EOP 中的反詐騙保護

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中，EOP 所包含的功能可協助保護貴組織抵禦詐騙 (偽造) 寄件者。

為保護使用者，Microsoft 嚴正看待網路釣魚攻擊。 詐騙是攻擊者所使用的常見技巧。 詐騙訊息是來自實際來源以外的某人或某個位置。 這項技術通常用於網路釣魚活動，其設計目的是要取得用戶認證。 EOP 中的反詐騙技術會特別檢查郵件本文中 From 標頭的偽造，因為該標頭值是電子郵件用戶端中顯示的郵件發件者。 當 EOP 高度認為 [寄件者] 標頭為偽造時，會將該郵件視為詐騙。

EOP 中提供下列反詐騙技術：

• 電子郵件驗證：任何反詐騙工作的整合部分就是在 DNS 中使用 SPF、DKIM 和 DMARC 記錄的電子郵件驗證 (Authentication) (也稱為電子郵件驗證 (Validation))。 您可以為網域設定這些記錄，這樣目的地電子郵件系統就能檢查您網域中寄件者所聲稱郵件的有效性。 針對內送郵件，Microsoft 365 需要寄件者網域的電子郵件驗證。 如需詳細資訊，請參閱 Microsoft 365 中的電子郵件驗證。

  EOP 會根據標準電子郵件驗證方法和寄件人信譽技術的組合來分析和封鎖訊息。

  

• 詐騙情報深入解析：檢閱過去七天內從內部和外部網域中的發件人偵測到的詐騙訊息。 如需詳細資訊，請參閱 EOP 中的詐騙情報見解。

• 允許或封鎖租使用者允許/封鎖清單中的詐騙發件者：當您在詐騙情報深入解析中覆寫決策時，詐騙發件者會變成手動允許或封鎖專案，而該專案只會出現在 的 [租使用者允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的 [詐騙發件者] 索引卷標上。 您也可以在詐騙情報偵測到詐騙寄件者之前，手動建立允許或封鎖項目。 如需詳細資訊，請 參閱租用戶允許/封鎖清單中的詐騙寄件者。

• 防網路釣魚：在 EOP 和適用於 Office 365 的 Microsoft Defender 中，防網路釣魚原則包含下列反詐騙設定：

  • 開啟或關閉詐騙情報。
  • 開啟或關閉 Outlook 中未驗證的寄件者指示。
  • 指定對封鎖詐騙寄件者的動作。

  如需詳細資訊，請參閱防網路釣魚原則中的詐騙。

  適用於 Office 365 的 Defender 中的反網路釣魚原則包含額外的保護，包括模擬保護。 如需詳細資訊，請參閱適用於 Office 365 的 Microsoft Defender 中的防網路釣魚原則專屬設定。

• 詐騙偵測報告：如需詳細資訊，請參閱詐騙偵測報告。

  適用於 Office 365 的 Defender 組織也可以 (方案 1) 或威脅總管 (方案 2) 使用即時偵測，以檢視網路釣魚嘗試的相關信息。 如需詳細資訊，請參閱 Microsoft 365 威脅調查及回應。

提示

請務必瞭解 複合驗證 失敗不會直接導致訊息遭到封鎖。 我們的系統使用整體評估策略，以考慮訊息的整體可疑本質以及複合驗證結果。 此方法旨在降低不正確封鎖來自網域之合法電子郵件的風險，這些網域可能未嚴格遵守電子郵件驗證通訊協定。 此平衡方法有助於區別惡意電子郵件與只不符合標準電子郵件驗證做法的郵件發件者。

網路釣魚攻擊中的詐騙方式

郵件中的詐騙寄件者對使用者有下列負面影響：

• 惡意：來自詐騙發件者的郵件可能會誘使收件者選取連結並放棄其認證、下載惡意代碼，或回復具有敏感性內容的郵件 (稱為商務電子郵件洩露或 BEC) 。

  下列郵件是使用偽裝寄件者 msoutlook94@service.outlook.com 的網路釣魚範例：

  

  這封郵件並非來自 service.outlook.com，而是攻擊者偽造 [寄件者] 標頭欄位，使其看起來像是來自該處。 寄件者嘗試誘騙收件者選取 變更密碼 連結並提供其認證。

  以下郵件是使用詐騙電子郵件網域 contoso.com 的 BEC 範例：

  

  郵件看起來合法，但寄件者卻是偽造的。

• 混淆：即使是知道網路釣魚的使用者，也可能難以看到真實訊息與來自詐騙發件者的訊息之間的差異。

  以下郵件是來自 Microsoft 安全性帳戶真實密碼重設郵件的範例：

  

  這封郵件確實是來自 Microsoft，但使用者認為是可疑的。 因為分辨真實密碼重設郵件與假冒郵件有其難度，使用者會略過這些郵件、將它們回報為垃圾郵件或在不應該的情況下，將這些郵件當作網路釣魚回報給 Microsoft。

不同類型的詐騙

Microsoft在訊息中區分兩種不同類型的詐騙寄件者：

• 組織內部詐騙：也稱為自我詐騙。 例如：

  • 寄件者和收件者位於同一個網域：

    寄件者：chris@contoso.com
    收件者：michelle@contoso.com

  • 寄件者和收件者位於同一個網域中的子網域：

    寄件者：laura@marketing.fabrikam.com
    收件者：julia@engineering.fabrikam.com

  • 寄件者和收件者位於隸屬相同組織的不同網域中 (也就是兩個網域都設定為相同組織中公認的網域 (部分機器翻譯))：

    寄件者: sender @ microsoft.com
    收件者: recipient @ bing.com

    電子郵件地址中會使用空格，以避免垃圾郵件機器人收集。

  因為組織內部詐騙包含下列標頭值，因此郵件不會通過複合驗證：

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx 表示組織內部詐騙。

  • SFTY 是郵件的安全層級。 9 表示網路釣魚， .11 表示組織內部詐騙。

• 跨網域詐騙：寄件者和收件者網域並不相同，且彼此之間沒有關係 (也稱為外部網域)。 例如：

  寄件者：chris@contoso.com
  收件者：michelle@tailspintoys.com

  因為跨網域詐騙包含下列標頭值，因此郵件不會通過複合驗證：

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 表示郵件未通過明確電子郵件驗證。 reason=001 值表示郵件未通過隱含電子郵件驗證。

  • SFTY 是郵件的安全層級。 9 表示網路釣魚， .22 表示跨網域詐騙。

  如需 Authentication-Results 和 compauth 值的詳細資訊，請參閱 Authentication-results 訊息標頭字段。

反詐騙保護的問題

郵件清單 (也稱為討論清單) 已知有反詐騙保護的問題，因為它們轉寄和修改郵件的方式。

例如， (glaureano@contoso.com) 對觀賞鳥有興趣，請加入郵件清單 birdwatchers@fabrikam.com，然後將下列訊息傳送至清單：

寄件者："Gabriela Laureano" <glaureano@contoso.com>
收件者：賞鳥者的討論清單<birdwatchers@fabrikam.com>
主旨：本週雷尼爾山頂 觀賞藍鳥的絕佳景點

有人這週想要上雷尼爾山 賞景嗎？

郵寄清單伺服器會接收郵件，修改其內容，並且對清單的成員重新播放。 重新執行的訊息具有相同的發件者位址 (glaureano@contoso.com) ，但標籤會新增至主旨行，並在訊息底部新增頁尾。 這種類型的修改常見於郵寄清單中，且可能會導致詐騙的誤判。

寄件者："Gabriela Laureano" <glaureano@contoso.com>
收件者：賞鳥者的討論清單<birdwatchers@fabrikam.com>
主旨：[賞鳥人士] 本週雷尼爾山頂 觀賞藍鳥的絕佳景點

有人這週想要上雷尼爾山 賞景嗎？

此郵件已傳送給「賞鳥人士」討論清單。 您隨時可以取消訂閱。

為了協助郵寄清單郵件通過反詐騙檢查，請根據您是否控制郵寄清單來執行下列步驟：

• 您的組織擁有郵件清單：

  • 請查看 DMARC.org 上的常見問題集：我操作郵寄清單，並想要與 DMARC 互相操作，該怎麼做？。
  • 閱讀此部落格文章的指示：郵寄清單操作人員與 DMARC 互相操作以避免失敗的提示。
  • 請考慮在郵件清單伺服器上安裝更新，以支援ARC。 如需詳細資訊，請參閱 http://arc-spec.org。

• 您的組織不擁有郵件清單：

  • 要求郵寄清單的維護人員為轉送郵寄清單的網域設定電子郵件驗證。 如果有足夠的成員要求他們設定電子郵件驗證，則擁有者更可能採取行動。 雖然 Microsoft 也會與網域擁有者合作發佈所需的記錄，但是當個別使用者提出要求時，助益更大。
  • 在電子郵件用戶端中建立收件匣規則，以將郵件移至收件匣。
  • 使用租使用者允許/封鎖清單來建立郵件清單的允許專案，以將其視為合法。 如需詳細資訊，請 參閱建立詐騙寄件人的允許專案。

如果其他所有項目都失敗，您可以將郵件當作誤判向 Microsoft 報告。 如需詳細資訊，請參閱回報訊息和檔案至 Microsoft。

反詐騙保護的考量

如果您是目前傳送郵件至 Microsoft 365 的系統管理員，您必須確認您的電子郵件已正確驗證。 否則，可能會標示為垃圾郵件或網路釣魚。 如需詳細資訊，請 參閱如何避免將郵件傳送至 Microsoft 365 時發生電子郵件驗證失敗。

個別使用者 (或系統管理員中的寄件者) 安全發件者會列出篩選堆疊的略過部分，包括詐騙保護。 如需詳細資訊，請參閱 Outlook 安全寄件者。

如果可能的話，系統管理員應該避免在反垃圾郵件原則中使用允許的發件者清單或允許的網域清單。 這些寄件者會略過大部分的篩選堆疊， (高信賴度網路釣魚和惡意代碼訊息一律會) 隔離。 如需詳細資訊，請參閱使用允許的寄件者清單或允許的網域清單。