Hamisítás elleni védelem felhőalapú postaládákhoz

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Defender for Office 365 próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Microsoft Defender for Office 365 című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.

A felhőalapú postaládákkal rendelkező összes szervezet tartalmaz olyan szolgáltatásokat, amelyek segítenek a hamisított (hamis) feladók elleni védelemben. A támadók gyakran használják a hamisítást. Úgy tűnik, hogy a hamisított üzenetek a tényleges forrástól vagy máshonnan származnak. Ezt a technikát gyakran használják a felhasználói hitelesítő adatok lekérésére szolgáló adathalász kampányokban.

A Microsoft 365 hamisítás elleni technológiája kifejezetten megvizsgálja a Feladó fejléc hamisítását az üzenet törzsében (más néven 5322.From a cím, a Feladó címe vagy a 2. oldal feladója), mivel az e-mail ügyfelek a Feladó fejlécértéket jelenítik meg üzenetküldőként. Ha a Microsoft 365 megbízhatónak találja a Feladó fejléc hamisított szövegét, az üzenet hamisként lesz azonosítva.

Az alábbi hamisításgátló technológiák érhetők el az összes felhőpostaláda beépített biztonsági funkcióiban:

• Email hitelesítés: Az hamisítás elleni erőfeszítések szerves részét képezi az SPF, a DKIM és a DMARC rekordok általi e-mail-hitelesítés (más néven e-mail-ellenőrzés) használata a DNS-ben. Ezeket a rekordokat a tartományaihoz konfigurálhatja, hogy a cél levelezőrendszerek ellenőrizhessenek a tartományok feladóitól érkező üzenetek érvényességét. Bejövő üzenetek esetén a Microsoft 365 megköveteli a feladó tartományainak e-mailes hitelesítését. További információ: Email hitelesítés.

  A Microsoft 365 a szabványos e-mail-hitelesítési módszerek és a küldői hírnév technikáinak kombinációja alapján elemzi és blokkolja az üzeneteket.

  

• Hamisintelligencia-megállapítás: Tekintse át a belső és külső tartományok feladóitól származó, az elmúlt hét napban észlelt hamis üzeneteket. További információ: Hamisintelligencia-megállapítás.

• Hamisított feladók engedélyezése vagy letiltása a bérlői engedélyezési/letiltási listában: Ha felülbírálja a hamisítottintelligencia-megállapításban szereplő ítéletet, a hamisított feladó manuális engedélyezési vagy letiltási bejegyzéssé válik, amely csak a Bérlői engedélyezési/letiltási listák lap hamisított feladók lapján jelenik meg a címenhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Manuálisan is létrehozhat engedélyezési vagy letiltott bejegyzéseket a hamis feladók számára, mielőtt a hamis felderítés észleli őket. További információ: Hamisított feladók a bérlői engedélyezési/tiltólistán.

• Adathalászat elleni szabályzatok: Az összes felhőbeli postaládához és Microsoft Defender Office 365 beépített biztonsági funkcióiban az adathalászat elleni szabályzatok az alábbi hamisítás elleni beállításokat tartalmazzák:

  • A hamis felderítés be- és kikapcsolása.
  • A nem hitelesített feladójelzők be- és kikapcsolása az Outlookban.
  • Adja meg a letiltott hamis feladók műveletét.

  További információ: Hamis beállítások az adathalászat elleni szabályzatokban.

  A Defender for Office 365 adathalászat elleni szabályzatai további védelmet is tartalmaznak, beleértve a megszemélyesítés elleni védelmet is. További információ: Az adathalászat elleni szabályzatok kizárólagos beállításai a Office 365 Microsoft Defender-ben.

• Hamisításészlelési jelentés: További információ: Hamis észlelések jelentése.

  A Microsoft 365-ös szervezetek a Defender for Office 365 (bővítmény-előfizetésekben vagy -előfizetésekben) valós idejű észleléssel (1. csomag) vagy Fenyegetéskezelővel (2. csomag) rendelkeznek az adathalász kísérletekkel kapcsolatos információk megtekintéséhez. További információ: A Microsoft 365 fenyegetéseinek kivizsgálása és elhárítása.

Tipp

Fontos tisztában lenni azzal, hogy az összetett hitelesítési hibák nem okoznak közvetlenül egy üzenet blokkolását. A Microsoft 365 holisztikus kiértékelési stratégiát használ, amely az üzenet általános gyanús jellegét és az összetett hitelesítési eredményeket veszi figyelembe. Ennek a módszernek az a célja, hogy mérsékelje annak kockázatát, hogy helytelenül blokkolja a megbízható e-maileket olyan tartományokból, amelyek esetleg nem feltétlenül tartják be szigorúan az e-mail hitelesítési protokollokat. Ez az kiegyensúlyozott megközelítés segít megkülönböztetni a valóban kártékony e-maileket azoktól az üzenetküldőktől, amelyek egyszerűen nem felelnek meg a szabványos e-mail-hitelesítési eljárásoknak.

A hamisítás használata adathalászati támadások esetén

A hamisított feladók az üzenetekben a következő negatív hatással vannak a felhasználókra:

• Megtévesztés: A hamisított feladóktól érkező üzenetek rávethetik a címzettet arra, hogy adja meg hitelesítő adatait, töltsön le kártevőket, vagy válaszoljon bizalmas tartalommal rendelkező üzenetekre (más néven üzleti e-mailek feltörése vagy BEC).

  Az alábbi üzenet egy példa az adathalászatra, amely a hamisított feladót msoutlook94@service.outlook.comhasználja:

  

  Ez az üzenet nem service.outlook.com érkezett, de a támadó a Feladó fejlécmezőt hamisított, hogy az úgy nézzen ki, mintha az lett volna. A feladó megpróbálta becsapni a címzettet, hogy válassza ki a jelszó módosítása hivatkozást, és adja meg a hitelesítő adatait.

  Az alábbi üzenet egy példa a hamisított e-mail-tartományt contoso.com használó BEC-ra:

  

  Az üzenet valódinak tűnik, de a feladó hamis.

• Zavar: Még az adathalászatról tudó felhasználóknak is nehézséget okozhat a valós üzenetek és a hamis feladóktól érkező üzenetek közötti különbségek észlelése.

  Az alábbi üzenet egy valódi jelszó-visszaállítási üzenetet mutat be a Microsoft Security-fiókból:

  

  Az üzenet valóban a Microsofttól érkezett, de a felhasználóknak gyanúsnak kell lenniük. Mivel nehéz különbséget tenni egy valódi jelszó-visszaállítási üzenet és egy hamis üzenet között, előfordulhat, hogy a felhasználók figyelmen kívül hagyják az üzenetet, levélszemétként jelentik, vagy szükségtelenül adathalászként jelentik az üzenetet a Microsoftnak.

A hamisítás különböző típusai

A Microsoft két különböző típusú hamis feladót különböztet meg az üzenetekben:

• Szervezeten belüli hamisítás: Más néven saját hamisítás. Például:

  • A feladó és a címzett ugyanabban a tartományban van:

    From: chris@contoso.com
    To: michelle@contoso.com
    

  • A feladó és a címzett ugyanahhoz a tartományhoz tartozó altartományokban található:

    From: laura@marketing.fabrikam.com
    To: julia@engineering.fabrikam.com
    

  • A feladó és a címzett különböző tartományokban vannak, amelyek ugyanahhoz a szervezethez tartoznak (vagyis mindkét tartomány elfogadott tartományként van konfigurálva ugyanabban a szervezetben):

    From: cindy@tailspintoys.com
    To: steve@wingtiptoys.com
    

  Azok az üzenetek, amelyek szervezeten belüli hamisítás miatt meghiúsulnak az összetett hitelesítésben , a következő fejlécértékeket tartalmazzák:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx A szervezeten belüli hamisítást jelez.
  • SFTY az üzenet biztonsági szintje.
    • 9 adathalászatot jelez.
    • .11 A szervezeten belüli hamisítást jelez.

• Tartományok közötti hamisítás: A feladó és a címzett tartománya eltérő, és nincs kapcsolat egymással (más néven külső tartományok). Például:

  From: chris@contoso.com
  To: michelle@tailspintoys.com
  

  Azok az üzenetek, amelyek tartományközi hamisítás miatt meghiúsulnak az összetett hitelesítésben , a következő fejlécértékeket tartalmazzák:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 azt jelzi, hogy az üzenet nem tudott explicit e-mail-hitelesítést végrehajtani. reason=001 az üzenet sikertelen implicit e-mail-hitelesítését jelzi.

  • SFTY az üzenet biztonsági szintje.

    • 9 adathalászatot jelez.
    • .22 tartományközi hamisítást jelez.

  További információ a Hitelesítési eredményekről és compauth értékekről: Authentication-results üzenetfejlécmezők.

Hamisítás elleni védelemmel kapcsolatos problémák

A levelezőlisták (más néven vitafórumlisták) az üzenetek továbbítása és módosítása miatt problémákat tapasztalnak a hamisítás elleni védelemmel kapcsolatban.

Gabriela Laureano (glaureano@contoso.com) például érdeklődik a madármegfigyelés iránt, ezért csatlakozik a levelezőlistához birdwatchers@fabrikam.com, és a következő üzenetet küldi a listára:

From: "Gabriela Laureano" <glaureano@contoso.com>
To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Subject: Great viewing of blue jays at the top of Mt. Rainier this week

Anyone want to check out the viewing this week from Mt. Rainier?

A levelezőlista-kiszolgáló megkapja az üzenetet, módosítja annak tartalmát, és visszajátssza a lista tagjai számára. A visszajátszott üzenet feladói címe (glaureano@contoso.com) azonos, de a tárgysorhoz hozzáad egy címkét, és egy élőlábat az üzenet aljára. Ez a módosítási típus gyakori a levelezőlistákban, és hamis hamisítást eredményezhet.

From: "Gabriela Laureano" <glaureano@contoso.com>
To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Subject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier this week

Anyone want to check out the viewing this week from Mt. Rainier?

This message was sent to the Birdwatchers Discussion List. You can unsubscribe at any time.

Ha segíteni szeretne a levelezőlista üzeneteinek hamisítás elleni ellenőrzésében, végezze el a következő lépéseket a körülmények alapján:

• A levelezési lista a szervezet tulajdonában van:

  • Tekintse meg a gyakori kérdéseket a DMARC.org: Levelezési listát üzemeltetek, és szeretnék együttműködni a DMARC-vel, mit tegyek?.
  • Olvassa el a következő blogbejegyzés utasításait: Tipp a levelezési lista operátorai számára, hogy együttműködjenek a DMARC-vel a hibák elkerülése érdekében.
  • Érdemes lehet frissíteni a levelezőlista-kiszolgálót, hogy az támogatja az ARC-ot. További információt talál: http://arc-spec.org.

• A szervezet nem rendelkezik a levelezési listával:

  • Kérje meg a levelezőlista karbantartóját, hogy konfigurálja az e-mail-hitelesítést arra a tartományra vonatkozóan, amelyről a levelezőlista átkonfigurálja az e-maileket. A tulajdonosok nagyobb valószínűséggel járnak el, ha elegendő tag kéri őket az e-mail-hitelesítés beállítására. Bár a Microsoft a tartománytulajdonosokkal is együttműködve teszi közzé a szükséges rekordokat, még több segítséget nyújt, ha az egyes felhasználók kérik őket.
  • Hozzon létre levelezési szabályokat az e-mail ügyfélprogramban, amelyek áthelyezik az üzeneteket a Beérkezett üzenetek mappába.
  • A bérlői engedélyezési/letiltási listával létrehozhat egy engedélyezési bejegyzést a levelezőlistához, hogy azt megbízhatóként kezelje. További információ: Hamisított feladók számára engedélyezett bejegyzések létrehozása.

Ha minden más nem sikerül, akkor hamis pozitívként jelentheti az üzenetet a Microsoftnak. További információ: Üzenetek és fájlok jelentése a Microsoftnak.

Hamisítás elleni védelemmel kapcsolatos szempontok

Azoknak a szervezeteknek a rendszergazdáinak, amelyek rendszeresen küldenek e-maileket a Microsoft 365-nek, gondoskodniuk kell az e-mailek megfelelő hitelesítéséről. Ellenkező esetben levélszemétként vagy adathalászként lehet megjelölve. További információ: E-mail-hitelesítési hibák elkerülése a Microsoft 365-nek küldött e-mailek esetén.

A Microsoft 365-ben a felhasználói engedélyezési listák feladói megkerülik a szűrési verem egyes részeit, beleértve a hamisítás elleni védelmet is. További információt az Outlook megbízható feladói című témakörben talál.

Ha lehetséges, a rendszergazdáknak kerülnie kell az engedélyezett feladólisták vagy engedélyezett tartománylisták használatát a levélszemét-ellenes házirendekben. Ezek a feladók megkerülik a szűrési verem nagy részét (a megbízható adathalász és kártevő üzenetek mindig karanténba kerülnek). További információ: Engedélyezett feladólisták vagy engedélyezett tartománylisták használata.