Erkenntnisse zur Spoofintelligenz in EOP

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online-Postfächer werden eingehende E-Mail-Nachrichten automatisch vor Spoofing geschützt. EOP verwendet Spoofintelligenz als Teil der allgemeinen Verteidigung Ihrer Organisation gegen Phishing. Weitere Informationen finden Sie unter Anti-Spoofing-Schutz in EOP.

Wenn ein Absender eine E-Mail-Adresse spooft, sieht es so aus, als ob es sich um einen Benutzer in einer der Domänen Ihrer Organisation oder um einen Benutzer in einer externen Domäne handelt, der E-Mails an Ihre Organisation sendet. Angreifer, die Absender zum Senden von Spam- oder Phishing-E-Mails spoofen, müssen blockiert werden. Es gibt jedoch Szenarien, in denen legitime Absender Spoofing ausführen. Beispiel:

• Legitime Szenarien zum Spoofing interner Domänen:

  • Absender von Drittanbietern verwenden Ihre Domain, um Massenmails für Unternehmensumfragen an Ihre eigenen Mitarbeiter zu senden.
  • Ein externes Unternehmen generiert und sendet Werbung oder Produktupdates in Ihrem Auftrag.
  • Ein Assistent sendet regelmäßig E-Mails für eine andere Person in Ihrer Organisation.
  • Eine interne Anwendung sendet E-Mail-Benachrichtigungen.

• Legitime Szenarien zum Spoofing externer Domänen:

  • Der Absender befindet sich in einem Verteiler (auch Adressenliste), und der Verteiler leitet die E-Mail vom ursprünglichen Absender an alle Teilnehmer des Verteilers weiter.
  • Ein externes Unternehmen sendet E-Mails im Auftrag eines anderen Unternehmens (z. B. einen automatisierten Bericht oder ein Software-as-a-Service-Unternehmen).

Sie können die Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal verwenden, um spoofierte Absender schnell zu identifizieren, die Ihnen legitimerweise nicht authentifizierte E-Mails senden (Nachrichten von Domänen, die SPF-, DKIM- oder DMARC-Überprüfungen nicht bestehen) und diese Absender manuell zulassen.

Indem Sie es bekannten Absendern erlauben, gefälschte Nachrichten von bekannten Speicherorten zu senden, können Sie falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) reduzieren. Durch die Überwachung der zulässigen gefälschten Absender bieten Sie eine zusätzliche Sicherheitsebene, um zu verhindern, dass unsichere Nachrichten in Ihrer Organisation eintreffen.

Ebenso können Sie die Spoofintelligenz-Erkenntnis verwenden, um gefälschte Absender zu überprüfen, die durch Spoofintelligenz zugelassen wurden, und diese Absender manuell zu blockieren.

Im weiteren Verlauf dieses Artikels wird erläutert, wie Sie die Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal und in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online-Postfächer) verwenden.

Hinweis

• In den Erkenntnissen der Spoofintelligenz werden nur gefälschte Absender angezeigt, die von Spoofintelligenz erkannt wurden. Wenn Sie die Zulassungs- oder Blockierungsbewertung in der Erkenntnis außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Sperreintrag, der nur auf der Registerkarte Spoofed senders auf der Seite Zulassungs-/Sperrlisten für Mandanten unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt wird. Sie können auch zugelassene oder blockierte Einträge für gefälschte Absender erstellen, bevor diese von der Spoofintelligenz erkannt werden. Weitere Informationen finden Sie unter Spoofed senders in the Tenant Allow/Block List.For more information, see Spoofed senders in the Tenant Allow/Block List.

• Die AktionswerteZulassen oder Blockieren in der Spoofintelligenz-Erkenntnis beziehen sich auf die Spooferkennung (unabhängig davon, ob Microsoft 365 die Nachricht als gespooft identifiziert hat oder nicht). Der Aktionswert wirkt sich nicht unbedingt auf die allgemeine Filterung der Nachricht aus. Um beispielsweise falsch positive Ergebnisse zu vermeiden, kann eine gefälschte Nachricht zugestellt werden, wenn wir feststellen, dass sie keine böswillige Absicht hat.

• Die Spoofintelligenz-Erkenntnis und die Registerkarte Spoofed Senders in der Mandantenliste Zulassen/Blockieren ersetzen die Funktionalität der Spoofintelligenzrichtlinie, die auf der Seite antispamrichtlinien im Security & Compliance Center verfügbar war.

• Die Spoofintelligenz-Erkenntnis zeigt Daten im Wert von 7 Tagen an. Das Cmdlet Get-SpoofIntelligenceInsight zeigt Daten im Wert von 30 Tagen an.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Registerkarte Spoofed senders (Spoofed senders ) auf der Seite Zulassungs-/Sperrlisten für Mandanten zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Verwenden Sie , um direkt zur Seite Spoof intelligence insight (Erkenntnisse zur Spoofintelligenz ) https://security.microsoft.com/spoofintelligencezu wechseln.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR Unified Role Based Access Control (RBAC) (Wenn E-Mail & Zusammenarbeit>Defender für Office 365-Berechtigungenaktiv ist. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

  • Exchange Online-Berechtigungen:

    • Spoofed Sender zulassen oder blockieren oder Spoofintelligenz aktivieren oder deaktivieren: Mitgliedschaft in einer der folgenden Rollengruppen:
      • Organisationsverwaltung
      • SicherheitsadministratorundNur-Sicht-Konfiguration oder Ansichts-Organisationsverwaltung.
    • Schreibgeschützter Zugriff auf die Spoofintelligenz-Erkenntnis: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleseberechtigter" oder " Sichtgeschützter Organisationsverwaltung ".

  • Microsoft Entra-Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator^*", "Sicherheitsadministrator", " Globaler Leser" oder " Sicherheitsleseberechtigter " erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

    Wichtig

    ^* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

• Informationen zu unseren empfohlenen Einstellungen für Antiphishingrichtlinien finden Sie unter Einstellungen für EOP-Antiphishingrichtlinien.

• Sie aktivieren und deaktivieren Spoofintelligenz in Antiphishingrichtlinien in EOP und Microsoft Defender für Office 365. Spoofintelligenz ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP oder Konfigurieren von Antiphishingrichtlinien in Microsoft Defender für Office 365.

• Informationen zu den empfohlenen Einstellungen für Spoofintelligenz finden Sie unter Einstellungen für EOP-Antiphishingrichtlinien.

Suchen der Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal

1. Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comE-Mail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Mandanten-Zulassungs-/Sperrlisten im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Zulassungs-/Sperrlisten für Mandanten zu wechseln https://security.microsoft.com/tenantAllowBlockList.

2. Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.

3. Auf der Registerkarte Spoofed senders (Spoofed Senders ) sieht die Erkenntnis zur Spoofintelligenz wie folgt aus:

   

   Die Erkenntnis verfügt über zwei Modi:

   • Erkenntnismodus: Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis an, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden.
   • Was-wäre-wenn-Modus: Wenn Spoofintelligenz deaktiviert ist, zeigt die Erkenntnis, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden .

Um Informationen zu den Erkennungen von Spoofintelligenz anzuzeigen, wählen Sie In der Erkenntnisse zur Spoofintelligenz die Option Spoofingaktivität anzeigen aus, um zur Seite Spoof intelligence insight (Erkenntnisse über Spoofintelligenz ) zu wechseln.

Anzeigen von Informationen zu Spooferkennungen

Hinweis

Denken Sie daran, dass auf dieser Seite nur gefälschte Absender angezeigt werden, die von Spoofintelligenz erkannt wurden.

Die Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligence ist verfügbar, wenn Sie auf der Seite Zulassen/Blockieren von Mandanten auf der Registerkarte Spoofed senders (Spoofed senders) die Option Spoofingaktivität anzeigen aus der Spoofintelligenz-Erkenntnis auswählen.

Auf der Seite Erkenntnisse zur Spoofintelligenz können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

• Gefälschter Benutzer: Die Domäne des gefälschten Benutzers, die in E-Mail-Clients im Feld Von angezeigt wird. Die Von-Adresse wird auch als 5322.From Adresse bezeichnet.
• Senden der Infrastruktur: Wird auch als Infrastruktur bezeichnet. Die Sendeinfrastruktur weist einen der folgenden Werte auf:
  • Die Domäne in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers.
  • Wenn die Quell-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <Quell-IP-Adresse>/24 identifiziert (z. B. 192.168.100.100/24).
  • Eine überprüfte DKIM-Domäne
• Nachrichtenanzahl: Die Anzahl der Nachrichten aus der Kombination aus der gefälschten Domäne und der Sendeinfrastruktur an Ihre Organisation innerhalb der letzten sieben Tage.
• Zuletzt gesehen: Das letzte Datum, an dem eine Nachricht von der sendenden Infrastruktur empfangen wurde, die die gefälschte Domäne enthält.
• Spooftyp: Einer der folgenden Werte:
  • Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrer Organisation gehört (eine akzeptierte Domäne).
  • Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
• Aktion: Dieser Wert ist Zulässig oder Blockiert:
  • Zulässig: Bei der Domäne sind die expliziten E-Mail-Authentifizierungsprüfungen SPF, DKIM und DMARC fehlgeschlagen. Die Domäne hat jedoch unsere impliziten E-Mail-Authentifizierungsprüfungen bestanden (zusammengesetzte Authentifizierung). Daher wurde keine Antispoofingaktion für die Nachricht ausgeführt.
  • Blockiert: Nachrichten aus der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur werden von Spoofintelligenz als schlecht gekennzeichnet. Die Aktion, die für die gefälschten Nachrichten mit böswilliger Absicht ausgeführt wird, wird durch die voreingestellten Sicherheitsrichtlinien Standard oder Strict, die Standardmäßige Antiphishingrichtlinie oder benutzerdefinierte Antiphishingrichtlinien gesteuert. Weitere Informationen hierzu finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender für Office 365.

Wenn Sie die Liste der gefälschten Absender von normalem in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

• Spooftyp: Die verfügbaren Werte sind Intern und Extern.
• Aktion: Die verfügbaren Werte sind Allow (Zulassen) und Block (Blockieren).

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Verwenden Sie Export , um die Liste der Spooferkennungen in eine CSV-Datei zu exportieren.

Anzeigen von Details zu Spooferkennungen

Wenn Sie eine Spooferkennung aus der Liste auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

• Warum haben wir das fangen? Section: Warum wir diesen Absender als Spoof erkannt haben und was Sie tun können, um weitere Informationen zu erhalten.

• Abschnitt "Domänenzusammenfassung ": Enthält die gleichen Informationen von der Hauptseite für Spoofintelligenz-Erkenntnisse .

• Abschnitt "WhoIs-Daten ": Technische Informationen zur Domäne des Absenders.

• Explorer-Untersuchungsabschnitt : In der Defender für Office 365-Organisation enthält dieser Abschnitt einen Link zum Öffnen des Bedrohungs-Explorers , um zusätzliche Details zum Absender auf der Registerkarte Phish anzuzeigen.

• Abschnitt "Ähnliche E-Mails" : Enthält die folgenden Informationen zur Spooferkennung:

  • Date
  • Subject
  • Empfänger
  • Sender
  • Sender-IP

  Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen. Wenn Sie fertig sind, wählen Sie Übernehmen aus.

Tipp

Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Informationen zum Ändern der Spooferkennung von Zulassen in Blockieren oder umgekehrt finden Sie im nächsten Abschnitt.

Überschreiben des Spoofintelligenz-Urteils

Verwenden Sie auf der Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligenceeine der folgenden Methoden, um die Spoofintelligenzbewertung zu überschreiben:

• Wählen Sie einen oder mehrere Einträge aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren.

  1. Wählen Sie die aktion Massenaktionen aus, die angezeigt wird.
  2. Wählen Sie im daraufhin geöffneten Flyout Massenaktionendie Option Spoofing zulassen oder Spoofing blockieren aus, und wählen Sie dann Übernehmen aus.

• Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

  Wählen Sie im daraufhin geöffneten Details-Flyout Spoofing zulassen oder Spoofing blockieren am oberen Rand des Flyouts aus, und wählen Sie dann Übernehmen aus.

Zurück auf der Seite Spoof Intelligence Insight wird der Eintrag aus der Liste entfernt und der Registerkarte Spoofed senders (Spoofed senders ) auf der Seite Zulassungs-/Sperrlisten für Mandanten unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemhinzugefügt.

Informationen zu zulässigen gefälschten Absendern

Nachrichten von einem zulässigen spoofierten Absender (automatisch erkannt oder manuell konfiguriert) sind nur mit der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur zulässig. Beispielsweise kann der folgende gefälschte Absender spoofen:

• Domäne: gmail.com
• Infrastruktur: tms.mx.com

Nur E-Mails aus diesem Domänen-/Sendeinfrastrukturpaar dürfen spooft werden. Andere Absender, die versuchen, gmail.com zu spoofen, sind nicht automatisch zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden weiterhin durch Spoofintelligenz überprüft und werden möglicherweise blockiert.

Verwenden der Erkenntnisse zur Spoofintelligenz in Exchange Online PowerShell oder eigenständiger EOP PowerShell

In PowerShell verwenden Sie das Cmdlet Get-SpoofIntelligenceInsight , um zulässige und blockierte spoofierte Absender anzuzeigen , die von spoof intelligence erkannt wurden. Um die gefälschten Absender manuell zuzulassen oder zu blockieren, müssen Sie das Cmdlet New-TenantAllowBlockListSpoofItems verwenden. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Erstellen von Zulassungseinträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste und Verwenden von PowerShell zum Erstellen von Blockeinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste.

Führen Sie den folgenden Befehl aus, um die Informationen in der Erkenntnisse zur Spoofintelligenz anzuzeigen:

Get-SpoofIntelligenceInsight

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SpoofIntelligenceInsight.

Weitere Möglichkeiten zum Verwalten von Spoofing und Phishing

Achten Sie auf Spoofing und Phishingschutz. Hier finden Sie verwandte Möglichkeiten, um Absender zu überprüfen, die Ihre Domäne spoofen, und verhindern Sie, dass sie Ihre Organisation beschädigen:

• Überprüfen Sie den Spoof-E-Mail-Bericht. Verwenden Sie diesen Bericht häufig, um gefälschte Absender anzuzeigen und zu verwalten. Weitere Informationen finden Sie im Bericht spoof detections (Spooferkennungen).

• Überprüfen Sie Ihre SPF-, DKIM- und DMARC-Konfiguration. Weitere Informationen finden Sie in den folgenden Artikeln:

  • E-Mail-Authentifizierung in Microsoft 365
  • Einrichten von SPF zum Verhindern von Spoofing
  • Verwenden von DKIM zum Überprüfen ausgehender E-Mails, die von Ihrer benutzerdefinierten Domäne gesendet werden
  • Verwenden von DMARC zum Überprüfen von E-Mails
  • Konfigurieren vertrauenswürdiger ARC-Versiegelungen