Informazioni dettagliate sull'intelligence spoofing in EOP
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome senza cassette postali Exchange Online, i messaggi di posta elettronica in ingresso vengono protetti automaticamente dallo spoofing. EOP usa l'intelligence di spoofing come parte della difesa complessiva dell'organizzazione contro il phishing. Per altre informazioni, vedere Protezione anti-spoofing in EOP.
Quando un mittente effettua lo spoofing di un indirizzo di posta elettronica, viene visualizzato come un utente di uno dei domini dell'organizzazione o di un dominio esterno che invia posta elettronica all'organizzazione. Gli utenti malintenzionati che spoofing mittenti per inviare posta indesiderata o phishing devono essere bloccati. Esistono tuttavia scenari in cui i mittenti legittimi stanno facendo spoofing. Ad esempio:
Scenari legittimi per lo spoofing di domini interni:
- Mittenti di terze parti usano il dominio per inviare in blocco messaggi ai dipendenti per sondaggi aziendali.
- Una società esterna genera e invia annunci o aggiornamenti del prodotto per conto dell'utente.
- Un assistente deve inviare regolarmente messaggi per conto di un altro utente dell'organizzazione.
- Un'applicazione interna invia notifiche tramite posta elettronica.
Scenari legittimi per lo spoofing di domini esterni:
- Il mittente si trova in una lista di distribuzione (nota anche come elenco di discussione) e la lista di distribuzione inoltra i messaggi di posta elettronica dal mittente originale a tutti i partecipanti nella lista di distribuzione.
- Una società esterna invia un messaggio di posta elettronica per conto di un'altra società ( ad esempio, un report automatizzato o una società Software as a Service).
È possibile usare le informazioni dettagliate sull'intelligence dello spoofing nel portale di Microsoft Defender per identificare rapidamente i mittenti contraffatti che inviano legittimo messaggi di posta elettronica non autenticati (messaggi provenienti da domini che non superano i controlli SPF, DKIM o DMARC) e consentire manualmente tali mittenti.
Consentendo ai mittenti noti di inviare messaggi contraffatti da posizioni note, è possibile ridurre i falsi positivi (messaggio di posta elettronica valido contrassegnato come non valido). Monitorando i mittenti spoofing consentiti, si fornisce un ulteriore livello di sicurezza per impedire l'arrivo di messaggi non sicuri nell'organizzazione.
Allo stesso modo, è possibile usare le informazioni dettagliate di intelligence sullo spoofing per esaminare i mittenti contraffatti consentiti dall'intelligence di spoofing e bloccare manualmente tali mittenti.
Il resto di questo articolo illustra come usare le informazioni dettagliate sull'intelligence per lo spoofing nel portale di Microsoft Defender e in PowerShell (Exchange Online le organizzazioni di PowerShell per Microsoft 365 con cassette postali in Exchange Online; PowerShell EOP autonomo per le organizzazioni senza Exchange Online cassette postali).
Nota
Solo i mittenti di spoofing rilevati da spoof intelligence vengono visualizzati nelle informazioni dettagliate su spoof intelligence. Quando si esegue l'override del verdetto allow o block nelle informazioni dettagliate, il mittente sottoposto a spoofing diventa una voce allow o block manuale visualizzata solo nella scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Inoltre, è possibile creare, consentire o bloccare manualmente le voci per i mittenti di spoofing prima che vengano rilevati da spoof intelligence. Per altre informazioni, vedere Mittenti con spoofing nell'elenco tenant consentiti/bloccati.
I valori azioneConsenti o Blocca nelle informazioni dettagliate di intelligence sullo spoofing fanno riferimento al rilevamento dello spoofing (indipendentemente dal fatto che Microsoft 365 abbia identificato il messaggio come spoofing o meno). Il valore Action non influisce necessariamente sul filtro complessivo del messaggio. Ad esempio, per evitare falsi positivi, potrebbe essere recapitato un messaggio di spoofing se si scopre che non ha finalità dannose.
Le informazioni dettagliate sull'intelligence spoofing e la scheda Mittenti spoofed nell'elenco Tenant Allow/Block sostituiscono le funzionalità dei criteri di intelligence spoofing disponibili nella pagina dei criteri di protezione dalla posta indesiderata nel Centro sicurezza & conformità.
Le informazioni dettagliate sull'intelligence dello spoofing mostrano 7 giorni di dati. Il cmdlet Get-SpoofIntelligenceInsight mostra dati per un valore di 30 giorni.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla scheda Mittenti spoofed nella pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Per passare direttamente alla pagina informazioni dettagliate dell'intelligence spoof , usare https://security.microsoft.com/spoofintelligence.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
Exchange Online autorizzazioni:
-
Consentire o bloccare mittenti contraffatti o attivare o disattivare l'intelligence per lo spoofing: appartenenza a uno dei gruppi di ruoli seguenti:
- Gestione organizzazione
- Amministratore della sicurezzaeconfigurazione di sola visualizzazione o gestione dell'organizzazione di sola visualizzazione.
- Accesso in sola lettura alle informazioni dettagliate sull'intelligence dello spoofing: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione dell'organizzazione di sola visualizzazione .
-
Consentire o bloccare mittenti contraffatti o attivare o disattivare l'intelligence per lo spoofing: appartenenza a uno dei gruppi di ruoli seguenti:
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Per le impostazioni consigliate per i criteri anti-phishing, vedere Impostazioni dei criteri anti-phishing di EOP.
È possibile abilitare e disabilitare l'intelligence di spoofing nei criteri anti-phishing in EOP e Microsoft Defender per Office 365. Spoof intelligence è abilitata per impostazione predefinita. Per altre informazioni, vedere Configurare i criteri anti-phishing in EOP o Configurare i criteri anti-phishing in Microsoft Defender per Office 365.
Per le impostazioni consigliate per l'intelligence per lo spoofing, vedere Impostazioni dei criteri anti-phishing di EOP.
Trovare le informazioni dettagliate sull'intelligence per lo spoofing nel portale di Microsoft Defender
Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole Criteri> diminaccia> Elenchitenant consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.
Selezionare la scheda Mittenti spoofed .
Nella scheda Mittenti spoofing le informazioni dettagliate sull'intelligence dello spoofing sono simili alle seguenti:
I dati analitici sono disponibili in due modalità:
- Modalità informazioni dettagliate: se l'intelligence per lo spoofing è abilitata, le informazioni dettagliate mostrano il numero di messaggi rilevati dall'intelligence di spoofing negli ultimi sette giorni.
- Modalità if: se l'intelligence dello spoofing è disabilitata, le informazioni dettagliate mostrano quanti messaggi sarebbero stati rilevati dall'intelligence di spoofing negli ultimi sette giorni.
Per visualizzare informazioni sui rilevamenti di intelligence per lo spoofing, selezionare Visualizza attività di spoofing nelle informazioni dettagliate sull'intelligence per lo spoofing per passare alla pagina Informazioni dettagliate sull'intelligence spoofing .
Visualizzare informazioni sui rilevamenti di spoofing
Nota
Tenere presente che in questa pagina vengono visualizzati solo i mittenti contraffatti rilevati dall'intelligence di spoofing.
La pagina Informazioni dettagliate sull'intelligence spoofing in https://security.microsoft.com/spoofintelligence è disponibile quando si seleziona Visualizza attività di spoofing dalle informazioni dettagliate sull'intelligence spoofing nella scheda Mittenti spoofed nella pagina Tenant Consenti/Blocca Elenchi.
Nella pagina Informazioni dettagliate di Spoof intelligence è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:
-
Utente con spoofing: dominio dell'utente contraffatto visualizzato nella casella Da nei client di posta elettronica. L'indirizzo From è noto anche come
5322.From
indirizzo. -
Infrastruttura di invio: nota anche come infrastruttura. L'infrastruttura di invio è uno dei valori seguenti:
- Il dominio trovato in una ricerca DNS inversa (record PTR) dell'indirizzo IP del server di posta elettronica di origine.
- Se l'indirizzo IP di origine non ha un record PTR, l'infrastruttura di invio viene identificata come <IP di origine>/24 (ad esempio, 192.168.100.100/24).
- Un dominio DKIM verificato.
- Numero di messaggi: numero di messaggi dalla combinazione del dominio contraffatto e dell'infrastruttura di invio all'organizzazione negli ultimi sette giorni.
- Ultima visualizzazione: ultima data in cui è stato ricevuto un messaggio dall'infrastruttura di invio che contiene il dominio contraffatto.
-
Tipo spoof: uno dei valori seguenti:
- Interno: il mittente sottoposto a spoofing si trova in un dominio appartenente all'organizzazione ( un dominio accettato).
- Esterno: il mittente sottoposto a spoofing si trova in un dominio esterno.
-
Azione: questo valore è Consentito o Bloccato:
- Consentito: il dominio non ha eseguito l'autenticazione esplicita tramite posta elettronica controlla SPF, DKIM e DMARC. Tuttavia, il dominio ha superato i controlli impliciti di autenticazione della posta elettronica (autenticazione composita). Di conseguenza, non è stata eseguita alcuna azione anti-spoofing sul messaggio.
- Bloccato: i messaggi provenienti dalla combinazione del dominio contraffatto e dell'infrastruttura di invio sono contrassegnati come non validi dall'intelligence dello spoofing. L'azione eseguita sui messaggi contraffatti con finalità dannose è controllata dai criteri di sicurezza predefiniti Standard o Strict, dai criteri anti-phishing predefiniti o dai criteri anti-phishing personalizzati. Per altre informazioni, vedere Configurare i criteri anti-phishing in Microsoft Defender per Office 365.
Per modificare l'elenco dei mittenti spoofed da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco su compatta o normale e quindi selezionare Elenco compatto.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Tipo spoof: i valori disponibili sono Internal ed External.
- Azione: i valori disponibili sono Consenti e Blocca
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche.
Usare Esporta per esportare l'elenco dei rilevamenti di spoofing in un file CSV.
Visualizzare i dettagli sui rilevamenti di spoofing
Quando si seleziona un rilevamento spoofing dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli contenente le informazioni seguenti:
Perché l'abbiamo preso? sezione: perché questo mittente è stato rilevato come spoofing e cosa è possibile fare per ulteriori informazioni.
Sezione Riepilogo dominio : include le stesse informazioni della pagina principale delle informazioni dettagliate di Spoof Intelligence .
Sezione dei dati whoIs : informazioni tecniche sul dominio del mittente.
Sezione di analisi di Esplora risorse: in Defender per Office 365'organizzazione questa sezione contiene un collegamento per aprire Esplora minacce per visualizzare altri dettagli sul mittente nella scheda Phish.
Sezione Messaggi di posta elettronica simili : contiene le informazioni seguenti sul rilevamento dello spoofing:
- Data
- Oggetto
- Destinatario
- Mittente
- Indirizzo IP mittente
Fai clic su Personalizza colonne per rimuovere le colonne visualizzate. Al termine, selezionare Applica.
Consiglio
Per visualizzare i dettagli sulle altre voci senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Per modificare il rilevamento dello spoofing da Consenti a Blocco o viceversa, vedere la sezione successiva.
Eseguire l'override del verdetto di intelligence dello spoofing
Nella pagina https://security.microsoft.com/spoofintelligenceInformazioni dettagliate sull'intelligence spoof in usare uno dei metodi seguenti per eseguire l'override del verdetto di intelligence spoofing:
Selezionare una o più voci dall'elenco selezionando la casella di controllo accanto alla prima colonna.
- Selezionare l'azione Azioni bulk visualizzata.
- Nel riquadro a comparsa Azioni bulk visualizzato selezionare Consenti lo spoofing o Blocca dallo spoofing e quindi selezionare Applica.
Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.
Nel riquadro a comparsa dei dettagli visualizzato selezionare Consenti lo spoofing o Blocca dallo spoofing nella parte superiore del riquadro a comparsa e quindi selezionare Applica.
Nella pagina Informazioni dettagliate di Spoof intelligence la voce viene rimossa dall'elenco e viene aggiunta alla scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Informazioni sui mittenti di spoofing consentiti
I messaggi provenienti da un mittente spoofing consentito (rilevato automaticamente o configurato manualmente) sono consentiti solo usando la combinazione del dominio contraffatto e dell'infrastruttura di invio. Ad esempio, il seguente mittente di spoofing è autorizzato a effettuare lo spoofing:
- Dominio: gmail.com
- Infrastruttura: tms.mx.com
Solo la posta elettronica da tale coppia di infrastruttura di dominio/invio è consentita per lo spoofing.Only email from that domain/sending infrastructure pair is allowed to spoof. Gli altri mittenti che tentano di eseguire lo spoofing di gmail.com non sono consentiti automaticamente. I messaggi provenienti da mittenti in altri domini che provengono da tms.mx.com vengono comunque controllati da spoof intelligence e potrebbero essere bloccati.
Usare le informazioni dettagliate sull'intelligence per lo spoofing in Exchange Online PowerShell o PowerShell EOP autonomo
In PowerShell si usa il cmdlet Get-SpoofIntelligenceInsight per visualizzare i mittenti spoofed consentiti e bloccati rilevati dall'intelligence di spoofing. Per consentire o bloccare manualmente i mittenti contraffatti, è necessario usare il cmdlet New-TenantAllowBlockListSpoofItems . Per altre informazioni, vedere Use PowerShell to create allow entries for spoofed senders in the Tenant Allow/Block List e Use PowerShell to create block entries for spoofed senders in the Tenant Allow/Block List.For more information, see Use PowerShell to create block entries for spoofed senders in the Tenant Allow/Block List.For more information, see Use PowerShell to create block entries for spoofed senders in the Tenant Allow/Block List.
Per visualizzare le informazioni nelle informazioni dettagliate di intelligence sullo spoofing, eseguire il comando seguente:
Get-SpoofIntelligenceInsight
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-SpoofIntelligenceInsight.
Altri modi per gestire lo spoofing e il phishing
Sii diligente riguardo lo spoofing e la protezione dal phishing. Ecco i modi correlati per controllare i mittenti che stanno spoofing il dominio e impedire loro di danneggiare l'organizzazione:
Controllare il report spoof mail. Usare spesso questo report per visualizzare e gestire i mittenti contraffatti. Per informazioni, vedere Report Rilevamento spoofing.
Esaminare la configurazione di SPF, DKIM e DMARC. Per altre informazioni, vedere gli articoli seguenti: