Protezione anti-spoofing in EOP

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o nelle organizzazioni di Exchange Online Protection (EOP) autonomo senza cassette postali di Exchange Online, EOP include funzionalità per la protezione dell'organizzazione dai mittenti di spoofing (falsificati).

Quando si tratta di proteggere gli utenti, Microsoft prende seriamente in considerazione il rischio di phishing. Lo spoofing è una tecnica comune usata dagli utenti malintenzionati. I messaggi oggetto di spoofing sembrano provenire da una persona o una posizione diversa da quella reale. Questa tecnica viene spesso usata nelle campagne di phishing progettate per ottenere le credenziali utente. La tecnologia anti-spoofing in EOP esamina in modo specifico la falsificazione dell'intestazione From nel corpo del messaggio, perché tale valore di intestazione è il mittente del messaggio visualizzato nei client di posta elettronica. Se EOP rileva con alta probabilità che l'intestazione From è contraffatta, il messaggio viene identificato come falsificato.

In EOP sono disponibili le tecnologie anti-spoofing seguenti:

• Autenticazione e-mail: parte integrante di qualsiasi iniziativa anti-spoofing è l'uso dell'autenticazione e-mail, nota anche come convalida della posta elettronica, tramite i record SPF, DKIM e DMARC nel DNS. È possibile configurare questi record per un dominio in modo che i sistemi di posta elettronica di destinazione possano controllare la validità dei messaggi che dichiarano di provenire da mittenti in tale dominio. Per i messaggi in ingresso, Microsoft 365 richiede l'autenticazione di posta elettronica per i domini dei mittenti. Per altre informazioni, vedere Autenticazione di posta elettronica in Microsoft 365.

  EOP analizza e blocca i messaggi in base alla combinazione di metodi di autenticazione della posta elettronica standard e tecniche di reputazione del mittente.

  

• Informazioni dettagliate sull'intelligence spoofing: esaminare i messaggi spoofing rilevati dai mittenti in domini interni ed esterni negli ultimi sette giorni. Per altre informazioni, vedere Dati analitici di spoof intelligence in EOP.

• Consenti o blocca i mittenti spoofed nell'elenco tenant consentiti/bloccati: quando si esegue l'override del verdetto nelle informazioni dettagliate sull'intelligence dello spoofing, il mittente falsificato diventa una voce di blocco o di autorizzazione manuale visualizzata solo nella scheda Mittenti spoofed nella pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Inoltre, è possibile creare, consentire o bloccare manualmente le voci per i mittenti di spoofing prima che vengano rilevati da spoof intelligence. Per altre informazioni, vedere Mittenti con spoofing nell'elenco tenant consentiti/bloccati.

• Criteri anti-phishing: in EOP e Microsoft Defender per Office 365, i criteri anti-phishing contengono le seguenti impostazioni anti-spoofing:

  • Attivare o disattivare spoof intelligence.
  • Attivare o disattivare gli indicatori di mittenti non autenticati in Outlook.
  • Specificare l'azione per i mittenti di spoofing bloccati.

  Per altre informazioni, vedere Impostazioni di spoofing nei criteri anti-phishing.

  I criteri anti-phishing in Defender per Office 365 contengono protezioni aggiuntive, inclusa la protezione dalla rappresentazione. Per altre informazioni, vedere Impostazioni esclusive nei criteri anti-phishing in Microsoft Defender per Office 365.

• Report di rilevamento spoofing: per altre informazioni, vedere Report di rilevamento spoofing.

  Defender per Office 365 organizzazioni possono anche usare rilevamenti in tempo reale (piano 1) o Esplora minacce (piano 2) per visualizzare informazioni sui tentativi di phishing. Per altre informazioni, vedere Analisi e risposta alle minacce di Microsoft 365.

Consiglio

È importante comprendere che un errore di autenticazione composita non comporta direttamente il blocco di un messaggio. Il sistema usa una strategia di valutazione olistica che considera la natura sospetta complessiva di un messaggio insieme ai risultati dell'autenticazione composita. Questo metodo è progettato per attenuare il rischio di bloccare erroneamente la posta elettronica legittima da domini che potrebbero non essere strettamente conformi ai protocolli di autenticazione della posta elettronica. Questo approccio bilanciato consente di distinguere la posta elettronica autenticamente dannosa dai mittenti dei messaggi che semplicemente non sono conformi alle procedure standard di autenticazione della posta elettronica.

Come viene usato lo spoofing negli attacchi di phishing

I mittenti con spoofing nei messaggi hanno le implicazioni negative seguenti per gli utenti:

• Inganno: i messaggi provenienti da mittenti contraffatti potrebbero indurre il destinatario a selezionare un collegamento e a rinunciare alle credenziali, scaricare malware o rispondere a un messaggio con contenuto sensibile (noto come compromissione della posta elettronica aziendale o BEC).

  Il messaggio seguente è un esempio di phishing che usa il mittente oggetto di spoofing msoutlook94@service.outlook.com:

  

  Il messaggio non proviene da service.outlook.com, ma l'utente malintenzionato ha falsificato il campo di intestazione From intestazione per far sembrare che sia così. Il mittente ha tentato di ingannare il destinatario a selezionare il collegamento cambia la password e a fornire le credenziali.

  Il messaggio seguente è un esempio di BEC che usa il dominio di posta elettronica contraffatto contoso.com:

  

  Il messaggio sembra legittimo ma il mittente è contraffatto.

• Confusione: anche gli utenti che conoscono il phishing potrebbero avere difficoltà a vedere le differenze tra messaggi reali e messaggi provenienti da mittenti contraffatti.

  Il messaggio di seguito è un esempio di messaggio reale di reimpostazione della password inviato dal team per la sicurezza degli account Microsoft:

  

  Il messaggio proveniva davvero da Microsoft, ma gli utenti sono diventati sospettosi. Poiché è difficile capire la differenza tra un messaggio di reimpostazione della password autentico e uno contraffatto, molti utenti potrebbero ignorare il messaggio, segnalarlo come posta indesiderata o segnalarlo inutilmente a Microsoft come phishing.

Tipi diversi di spoofing

Microsoft distingue tra due diversi tipi di mittenti spoofing nei messaggi:

• Spoofing intra-organizzazione: anche noto come spoofing self-to-self. Ad esempio:

  • Il mittente e il destinatario si trovano nello stesso dominio:

    Da: chris@contoso.com
    A: michelle@contoso.com

  • Il mittente e il destinatario si trovano in sottodomini nello stesso dominio:

    Da: laura@marketing.fabrikam.com
    A: julia@engineering.fabrikam.com

  • Il mittente e il destinatario si trovano in domini diversi che appartengono alla stessa organizzazione, vale a dire che entrambi i domini sono configurati come domini accettati nella stessa organizzazione:

    Da: mittente @ microsoft.com
    A: destinatario @ bing.com

    Negli indirizzi di posta elettronica vengono usati spazi per impedire la raccolta da parte di spambot.

  I messaggi che non superano l'autenticazione composita per spoofing intra-organizzazione contengono i valori di intestazione seguenti:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx indica lo spoofing intra-organizzazione.

  • SFTY è il livello di sicurezza del messaggio. 9 indica il phishing, .11 indica lo spoofing all'interno dell'organizzazione.

• Spoofing tra domini: i domini del mittente e del destinatario sono diversi e non hanno relazioni gli uni con gli altri (si parla anche di domini esterni). Ad esempio:

  Da: chris@contoso.com
  A: michelle@tailspintoys.com

  I messaggi che non superano l'autenticazione composita a causa dello spoofing tra domini contengono i valori di intestazione seguenti:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 indica che il messaggio non ha superato l'autenticazione e-mail esplicita. reason=001 indica che il messaggio non ha superato l'autenticazione e-mail implicita.

  • SFTY è il livello di sicurezza del messaggio. 9 indica il phishing, .22 indica lo spoofing tra domini.

  Per altre informazioni sui valori e compauthsui risultati dell'autenticazione, vedere Campi dell'intestazione del messaggio Authentication-results.

Problemi correlati alla protezione anti-spoofing

Le mailing list (note anche come elenchi di discussione) hanno problemi con la protezione anti-spoofing a causa del modo in cui inoltrano e modificano i messaggi.

Ad esempio, Gabriela Laureano (glaureano@contoso.com) è interessata al birdwatching, si unisce alla mailing list birdwatchers@fabrikam.come invia il messaggio seguente all'elenco:

Da: "Gabriela Laureano" <glaureano@contoso.com>
A: Elenchi di Discussione dei Birdwatcher <birdwatchers@fabrikam.com>
Oggetto: ottimo avvistamento dei Jays blu sula cima del Monte Rainier questa settimana

Qualche utente desidera vedere la visualizzazione di questa settimana dal monte Rainier?

Il server della lista di distribuzione riceve il messaggio, ne modifica il contenuto e lo riproduce ai membri della lista. Il messaggio riprodotto ha lo stesso indirizzo From (glaureano@contoso.com), ma viene aggiunto un tag alla riga dell'oggetto e un piè di pagina viene aggiunto alla parte inferiore del messaggio. Questo tipo di modifica è comune nelle liste di distribuzione e può generare falsi positivi.

Da: "Gabriela Laureano" <glaureano@contoso.com>
A: Elenchi di Discussione dei Birdwatcher <birdwatchers@fabrikam.com>
Oggetto: [BIRDWATCHING] ottimo avvistamento dei Jays blu sula cima del Monte Rainier questa settimana

Qualche utente desidera vedere la visualizzazione di questa settimana dal monte Rainier?

Questo messaggio è stato inviato all'elenco di discussione degli amanti del birdwatching. È possibile annullare l’iscrizione in qualsiasi momento.

Per consentire ai messaggi delle liste di distribuzione di superare i controlli anti-spoofing, eseguire le operazioni seguenti in base al fatto che si controlli o meno la lista di distribuzione:

• L'organizzazione è proprietaria della mailing list:

  • Consultare le domande frequenti su DMARC.org e leggere la domanda: I operate a mailing list and I want to interoperate with DMARC, what should I do? (Gestisco una lista di distribuzione e desidero interagire con DMARC, cosa devo fare?).
  • Leggere le istruzioni in questo post di blog: A tip for mailing list operators to interoperate with DMARC to avoid failures (Un suggerimento per gli operatori delle liste di distribuzione che interagiscono con DMARC per evitare errori).
  • Prendere in considerazione l'installazione di aggiornamenti nel server della lista di distribuzione per supportare ARC. Per ulteriori informazioni, vedere http://arc-spec.org.

• L'organizzazione non è proprietaria della mailing list:

  • Chiedere al gestore della lista di distribuzione di configurare l'autenticazione e-mail per il dominio da cui la lista di distribuzione esegue l'inoltro. È più probabile che i proprietari agiscano se un numero sufficiente di membri chiede loro di configurare l'autenticazione tramite posta elettronica. Anche se Microsoft è compatibile con i proprietari di dominio per pubblicare i record necessari, è ancora più utile quando i singoli utenti lo richiedono.
  • Creare regole posta in arrivo nel client di posta elettronica per spostare i messaggi nella posta in arrivo.
  • Usare l'elenco tenant consentiti/bloccati per creare una voce consenti all'elenco di distribuzione di considerarla legittima. Per altre informazioni, vedere Creare voci consentite per mittenti contraffatti.

Se il problema persiste, è possibile segnalare il messaggio come falso positivo a Microsoft. Per altre informazioni, vedere Segnalazione di messaggi e file a Microsoft.

Considerazioni per la protezione anti-spoofing

Gli amministratori che attualmente inviano messaggi a Microsoft 365 devono assicurarsi che la posta elettronica venga autenticata correttamente. In caso contrario, potrebbero essere contrassegnati come posta indesiderata o phishing. Per altre informazioni, vedere Come evitare errori di autenticazione della posta elettronica durante l'invio di messaggi di posta elettronica a Microsoft 365.

I mittenti nei mittenti attendibili di singoli utenti (o amministratori) elencano le parti di bypass dello stack di filtri, inclusa la protezione dello spoofing. Per altre informazioni, vedere Mittenti attendibili di Outlook.

Se possibile, gli amministratori devono evitare di usare elenchi di mittenti consentiti o elenchi di domini consentiti nei criteri di protezione dalla posta indesiderata. Questi mittenti ignorano la maggior parte dello stack di filtri (i messaggi di phishing e malware ad alta attendibilità vengono sempre messi in quarantena). Per altre informazioni, vedere Usare gli elenchi di mittenti o domini consentiti.