Insikter om förfalskningsinformation i EOP

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas inkommande e-postmeddelanden automatiskt mot förfalskning. EOP använder förfalskningsinformation som en del av organisationens övergripande skydd mot nätfiske. Mer information finns i Skydd mot förfalskning i EOP.

När en avsändare förfalskar en e-postadress verkar de vara en användare i en av organisationens domäner eller en användare i en extern domän som skickar e-post till din organisation. Angripare som förfalskar avsändare för att skicka skräppost eller nätfiskemeddelande måste blockeras. Men det finns scenarier där legitima avsändare förfalskar. Till exempel:

  • Legitima scenarier för förfalskning av interna domäner:

    • Tredjepartsavsändare använder din domän för att skicka massutskick till dina egna anställda för företagsundersökningar.
    • Ett externt företag genererar och skickar annonserings- eller produktuppdateringar åt dig.
    • En assistent måste regelbundet skicka e-post till en annan person inom organisationen.
    • Ett internt program skickar e-postaviseringar.
  • Legitima scenarier för förfalskning av externa domäner:

    • Avsändaren finns i en e-postlista (kallas även för en diskussionslista) och e-postlistan vidarebefordrar e-post från den ursprungliga avsändaren till alla deltagare i distributionslistan.
    • Ett externt företag skickar e-post för ett annat företags räkning (till exempel en automatiserad rapport eller ett företag med programvara som en tjänst).

Du kan använda insikter om förfalskningsinformation i Microsoft 365 Defender-portalen för att snabbt identifiera falska avsändare som legitimt skickar oautentiserade e-postmeddelanden (meddelanden från domäner som inte klarar SPF-, DKIM- eller DMARC-kontroller) och manuellt tillåta dessa avsändare.

Genom att låta kända avsändare skicka falska meddelanden från kända platser kan du minska falska positiva identifieringar (bra e-post markerad som dålig). Genom att övervaka tillåtna falska avsändare tillhandahåller du ytterligare ett säkerhetslager för att förhindra att osäkra meddelanden kommer till din organisation.

På samma sätt kan du granska falska avsändare som tillåts av förfalskningsinformation och manuellt blockera avsändare från förfalskningsinformationsinsikten.

Resten av den här artikeln beskriver hur du använder insikter om förfalskningsinformation i Microsoft 365 Defender-portalen och i PowerShell (Exchange Online PowerShell för Microsoft 365 organisationer med postlådor i Exchange Online; fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Obs!

  • Endast falska avsändare som har identifierats av förfalskningsinformation visas i insikten om förfalskningsinformation. När du åsidosätter utfallet tillåt eller blockera i insikten blir den falska avsändaren en manuell tillåten eller blockerad post som endast visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation. Du kan också manuellt skapa tillåtna eller blockera poster för falska avsändare innan de identifieras av förfalskningsinformation. För mer information se Hantera Tillåten av klient/blockeringslista i EOP.

  • Insikten om förfalskningsinformation och fliken Falska avsändare i listan Tillåt/blockera klientorganisation ersätter funktionerna i den förfalskningsinformationsprincip som var tillgänglig på sidan princip för skräppostskydd i Security & Compliance Center.

  • Insikten om förfalskningsinformation visar data för 7 dagar. Cmdleten Get-SpoofIntelligenceInsight visar data för 30 dagar.

  • De senaste tillgängliga data är 3 till 4 dagar gamla.

Vad behöver jag veta innan jag börjar?

Öppna insikter om förfalskningsinformation i Microsoft 365 Defender-portalen

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Tillåt/blockera listor för klientorganisation i avsnittet Regler. Om du vill gå direkt till fliken Falska avsändare på sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

  2. På sidan Tillåt/blockera klientorganisationslistor ser insikten om förfalskningsinformation ut så här:

    Insikter om förfalskningsinformation på sidan princip för skydd mot nätfiske

    Insikten har två lägen:

    • Insiktsläge: Om förfalskningsinformation är aktiverat visar insikten hur många meddelanden som har identifierats av förfalskningsinformation under de senaste sju dagarna.
    • Vad händer om-läge: Om förfalskningsinformation är inaktiverat visar insikten hur många meddelanden som skulle ha identifierats av förfalskningsinformation under de senaste sju dagarna.

Om du vill visa information om identifieringar av förfalskningsinformation klickar du på Visa förfalskningsaktivitet i insikten om förfalskningsinformation.

Visa information om falska meddelanden

Obs!

Kom ihåg att endast falska avsändare som har identifierats av förfalskningsinformation visas på den här sidan. När du åsidosätter utfallet tillåt eller blockera i insikten blir den falska avsändaren en manuell tillåten eller blockerad post som endast visas på fliken Falska avsändare i listan Tillåt/blockera klientorganisation.

På sidan Insikter om förfalskningsinformation som visas när du klickar på Visa förfalskningsaktivitet i insikten om förfalskningsinformation innehåller sidan följande information:

  • Förfalskad användare: Domänen för den falska användare som visas i rutan Från i e-postklienter. Från-adressen kallas även för 5322.From adressen.
  • Skickar infrastruktur: Kallas även för infrastruktur. Den sändande infrastrukturen är något av följande värden:
    • Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress.
    • Om källans IP-adress inte har någon PTR-post identifieras den sändande infrastrukturen som <käll-IP>/24 (till exempel 192.168.100.100/24).
    • En verifierad DKIM-domän.
  • Antal meddelanden: Antalet meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen till din organisation under de senaste 7 dagarna.
  • Senast sett: Det sista datumet då ett meddelande togs emot från den sändande infrastrukturen som innehåller den falska domänen.
  • Förfalskningstyp: Ett av följande värden:
    • Internt: Den falska avsändaren finns i en domän som tillhör din organisation (en godkänd domän).
    • Extern: Den falska avsändaren finns i en extern domän.
  • Åtgärd: Det här värdet är Tillåtet eller Blockerat:
    • Tillåten: Domänen misslyckades med explicit e-postautentisering kontrollerar SPF, DKIM och DMARC. Domänen klarade dock våra implicita e-postautentiseringskontroller (sammansatt autentisering). Därför vidtogs ingen förfalskningsåtgärd för meddelandet.
    • Blockerad: Meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen markeras som felaktiga av förfalskningsinformation. Åtgärden som vidtas på falska meddelanden styrs av standardprincipen för skydd mot nätfiske eller anpassade principer för skydd mot nätfiske (standardvärdet är Flytta meddelande till mappen Skräppost Email). Mer information finns i Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Du kan klicka på markerade kolumnrubriker för att sortera resultatet.

Om du vill filtrera resultaten har du följande alternativ:

  • Klicka på knappen Filter . I den utfällbara menyn Filter som visas kan du filtrera resultatet genom att:
    • Förfalskningstyp
    • Åtgärd
  • Använd sökrutan för att ange en kommaavgränsad lista över falska domänvärden eller skicka infrastrukturvärden för att filtrera resultaten.

Visa information om falska meddelanden

När du väljer en post i listan visas en utfälld utfälld information som innehåller följande information och funktioner:

  • Tillåt förfalskning eller Blockera från förfalskning: Välj ett av dessa värden för att åsidosätta den ursprungliga förfalskningsinformationsutfallet och flytta posten från insikten om förfalskningsinformation till klientorganisationens tillåtna/blockeringslista som en tillåten eller blockera post för förfalskning.
  • Varför vi fångade det här.
  • Vad du behöver göra.
  • En domänsammanfattning som innehåller det mesta av samma information från huvudsidan för förfalskningsinformation.
  • WhoIs data om avsändaren.
  • En länk för att öppna Threat Explorer för att se ytterligare information om avsändaren under Visa>nätfiske i Microsoft Defender för Office 365.
  • Liknande meddelanden som vi har sett i din klientorganisation från samma avsändare.

Om tillåtna falska avsändare

En tillåten förfalskningsavsändare i insikten om förfalskningsinformation eller en blockerad förfalskad avsändare som du manuellt har ändrat till Tillåt att förfalskning endast tillåter meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen. Den tillåter inte e-post från den falska domänen från någon källa och tillåter inte heller e-post från den sändande infrastrukturen för någon domän.

Till exempel tillåts följande falska avsändare att förfalska:

  • Domän: gmail.com
  • Infrastruktur: tms.mx.com

Endast e-post från domänen/det sändande infrastrukturparet får förfalskas. Andra avsändare som försöker förfalska gmail.com tillåts inte automatiskt. Meddelanden från avsändare i andra domäner som kommer från tms.mx.com kontrolleras fortfarande av förfalskningsinformation och kan blockeras.

Använda insikter om förfalskningsinformation i Exchange Online PowerShell eller fristående EOP PowerShell

I PowerShell använder du cmdleten Get-SpoofIntelligenceInsight för att visa tillåtna och blockerade falska avsändare som har identifierats av förfalskningsinformation. Om du vill tillåta eller blockera falska avsändare manuellt måste du använda cmdleten New-TenantAllowBlockListSpoofItems . Mer information finns i Använda PowerShell för att hantera falska avsändarposter i listan Tillåt/blockera klientorganisation.

Om du vill visa informationen i insikten om förfalskningsinformation kör du följande kommando:

Get-SpoofIntelligenceInsight

Detaljerad information om syntax och parametrar finns i Get-SpoofIntelligenceInsight.

Andra sätt att hantera förfalskning och nätfiske

Var flitig när det gäller förfalskning och nätfiskeskydd. Här är några relaterade sätt att kontrollera avsändare som förfalskar din domän och förhindra att de skadar din organisation: