Insikter om förfalskningsinformation i EOP

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas inkommande e-postmeddelanden automatiskt mot förfalskning. EOP använder förfalskningsinformation som en del av organisationens övergripande skydd mot nätfiske. Mer information finns i Skydd mot förfalskning i EOP.

När en avsändare förfalskar en e-postadress verkar de vara en användare i en av organisationens domäner eller en användare i en extern domän som skickar e-post till din organisation. Angripare som förfalskar avsändare för att skicka skräppost eller nätfiske via e-post måste blockeras. Men det finns scenarier där legitima avsändare förfalskar. Till exempel:

  • Legitima scenarier för förfalskning av interna domäner:

    • Tredjepartsavsändare använder din domän för att skicka massutskick till dina egna anställda för företagsundersökningar.
    • Ett externt företag genererar och skickar annonserings- eller produktuppdateringar åt dig.
    • En assistent behöver regelbundet skicka e-post till en annan person i organisationen.
    • Ett internt program skickar e-postaviseringar.
  • Legitima scenarier för förfalskning av externa domäner:

    • Avsändaren finns i en e-postlista (kallas även för en diskussionslista) och e-postlistan vidarebefordrar e-post från den ursprungliga avsändaren till alla deltagare i distributionslistan.
    • Ett externt företag skickar e-post för ett annat företags räkning (till exempel en automatiserad rapport eller ett företag med programvara som en tjänst).

Du kan använda insikter om förfalskningsinformation i Microsoft Defender-portalen för att snabbt identifiera falska avsändare som legitimt skickar oautentiserade e-postmeddelanden (meddelanden från domäner som inte klarar SPF-, DKIM- eller DMARC-kontroller) och manuellt tillåta dessa avsändare.

Genom att låta kända avsändare skicka falska meddelanden från kända platser kan du minska falska positiva identifieringar (bra e-post markerad som dålig). Genom att övervaka tillåtna falska avsändare tillhandahåller du ytterligare ett säkerhetslager för att förhindra att osäkra meddelanden kommer till din organisation.

På samma sätt kan du använda insikter om förfalskningsinformation för att granska falska avsändare som tillåts av förfalskningsinformation och manuellt blockera avsändare.

Resten av den här artikeln förklarar hur du använder insikter om förfalskningsinformation i Microsoft Defender-portalen och i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online; fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Obs!

  • Endast falska avsändare som har identifierats av förfalskningsinformation visas i insikten om förfalskningsinformation. När du åsidosätter utfallet tillåt eller blockera i insikten blir den falska avsändaren en manuell tillåten eller blockerad post som endast visas på fliken Falska avsändare på sidan https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemTillåt/blockera klientorganisation Listor på . Du kan också manuellt skapa tillåtna eller blockera poster för falska avsändare innan de identifieras av förfalskningsinformation. Mer information finns i Falska avsändare i listan Tillåt/blockera klientorganisation.

  • ÅtgärdsvärdenaTillåt eller Blockera i insikten om förfalskningsinformation refererar till förfalskningsidentifiering (om Microsoft 365 identifierade meddelandet som förfalskat eller inte). Åtgärdsvärdet påverkar inte nödvändigtvis den övergripande filtreringen av meddelandet. För att till exempel undvika falska positiva identifieringar kan ett förfalskat meddelande levereras om vi upptäcker att det inte har någon skadlig avsikt.

  • Insikten om förfalskningsinformation och fliken Falska avsändare i listan Tillåt/blockera klientorganisation ersätter funktionerna i den förfalskningsinformationsprincip som var tillgänglig på sidan med principer för skräppostskydd i Security & Compliance Center.

  • Insikten om förfalskningsinformation visar data för 7 dagar. Cmdleten Get-SpoofIntelligenceInsight visar data för 30 dagar.

Vad behöver jag veta innan jag börjar?

Hitta insikter om förfalskningsinformation i Microsoft Defender-portalen

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

  2. Välj fliken Falska avsändare .

  3. På fliken Falska avsändare ser insikten om förfalskningsinformation ut så här:

    Insikter om förfalskningsinformation på sidan princip för skydd mot nätfiske

    Insikten har två lägen:

    • Insiktsläge: Om förfalskningsinformation är aktiverat visar insikten hur många meddelanden som har identifierats av förfalskningsinformation under de senaste sju dagarna.
    • Vad händer om-läge: Om förfalskningsinformation är inaktiverat visar insikten hur många meddelanden som skulle ha identifierats av förfalskningsinformation under de senaste sju dagarna.

Om du vill visa information om identifieringar av förfalskningsinformation väljer du Visa förfalskningsaktivitet i insikten om förfalskningsinformation för att gå till insiktssidan för förfalskningsinformation .

Visa information om förfalskningsidentifieringar

Obs!

Kom ihåg att endast falska avsändare som har identifierats av förfalskningsinformation visas på den här sidan.

Insiktssidan för förfalskningsinformationhttps://security.microsoft.com/spoofintelligence är tillgänglig när du väljer Visa förfalskningsaktivitet från förfalskningsinformationsinsikten på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation/blockera Listor.

insiktssidan för förfalskningsinformation kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

  • Förfalskad användare: Domänen för den falska användare som visas i rutan Från i e-postklienter. Från-adressen kallas även för 5322.From adressen.
  • Skickar infrastruktur: Kallas även för infrastruktur. Den sändande infrastrukturen är något av följande värden:
    • Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress.
    • Om källans IP-adress inte har någon PTR-post identifieras den sändande infrastrukturen som <käll-IP>/24 (till exempel 192.168.100.100/24).
    • En verifierad DKIM-domän.
  • Antal meddelanden: Antalet meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen till din organisation under de senaste sju dagarna.
  • Senast sett: Det sista datumet då ett meddelande togs emot från den sändande infrastrukturen som innehåller den falska domänen.
  • Förfalskningstyp: Ett av följande värden:
    • Internt: Den falska avsändaren finns i en domän som tillhör din organisation (en godkänd domän).
    • Extern: Den falska avsändaren finns i en extern domän.
  • Åtgärd: Det här värdet är Tillåtet eller Blockerat:

Om du vill ändra listan över falska avsändare från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Förfalskningstyp: De tillgängliga värdena är Interna och Externa.
  • Åtgärd: De tillgängliga värdena är Tillåt och Blockera

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika poster.

Använd Exportera för att exportera listan över förfalskningsidentifieringar till en CSV-fil.

Visa information om förfalskningsidentifieringar

När du väljer en förfalskningsidentifiering i listan genom att klicka någonstans på raden förutom kryssrutan bredvid den första kolumnen öppnas en utfälld informationsvy som innehåller följande information:

  • Varför fångade vi det här? section: Why we detected this sender as spoof, and what you can do for further information.

  • Avsnittet Domänsammanfattning : Innehåller samma information från huvudsidan för Spoof Intelligence Insight .

  • WhoIs-dataavsnitt : Teknisk information om avsändarens domän.

  • Undersökningsavsnitt för Utforskaren: I Defender för Office 365 organisation innehåller det här avsnittet en länk för att öppna Threat Explorer för att se ytterligare information om avsändaren på fliken Nätfiske.

  • Liknande e-postavsnitt : Innehåller följande information om förfalskningsidentifieringen:

    • Datum
    • Ämne
    • Mottagare
    • Avsändare
    • Avsändarens IP-adress

    Välj Anpassa kolumner för att ta bort de kolumner som visas. När du är klar väljer du Använd.

Tips

Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Om du vill ändra förfalskningsidentifieringen från Tillåt till Blockera eller vice versa läser du nästa avsnitt.

Åsidosätt förfalskningsinformationsutfallet

På sidan Insikter om förfalskningsinformationhttps://security.microsoft.com/spoofintelligenceanvänder du någon av följande metoder för att åsidosätta förfalskningsinformationsutfallet:

  • Markera en eller flera poster i listan genom att markera kryssrutan bredvid den första kolumnen.

    1. Välj åtgärden Massåtgärder som visas.
    2. I den utfällbara menyn Massåtgärder som öppnas väljer du Tillåt att förfalska eller Blockera från förfalskning och väljer sedan Använd.
  • Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan.

    I den utfällbara menyn med information väljer du Tillåt att förfalska eller Blockera från förfalskning överst i den utfällbara menyn och väljer sedan Använd.

Tillbaka på insiktssidan för förfalskningsinformation tas posten bort från listan och läggs till på fliken Falska avsändare på sidan Tillåt/blockera Listor klientorganisation på .https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

Om tillåtna falska avsändare

Meddelanden från en tillåten förfalskad avsändare (identifieras automatiskt eller konfigureras manuellt) tillåts endast med hjälp av kombinationen av den falska domänen och den sändande infrastrukturen. Till exempel tillåts följande falska avsändare att förfalska:

  • Domän: gmail.com
  • Infrastruktur: tms.mx.com

Endast e-post från den domänen/det sändande infrastrukturparet tillåts förfalska. Andra avsändare som försöker förfalska gmail.com tillåts inte automatiskt. Meddelanden från avsändare i andra domäner som kommer från tms.mx.com kontrolleras fortfarande av förfalskningsinformation och kan blockeras.

Använda insikter om förfalskningsinformation i Exchange Online PowerShell eller fristående EOP PowerShell

I PowerShell använder du cmdleten Get-SpoofIntelligenceInsight för att visa tillåtna och blockerade falska avsändare som har identifierats av förfalskningsinformation. Om du vill tillåta eller blockera falska avsändare manuellt måste du använda cmdleten New-TenantAllowBlockListSpoofItems . Mer information finns i Använda PowerShell för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation och Använd PowerShell för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation.

Om du vill visa informationen i insikten om förfalskningsinformation kör du följande kommando:

Get-SpoofIntelligenceInsight

Detaljerad information om syntax och parametrar finns i Get-SpoofIntelligenceInsight.

Andra sätt att hantera förfalskning och nätfiske

Var noggrann med förfalskning och nätfiskeskydd. Här är några relaterade sätt att kontrollera avsändare som förfalskar din domän och förhindra att de skadar din organisation: