Del via

Policyer for anti-phishing i skyorganisasjoner

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk 90-dagers Defender for Office 365 prøveversjon på Microsoft Defender portalens prøveversjonshub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Policyer for å konfigurere beskyttelse mot phishing er tilgjengelige i alle organisasjoner med postbokser i skyen, og i organisasjoner med Microsoft Defender for Office 365 (inkludert eller i et tilleggsabonnement).

Tips

Som en følgesvenn til denne artikkelen, kan du se vår konfigurasjonsveiledning for Sikkerhetsanalyse for å gjennomgå anbefalte fremgangsmåter og lære å styrke forsvar, forbedre overholdelse og navigere i cybersikkerhetslandskapet med selvtillit. Hvis du vil ha en tilpasset opplevelse basert på miljøet ditt, kan du få tilgang til den automatiske konfigurasjonsveiledningen for Sikkerhetsanalyse i Administrasjonssenter for Microsoft 365.

Anti-phishing-policyer er tilgjengelige på siden for anti-phishing i Microsoft Defender-portalen på https://security.microsoft.com/antiphishing. Anti-phishing-beskyttelse for alle postbokser i skyen tilbyr viktige anti-phishing-funksjoner. Defender for Office 365 forbedrer disse grunnleggende funksjonene ved å inkludere følgende avanserte beskyttelser:

  • Representasjonsbeskyttelse:
    • Beskyttelse mot bruker-, domene- og avsenderrepresentasjon.
    • Muligheten til å definere klarerte avsendere og domener for å redusere falske positiver.
  • Terskler for phishing-e-post:
    • Tilpassbare phishing-terskler for å finjustere gjenkjenning.
  • Ai- og maskinlæringsbasert gjenkjenning:
    • Forbedret oppdagelse av avanserte phishing-angrep gjennom avanserte algoritmer.
  • Ytterligere rapportering og innsikt:
    • Avanserte rapporteringsfunksjoner og innsyn i phishing-forsøk utover grunnleggende logging.

Forskjellene på høyt nivå mellom policyene mot phishing for alle postbokser i skyen og policyer for anti-phishing i Defender for Office 365 er beskrevet i tabellen nedenfor:

Funksjon Anti-phishing-policyer
for alle postbokser i skyen		 Anti-phishing-policyer
i Defender for Office 365
Automatisk opprettet standardpolicy
Opprett egendefinerte policyer
Vanlige policyinnstillinger*
Innstillinger for forfalskning
Første kontaktsikkerhetstips
Representasjonsinnstillinger
Terskler for phishing-e-post

* I standardpolicyen er policynavnet og beskrivelsen skrivebeskyttet (beskrivelsen er tom), og du kan ikke angi hvem policyen gjelder for (standardpolicyen gjelder for alle mottakere).

Hvis du vil konfigurere policyer for anti-phishing, kan du se følgende artikler:

Resten av denne artikkelen beskriver innstillingene som er tilgjengelige i anti-phishing-policyer for alle postbokser i skyen og i anti-phishing-policyer i Defender for Office 365.

Tips

Som en følge av denne artikkelen anbefaler vi at du bruker Microsoft Defender for endepunkt automatisert konfigurasjonsveiledning når du er logget på Administrasjonssenter for Microsoft 365. Denne veiledningen tilpasser opplevelsen din basert på miljøet ditt. Hvis du vil se gjennom anbefalte fremgangsmåter uten å logge på og aktivere automatiserte konfigurasjonsfunksjoner, kan du gå til installasjonsveiledningen for Microsoft 365.

Vanlige policyinnstillinger

Følgende policyinnstillinger er tilgjengelige i policyer for anti-phishing for alle postbokser i skyen og i policyer for anti-phishing i Defender for Office 365:

  • Navn: Du kan ikke gi nytt navn til standard policy for anti-phishing. Når du har opprettet en egendefinert policy for anti-phishing, kan du ikke gi nytt navn til policyen i Microsoft Defender-portalen.

  • Beskrivelse Du kan ikke legge til en beskrivelse i standardpolicyen for anti-phishing, men du kan legge til og endre beskrivelsen for egendefinerte policyer du oppretter.

  • Brukere, grupper og domener og utelat disse brukerne, gruppene og domenene: Mottakerfiltre for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse kreves i egendefinerte policyer. Betingelser og unntak er ikke tilgjengelige i standardpolicyen (standardpolicyen gjelder for alle mottakere). Du kan bruke følgende mottakerfiltre for betingelser og unntak:

    • Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.
    • Grupper:
      • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
      • Den angitte Microsoft 365 Groups (dynamiske medlemsgrupper i Microsoft Entra ID støttes ikke).
    • Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

    Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

    • Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

      • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
      • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

    • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

    • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

      • Brukere: romain@contoso.com
      • Grupper: Ledere

      Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

    Tips

    Minst ett valg i innstillingene for brukere, grupper og domener kreves i egendefinerte policyer for anti-phishing for å identifisere meldingsmottakerne som policyen gjelder for. Anti-phishing-policyer i Defender for Office 365 har også representasjonsinnstillinger der du kan angi avsenderens e-postadresser eller avsenderdomener som mottar representasjonsbeskyttelse som beskrevet senere i denne artikkelen.

Innstillinger for forfalskning

Forfalskning er når Fra-adressen i en e-postmelding (avsenderadressen som e-postklienter viser) ikke samsvarer med domenet til e-postkilden. Hvis du vil ha mer informasjon om forfalskning, kan du se Beskyttelse mot forfalskning.

Tips

Hvis du vil ha en sammenligning av forfalskning kontra etterligning, kan du se avsnittet Forfalsking kontra etterligning senere i denne artikkelen.

Følgende innstillinger for forfalskning er tilgjengelige i policyer for anti-phishing for alle postbokser i skyen og i policyer for anti-phishing i Defender for Office 365:

  • Aktiver forfalskningsintelligens: Aktiverer eller deaktiverer forfalskningsintelligens. Vi anbefaler at du lar den være slått på.

    Når forfalskningsintelligens er aktivert, viser den falske intelligensinnsikten falske avsendere som automatisk ble oppdaget og tillatt eller blokkert av forfalskningsintelligens. Du kan overstyre dommen for falsk intelligens manuelt for å tillate eller blokkere de oppdagede falske avsenderne fra innsikten. Men når du gjør det, forsvinner den forfalskede avsenderen fra den falske intelligensinnsikten, og er bare synlig på fanen Falske avsendere på siden Tillat/blokker lister for leierhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Du kan også manuelt opprette tillatelses- eller blokkeringsoppføringer for forfalskede avsendere i leierens tillatelses-/blokkeringsliste, selv om innsikten om forfalskningsintelligens aldri oppdaget meldingene. Hvis du vil ha mer informasjon, kan du se følgende artikler:

    Obs!

    • Beskyttelse mot forfalskning er aktivert i Standard og strenge forhåndsinnstilte sikkerhetspolicyer. Den aktiveres som standard i standardpolicyen for anti-phishing og i nye egendefinerte policyer for anti-phishing som du oppretter.
    • Du trenger ikke å deaktivere beskyttelse mot forfalskning hvis MX-posten ikke peker til Microsoft 365. du aktiverer utvidet filtrering for koblinger i stedet. Hvis du vil ha instruksjoner, kan du se Utvidet filtrering for koblinger i Exchange Online.
    • Deaktivering av beskyttelse mot forfalskning deaktiverer bare implisitt forfalskningsbeskyttelse fra sammensatte godkjenningskontroller . Hvis du vil ha informasjon om hvordan beskyttelse mot forfalskning og domenets DMARC-policy for kildedomener (p=quarantine eller p=reject I DMARC TXT-posten) påvirker eksplisitteDMARC-kontroller , kan du se avsnittet Om forfalskningsbeskyttelse og DMARC-policyer for avsender .

  • Ikke godkjente avsenderindikatorer: Tilgjengelig i delen Sikkerhetstips & indikatorer bare når forfalskningsintelligens er aktivert. Se detaljene i neste del.

  • Handlinger: For meldinger fra blokkerte forfalskede avsendere (automatisk blokkert av forfalskningsintelligens (sammensatt godkjenningsfeil pluss ondsinnede hensikter) eller manuelt blokkert i listen Over tillatte/blokkerede tenanter), kan du også angi handlingen som skal utføres på meldingene:

Forfalskningsbeskyttelse og DMARC-policyer for avsender

I policyer for anti-phishing kan du kontrollere om p=quarantine eller p=reject verdier i DMARC-policyer for avsender overholdes. Hvis en melding mislykkes med DMARC-kontroller, kan du angi separate handlinger for p=quarantine eller p=reject i avsenderens DMARC-policy. Følgende innstillinger er involvert:

  • Overtred policyen for DMARC-post når meldingen oppdages som forfalskning: Denne innstillingen aktiverer å overholde avsenderens DMARC-policy for eksplisitte feil ved e-postgodkjenning. Når denne innstillingen er valgt, er følgende innstillinger tilgjengelige:

    • Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=karantene: De tilgjengelige handlingene er:
      • Sett meldingen i karantene
      • Flytte meldingen til mottakernes søppelpostmapper
    • Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=avvis: De tilgjengelige handlingene er:
      • Sett meldingen i karantene
      • Avvis meldingen

    Hvis du velger Karantenemeldingen som en handling, bruker systemet karantenepolicyen som er valgt for beskyttelse mot forfalskningsintelligens.

DMARC-innstillinger i en policy for anti-phishing.

Relasjonen mellom forfalskningsintelligens og om DMARC-policyer for avsender overholdes, beskrives i tabellen nedenfor:

Tips

Det er viktig å forstå at en sammensatt godkjenningsfeil ikke direkte fører til at en melding blokkeres. Systemet vårt bruker en helhetlig evalueringsstrategi som vurderer den generelle mistenkelige karakteren til en melding sammen med sammensatte godkjenningsresultater. Denne metoden reduserer risikoen for feil blokkering av ekte e-post fra domener som kanskje ikke følger e-postgodkjenningsprotokoller. Denne balanserte tilnærmingen bidrar til å skille ekte skadelig e-post fra legitime meldingsavsendere som ikke overholder standard praksis for e-postgodkjenning.

  Overtred DMARC-policy på Overtred DMARC-policy av
Forfalskningsintelligens på Separate handlinger for implisitte og eksplisitte feil ved godkjenning av e-post:
  • Implisitte feil: Bruk hvis meldingen oppdages som forfalskning av forfalskningsintelligenshandling i anti-phishing-policyen.
  • Eksplisitte feil:
    • DMARC-policy p=quarantine: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=karantenehandling i policyen for anti-phishing.
    • DMARC-policy p=reject: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=avvis handling i policyen for anti-phishing.
    • DMARC-policy p=none: Microsoft 365 gjør ingen handlinger basert på DMARC, men andre beskyttelsesfunksjoner i filtreringsstakken kan fremdeles utføres på meldingen.
 Hvis meldingen oppdages som forfalskning av forfalskningsintelligenshandling i anti-phishing-policyen, brukes den for både implisitte og eksplisitte feil ved e-postgodkjenning. Eksplisitte feil ved e-postgodkjenning ignorerer p=quarantine, p=reject, p=noneeller andre verdier i DMARC-policyen.
Forfalskningsintelligens av Implisitte e-postgodkjenningskontroller brukes ikke.

Mislykket e-postgodkjenning:
  • DMARC-policy p=quarantine: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=karantenehandling i policyen for anti-phishing.
  • DMARC-policy p=reject: Bruk policyen Hvis meldingen oppdages som forfalskning, og DMARC-policyen er angitt som p=avvis handling i policyen for anti-phishing.
  • DMARC-policy p=none: Meldingen identifiseres ikke som forfalskning av Microsoft 365, men andre beskyttelsesfunksjoner i filtreringsstakken kan fortsatt utføres på meldingen.
 Implisitte e-postgodkjenningskontroller brukes ikke.

Mislykket e-postgodkjenning:
  • DMARC-policy p=quarantine: Meldinger er satt i karantene.
  • DMARC-policy p=reject: Meldinger er satt i karantene.
  • DMARC-policy p=none: Microsoft 365 gjør ingen handlinger basert på DMARC, men andre beskyttelsesfunksjoner i filtreringsstakken kan fremdeles utføres på meldingen.

Obs!

Hvis MX-posten for Microsoft 365-domenet peker til en ikke-Microsoft-tjeneste eller enhet som er foran Microsoft 365, brukes policyinnstillingen Honor DMARC bare hvis Utvidet filtrering for koblinger er aktivert for koblingen som mottar innkommende meldinger.

Kunder kan overstyre policyinnstillingen Honor DMARC for bestemte e-postmeldinger og/eller avsendere ved hjelp av følgende metoder:

  • Administratorer eller brukere kan legge til avsenderne i listen over klarerte avsendere i brukerens postboks.
  • Administratorer kan bruke falsk intelligensinnsikt eller leierens tillatelses-/blokkeringsliste til å tillate meldinger fra den forfalskede avsenderen.
  • Administratorer oppretter en Exchange-regel for e-postflyt (også kjent som en transportregel) for alle brukere som tillater meldinger for de bestemte avsenderne.
  • Administratorer oppretter en Exchange-e-postflytregel for alle brukere for avvist e-post som ikke oppfyller organisasjonens DMARC-policy.

Indikatorer for uautorisert avsender

Indikatorer for uautorisert avsender er en del av innstillingene for forfalskning som er tilgjengelige i delen Sikkerhetstips & indikatorer i anti-phishing-policyer for alle postbokser i skyen og i policyer for anti-phishing i Defender for Office 365. Følgende innstillinger er bare tilgjengelige når forfalskningsintelligens er aktivert:

  • Vis (?) for uautoriserte avsendere for forfalskning: Legger til et spørsmålstegn i avsenderens bilde i Fra-boksen hvis meldingen ikke består SPF- eller DKIM-kontroller , og meldingen ikke består DMARC eller sammensatt godkjenning. Når denne innstillingen er deaktivert, legges ikke spørsmålstegnet til avsenderens bilde.

    Skjermbilde av en uautorisert avsender i en e-postmelding.

  • Vis «via»-koden: Legger til «via»-koden (chris@contoso.com <u>via</u> fabrikam.com) i Fra-boksen hvis domenet i Fra-adressen (meldingssenderen som vises i e-postklienter) er forskjellig fra domenet i DKIM-signaturen eller MAIL FROM-adressen . Hvis du vil ha mer informasjon om disse adressene, kan du se En oversikt over standarder for e-postmeldinger.

    Skjermbilde av via-koden i en e-postmelding.

Hvis du vil hindre at spørsmålstegnet eller via-merket legges til i meldinger fra bestemte avsendere, har du følgende alternativer:

  • Tillat den forfalskede avsenderen i den falske intelligensinnsikten eller manuelt i leierens tillatelses-/blokkeringsliste. Hvis du tillater at den forfalskede avsenderen hindrer at «via»-koden vises i meldinger fra avsenderen, selv om innstillingen Vis via er aktivert i policyen.
  • Konfigurer e-postgodkjenning for avsenderdomenet.
    • For spørsmålstegnet i avsenderens bilde er SPF eller DKIM det viktigste.
    • Bekreft domenet i DKIM-signaturen eller E-POST FRA-adressesamsvar (eller er et underdomene for) domenet i Fra-adressen for «via»-koden.

Hvis du vil ha mer informasjon, kan du se Identifisere mistenkelige meldinger i Outlook.com og Outlook på nettet

Første kontaktsikkerhetstips

Innstillingen Vis første kontaktsikkerhetstips er tilgjengelig i policyer for anti-phishing for alle postbokser i skyen og i policyer for anti-phishing i Defender for Office 365, og har ingen avhengighet av innstillinger for beskyttelse mot forfalskning eller representasjon. Sikkerhetstipset vises for mottakerne i følgende scenarioer:

  • Første gang de får en melding fra en avsender
  • De får ikke ofte meldinger fra avsenderen.

Denne funksjonen legger til et ekstra lag med beskyttelse mot potensielle etterligningsangrep, så vi anbefaler at du slår det på.

Det første kontaktsikkerhetstipset kontrolleres av verdien 9,25 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Denne funksjonaliteten erstatter behovet for å opprette regler for e-postflyt (også kjent som transportregler) som legger til en topptekst kalt X-MS-Exchange-EnableFirstContactSafetyTip med verdien Enable i meldinger, selv om denne funksjonen fortsatt er tilgjengelig.

Avhengig av antall mottakere i meldingen, kan det første kontaktsikkerhetstipset være en av følgende verdier:

  • Én enkelt mottaker:

    Du får ikke ofte e-post fra <e-postadressen>.

    Første kontaktsikkerhetstips for meldinger med én mottaker

  • Flere mottakere:

    Noen personer som har mottatt denne meldingen, får ikke ofte e-post fra <e-postadressen>.

    Første kontaktsikkerhetstips for meldinger med flere mottakere

Obs!

Hvis meldingen har flere mottakere, om tipset vises og hvem som er basert på en flertallsmodell. Hvis de fleste mottakere aldri har eller ikke ofte mottar meldinger fra avsenderen, får de berørte mottakerne noen personer som har mottatt denne meldingen... tips. Hvis du er bekymret for at denne virkemåten viser kommunikasjonsvanene til én mottaker til en annen, bør du ikke aktivere det første kontaktsikkerhetstipset og fortsette å bruke regler for e-postflyt og hodet X-MS-Exchange-EnableFirstContactSafetyTip i stedet.

Det første kontaktsikkerhetstipset er ikke stemplet i S/MIME-signerte meldinger.

Eksklusive innstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Denne delen beskriver policyinnstillingene som bare er tilgjengelige i policyer for anti-phishing i Defender for Office 365.

Obs!

Standard anti-phishing-policy i Defender for Office 365 gir falsk beskyttelse og postboksintelligens for alle mottakere. De andre tilgjengelige funksjonene for representasjonsbeskyttelse og phishing-e-postterskler er imidlertid ikke konfigurert i standardpolicyen. Hvis du vil aktivere alle beskyttelsesfunksjoner, endrer du standard policy for anti-phishing eller oppretter andre policyer for anti-phishing.

Representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Representasjon er der avsenderen eller avsenderens e-postdomene i en melding ligner på en ekte avsender eller et domene:

  • Et eksempel på representasjon av domenet contoso.com er ćóntoso.com.
  • Brukerrepresentasjon er kombinasjonen av brukerens visningsnavn og e-postadresse. For eksempel kan Valeria Barrios (vbarrios@contoso.com) representeres som Valeria Barrios, men med en annen e-postadresse.

Obs!

Representasjonsbeskyttelse ser etter domener som ligner. Hvis for eksempel domenet er contoso.com, ser vi etter forskjellige toppdomener (.com, .bizosv.), men også domener som er litt like. For eksempel, contosososo.com eller contoabcdef.com kan bli sett på som representasjonsforsøk på contoso.com.

Et representert domene kan ellers betraktes som legitimt (domenet er registrert, DNS-poster for e-postgodkjenning konfigureres osv.), bortsett fra at hensikten med domenet er å lure mottakere.

Representasjonsinnstillingene som er beskrevet i avsnittene nedenfor, er bare tilgjengelige i policyer for anti-phishing i Defender for Office 365.

Tips

Detaljer om oppdagede representasjonsforsøk er tilgjengelige i representasjonsinnsikten. Hvis du vil ha mer informasjon, kan du se Representasjonsinnsikt i Defender for Office 365.

Hvis du vil ha en sammenligning av representasjon kontra forfalskning, kan du se avsnittet Forfalsking kontra etterligning senere i denne artikkelen.

Beskyttelse mot brukerrepresentasjon

Beskyttelse mot brukerrepresentasjon hindrer at bestemte interne eller eksterne e-postadresser blir representert som avsendere av meldinger. Du mottar for eksempel en e-postmelding fra visepresidenten i firmaet som ber deg om å sende henne intern firmainformasjon. Ville du gjort det? Mange ville sendt svaret uten å tenke.

Du kan bruke beskyttede brukere til å legge til interne og eksterne avsender-e-postadresser for å beskytte mot representasjon. Denne listen over avsendere som er beskyttet mot brukerrepresentasjon, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som er konfigurert i innstillingene for brukere, grupper og domener i delen Felles policyinnstillinger ).

Obs!

Du kan angi maksimalt 350 brukere for beskyttelse mot brukerrepresentasjon i hver policy for anti-phishing.

Når både Aktiver postboksintelligens og Aktiver intelligens for representasjonsbeskyttelse er aktivert, fungerer ikke beskyttelse mot brukerrepresentasjon hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et representasjonsforsøk.

Hvis en bruker allerede er inkludert i representasjonsbeskyttelse i en policy for anti-phishing, kan du få følgende feilmelding hvis du prøver å legge til brukeren i representasjonsbeskyttelse i en annen policy for anti-phishing: «E-postadressen finnes allerede.» Denne feilen oppstår bare i Defender-portalen. Du får ikke feilen hvis du bruker tilsvarende TargetedUsersToProtect-parameter i cmdletene New-AntiPhishPolicy eller Set-AntiPhishPolicy i Exchange Online PowerShell.

Som standard er ingen avsender-e-postadresser konfigurert for representasjonsbeskyttelse, verken i standardpolicyen eller i egendefinerte policyer.

Når du legger til interne eller eksterne e-postadresser i brukere for å beskytte listen, er meldinger fra disse avsenderne underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i avsenderens e-postadresse, brukes handlingen for representerte brukere på meldingen.

For oppdagede forsøk på brukerrepresentasjon er følgende handlinger tilgjengelige:

  • Ikke bruk noen handling: Standardhandlingen.

  • Omdirigere meldingen til andre e-postadresser: Sender meldingen til de angitte mottakerne i stedet for de tiltenkte mottakerne.

  • Flytte meldinger til mottakernes søppelpostmapper: Meldingen leveres til postboksen og flyttes til Søppelpost-mappen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost i postbokser i skyen.

  • Sett meldingen i karantene: Sender meldingen i karantene i stedet for de tiltenkte mottakerne. Hvis du vil ha informasjon om karantene, kan du se følgende artikler:

    Hvis du velger karantenemeldingen, kan du også velge karantenepolicyen som gjelder for meldinger som er satt i karantene av beskyttelse mot brukerrepresentasjon. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

  • Lever meldingen, og legg til andre adresser i Blindkopi-linjen: Lever meldingen til de tiltenkte mottakerne, og lever meldingen stille til de angitte mottakerne.

  • Slett meldingen før den leveres: Slett hele meldingen stille, inkludert alle vedlegg.

Beskyttelse mot domenerepresentasjon

Beskyttelse mot domenerepresentasjon hindrer at bestemte domener i avsenderens e-postadresse blir representert. For eksempel alle domener som du eier (godtatte domener) eller bestemte egendefinerte domener (domener du eier eller partnerdomener). Avsenderdomener som er beskyttet mot etterligning, er forskjellig fra listen over mottakere som policyen gjelder for (alle mottakere for standardpolicyen, bestemte mottakere som er konfigurert i innstillingene for brukere, grupper og domener i delen Innstillinger for felles policy ).

Obs!

Du kan angi maksimalt 50 egendefinerte domener for beskyttelse mot domenerepresentasjon i hver anti-phishing-policy.

Når både Aktiver postboksintelligens og Aktiver intelligens for representasjonsbeskyttelse er aktivert, fungerer ikke beskyttelse mot domenerepresentasjon hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et representasjonsforsøk.

Meldinger fra avsendere i de angitte domenene er underlagt beskyttelseskontroller for representasjon. Meldingen kontrolleres for representasjon hvis meldingen sendes til en mottaker som policyen gjelder for (alle mottakere for standardpolicyen; Brukere, grupper og domenemottakere i egendefinerte policyer). Hvis representasjon oppdages i domenet til avsenderens e-postadresse, brukes handlingen for domenerepresentasjon på meldingen.

Som standard er ingen avsenderdomener konfigurert for representasjonsbeskyttelse, verken i standardpolicyen eller i egendefinerte policyer.

For oppdagede forsøk på domenerepresentasjon er følgende handlinger tilgjengelige:

  • Ikke bruk noen handling: Standardverdien.

  • Omdirigere meldingen til andre e-postadresser: Sender meldingen til de angitte mottakerne i stedet for de tiltenkte mottakerne.

  • Flytte meldinger til mottakernes søppelpostmapper: Meldingen leveres til postboksen og flyttes til Søppelpost-mappen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost i postbokser i skyen.

  • Sett meldingen i karantene: Sender meldingen i karantene i stedet for de tiltenkte mottakerne. Hvis du vil ha informasjon om karantene, kan du se følgende artikler:

    Hvis du velger karantenemeldingen, kan du også velge karantenepolicyen som gjelder for meldinger som er satt i karantene av beskyttelse mot domenerepresentasjon. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

  • Lever meldingen, og legg til andre adresser i Blindkopi-linjen: Lever meldingen til de tiltenkte mottakerne, og lever meldingen stille til de angitte mottakerne.

  • Slett meldingen før den leveres: Hele meldingen slettes stille, inkludert alle vedlegg.

Beskyttelse mot etterligning av postboksintelligens

Postboksintelligens bruker kunstig intelligens (AI) til å bestemme bruker-e-postmønstre med sine hyppige kontakter.

Gabriela Laureano (glaureano@contoso.com) er for eksempel administrerende direktør i firmaet, så du legger henne til som en beskyttet avsender i Aktiver brukere for å beskytte innstillingene for policyen. Men noen av mottakerne i politikken kommuniserer regelmessig med en leverandør som også heter Gabriela Laureano (glaureano@fabrikam.com). Fordi disse mottakerne har en kommunikasjonslogg med glaureano@fabrikam.com, identifiserer ikke postboksintelligens meldinger som glaureano@fabrikam.com et etterligningsforsøk glaureano@contoso.com for disse mottakerne.

Obs!

Beskyttelse mot postboksintelligens fungerer ikke hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et etterligningsforsøk av postboksintelligens.

Postboksintelligens har to spesifikke innstillinger:

  • Aktivere postboksintelligens: Aktivere eller deaktivere postboksintelligens. Denne innstillingen hjelper kunstig intelligens med å skille mellom meldinger fra legitime og representerte avsendere. Som standard er denne innstillingen aktivert.
  • Aktiver intelligens for representasjonsbeskyttelse: Som standard er denne innstillingen deaktivert. Hvis du vil beskytte brukere mot etterligningsangrep, kan du bruke kontaktloggen som er lært fra postboksintelligens (både hyppige kontakter og ingen kontakter). For at postboksintelligens skal kunne utføre handlinger på oppdagede meldinger, må denne innstillingen og innstillingen Aktiver postboksintelligens være aktivert.

For etterligningsforsøk som oppdages av postboksintelligens, er følgende handlinger tilgjengelige:

  • Ikke bruk noen handling: Standardverdien. Denne handlingen har samme resultat som når Aktiver postboksintelligens er aktivert, men Aktiver beskyttelse mot intelligensrepresentasjon er deaktivert.
  • Omdirigere meldingen til andre e-postadresser
  • Flytte meldingen til mottakernes søppelpostmapper
  • Sett meldingen i karantene: Hvis du velger denne handlingen, kan du også velge karantenepolicyen som gjelder for meldinger som er satt i karantene av beskyttelse mot postboksintelligens. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
  • Levere meldingen og legge til andre adresser i Blindkopi-linjen
  • Slette meldingen før den leveres

Sikkerhetstips for representasjon

Sikkerhetstips for representasjon vises for brukere når meldinger identifiseres som representasjonsforsøk. Følgende sikkerhetstips er tilgjengelige:

  • Vis sikkerhetstips for brukerrepresentasjon: Fra-adressen inneholder en bruker som er angitt i beskyttelse mot brukerrepresentasjon. Bare tilgjengelig hvis Aktiver brukere å beskytte er aktivert og konfigurert.

    Dette sikkerhetstipset kontrolleres av verdien 9,20 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Teksten sier:

    <Avsenderen> ligner på noen som tidligere har sendt deg e-post, men som kanskje ikke er den personen.

    Skjermbilde av en e-postmelding med sikkerhetstips for brukerrepresentasjon.

  • Vis sikkerhetstips for domenerepresentasjon: Fra-adressen inneholder et domene som er angitt i beskyttelse mot domenerepresentasjon. Bare tilgjengelig hvis Aktiver domener som skal beskyttes , er aktivert og konfigurert.

    Dette sikkerhetstipset kontrolleres av verdien 9,19 i SFTY feltet i overskriften X-Forefront-Antispam-Report i meldingen. Teksten sier:

    Denne avsenderen representerer kanskje et domene som er knyttet til organisasjonen.

    Skjermbilde av en e-postmelding med et sikkerhetstips for domenerepresentasjon.

  • Vis sikkerhetstips for brukerrepresentasjon uvanlige tegn: Fra-adressen inneholder uvanlige tegnsett (for eksempel matematiske symboler og tekst eller en blanding av store og små bokstaver) i en avsender som er angitt i beskyttelse mot brukerrepresentasjon. Bare tilgjengelig hvis Aktiver brukere å beskytte er aktivert og konfigurert. Teksten sier:

    E-postadressen <email address> inneholder uventede bokstaver eller tall. Vi anbefaler at du ikke samhandler med denne meldingen.

Obs!

Sikkerhetstips stemples ikke i følgende meldinger:

  • S/MIME-signerte meldinger.
  • Meldinger som tillates av organisasjonsinnstillingene.

Klarerte avsendere og domener

Klarerte avsendere og domene er unntak fra innstillingene for representasjonsbeskyttelse. Meldinger fra angitte avsendere og avsenderdomener klassifiseres aldri som representasjonsbaserte angrep fra policyen. Handlingen for beskyttede avsendere, beskyttede domener eller postboksintelligensbeskyttelse brukes med andre ord ikke for disse klarerte avsenderne eller avsenderdomenene. Maksimumsgrensen for disse listene er 1 024 oppføringer.

Obs!

Klarerte domeneoppføringer inkluderer ikke underdomener for det angitte domenet. Du må legge til en oppføring for hvert underdomene.

Hvis Microsoft 365-systemmeldinger fra følgende avsendere identifiseres som representasjonsforsøk, kan du legge til avsenderne i listen over klarerte avsendere:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Phishing-e-postterskler i anti-phishing-policyer i Microsoft Defender for Office 365

Følgende terskler for phishing-e-post er bare tilgjengelig i policyer for anti-phishing i Defender for Office 365. Disse terskler styrer følsomheten for å bruke maskinlæringsmodeller på meldinger for phishing-dommer:

  • 1 – Standard: Standardverdien. Alvorsgraden for handlingen som utføres på meldingen, avhenger av graden av visshet om at meldingen er phishing (lav, middels, høy eller svært høy konfidens). Meldinger som identifiseres med svært høy grad av konfidens, har for eksempel brukt de mest alvorlige handlingene. Meldinger som identifiseres med lav grad av konfidens, har mindre alvorlige handlinger.
  • 2 – Aggressive: Meldinger som identifiseres som phishing med høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 3 – Mer aggressive: Meldinger som identifiseres som phishing med middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.
  • 4 – Mest aggressive: Meldinger som identifiseres som phishing med lav, middels eller høy grad av konfidens, behandles som om de ble identifisert med svært høy grad av konfidens.

Sjansen for falske positiver (gode meldinger merket som dårlige) øker etter hvert som du øker denne innstillingen. Hvis du vil ha informasjon om de anbefalte innstillingene, kan du se Phishing-e-postterskler i policyer for anti-phishing i Microsoft Defender for Office 365.

Forfalskning kontra representasjon

Forfalskning er en angriper som smier avsenderens e-postadresse eller domene for å få den til å se ut som en klarert kilde. Angriperen manipulerer avsenderens e-postadresse i meldingshodet (også kjent som Fra-adressen, 5322.From adressen eller P2-avsenderen) for å lure mottakeren.

  • Anti-phishing-beskyttelse for alle postbokser i skyen inkluderer grunnleggende forfalskningsgjenkjenning via SPF, DKIM og DMARC-validering.
  • Defender for Office 365 inkluderer forbedret forfalskningsintelligens for bedre deteksjon og reduksjon av sofistikerte forfalskningsangrep.

Representasjon er en angriper som etterligner en klarert bruker, et domene eller merke for å lure mottakeren til å tro at e-postmeldingen er ekte. Angriperen bruker ofte diskré variasjoner av det faktiske bruker- eller domenenavnet (for eksempel mithun@ćóntoso.com i stedet mithun@contoso.comfor ).

  • Beskyttelse mot phishing for alle postbokser i skyen inkluderer ikke representasjonsbeskyttelse.
  • Defender for Office 365 inkluderer representasjonsbeskyttelse for brukere, domener og merker, slik at administratorer kan definere klarerte enheter og terskler for gjenkjenning.

Representasjon kan bestå e-postgodkjenningskontroller (SPF, DKIM og DMARC) hvis angriperen opprettet et speildomene og publiserte gyldige DNS-poster. Til tross for å ha bestått godkjenning, utgir angriperen seg fortsatt for å være et klarert domene eller en bruker for å lure mottakere. Denne virkemåten fremhever viktigheten av den avanserte representasjonsbeskyttelsen fra Defender for Office 365.

Hvis du vil forstå rekkefølgen på behandlingen for e-postbeskyttelsestypene og prioritetsrekkefølgen for policyer, kan du se Ordre og prioritet for e-postbeskyttelse.

  • Last updated on