EOP 中的防欺骗防护

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

无论是针对拥有 Exchange Online 邮箱的 Microsoft 365 组织,还是没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织,EOP 都将提供帮助保护你的组织免受虚假(伪造)发件人威胁的功能。

在为用户提供保护方面,Microsoft 非常重视网络钓鱼的威胁。 欺骗是黑客使用的一种常见技术。 欺骗邮件看似来自某人或某处,其实并非其真实来源。 此技术通常用于旨在获取用户凭据的网络钓鱼活动。 EOP 中的反欺骗技术专门检查邮件正文中发件人标头的伪造情况,因为该标头值是电子邮件客户端中显示的邮件发件人。 如果 EOP 高度确信“发件人”标头是伪造的,该邮件将被识别为欺骗邮件。

EOP 中提供了以下反欺骗技术:

  • 电子邮件身份验证:DNS 中的 SPF、DKIM 和 DMARC 记录使用的电子邮件身份验证(也称为电子邮件验证)是任何反欺骗工作必不可少的一部分。 可以为你的域配置这些记录,以便目标电子邮件系统能够检查声称来自域中发件人的邮件的有效性。 对于入站邮件,Microsoft 365 需要针对发件人域的电子邮件身份验证。 有关详细信息,请参阅 Microsoft 365 中的电子邮件身份验证

    EOP 基于标准电子邮件身份验证方法和发件人信誉技术的组合来分析和阻止邮件。

    EOP 反欺骗检查

  • 欺骗智能见解:查看过去七天内检测到来自内部和外部域中发件人的欺骗邮件。 有关详细信息,请参阅在 EOP 中配置欺骗智能见解

  • 允许或阻止租户允许/阻止列表中的欺骗发件人:在欺骗情报见解中重写判决时,欺骗发件人将成为手动允许或阻止条目,仅出现在“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的“欺骗发件人”选项卡上。 也可以在欺骗智能检测到欺骗发件人之前手动为其创建允许或阻止条目。 有关详细信息,请参阅 租户允许/阻止列表中的欺骗发件人

  • 防钓鱼策略:在 EOP 和 Microsoft Defender for Office 365 中,反钓鱼策略包含以下反欺骗设置:

    • 打开或关闭欺骗智能。
    • 打开或关闭 Outlook 中未经身份验证的发件人指示器。
    • 指定对阻止的欺骗发件人的操作。

    有关详细信息,请参阅反钓鱼策略中的“欺骗”设置

    Defender for Office 365中的反钓鱼策略包含附加保护,包括模拟保护。 有关详细信息,请参阅 Microsoft Defender for Office 365 中反钓鱼策略中的“独占”设置

  • 欺骗检测报告:有关详细信息,请参阅欺骗检测报告

    Defender for Office 365组织还可以使用实时检测 (计划 1) 或威胁资源管理器 (计划 2) 来查看有关钓鱼尝试的信息。 有关详细信息,请参阅 Microsoft 365 威胁调查和响应

提示

请务必了解, 复合身份验证 失败不会直接导致消息被阻止。 我们的系统使用整体评估策略,该策略考虑消息的整体可疑性质以及复合身份验证结果。 此方法旨在降低错误地阻止来自可能未严格遵循电子邮件身份验证协议的域的合法电子邮件的风险。 这种平衡的方法有助于将真正的恶意电子邮件与根本不符合标准电子邮件身份验证做法的邮件发件人区分开来。

如何在网络钓鱼攻击中使用欺骗

邮件中的欺骗发件人对用户有以下负面影响:

  • 欺骗:来自欺骗发件人的邮件可能会诱使收件人选择链接并放弃其凭据、下载恶意软件或回复包含敏感内容的邮件, (称为商业电子邮件泄露或 BEC) 。

    以下邮件是使用欺骗发件人 msoutlook94@service.outlook.com 的钓鱼示例:

    冒充 service.outlook.com 的网络钓鱼邮件。

    此邮件并非来自 service.outlook.com,而是攻击者伪造“发件人”标头字段,使它看起来像是这样。 发件人试图诱使收件人选择 更改密码 链接并提供其凭据。

    以下邮件是使用欺骗电子邮件域 contoso.com 的 BEC 示例:

    网络钓鱼邮件 - 企业电子邮件入侵。

    该邮件看似合法,但发件人其实是伪造的。

  • 困惑:即使是知道网络钓鱼的用户也可能难以看到真实邮件与来自欺骗发件人的消息之间的差异。

    例如,以下是来自 Microsoft 安全帐户部门的真实密码重置邮件的示例:

    Microsoft合法的密码重置。

    该邮件实际上确实来自 Microsoft,但用户已经养成了持怀疑态度的习惯。 由于很难区分真实密码重置邮件和虚假邮件,因此许多用户会忽略这些邮件、将其报告为垃圾邮件,或者不必要地将该邮件作为网络钓鱼邮件报告给 Microsoft。

不同类型的欺骗

Microsoft在邮件中区分两种不同类型的欺骗发件人:

  • 组织内欺骗:也称为 自我欺骗。 例如:

    • 发件人和收件人位于同一域:

      发件人: chris@contoso.com
      收件人: michelle@contoso.com

    • 发件人和收件人位于同一域的子域:

      发件人: laura@marketing.fabrikam.com
      收件人: julia@engineering.fabrikam.com

    • 发件人和收件人位于属于同一组织的不同域(即,两个域均配置为同一组织中的接受域):

      发件人:sender @ microsoft.com
      收件人:recipient @ bing.com

      电子邮件地址中使用空格,以防垃圾邮件机器人收集邮件。

    由于组织内欺骗而导致未通过复合身份验证的邮件包含以下标头值:

    Authentication-Results: ... compauth=fail reason=6xx

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

    • reason=6xx 表示组织内欺骗。

    • SFTY SFTY 是邮件的安全级别。 9 指示钓鱼, .11 表示组织内部欺骗。

  • 跨域欺骗:发件人和收件人域不同,相互之间没有任何关系(也称为外部域)。 例如:

    发件人: chris@contoso.com
    收件人: michelle@tailspintoys.com

    由于跨域欺骗而导致未通过复合身份验证的邮件包含以下标头值:

    Authentication-Results: ... compauth=fail reason=000/001

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

    • reason=000 表示邮件未通过显式电子邮件身份验证。 reason=001 表示邮件未通过隐式电子邮件身份验证。

    • SFTY SFTY 是邮件的安全级别。 9 指示网络钓鱼, .22 表示跨域欺骗。

    有关 Authentication-Resultscompauth 值的详细信息,请参阅 Authentication-results 消息标头字段

反欺骗防护方面的问题

邮件列表 (也称为讨论列表) 由于转发和修改邮件的方式而存在反欺骗保护问题。

例如,Gabriela Laureano (glaureano@contoso.com) 对观鸟感兴趣,加入邮件列表 birdwatchers@fabrikam.com,并将以下邮件发送到列表:

发件人: "Gabriela Laureano" <glaureano@contoso.com>
收件人: 赏鸟者讨论列表<birdwatchers@fabrikam.com>
主题:本周到瑞尼尔山顶 观赏蓝鸟

有人想本周一起去瑞尼尔山 赏鸟吗?

邮件列表服务器接收邮件,修改其内容并将其重播给列表中的成员。 重播邮件的发件人地址 () glaureano@contoso.com 相同,但会向主题行添加标记,并在邮件底部添加页脚。 这种类型的修改在邮件列表中很常见,并且可能导致欺骗误报。

发件人: "Gabriela Laureano" <glaureano@contoso.com>
收件人: 赏鸟者讨论列表<birdwatchers@fabrikam.com>
主题:[赏鸟者]本周到瑞尼尔山顶 观赏蓝鸟

有人想本周一起去瑞尼尔山 赏鸟吗?

此邮件已发送到赏鸟者讨论列表。 可随时取消订阅。

要帮助邮件列表邮件通过反欺骗检查,请根据是否控制邮件列表执行以下操作:

  • 你的组织拥有邮件列表

  • 你的组织不拥有邮件列表

    • 请求邮件列表的维护人员为从中中继邮件列表的域配置电子邮件身份验证。 如果有足够的成员要求他们设置电子邮件身份验证,则所有者更有可能采取行动。 虽然 Microsoft 也可与域所有者合作发布所需的记录,但当个人用户提出请求时,它可以提供更多帮助。
    • 在电子邮件客户端中创建收件箱规则,将邮件移动到“收件箱”。
    • 使用租户允许/阻止列表为邮件列表创建允许条目,以将其视为合法。 有关详细信息,请参阅 为欺骗发件人创建允许条目

如果其他所有操作均失败,则可以向 Microsoft 报告该邮件为误报。 有关详细信息,请参见向 Microsoft 报告邮件和文件

反欺骗防护注意事项

如果你是当前向 Microsoft 365 发送邮件的管理员,则需要确保你的电子邮件经过了正确的身份验证。 否则,它可能被标记为垃圾邮件或网络钓鱼。 有关详细信息,请参阅 向 Microsoft 365 发送邮件时如何避免电子邮件身份验证失败

单个用户 (或管理员) 安全发件人列表中的发件人绕过部分筛选堆栈,包括欺骗保护。 有关详细信息,请参阅 Outlook 安全发件人

如果可能,管理员应避免在反垃圾邮件策略中使用允许的发件人列表或允许的域列表。 这些发件人绕过大多数筛选堆栈, (高置信度钓鱼和恶意软件邮件始终被隔离) 。 有关详细信息,请参阅使用允许的发件人列表或允许的域列表