Hamisítás elleni védelem az EOP-ban
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A microsoftos 365-ös szervezeteknél, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben találhatók, és nem rendelkeznek Exchange Online postaládákkal, az EOP olyan szolgáltatásokat tartalmaz, amelyek segítenek megvédeni a szervezetet a hamisított (hamis) feladóktól.
Ha a felhasználók védelméről van szó, a Microsoft komolyan veszi az adathalászat veszélyét. A hamisítás gyakori módszer, amelyet a támadók használnak. Úgy tűnik, hogy a hamisított üzenetek a tényleges forrástól vagy máshonnan származnak. Ezt a technikát gyakran használják adathalász kampányokban, amelyek célja a felhasználói hitelesítő adatok lekérése. Az EOP hamisítás elleni technológiája kifejezetten a Feladó fejléc hamisítását vizsgálja az üzenet törzsében, mivel ez a fejlécérték az e-mail ügyfelekben megjelenő üzenetküldő. Ha az EOP megbízhatónak találja, hogy a Feladó fejléc hamis, az üzenet hamisként lesz azonosítva.
Az EOP-ban a következő hamisításgátló technológiák érhetők el:
Email hitelesítés: Az hamisítás elleni erőfeszítések szerves részét képezi az SPF, a DKIM és a DMARC rekordok általi e-mail-hitelesítés (más néven e-mail-ellenőrzés) használata a DNS-ben. Ezeket a rekordokat a tartományaihoz konfigurálhatja, hogy a cél levelezőrendszerek ellenőrizhessenek a tartományok feladóitól érkező üzenetek érvényességét. Bejövő üzenetek esetén a Microsoft 365 e-mail-hitelesítést igényel a feladó tartományaihoz. További információ: Email hitelesítés a Microsoft 365-ben.
Az EOP a szabványos e-mail-hitelesítési módszerek és a feladók jó hírnevének technikái alapján elemzi és blokkolja az üzeneteket.
Hamisintelligencia-megállapítás: Tekintse át a belső és külső tartományok feladóitól származó, az elmúlt hét napban észlelt hamis üzeneteket. További információ: Hamisintelligencia-megállapítások az EOP-ban.
Hamisított feladók engedélyezése vagy letiltása a bérlői engedélyezési/letiltási listában: Ha felülbírálja a hamisítottintelligencia-megállapításban szereplő ítéletet, a hamisított feladó manuális engedélyezési vagy letiltási bejegyzéssé válik, amely csak a Hamisított feladók lapon jelenik meg a bérlő engedélyezési/letiltási Listák lapján.https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem Manuálisan is létrehozhat engedélyezési vagy letiltott bejegyzéseket a hamis feladók számára, mielőtt a hamis felderítés észleli őket. További információ: Hamisított feladók a bérlői engedélyezési/tiltólistán.
Adathalászat elleni házirendek: Az EOP-ban és az Office 365-höz készült Microsoft Defender az adathalászat elleni házirendek a következő hamisítás elleni beállításokat tartalmazzák:
- A hamis felderítés be- és kikapcsolása.
- A nem hitelesített feladójelzők be- és kikapcsolása az Outlookban.
- Adja meg a letiltott hamis feladók műveletét.
További információ: Hamis beállítások az adathalászat elleni szabályzatokban.
A Office 365-höz készült Defender adathalászat elleni szabályzatai további védelmet is tartalmaznak, beleértve a megszemélyesítés elleni védelmet is. További információ: Kizárólagos beállítások az adathalászat elleni szabályzatokban Office 365-höz készült Microsoft Defender.
Hamisításészlelési jelentés: További információ: Hamis észlelések jelentése.
Office 365-höz készült Defender szervezetek valós idejű észleléseket (1. csomag) vagy Fenyegetéskezelőt (2. csomag) is használhatnak az adathalász kísérletekre vonatkozó információk megtekintéséhez. További információ: A Microsoft 365 fenyegetéseinek kivizsgálása és elhárítása.
Tipp
Fontos tisztában lenni azzal, hogy az összetett hitelesítési hibák nem eredményeznek közvetlenül letiltott üzenetet. Rendszerünk egy holisztikus kiértékelési stratégiát használ, amely az üzenet általános gyanús jellegét és az összetett hitelesítési eredményeket veszi figyelembe. Ennek a módszernek az a célja, hogy mérsékelje annak kockázatát, hogy helytelenül blokkolja a megbízható e-maileket olyan tartományokból, amelyek esetleg nem feltétlenül tartják be szigorúan az e-mail hitelesítési protokollokat. Ez az kiegyensúlyozott megközelítés segít megkülönböztetni a valóban kártékony e-maileket azoktól az üzenetküldőktől, amelyek egyszerűen nem felelnek meg a szabványos e-mail-hitelesítési eljárásoknak.
A hamisítás használata adathalászati támadások esetén
A hamisított feladók az üzenetekben a következő negatív hatással vannak a felhasználókra:
Megtévesztés: A hamis feladóktól érkező üzenetek rávethetik a címzettet arra, hogy válasszon ki egy hivatkozást, adja meg a hitelesítő adatait, töltsön le kártevőket, vagy válaszoljon egy bizalmas tartalommal rendelkező üzenetre (más néven az üzleti e-mailek biztonságának sérülésére vagy a BEC-ra).
Az alábbi üzenet egy példa az adathalászatra, amely a hamisított feladót msoutlook94@service.outlook.comhasználja:
Ez az üzenet nem service.outlook.com érkezett, de a támadó a Feladó fejlécmezőt hamisított, hogy az úgy nézzen ki, mintha az lett volna. A feladó megpróbálta becsapni a címzettet, hogy válassza ki a jelszó módosítása hivatkozást, és adja meg a hitelesítő adatait.
Az alábbi üzenet egy példa a hamisított e-mail-tartományt contoso.com használó BEC-ra:
Az üzenet valódinak tűnik, de a feladó hamis.
Zavar: Még az adathalászatról tudó felhasználóknak is nehézséget okozhat a valós üzenetek és a hamis feladóktól érkező üzenetek közötti különbségek észlelése.
Az alábbi üzenet egy valódi jelszó-visszaállítási üzenetet mutat be a Microsoft Security-fiókból:
Az üzenet valóban a Microsofttól érkezett, de a felhasználókat gyanúsnak tették. Mivel nehéz különbséget tenni egy valódi jelszó-visszaállítási üzenet és egy hamis üzenet között, előfordulhat, hogy a felhasználók figyelmen kívül hagyják az üzenetet, levélszemétként jelentik, vagy szükségtelenül adathalászként jelentik az üzenetet a Microsoftnak.
A hamisítás különböző típusai
A Microsoft két különböző típusú hamis feladót különböztet meg az üzenetekben:
Szervezeten belüli hamisítás: Más néven saját hamisítás. Például:
A feladó és a címzett ugyanabban a tartományban van:
Tól: chris@contoso.com
Hoz: michelle@contoso.comA feladó és a címzett ugyanahhoz a tartományhoz tartozó altartományokban található:
Tól: laura@marketing.fabrikam.com
Hoz: julia@engineering.fabrikam.comA feladó és a címzett különböző tartományokban vannak, amelyek ugyanahhoz a szervezethez tartoznak (vagyis mindkét tartomány elfogadott tartományként van konfigurálva ugyanabban a szervezetben):
Feladó: feladó @ microsoft.com
Címzett: címzett @ bing.comAz e-mail-címek szóközöket használnak a spamrobotok begyűjtésének megakadályozására.
Azok az üzenetek, amelyek szervezeten belüli hamisítás miatt meghiúsulnak az összetett hitelesítésben , a következő fejlécértékeket tartalmazzák:
Authentication-Results: ... compauth=fail reason=6xx
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11
reason=6xx
A szervezeten belüli hamisítást jelez.SFTY
az üzenet biztonsági szintje.9
adathalászatot jelez,.11
szervezeten belüli hamisítást jelez.
Tartományok közötti hamisítás: A feladó és a címzett tartománya eltérő, és nincs kapcsolat egymással (más néven külső tartományok). Például:
Tól: chris@contoso.com
Hoz: michelle@tailspintoys.comAzok az üzenetek, amelyek tartományközi hamisítás miatt meghiúsulnak az összetett hitelesítésben , a következő fejlécértékeket tartalmazzák:
Authentication-Results: ... compauth=fail reason=000/001
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22
reason=000
azt jelzi, hogy az üzenet nem tudott explicit e-mail-hitelesítést végrehajtani.reason=001
az üzenet sikertelen implicit e-mail-hitelesítését jelzi.SFTY
az üzenet biztonsági szintje.9
adathalászatot jelez,.22
tartományközi hamisítást jelez.
További információ a Hitelesítési eredményekről és
compauth
értékekről: Authentication-results üzenetfejlécmezők.
Hamisítás elleni védelemmel kapcsolatos problémák
A levelezőlisták (más néven vitafórumlisták) az üzenetek továbbításának és módosításának módja miatt problémákat tapasztalnak a hamisítás elleni védelemmel kapcsolatban.
Gabriela Laureano (glaureano@contoso.com) például érdeklődik a madármegfigyelés iránt, csatlakozik a levelezőlistához birdwatchers@fabrikam.com, és elküldi a következő üzenetet a listának:
Tól: "Gabriela Laureano" <glaureano@contoso.com>
Hoz: Birdwatcher vitafórum-listája <birdwatchers@fabrikam.com>
Tárgy: Nagyszerű kilátás a kék szajkókra az Mt tetején. Rainier ezen a hétenBárki megnézheti a heti megtekintést az Mt-től. Rainier?
A levelezőlista-kiszolgáló megkapja az üzenetet, módosítja annak tartalmát, és visszajátssza a lista tagjai számára. A visszajátszott üzenet feladói címe (glaureano@contoso.com) azonos, de a tárgysorhoz hozzáad egy címkét, és egy élőlábat az üzenet aljára. Ez a módosítástípus gyakori a levelezőlistákban, és hamis pozitív eredményt adhat a hamisításhoz.
Tól: "Gabriela Laureano" <glaureano@contoso.com>
Hoz: Birdwatcher vitafórum-listája <birdwatchers@fabrikam.com>
Tárgy: [BIRDWATCHERS] Nagy megtekintése kék szajkók tetején Mt. Rainier ezen a hétenBárki megnézheti a heti megtekintést az Mt-től. Rainier?
Ez az üzenet a Birdwatchers vitafórumlistájára lett elküldve. Bármikor leiratkozhat.
Ha segíteni szeretne a levelezőlista üzeneteinek hamisítás elleni ellenőrzésében, kövesse az alábbi lépéseket attól függően, hogy Ön szabályozza-e a levelezőlistát:
A levelezési lista a szervezet tulajdonában van:
- Tekintse meg a gyakori kérdéseket a DMARC.org: Levelezési listát üzemeltetek, és szeretnék együttműködni a DMARC-vel, mit tegyek?.
- Olvassa el a következő blogbejegyzés utasításait: Tipp a levelezési lista operátorai számára, hogy együttműködjenek a DMARC-vel a hibák elkerülése érdekében.
- Az ARC támogatásához érdemes lehet frissítéseket telepíteni a levelezőlista-kiszolgálóra. További információt talál: http://arc-spec.org.
A szervezet nem rendelkezik a levelezési listával:
- Kérje meg a levelezőlista karbantartóját, hogy konfigurálja az e-mail-hitelesítést ahhoz a tartományhoz, amelyről a levelezőlista átkerül. A tulajdonosok nagyobb valószínűséggel járnak el, ha elegendő tag kéri őket az e-mail-hitelesítés beállítására. Bár a Microsoft a tartománytulajdonosokkal is együttműködve teszi közzé a szükséges rekordokat, még több segítséget nyújt, ha az egyes felhasználók kérik őket.
- Hozzon létre levelezési szabályokat az e-mail ügyfélprogramban az üzenetek a Beérkezett üzenetek mappába való áthelyezéséhez.
- A bérlői engedélyezési/letiltási listával létrehozhat egy engedélyezési bejegyzést a levelezőlistához, hogy azt megbízhatóként kezelje. További információ: Hamisított feladók számára engedélyezett bejegyzések létrehozása.
Ha minden más nem sikerül, akkor hamis pozitívként jelentheti az üzenetet a Microsoftnak. További információ: Üzenetek és fájlok jelentése a Microsoftnak.
Hamisítás elleni védelemmel kapcsolatos szempontok
Ha Ön rendszergazda, aki jelenleg üzeneteket küld a Microsoft 365-nek, meg kell győződnie arról, hogy az e-mail-címe megfelelően hitelesítve van. Ellenkező esetben levélszemétként vagy adathalászként lehet megjelölve. További információ: E-mail-hitelesítési hibák elkerülése a Microsoft 365-nek küldött e-mailek esetén.
Az egyes felhasználók (vagy rendszergazdák) megbízható feladói a szűrési verem megkerülő részeit sorolják fel, beleértve a hamisítás elleni védelmet is. További információt az Outlook megbízható feladói című témakörben talál.
Ha lehetséges, a rendszergazdáknak kerülnie kell az engedélyezett feladólisták vagy engedélyezett tartománylisták használatát a levélszemét-ellenes házirendekben. Ezek a feladók megkerülik a szűrési verem nagy részét (a megbízható adathalász és kártevő üzenetek mindig karanténba kerülnek). További információ: Engedélyezett feladólisták vagy engedélyezett tartománylisták használata.