1> nebo <člen skupiny1> nebo <člen domény1>). Pokud příjemce odpovídá některé ze zadaných hodnot výjimek, zásada se na ně nepoužije.

    • Logiku AND používají různé typy podmínek . Příjemce musí splňovat všechny zadané podmínky, aby se na ně zásady vztahovaly. Například nakonfigurujete podmínku s následujícími hodnotami:

      • Uživatelé: romain@contoso.com
      • Skupiny: Vedení

      Tato zásada se vztahuje pouze na romain@contoso.com to, že je zároveň členem skupiny vedoucích pracovníků. Jinak se na něj zásady nevztahují.

    Tip

    K identifikaci příjemců zpráv, na které se zásady vztahují, je potřeba vybrat alespoň jeden výběr v nastavení Uživatelé, skupiny a domény ve vlastních zásadách ochrany proti útokům phishing. Zásady ochrany proti útokům phishing v Defender pro Office 365 mají také nastavení zosobnění, ve kterém můžete zadat e-mailové adresy odesílatele nebo domény odesílatele, které obdrží ochranu před zosobněním, jak je popsáno dále v tomto článku.

Nastavení falšování identity

Falšování identity nastane, když adresa odesílatele v e-mailové zprávě (adresa odesílatele zobrazená v e-mailových klientech) neodpovídá doméně zdroje e-mailu. Další informace o falšování identity najdete v tématu Ochrana proti falšování identity v Microsoftu 365.

V zásadách ochrany proti útokům phishing v EOP a Defender pro Office 365 jsou k dispozici následující nastavení falšování:

  • Povolit falšování informací: Zapne nebo vypne informace o falšování. Doporučujeme nechat ho zapnuté.

    Když je povolená funkce falšování, zobrazí se v přehledu zfalšovaných odesílatelů zfalšovaní odesílatelé, kteří byli automaticky zjištěni a povoleni nebo zablokováni informacemi o falšování identity. Verdikt falšování informací můžete ručně přepsat a povolit nebo zablokovat zjištěné zfalšované odesílatele v přehledu. Když to ale uděláte, zfalšovaný odesílatel zmizí z přehledu zfalšovaných informací a bude viditelný jenom na kartě Zfalšovaní odesílatelé na stránce Povolit nebo blokovat Seznamy tenanta na adrese https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Nebo můžete ručně vytvořit položky povolení nebo blokování pro zfalšované odesílatele v seznamu povolených nebo blokovaných uživatelů tenanta, a to i v případě, že je nerozpoznal přehled falšování identity. Další informace najdete v následujících článcích:

    Poznámka

    • Ochrana před falšováním identity je povolená v přednastavených zásadách zabezpečení Standard a Strict a ve výchozím nastavení je povolená ve výchozích zásadách ochrany proti útokům phishing a v nových vlastních zásadách ochrany proti útokům phishing, které vytvoříte.
    • Pokud váš záznam MX neodkazuje na Microsoft 365, nemusíte zakazovat ochranu proti falšování identity. Místo toho povolíte rozšířené filtrování pro konektory. Pokyny najdete v tématu Rozšířené filtrování konektorů v Exchange Online.
    • Zakázání ochrany proti falšování identity zakáže jenom implicitní ochranu před falšováním identity při kontrolách složeného ověřování . Informace o tom, jak jsou explicitní kontroly DMARC ovlivněné ochranou proti falšování identity a konfigurací zásad DMARC zdrojové domény (p=quarantine nebo p=reject v záznamu TXT DMARC), najdete v části Zásady DMARC ochrany před falšováním a odesílatelů.
  • Indikátory neověřeného odesílatele: K dispozici v části Bezpečnostní tipy & indikátory , jenom když je zapnutá funkce falšování identity. Podrobnosti najdete v další části.

  • Akce: Pro zprávy od blokovaných falšovaných odesílatelů (automaticky blokované falšovanými informacemi o falšování (selhání složeného ověřování a škodlivý záměr) nebo ručně blokované v seznamu povolených nebo blokovaných uživatelů tenanta) můžete také určit akci, která se má u zpráv provést:

Ochrana před falšováním a zásady DMARC odesílatele

V zásadách ochrany proti útokům phishing můžete řídit, jestli p=quarantine se v zásadách DMARC odesílatele dodržují hodnoty nebo p=reject . Pokud zpráva selže v kontrolách DMARC, můžete v p=quarantinep=reject zásadách DMARC odesílatele zadat samostatné akce. Jedná se o následující nastavení:

  • Respektovat zásadu záznamu DMARC, když se zpráva zjistí jako falšování: Toto nastavení zapne zásadu DMARC odesílatele při selhání explicitního ověřování e-mailu. Při výběru tohoto nastavení jsou k dispozici následující nastavení:

    • Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=quarantine: Dostupné akce jsou:
      • Umístit zprávu do karantény
      • Přesunutí zprávy do složek nevyžádaných Email příjemců
    • Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=reject: Dostupné akce jsou:
      • Umístit zprávu do karantény
      • Odmítnout zprávu

    Pokud jako akci vyberete Umístit zprávu do karantény , použije se zásada karantény, která je vybraná pro ochranu před falšováním informací.

Nastavení DMARC v zásadách ochrany proti útokům phishing.

Vztah mezi informacemi o falšování identity a dodržováním zásad DMARC odesílatele je popsaný v následující tabulce:

  Zásady DMARC je zapnuté Vypnuté zásady DMARC
Zapnuto falšování inteligentních informací Samostatné akce pro selhání implicitního a explicitního ověřování e-mailů:
  • Implicitní selhání: Použijte v zásadách ochrany proti útokům phishing příkaz Pokud je zpráva zjištěna jako falšování .
  • Explicitní selhání:
    • Zásady p=quarantineDMARC: Použijte v zásadách ochrany proti útokům phishing zásadu Pokud se zpráva zjistí jako falšování a zásada DMARC se nastaví jako p=quarantine .
    • Zásady p=rejectDMARC: Použijte v zásadách ochrany proti útokům phishing akci Pokud se zpráva zjistí jako falšování a zásada DMARC se nastaví jako p=reject .
    • Zásady p=noneDMARC: Microsoft 365 neuplatní žádnou akci, ale ostatní funkce ochrany v zásobníku filtrování stále dokážou se zprávou pracovat.
Akce falšování informací o falšování zprávy v zásadách ochrany proti útokům phishing se používá pro implicitní i explicitní selhání ověřování e-mailů. Explicitní selhání ověřování e-mailů ignorují p=quarantine, p=reject, p=nonenebo jiné hodnoty v zásadách DMARC.
Inteligentní funkce falšování je vypnutá. Implicitní kontroly ověřování e-mailů se nepoužívají.

Selhání explicitního ověřování e-mailu:
  • Zásady p=quarantineDMARC: Použijte v zásadách ochrany proti útokům phishing zásadu Pokud se zpráva zjistí jako falšování a zásada DMARC se nastaví jako p=quarantine .
  • Zásady p=rejectDMARC: Použijte v zásadách ochrany proti útokům phishing akci Pokud se zpráva zjistí jako falšování a zásada DMARC se nastaví jako p=reject .
  • Zásady p=noneDMARC: Microsoft 365 zprávu neidentifikuje jako falšování identity, ale ostatní funkce ochrany v zásobníku filtrování se zprávou stále můžou reagovat.
Implicitní kontroly ověřování e-mailů se nepoužívají.

Selhání explicitního ověřování e-mailu:
  • Zásady p=quarantineDMARC: Zprávy jsou v karanténě.
  • Zásady p=rejectDMARC: Zprávy jsou v karanténě.
  • Zásady p=noneDMARC: Microsoft 365 neuplatní žádnou akci, ale ostatní funkce ochrany v zásobníku filtrování stále dokážou se zprávou pracovat.

Poznámka

Pokud záznam MX pro doménu Microsoft 365 odkazuje na službu nebo zařízení třetí strany, které se nachází před Microsoft 365, nastavení zásad Honor DMARC se použije jenom v případě, že je pro konektor, který přijímá příchozí zprávy, povolené rozšířené filtrování konektorů .

Zákazníci můžou přepsat nastavení zásad Honor DMARC pro konkrétní e-mailové zprávy nebo odesílatele pomocí následujících metod:

  • Správci nebo uživatelé můžou přidávat odesílatele do seznamu bezpečných odesílatelů v poštovní schránce uživatele.
  • Správci můžou pomocí přehledu informací o falšování identity nebo seznamu povolených/blokovaných tenantů povolit zprávy od zfalšovaného odesílatele.
  • Správci vytvoří pravidlo toku pošty Exchange (označované také jako pravidlo přenosu) pro všechny uživatele, které povoluje zprávy pro tyto konkrétní odesílatele.
  • Správci vytvoří pravidlo toku pošty Exchange pro všechny uživatele pro odmítnuté e-maily, které selže v zásadách DMARC organizace.

Indikátory neověřeného odesílatele

Neověřené indikátory odesílatelů jsou součástí nastavení falšování, která jsou k dispozici v části Bezpečnostní tipy & indikátory v zásadách ochrany proti útokům phishing v EOP i Defender pro Office 365. Následující nastavení jsou dostupná jenom v případech, kdy je zapnutá funkce falšování identity:

  • Zobrazit (?) pro neověřené odesílatele pro falšování: Přidá otazník k fotce odesílatele v poli Od, pokud zpráva neprojde kontrolami SPF nebo DKIM a zpráva neprojde ověřováním DMARC nebo složeným ověřováním. Když je toto nastavení vypnuté, otazník se nepřidá na fotku odesílatele.

  • Zobrazit značku "via": Přidá značku "via" (chris@contoso.comvia fabrikam.com) do pole Od, pokud se doména v adrese Odesílatele (odesílatel zprávy zobrazená v e-mailových klientech) liší od domény v podpisu DKIM nebo na adrese MAIL FROM . Další informace o těchto adresách najdete v tématu Přehled standardů e-mailových zpráv.

Pokud chcete zabránit přidání otazníku nebo značky via do zpráv od konkrétních odesílatelů, máte následující možnosti:

  • Povolte zfalšovaného odesílatele v přehledu informací o falšování identity nebo ručně v seznamu povolených/blokovaných klientů. Povolení zfalšovaného odesílatele zabrání tomu, aby se značka "via" zobrazovala ve zprávách od odesílatele, a to i v případě, že je v zásadách zapnuté nastavení Zobrazit značku "via" .
  • Nakonfigurujte ověřování e-mailů pro doménu odesílatele.
    • Pro otazník na fotce odesílatele je nejdůležitější SPF nebo DKIM.
    • U značky "via" ověřte, že doména v podpisu DKIM nebo adresa MAIL FROM odpovídá doméně v adrese Od (nebo je to subdoména).

Další informace najdete v tématu Identifikace podezřelých zpráv v Outlook.com a Outlook na webu

Bezpečnostní tip pro první kontakt

Nastavení Zobrazit bezpečnostní tip pro první kontakt je dostupné v EOP a Defender pro Office 365 organizacích a není závislé na nastavení ochrany před falšováním identity nebo zosobněním. Bezpečnostní tip se zobrazí příjemcům v následujících scénářích:

  • Při prvním doručení zprávy od odesílatele
  • Často nedostanou zprávy od odesílatele.

Tato funkce přidává další vrstvu ochrany před potenciálními útoky zosobnění, takže doporučujeme ji zapnout.

První bezpečnostní tip kontaktu je řízen hodnotou 9,25 SFTY pole v záhlaví zprávy X-Forefront-Antispam-Report . Tato funkce nahrazuje potřebu vytvářet pravidla toku pošty (označovaná také jako pravidla přenosu), která přidávají hlavičku s názvem X-MS-Exchange-EnableFirstContactSafetyTip s hodnotou Enable pro zprávy, i když tato funkce je stále dostupná.

V závislosti na počtu příjemců ve zprávě může být první bezpečnostní tip pro první kontakt některou z následujících hodnot:

  • Jeden příjemce:

    Z e-mailové adresy> často nedostanou e-maily<.

    The First contact safety tip for messages with one recipient

  • Více příjemců:

    Někteří lidé, kteří dostali tuto zprávu, často nedostanou e-maily z <e-mailové adresy>.

    Bezpečnostní tip pro první kontakt pro zprávy s více příjemci

Poznámka

Pokud má zpráva více příjemců, zda se tip zobrazuje a komu je založen na většinovém modelu. Pokud většina příjemců nikdy nebo často nedostává zprávy od odesílatele, dostanou ovlivnění příjemci tip Někteří lidé, kteří dostali tuto zprávu ... Pokud se obáváte, že toto chování vystavuje komunikační návyky jednoho příjemce jinému, neměli byste povolit bezpečnostní tip prvního kontaktu a nadále používat pravidla toku pošty a hlavičku X-MS-Exchange-EnableFirstContactSafetyTip .

První bezpečnostní tip kontaktu není ve zprávách podepsaných pomocí S/MIME.

Výhradní nastavení v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365

Tato část popisuje nastavení zásad, která jsou dostupná pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365.

Poznámka

Výchozí zásady ochrany proti útokům phishing v Defender pro Office 365 poskytují ochranu před falšováním a inteligentní funkce poštovní schránky pro všechny příjemce. Ostatní dostupné funkce ochrany před zosobněním a upřesňující nastavení ale nejsou ve výchozích zásadách nakonfigurované ani povolené. Pokud chcete povolit všechny funkce ochrany, upravte výchozí zásady ochrany proti útokům phishing nebo vytvořte další zásady ochrany proti útokům phishing.

Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365

Zosobnění je místo, kde odesílatel nebo e-mailová doména odesílatele ve zprávě vypadá podobně jako skutečný odesílatel nebo doména:

  • Příklad zosobnění contoso.com domény je ćóntoso.com.
  • Zosobnění uživatele je kombinace zobrazovaného jména a e-mailové adresy uživatele. Například Valeria Barrios (vbarrios@contoso.com) se může vydávat za Valerii Barriosovou, ale s jinou e-mailovou adresou.

Poznámka

Ochrana před zosobněním hledá podobné domény. Pokud je například vaše doména contoso.com, zkontrolujeme různé domény nejvyšší úrovně (.com, .biz atd.), ale také domény, které jsou si dokonce poněkud podobné. Například contosososo.com nebo contoabcdef.com se můžou považovat za pokusy o zosobnění contoso.com.

Zosobněná doména by jinak mohla být považována za legitimní (doména je zaregistrovaná, nakonfigurované záznamy DNS ověřování e-mailů atd.), s výjimkou toho, že cílem domény je oklamat příjemce.

Nastavení zosobnění popsané v následujících částech jsou k dispozici pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365.

Tip

Podrobnosti o zjištěných pokusech o zosobnění najdete v přehledu zosobnění. Další informace najdete v tématu Přehled zosobnění v Defender pro Office 365.

Ochrana před zosobněním uživatele

Ochrana před zosobněním uživatelů zabraňuje zosobnění konkrétních interních nebo externích e-mailových adres jako odesílatelů zpráv. Například dostanete e-mailovou zprávu od viceprezidenta vaší společnosti s žádostí, abyste jí poslali interní informace o společnosti. Udělala bys to? Mnoho lidí by poslalo odpověď bez rozmýšlení.

Chráněné uživatele můžete použít k přidání interních a externích e-mailových adres odesílatele, aby se chránily před zosobněním. Tento seznam odesílatelů, kteří jsou chráněni před zosobněním uživatele, se liší od seznamu příjemců , na který se zásady vztahují (všichni příjemci pro výchozí zásadu; konkrétní příjemci nakonfigurovaní v nastavení Uživatelé, skupiny a domény v části Běžná nastavení zásad ).

Poznámka

Pro ochranu před zosobněním uživatelů můžete v každé zásadě ochrany proti útokům phishing zadat maximálně 350 uživatelů.

Ochrana před zosobněním uživatele nefunguje, pokud odesílatel a příjemce dříve komunikovali e-mailem. Pokud odesílatel a příjemce nikdy nekomunikovali e-mailem, lze zprávu identifikovat jako pokus o zosobnění.

Pokud se pokusíte přidat uživatele do ochrany před zosobněním uživatele, může se vám zobrazit chyba "E-mailová adresa už existuje", když je tato e-mailová adresa už určená pro ochranu před zosobněním uživatele v jiné zásadě ochrany proti útokům phishing. K této chybě dochází jenom na portálu Defender. Pokud použijete odpovídající parametr TargetedUsersToProtect v rutinách New-AntiPhishPolicy nebo Set-AntiPhishPolicy v Exchange Online PowerShellu, chyba se nezobrazí.

Ve výchozím nastavení nejsou pro ochranu před zosobněním nakonfigurované žádné e-mailové adresy odesílatele, a to buď ve výchozích zásadách, nebo ve vlastních zásadách.

Když do seznamu Uživatelé k ochraně přidáte interní nebo externí e-mailové adresy, budou zprávy od těchto odesílatelů podléhat kontrolám ochrany před zosobněním. Zpráva se zkontroluje zosobnění, pokud je zpráva odeslána příjemci , na kterého se zásady vztahují (všichni příjemci výchozí zásady; Uživatelé, skupiny a příjemci domén ve vlastních zásadách). Pokud se v e-mailové adrese odesílatele zjistí zosobnění, použije se na zprávu akce pro zosobněné uživatele.

Pro zjištěné pokusy o zosobnění uživatele jsou k dispozici následující akce:

Ochrana před zosobněním domény

Ochrana před zosobněním domény zabraňuje zosobnění konkrétních domén v e-mailové adrese odesílatele . Například všechny domény, které vlastníte (akceptované domény), nebo konkrétní vlastní domény (domény, které vlastníte nebo domény partnera). Domény odesílatelů , které jsou chráněné před zosobněním, se liší od seznamu příjemců , na který se zásady vztahují (všichni příjemci výchozí zásady; konkrétní příjemci podle konfigurace v nastavení Uživatelé, skupiny a domény v části Běžná nastavení zásad ).

Poznámka

Pro ochranu před zosobněním domény můžete v každé zásadě ochrany proti útokům phishing zadat maximálně 50 vlastních domén.

Zprávy od odesílatelů v zadaných doménách podléhají kontrolám ochrany před zosobněním. Zpráva se zkontroluje zosobnění, pokud je zpráva odeslána příjemci , na kterého se zásady vztahují (všichni příjemci výchozí zásady; Uživatelé, skupiny a příjemci domén ve vlastních zásadách). Pokud se v doméně e-mailové adresy odesílatele zjistí zosobnění, použije se u zprávy akce zosobnění domény.

Ve výchozím nastavení nejsou pro ochranu před zosobněním nakonfigurované žádné domény odesílatele, a to ani ve výchozích zásadách, ani ve vlastních zásadách.

Pro zjištěné pokusy o zosobnění domény jsou k dispozici následující akce:

Ochrana před zosobněním inteligentních poštovních schránek

Inteligentní funkce poštovních schránek používá umělou inteligenci (AI) k určení vzorů e-mailů uživatelů s jejich častými kontakty.

Například Gabriela Laureano (glaureano@contoso.com) je generální ředitelkou vaší společnosti, takže ji přidáte jako chráněného odesílatele v nastavení Povolit uživatelům ochranu zásad. Někteří příjemci v zásadách ale pravidelně komunikují s dodavatelem, který se také jmenuje Gabriela Laureano (glaureano@fabrikam.com). Vzhledem k tomu, že tito příjemci mají historii komunikace s glaureano@fabrikam.comnástrojem , neidentifikuje inteligentní funkce poštovní schránky zprávy od glaureano@fabrikam.com těchto příjemců jako pokus o glaureano@contoso.com zosobnění.

Poznámka

Ochrana inteligentních funkcí poštovní schránky nefunguje, pokud odesílatel a příjemce dříve komunikovali prostřednictvím e-mailu. Pokud odesílatel a příjemce nikdy nekomunikovali prostřednictvím e-mailu, může být zpráva identifikována jako pokus o zosobnění pomocí funkce inteligentní poštovní schránky.

Inteligentní funkce poštovní schránky mají dvě specifická nastavení:

  • Povolit inteligentní funkce poštovní schránky: Zapněte nebo vypněte inteligentní funkce poštovní schránky. Toto nastavení pomáhá umělé inteligenci rozlišovat mezi zprávami od legitimních a zosobněných odesílatelů. Ve výchozím nastavení je toto nastavení zapnuté.
  • Povolit inteligentní funkce pro ochranu před zosobněním: Ve výchozím nastavení je toto nastavení vypnuté. Pomocí historie kontaktů získaných z inteligentních funkcí poštovní schránky (časté kontakty i žádné kontakty) můžete uživatele chránit před útoky zosobnění. Aby inteligentní funkce poštovní schránky mohly provádět akce s rozpoznanými zprávami, musí být zapnuté toto nastavení i nastavení Povolit inteligentní funkce poštovní schránky .

V případě pokusů o zosobnění zjištěných inteligentními funkcemi poštovní schránky jsou k dispozici následující akce:

  • Nepoužívejte žádnou akci: Toto je výchozí hodnota. Tato akce má stejný výsledek, jako když je zapnutá možnost Povolit inteligentní funkce poštovní schránky , ale možnost Povolit ochranu před zosobněním inteligentních funkcí je vypnutá.
  • Přesměrování zprávy na jiné e-mailové adresy
  • Přesunutí zprávy do složek nevyžádaných Email příjemců
  • Umístit zprávu do karantény: Pokud vyberete tuto akci, můžete také vybrat zásadu karantény, která se vztahuje na zprávy, které jsou v karanténě pomocí ochrany inteligentních zpráv poštovní schránky. Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.
  • Doručení zprávy a přidání dalších adres na řádek Skrytá
  • Odstranit zprávu před doručením

Bezpečnostní tipy pro zosobnění

Když jsou zprávy identifikovány jako pokusy o zosobnění, zobrazí se uživatelům tipy pro zabezpečení zosobnění. K dispozici jsou následující bezpečnostní tipy:

  • Zobrazit bezpečnostní tip pro zosobnění uživatele: Adresa Odesílatele obsahuje uživatele zadaného v ochraně před zosobněním uživatele. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit ochranu uživatelům .

    Tento bezpečnostní tip je řízen hodnotou 9,20 SFTY pole v záhlaví X-Forefront-Antispam-Report zprávy. V textu je uvedeno:

    Tento odesílatel se zdá být podobný někomu, kdo vám poslal e-mail, ale nemusí to být tato osoba.

  • Zobrazit bezpečnostní tip pro zosobnění domény: Adresa Odesílatele obsahuje doménu zadanou v ochraně před zosobněním domény. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit domény k ochraně .

    Tento bezpečnostní tip je řízen hodnotou 9,19 SFTY pole v záhlaví X-Forefront-Antispam-Report zprávy. V textu je uvedeno:

    Tento odesílatel může zosobňující doménu přidruženou k vaší organizaci.

  • Bezpečnostní tip Pro zobrazení neobvyklých znaků zosobnění uživatele: Adresa Odesílatele obsahuje neobvyklé znakové sady (například matematické symboly a text nebo kombinaci velkých a malých písmen) u odesílatele zadaného v ochraně před zosobněním uživatele. K dispozici pouze v případě, že je zapnutá a nakonfigurovaná možnost Povolit ochranu uživatelům . V textu je uvedeno:

    E-mailová adresa <email address> obsahuje neočekávaná písmena nebo čísla. Doporučujeme, abyste s touto zprávou neinteragovali.

Poznámka

Bezpečnostní tipy nejsou orazítkovány v následujících zprávách:

  • Zprávy podepsané S/MIME.
  • Zprávy, které jsou povolené v nastavení vaší organizace.

Důvěryhodní odesílatelé a domény

Důvěryhodní odesílatelé a doména jsou výjimky z nastavení ochrany před zosobněním. Zprávy od zadaných odesílatelů a domén odesílatelů nejsou nikdy klasifikovány jako útoky založené na zosobnění podle zásad. Jinými slovy, akce u chráněných odesílatelů, chráněných domén nebo ochrany inteligentních poštovních schránek se u těchto důvěryhodných odesílatelů nebo domén odesílatelů nepoužije. Maximální limit pro tyto seznamy je 1024 položek.

Poznámka

Položky důvěryhodné domény nezahrnují subdomény zadané domény. Musíte přidat položku pro každou subdoménu.

Pokud jsou systémové zprávy Microsoftu 365 od následujících odesílatelů identifikovány jako pokusy o zosobnění, můžete je přidat do seznamu důvěryhodných odesílatelů:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Pokročilé prahové hodnoty útoků phishing v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365

Následující pokročilé prahové hodnoty útoků phishing jsou k dispozici pouze v zásadách ochrany proti útokům phishing v Defender pro Office 365. Tyto prahové hodnoty řídí citlivost při použití modelů strojového učení na zprávy k určení verdiktu útoku phishing:

  • 1 – Standardní: Toto je výchozí hodnota. Závažnost akce, která se se zprávou provede, závisí na stupni spolehlivosti, že se jedná o zprávu typu phishing (nízká, střední, vysoká nebo velmi vysoká). Například u zpráv, které jsou identifikovány jako phishing s velmi vysokou mírou spolehlivosti, se používají nejzávažnější akce, zatímco zprávy, které jsou identifikovány jako phishing s nízkým stupněm spolehlivosti, mají méně závažné akce.
  • 2 – Agresivní: Se zprávami, které jsou identifikovány jako phishing s vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.
  • 3 – Agresivnější: Se zprávami, které jsou identifikovány jako phishing se středním nebo vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.
  • 4 – Nejagresivnější: Se zprávami, které jsou identifikovány jako phishing s nízkým, středním nebo vysokým stupněm spolehlivosti, se zachází, jako by byly identifikovány s velmi vysokou mírou spolehlivosti.

Při zvýšení tohoto nastavení se zvyšuje pravděpodobnost falešně pozitivních výsledků (dobré zprávy označené jako špatné). Informace o doporučených nastaveních najdete v tématu Nastavení zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.