Erkenntnisse zur Spoofintelligenz in EOP
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection EOP-Organisationen ohne Exchange Online Postfächer werden eingehende E-Mail-Nachrichten automatisch vor Spoofing geschützt. EOP verwendet Spoofintelligenz als Teil des allgemeinen Organization-Schutz vor Phishing. Weitere Informationen finden Sie unter Anti-Spoofing-Schutz in EOP.
Wenn ein Absender eine E-Mail-Adresse spooft, sieht es so aus, als ob es sich um einen Benutzer in einer der Domänen Ihrer Organisation oder um einen Benutzer in einer externen Domäne handelt, der E-Mails an Ihre Organisation sendet. Angreifer, die Absender zum Senden von Spam- oder Phishing-E-Mails spoofen, müssen blockiert werden. Es gibt jedoch Szenarien, in denen legitime Absender Spoofing ausführen. Beispiel:
Legitime Szenarien zum Spoofing interner Domänen:
- Absender von Drittanbietern verwenden Ihre Domain, um Massenmails für Unternehmensumfragen an Ihre eigenen Mitarbeiter zu senden.
- Ein externes Unternehmen generiert und sendet Werbung oder Produktupdates in Ihrem Auftrag.
- Ein Assistent sendet regelmäßig E-Mails für eine andere Person in Ihrer Organisation.
- Eine interne Anwendung sendet E-Mail-Benachrichtigungen.
Legitime Szenarien zum Spoofing externer Domänen:
- Der Absender befindet sich in einem Verteiler (auch Adressenliste), und der Verteiler leitet die E-Mail vom ursprünglichen Absender an alle Teilnehmer des Verteilers weiter.
- Ein externes Unternehmen sendet E-Mails im Auftrag eines anderen Unternehmens (z. B. einen automatisierten Bericht oder ein Software-as-a-Service-Unternehmen).
Sie können die Spoofintelligenz-Erkenntnisse im Microsoft Defender-Portal verwenden, um gefälschte Absender schnell zu identifizieren, die Ihnen legitimerweise nicht authentifizierte E-Mails senden (Nachrichten von Domänen, die SPF-, DKIM- oder DMARC-Überprüfungen nicht bestehen) und diese Absender manuell zulassen.
Indem Sie es bekannten Absendern erlauben, gefälschte Nachrichten von bekannten Speicherorten zu senden, können Sie falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) reduzieren. Durch die Überwachung der zulässigen gefälschten Absender bieten Sie eine zusätzliche Sicherheitsebene, um zu verhindern, dass unsichere Nachrichten in Ihrem organization eintreffen.
Ebenso können Sie die Spoofintelligenz-Erkenntnis verwenden, um gefälschte Absender zu überprüfen, die durch Spoofintelligenz zugelassen wurden, und diese Absender manuell zu blockieren.
Im weiteren Verlauf dieses Artikels wird erläutert, wie Sie die Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal und in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige eOP PowerShell für Organisationen ohne Exchange Online Postfächer).
Hinweis
In den Erkenntnissen der Spoofintelligenz werden nur gefälschte Absender angezeigt, die von Spoofintelligenz erkannt wurden. Wenn Sie die Zulassungs- oder Sperrbewertung in der Erkenntnis außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Blockeintrag, der nur auf der Registerkarte Spoofed senders auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt wird. Sie können auch zugelassene oder blockierte Einträge für gefälschte Absender erstellen, bevor diese von der Spoofintelligenz erkannt werden. Weitere Informationen finden Sie unter Spoofed senders in the Tenant Allow/Block List.For more information, see Spoofed senders in the Tenant Allow/Block List.
Die AktionswerteZulassen oder Blockieren in der Spoofintelligenz-Erkenntnis beziehen sich auf die Spooferkennung (unabhängig davon, ob Microsoft 365 die Nachricht als gespooft identifiziert hat oder nicht). Der Aktionswert wirkt sich nicht unbedingt auf die allgemeine Filterung der Nachricht aus. Um beispielsweise falsch positive Ergebnisse zu vermeiden, kann eine gefälschte Nachricht zugestellt werden, wenn wir feststellen, dass sie keine böswillige Absicht hat.
Die Spoofintelligenz-Erkenntnis und die Registerkarte Spoofed Senders in der Mandantenliste Zulassen/Blockieren ersetzen die Funktionalität der Spoofintelligenzrichtlinie, die auf der Seite antispamrichtlinien im Security & Compliance Center verfügbar war.
Die Spoofintelligenz-Erkenntnis zeigt Daten im Wert von 7 Tagen an. Das Cmdlet Get-SpoofIntelligenceInsight zeigt Daten im Wert von 30 Tagen an.
Was sollten Sie wissen, bevor Sie beginnen?
Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Registerkarte Gefälschte Absender auf der Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Verwenden Sie , um direkt zur Seite Spoof intelligence insight (Erkenntnisse zur Spoofintelligenz ) https://security.microsoft.com/spoofintelligencezu wechseln.
Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
Exchange Online Berechtigungen:
-
Spoofed Sender zulassen oder blockieren oder Spoofintelligenz aktivieren oder deaktivieren: Mitgliedschaft in einer der folgenden Rollengruppen:
- Organisationsverwaltung
- SicherheitsadministratorundNur-Sicht-Konfiguration oder Ansichts-Organisationsverwaltung.
- Schreibgeschützter Zugriff auf die Spoofintelligenz-Erkenntnis: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleseberechtigter" oder " Sichtgeschützter Organisationsverwaltung ".
-
Spoofed Sender zulassen oder blockieren oder Spoofintelligenz aktivieren oder deaktivieren: Mitgliedschaft in einer der folgenden Rollengruppen:
Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Informationen zu unseren empfohlenen Einstellungen für Antiphishingrichtlinien finden Sie unter Einstellungen für EOP-Antiphishingrichtlinien.
Sie aktivieren und deaktivieren Spoofintelligenz in Antiphishingrichtlinien in EOP und Microsoft Defender for Office 365. Spoofintelligenz ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP oder Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365.
Informationen zu den empfohlenen Einstellungen für Spoofintelligenz finden Sie unter Einstellungen für EOP-Antiphishingrichtlinien.
Suchen der Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Mandanten zulassen/blockieren Listen im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.
Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.
Auf der Registerkarte Spoofed senders (Spoofed Senders ) sieht die Erkenntnis zur Spoofintelligenz wie folgt aus:
Die Erkenntnis verfügt über zwei Modi:
- Erkenntnismodus: Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis an, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden.
- Was-wäre-wenn-Modus: Wenn Spoofintelligenz deaktiviert ist, zeigt die Erkenntnis, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden .
Um Informationen zu den Erkennungen von Spoofintelligenz anzuzeigen, wählen Sie In der Erkenntnisse zur Spoofintelligenz die Option Spoofingaktivität anzeigen aus, um zur Seite Spoof intelligence insight (Erkenntnisse über Spoofintelligenz ) zu wechseln.
Anzeigen von Informationen zu Spooferkennungen
Hinweis
Denken Sie daran, dass auf dieser Seite nur gefälschte Absender angezeigt werden, die von Spoofintelligenz erkannt wurden.
Die Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligence ist verfügbar, wenn Sie auf der Seite Mandanten zulassen/blockieren Listen auf der Registerkarte Spoofed senders (Spoofed senders) die Option Anzeigen der Spoofingaktivität aus der Spoofintelligenz-Erkenntnis auswählen.
Auf der Seite Erkenntnisse zur Spoofintelligenz können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:
-
Gefälschter Benutzer: Die Domäne des gefälschten Benutzers, die in E-Mail-Clients im Feld Von angezeigt wird. Die Von-Adresse wird auch als
5322.From
Adresse bezeichnet. -
Senden der Infrastruktur: Wird auch als Infrastruktur bezeichnet. Die Sendeinfrastruktur weist einen der folgenden Werte auf:
- Die Domäne in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers.
- Wenn die Quell-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <Quell-IP-Adresse>/24 identifiziert (z. B. 192.168.100.100/24).
- Eine überprüfte DKIM-Domäne
- Nachrichtenanzahl: Die Anzahl der Nachrichten aus der Kombination aus der gefälschten Domäne und der Sendeinfrastruktur an Ihre organization innerhalb der letzten sieben Tage.
- Zuletzt gesehen: Das letzte Datum, an dem eine Nachricht von der sendenden Infrastruktur empfangen wurde, die die gefälschte Domäne enthält.
-
Spooftyp: Einer der folgenden Werte:
- Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrem organization gehört (eine akzeptierte Domäne).
- Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
-
Aktion: Dieser Wert ist Zulässig oder Blockiert:
- Zulässig: Bei der Domäne sind die expliziten E-Mail-Authentifizierungsprüfungen SPF, DKIM und DMARC fehlgeschlagen. Die Domäne hat jedoch unsere impliziten E-Mail-Authentifizierungsprüfungen bestanden (zusammengesetzte Authentifizierung). Daher wurde keine Antispoofingaktion für die Nachricht ausgeführt.
- Blockiert: Nachrichten aus der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur werden von Spoofintelligenz als schlecht gekennzeichnet. Die Aktion, die für die gefälschten Nachrichten mit böswilliger Absicht ausgeführt wird, wird durch die voreingestellten Sicherheitsrichtlinien Standard oder Strict, die Standardmäßige Antiphishingrichtlinie oder benutzerdefinierte Antiphishingrichtlinien gesteuert. Weitere Informationen hierzu finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender für Office 365.
Wenn Sie die Liste der gefälschten Absender von normalem in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Spooftyp: Die verfügbaren Werte sind Intern und Extern.
- Aktion: Die verfügbaren Werte sind Allow (Zulassen) und Block (Blockieren).
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.
Verwenden Sie Export , um die Liste der Spooferkennungen in eine CSV-Datei zu exportieren.
Anzeigen von Details zu Spooferkennungen
Wenn Sie eine Spooferkennung aus der Liste auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:
Warum haben wir das fangen? Section: Warum wir diesen Absender als Spoof erkannt haben und was Sie tun können, um weitere Informationen zu erhalten.
Abschnitt "Domänenzusammenfassung": Enthält die gleichen Informationen auf der Standard Spoof Intelligence-Erkenntnisseite.
Abschnitt "WhoIs-Daten ": Technische Informationen zur Domäne des Absenders.
Explorer Untersuchungsabschnitt: In Defender for Office 365 organization enthält dieser Abschnitt einen Link zum Öffnen von Threat Explorer, um zusätzliche Details zum Absender auf der Registerkarte Phish anzuzeigen.
Abschnitt "Ähnliche E-Mails" : Enthält die folgenden Informationen zur Spooferkennung:
- Date
- Subject
- Empfänger
- Sender
- Sender-IP
Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen. Wenn Sie fertig sind, wählen Sie Übernehmen aus.
Tipp
Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Informationen zum Ändern der Spooferkennung von Zulassen in Blockieren oder umgekehrt finden Sie im nächsten Abschnitt.
Überschreiben des Spoofintelligenz-Urteils
Verwenden Sie auf der Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligenceeine der folgenden Methoden, um die Spoofintelligenzbewertung zu überschreiben:
Wählen Sie einen oder mehrere Einträge aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren.
- Wählen Sie die aktion Massenaktionen aus, die angezeigt wird.
- Wählen Sie im daraufhin geöffneten Flyout Massenaktionendie Option Spoofing zulassen oder Spoofing blockieren aus, und wählen Sie dann Übernehmen aus.
Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.
Wählen Sie im daraufhin geöffneten Details-Flyout Spoofing zulassen oder Spoofing blockieren am oberen Rand des Flyouts aus, und wählen Sie dann Übernehmen aus.
Zurück auf der Seite "Erkenntnisse zur Spoofintelligenz" wird der Eintrag aus der Liste entfernt und der Registerkarte Spoofierte Absender auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemhinzugefügt.
Informationen zu zulässigen gefälschten Absendern
Nachrichten von einem zulässigen spoofierten Absender (automatisch erkannt oder manuell konfiguriert) sind nur mit der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur zulässig. Beispielsweise kann der folgende gefälschte Absender spoofen:
- Domäne: gmail.com
- Infrastruktur: tms.mx.com
Nur E-Mails aus diesem Domänen-/Sendeinfrastrukturpaar dürfen spooft werden. Andere Absender, die versuchen, gmail.com zu spoofen, sind nicht automatisch zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden weiterhin durch Spoofintelligenz überprüft und werden möglicherweise blockiert.
Verwenden der Erkenntnisse zur Spoofintelligenz in Exchange Online PowerShell oder eigenständiger EOP PowerShell
In PowerShell verwenden Sie das Cmdlet Get-SpoofIntelligenceInsight , um zulässige und blockierte spoofierte Absender anzuzeigen , die von spoof intelligence erkannt wurden. Um die gefälschten Absender manuell zuzulassen oder zu blockieren, müssen Sie das Cmdlet New-TenantAllowBlockListSpoofItems verwenden. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Erstellen von Zulassungseinträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste und Verwenden von PowerShell zum Erstellen von Blockeinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste.
Führen Sie den folgenden Befehl aus, um die Informationen in der Erkenntnisse zur Spoofintelligenz anzuzeigen:
Get-SpoofIntelligenceInsight
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SpoofIntelligenceInsight.
Weitere Möglichkeiten zum Verwalten von Spoofing und Phishing
Achten Sie auf Spoofing und Phishingschutz. Hier finden Sie verwandte Möglichkeiten, um Absender zu überprüfen, die Ihre Domäne spoofen, und verhindern Sie, dass sie Ihre organization:
Überprüfen Sie den Spoof-E-Mail-Bericht. Verwenden Sie diesen Bericht häufig, um gefälschte Absender anzuzeigen und zu verwalten. Weitere Informationen finden Sie im Bericht spoof detections (Spooferkennungen).
Überprüfen Sie Ihre SPF-, DKIM- und DMARC-Konfiguration. Weitere Informationen finden Sie in den folgenden Artikeln: