Beveiliging tegen adresvervalsing in EOP

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-bedrijven met postvakken in Exchange Online of EOP-bedrijven (standalone Exchange Online Protection) zonder Exchange Online-postvakken bevat EOP functies om uw organisatie te beschermen tegen gespoofte (vervalste) afzenders.

Wanneer het gaat om het beschermen van haar gebruikers, neemt Microsoft de dreiging van phishing zeer serieus. Spoofing is een gangbare techniek die door hackers wordt gebruikt. Vervalste berichten lijken afkomstig te zijn van iemand of ergens anders dan de daadwerkelijke bron. Deze techniek wordt vaak gebruikt in phishingcampagnes die zijn ontworpen om gebruikersreferenties op te halen. De anti-adresvervalsingstechnologie in EOP onderzoekt specifiek vervalsing van de Van-koptekst in de berichttekst, omdat deze koptekst de afzender van het bericht is die wordt weergegeven in e-mailclients. Wanneer EOP een hoge mate van vertrouwen heeft dat de Van-header is vervalst, wordt het bericht geïdentificeerd als vervalst.

De volgende anti-spoofing-technologieën zijn beschikbaar in EOP:

• E-mailverificatie: een integraal onderdeel van elke poging tot spoofing is het gebruik van e-mailverificatie (ook bekend als e-mailvalidatie) door SPF-, DKIM- en DMARC-records in DNS. U kunt deze records configureren voor uw domeinen, zodat doel-e-mailsystemen de geldigheid kunnen controleren van berichten die beweren afkomstig te zijn van afzenders in uw domeinen. Voor inkomende berichten vereist Microsoft 365 e-mailverificatie voor de domeinen van de afzender. Zie E-mailverificatie in Microsoft 365 voor meer informatie.

  EOP analyseert en blokkeert berichten op basis van de combinatie van standaardmethoden voor e-mailverificatie en afzenderreputatietechnieken.

  

• Inzicht in adresvervalsingsinformatie: controleer gedetecteerde vervalste berichten van afzenders in interne en externe domeinen in de afgelopen zeven dagen. Zie Inzicht in adresvervalsingsanalyse in EOP voor meer informatie.

• Vervalste afzenders toestaan of blokkeren in de lijst Tenant toestaan/blokkeren: wanneer u het oordeel in het inzicht in spoof intelligence overschrijft, wordt de vervalste afzender een handmatige vermelding toestaan of blokkeren die alleen wordt weergegeven op het tabblad Vervalste afzenders op de pagina Tenant toestaan/blokkeren Lijsten op https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. U kunt ook handmatig vermeldingen maken voor toestaan of blokkeren voor vervalste afzenders voordat deze worden gedetecteerd door adresvervalsingsanalyse. Zie Vervalste afzenders in de lijst Tenant toestaan/blokkeren voor meer informatie.

• Anti-phishingbeleid: in EOP en Microsoft Defender voor Office 365 bevat het anti-phishingbeleid de volgende instellingen voor anti-spoofing:

  • Adresvervalsingsanalyse in- of uitschakelen.
  • Schakel indicators voor niet-geverifieerde afzenders in Outlook in of uit.
  • Geef de actie op voor geblokkeerde vervalste afzenders.

  Zie Instellingen voor adresvervalsing in anti-phishingbeleid voor meer informatie.

  Antiphishingbeleid in Defender voor Office 365 aanvullende beveiligingen bevatten, waaronder bescherming tegen imitatie. Zie voor meer informatie Exclusieve instellingen in anti-phishingbeleid in Microsoft Defender voor Office 365.

• Rapport met detectie van adresvervalsing: Voor meer informatie, zie Rapport voor adresvervalsing.

  Defender voor Office 365 organisaties kunnen ook realtime detecties (Abonnement 1) of Bedreigingsverkenner (Abonnement 2) gebruiken om informatie over phishingpogingen weer te geven. Zie voor meer informatie Dreigingsonderzoek en -reactie in Microsoft 365.

Tip

Het is belangrijk om te begrijpen dat een samengestelde verificatiefout er niet rechtstreeks toe leidt dat een bericht wordt geblokkeerd. Ons systeem maakt gebruik van een holistische evaluatiestrategie die rekening houdt met de algehele verdachte aard van een bericht, samen met samengestelde verificatieresultaten. Deze methode is ontworpen om het risico te beperken dat legitieme e-mail ten onrechte wordt geblokkeerd van domeinen die mogelijk niet strikt voldoen aan e-mailverificatieprotocollen. Met deze evenwichtige benadering kunt u echt schadelijke e-mail onderscheiden van afzenders van berichten die eenvoudigweg niet voldoen aan de standaardprocedures voor e-mailverificatie.

Hoe spoofing wordt gebruikt in phishing-aanvallen

Vervalste afzenders in berichten hebben de volgende negatieve gevolgen voor gebruikers:

• Misleiding: Berichten van vervalste afzenders kunnen de ontvanger misleiden om een koppeling te selecteren en hun referenties op te geven, malware te downloaden of te reageren op een bericht met gevoelige inhoud (ook wel bekend als zakelijke e-mailcompromittatie of BEC).

  Het volgende bericht is een voorbeeld van phishing waarbij de vervalste afzender msoutlook94@service.outlook.comwordt gebruikt:

  

  Dit bericht is niet afkomstig van service.outlook.com, maar de aanvaller heeft het Van-veld in de header vervalst om het er zo uit te laten zien. De afzender heeft geprobeerd de ontvanger te misleiden om de koppeling uw wachtwoord te wijzigen en zijn referenties op te geven.

  Hieronder ziet u een voorbeeld van BEC waarin het vervalste e-mail domein contoso.com wordt gebruikt:

  

  Het bericht ziet er legitiem uit, maar de afzender is vervalst.

• Verwarring: zelfs gebruikers die op de hoogte zijn van phishing, kunnen moeite hebben om de verschillen te zien tussen echte berichten en berichten van vervalste afzenders.

  Het volgende bericht is een voorbeeld van een echt wachtwoordherstelbericht van het Microsoft Beveiliging-account:

  

  Het bericht kwam echt van Microsoft, maar gebruikers zijn geconditioneerd om op te passen. Omdat het moeilijk is om het verschil te zien tussen een echt wachtwoordherstelbericht en een nepbericht, kunnen gebruikers het bericht negeren, als spam rapporteren of het bericht onnodig aan Microsoft als phishing melden.

Verschillende typen spoofing

Microsoft maakt onderscheid tussen twee verschillende typen vervalste afzenders in berichten:

• Intra-org-spoofing: ook bekend als Self-to-self-spoofing. Bijvoorbeeld:

  • De afzender en ontvanger bevinden zich in hetzelfde domein:

    Van: chris@contoso.com
    Aan: michelle@contoso.com

  • De afzender en de ontvanger bevinden zich in de subdomeinen van hetzelfde domein:

    Van: laura@marketing.fabrikam.com
    Aan: julia@engineering.fabrikam.com

  • De afzender en de ontvanger bevinden zich in verschillende domeinen van dezelfde organisatie (dat wil zeggen: beide domeinen zijn geconfigureerd als geaccepteerde domeinen in dezelfde organisatie):

    Van: sender @ microsoft.com
    Aan: geadresseerde @ bing.com

    In de e-mailadressen worden spaties gebruikt om kopiëren door spambots te voorkomen.

  Berichten waarvoor samengestelde authenticatie is mislukt vanwege adresvervalsing tussen domeinen bevatten de volgende waarden in de koppen:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx geeft adresvervalsing binnen de organisatie aan.

  • SFTY is het beveiligingsniveau van het bericht. 9 geeft phishing aan, .11 duidt op spoofing binnen de organisatie.

• spoofing tussen domeinen: de afzender- en ontvangerdomeinen zijn verschillend en hebben geen relatie met elkaar (ook wel externe domeinen genoemd). Bijvoorbeeld:

  Van: chris@contoso.com
  Aan: michelle@tailspintoys.com

  Berichten waarvoor de samengestelde verificatie is mislukt vanwege adresvervalsing tussen domeinen bevatten de volgende waarden in de koppen:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 betekent dat het bericht niet is geslaagd voor expliciete e-mailverificatie. reason=001 betekent dat het bericht niet is geslaagd voor impliciete e-mailverificatie.

  • SFTY is het beveiligingsniveau van het bericht. 9 geeft phishing aan, .22 wijst op adresvervalsing tussen domeinen.

  Zie Berichtkopvelden voor verificatieresultaten voor meer informatie over verificatieresultaten en compauth -waarden.

Problemen met bescherming tegen spoofing

Adressenlijsten (ook wel discussielijsten genoemd) hebben problemen met bescherming tegen adresvervalsing vanwege de manier waarop ze berichten doorsturen en wijzigen.

Gabriela Laureano (glaureano@contoso.com) is bijvoorbeeld geïnteresseerd in vogels kijken, voegt zich bij de adressenlijst birdwatchers@fabrikam.comen stuurt het volgende bericht naar de lijst:

Van: 'Gabriela Laureano' <glaureano@contoso.com>
Aan: Vogelaars discussielijst <birdwatchers@fabrikam.com>
Betreft: Geweldig treffen van blauwe gaaien op de top van de Wageningse Berg deze week

Wil iedereen de bezichtiging zien deze week vanaf de Wageningse Berg?

De mailinglijstserver ontvangt het bericht, wijzigt de inhoud ervan en speelt het opnieuw af voor de leden van de lijst. Het opnieuw afgespeelde bericht heeft hetzelfde Van-adres (glaureano@contoso.com), maar er wordt een tag toegevoegd aan de onderwerpregel en onder aan het bericht wordt een voettekst toegevoegd. Dit type wijziging komt veel voor in mailinglijsten en kan leiden tot fout-positieven voor spoofing.

Van: 'Gabriela Laureano' <glaureano@contoso.com>
Aan: Vogelaars discussielijst <birdwatchers@fabrikam.com>
Betreft: [VOGELSPOTTERS] Geweldig treffen van blauwe gaaien op de top van de Wageningse Berg deze week

Wil iedereen de bezichtiging zien deze week vanaf de Wageningse Berg?

Dit bericht is verzonden naar de Vogelspotters-discussielijst. U kunt zich op elk moment weer afmelden.

Voer de volgende stappen uit, afhankelijk van of u de mailinglijst beheert, om ervoor te zorgen dat mailinglijstberichten anti-spoofingcontroles doorstaan:

• Uw organisatie is eigenaar van de adressenlijst:

  • Bekijk de veelgestelde vragen op DMARC.org: Ik heb een adressenlijst en ik wil samenwerken met DMARC, wat moet ik doen?
  • Lees de instructies in dit blogbericht: Een tip voor adressenlijstbeheerders om samen te werken met DMARC om fouten te voorkomen.
  • Overweeg om updates op uw adressenlijstserver te installeren om ARC te ondersteunen. Raadpleeg http://arc-spec.org voor meer informatie.

• Uw organisatie is niet de eigenaar van de adressenlijst:

  • Vraag de beheerder van de mailinglijst om e-mailverificatie te configureren voor het domein waar vandaan de mailinglijst doorstuurt. De eigenaren zijn eerder geneigd om te reageren als voldoende leden hen vragen om e-mailverificatie in te stellen. Hoewel Microsoft ook met domeineigenaren samenwerkt om de vereiste records te publiceren, is het nog beter wanneer afzonderlijke gebruikers erom vragen.
  • Creatie regels voor Postvak IN in uw e-mailclient om berichten te verplaatsen naar het Postvak IN.
  • Gebruik de lijst Tenant toestaan/blokkeren om een acceptatievermelding voor de adressenlijst te maken om deze als legitiem te behandelen. Zie Creatie vermeldingen toestaan voor vervalste afzenders voor meer informatie.

Als al het andere niet lukt, kunt u het bericht als fout-positief melden aan Microsoft. Zie voor meer informatie berichten en bestanden rapporteren aan Microsoft.

Overwegingen bij de bescherming tegen spoofing

Als u een beheerder bent die momenteel berichten naar Microsoft 365 stuurt, moet u ervoor zorgen dat uw e-mail correct is geverifieerd. Anders kan het als spam of phishing worden gemarkeerd. Zie E-mailverificatiefouten voorkomen bij het verzenden van e-mail naar Microsoft 365 voor meer informatie.

Afzenders in lijsten met veilige afzenders van afzonderlijke gebruikers (of beheerders) omzeilen delen van de filterstack, inclusief spoofbeveiliging. Zie Outlook-lijsten met veilige afzenders voor meer informatie.

Indien mogelijk moeten beheerders het gebruik van lijsten met toegestane afzenders of toegestane domeinlijsten in antispambeleid vermijden. Deze afzenders omzeilen het grootste deel van de filterstack (phishing- en malwareberichten met hoge betrouwbaarheid worden altijd in quarantaine geplaatst). Zie lijst met toegestane afzenders of toegestane domein lijsten gebruikenvoor meer informatie.