Proteção antifalsificação no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Se você for um cliente do Microsoft 365 com caixas de correio no Exchange Online ou um cliente autônomo da Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, o EOP incluirá recursos para ajudar a proteger sua organização contra remetentes falsificados (forjados).

Quando se trata de proteger os usuários, a Microsoft leva a sério a ameaça de phishing. A falsificação é uma técnica comum usada por invasores. As mensagens falsas parecem se originar de alguém ou algum lugar que não é a origem real. Essa técnica geralmente é usada em campanhas de phishing que são projetadas para obter credenciais de usuário. A tecnologia anti-falsificação no EOP examina especificamente a falsificação do cabeçalho De no corpo da mensagem, pois esse valor de cabeçalho é o remetente de mensagens mostrado em clientes de email. Quando a EOP tem alta confiança de que o cabeçalho De é forjado, a mensagem é identificada como falsificada.

As seguintes tecnologias antifalsificação estão disponíveis na EOP:

• Autenticação de email: Um componente integrante de qualquer esforço antifalsificação é o uso de autenticação de email (também conhecida como validação de email) pelos registros SPF, DKIM e DMARC no DNS. Você pode configurar esses registros para seus domínios, para que os sistemas de email de destino possam verificar a validade das mensagens que afirmam ser de remetentes em seus domínios. Para mensagens de entrada, o Microsoft 365 requer autenticação de email para domínios do remetente. Para obter mais informações, confira Autenticação de email no Microsoft 365.

  O EOP analisa e bloqueia mensagens com base na combinação de métodos padrão de autenticação de email e técnicas de reputação do remetente.

  

• Insight de inteligência falsificada: examine as mensagens falsificadas detectadas de remetentes em domínios internos e externos nos últimos sete dias. Para saber mais, confira Informações de inteligência contra falsificação no EOP.

• Permitir ou bloquear remetentes falsificados na Lista de Permissões/Blocos de Locatários: quando você substitui o veredicto no insight de inteligência falsa, o remetente falsificado se torna uma entrada manual de permissão ou bloqueio que aparece apenas na guia Remetentes Falsificados na página Permitir/Bloquear Listas do Locatário em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Você também pode criar manualmente entradas de permissão ou bloqueio para remetentes falsificados antes que eles sejam detectados pela inteligência contra falsificação. Para obter mais informações, confira Remetentes falsificados na Lista de Permissões/Blocos do Locatário.

• Políticas antiphishing: no EOP e no Microsoft Defender para Office 365, as políticas anti phishing contêm as seguintes configurações contra falsificação:

  • Ativar ou desativar a inteligência contra falsificação.
  • Ativar ou desativar os indicadores de remetentes não autenticados no Outlook.
  • Especificar a ação para os remetentes falsificados bloqueados.

  Para saber mais, confira Configurações de inteligência contra falsificação nas políticas anti phishing.

  As políticas anti-phishing no Defender para Office 365 contêm proteções de adição, incluindo a proteção contra representação. Para saber mais, confira Configurações exclusivas em políticas anti phishing no Microsoft Defender para Office 365.

• Relatório de detecção de falsificação: para saber mais, confira Relatório de Detecções de Falsificações.

  Defender para Office 365 organizações também podem usar detecções em tempo real (Plano 1) ou Explorer de Ameaças (Plano 2) para exibir informações sobre tentativas de phishing. Para obter mais informações, confira Investigação e resposta a ameaças do Microsoft 365.

Dica

É importante entender que uma falha de autenticação composta não resulta diretamente em uma mensagem sendo bloqueada. Nosso sistema usando uma estratégia de avaliação holística que considera a natureza geral suspeita de uma mensagem juntamente com os resultados de autenticação composta. Esse método foi projetado para mitigar o risco de bloquear incorretamente o email legítimo de domínios que podem não seguir estritamente os protocolos de autenticação por email. Essa abordagem balanceada ajuda a distinguir emails genuinamente mal-intencionados de remetentes de mensagens que simplesmente não estão em conformidade com as práticas padrão de autenticação de email.

Como a falsificação é usada em ataques de phishing

Os remetentes falsificados nas mensagens têm as seguintes implicações negativas para os usuários:

• Engano: mensagens de remetentes falsificados podem enganar o destinatário para selecionar um link e abrir mão de suas credenciais, baixar malware ou responder a uma mensagem com conteúdo confidencial (conhecido como compromisso de email comercial ou BEC).

  A seguinte mensagem é um exemplo de phishing que usa o remetente falsificado msoutlook94@service.outlook.com:

  

  Essa mensagem não veio de service.outlook.com, mas o invasor falsificou o campo do cabeçalho De para fazer com que parecesse ter vindo. O remetente tentou enganar o destinatário para selecionar a alteração do link de senha e fornecer suas credenciais.

  A seguinte mensagem é um exemplo de BEC que usa o domínio de email falsificado contoso.com:

  

  A mensagem parece legítima, mas o remetente é falso.

• Confusão: mesmo os usuários que sabem sobre phishing podem ter dificuldade em ver as diferenças entre mensagens reais e mensagens de remetentes falsificados.

  A seguinte mensagem é um exemplo de uma mensagem real de redefinição de senha da conta de Segurança da Microsoft:

  

  A mensagem realmente veio da Microsoft, mas os usuários foram condicionados a suspeitar. Como é difícil distinguir uma mensagem de redefinição de senha real de uma falsa, os usuários podem ignorar a mensagem, denunciá-la como spam ou denunciá-la desnecessariamente à Microsoft como phishing.

Diferentes tipos de falsificação

A Microsoft diferencia entre dois tipos diferentes de remetentes falsificados em mensagens:

• Falsificação dentro da organização: Também conhecida como falsificação self-to-self. Por exemplo:

  • O remetente e o destinatário estão no mesmo domínio:

    De: chris@contoso.com
    Para: michelle@contoso.com

  • O remetente e o destinatário estão em subdomínios do mesmo domínio:

    De: laura@marketing.fabrikam.com
    Para: julia@engineering.fabrikam.com

  • O remetente e o destinatário estão em domínios diferentes que pertencem à mesma organização (ou seja, os dois domínios estão configurados como domínios aceitos na mesma organização):

    De: remetente @ microsoft.com
    Para: destinatário @ bing.com

    Os espaços são usados nos endereços de email para impedir a coleta de spambots.

  As mensagens reprovadas na autenticação composta devido à falsificação dentro da organização contêm os seguintes valores de cabeçalho:

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx indica falsificação dentro da organização.

  • SFTY é o nível de segurança da mensagem. 9 indica phishing, .11 indica falsificação intra-org.

• Falsificação entre domínios: Os domínios do remetente e do destinatário são diferentes e não têm relação entre si (também conhecidos como domínios externos). Por exemplo:

  De: chris@contoso.com
  Para: michelle@tailspintoys.com

  As mensagens reprovadas na autenticação composta devido à falsificação entre domínios contêm os seguintes valores de cabeçalhos:

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 indica que a mensagem foi reprovada na autenticação explícita de email. reason=001 indica que a mensagem foi reprovada na autenticação implícita de email.

  • SFTY é o nível de segurança da mensagem. 9 indica phishing, .22 indica falsificação entre domínios.

  Para obter mais informações sobre Autenticação-Resultados e compauth valores, consulte Campos de cabeçalho de mensagem autenticação-resultados.

Problemas com a proteção antifalsificação

As listas de emails (também conhecidas como listas de discussão) são conhecidas por ter problemas com a proteção anti-falsificação devido à maneira como encaminham e modificam mensagens.

Por exemplo, Gabriela Laureano (glaureano@contoso.com) está interessada em observação de pássaros, ingressa na lista birdwatchers@fabrikam.comde emails e envia a seguinte mensagem para a lista:

Por: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de discussão do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: Belo exemplo de gaios azuis no topo do Monte Rainier esta semana

Alguém quer conferir esta semana a vista do Monte Rainier?

O servidor da lista de endereçamento recebe a mensagem, modifica seu conteúdo e a repete aos membros da lista. A mensagem reproduzida tem o mesmo Endereço (glaureano@contoso.com), mas uma marca é adicionada à linha de assunto e um rodapé é adicionado à parte inferior da mensagem. Esse tipo de modificação é comum em listas de endereçamento, e pode resultar em falsos positivos para falsificação.

Por: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de discussão do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: [OBSERVAÇÃODEPÁSSAROS] Belo exemplo de gaios azuis no topo do Monte Rainier esta semana

Alguém quer conferir esta semana a vista do Monte Rainier?

Esta mensagem foi enviada para a lista de discussão de Observação de Pássaros. Você pode cancelar a assinatura a qualquer momento.

Para ajudar as mensagens da lista de endereçamento a passarem nas verificações antifalsificação, execute as seguintes etapas com base no controle da lista de endereçamento:

• Sua organização é dona da lista de emails:

  • Verifique as Perguntas Frequentes em DMARC.org: Opero uma lista de endereçamento e quero interoperar com o DMARC, o que devo fazer?.
  • Leia as instruções nesta postagem do blog: Uma dica para os operadores de listas de endereçamento interoperarem com o DMARC para evitar falhas.
  • Considere instalar atualizações no servidor de lista de emails para dar suporte ao ARC. Para obter mais informações, confira http://arc-spec.org.

• Sua organização não é dona da lista de emails:

  • Peça ao mantenedor da lista de endereçamento para que ele configure a autenticação de email para o domínio do qual a lista de endereçamento está retransmitindo. Os proprietários são mais propensos a agir se membros suficientes pedirem a eles para configurar a autenticação de email. Embora a Microsoft também trabalhe com proprietários de domínio para publicar os registros necessários, é ainda mais eficaz quando usuários individuais solicitam isso.
  • Create regras de caixa de entrada em seu cliente de email para mover mensagens para a caixa de entrada.
  • Use a Lista de Permissões/Blocos do Locatário para criar uma entrada de permissão para a lista de emails tratá-la como legítima. Para obter mais informações, consulte Create permitir entradas para remetentes falsificados.

Se tudo falhar, você poderá relatar a mensagem como um falso positivo para a Microsoft. Para mais informações, confira Relatar mensagens e arquivos à Microsoft.

Considerações sobre a proteção antifalsificação

Se você é um administrador que atualmente envia mensagens para o Microsoft 365, precisa garantir que seu email seja autenticado corretamente. Caso contrário, ele pode ser marcado como spam ou phishing. Para obter mais informações, consulte Como evitar falhas de autenticação por email ao enviar emails para o Microsoft 365.

Remetentes em remetentes seguros de usuário (ou administrador) individuais listam partes de bypass da pilha de filtragem, incluindo proteção falsa. Para obter mais informações, confira Remetentes Confiáveis do Outlook.

Se possível, os administradores devem evitar usar listas de remetentes permitidas ou listas de domínio permitidas em políticas anti-spam. Esses remetentes ignoram a maior parte da pilha de filtragem (mensagens de phishing e malware de alta confiança estão sempre em quarentena). Para mais informações, confira Usar listas de remetentes permitidos ou listas de domínios permitidos.