提示
你知道你可以免費試用 適用於 Office 365 的 Microsoft Defender Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 適用於 Office 365 的 Defender 的 90 天試用版。 了解誰可以註冊並試用 適用於 Office 365 的 Microsoft Defender。
所有擁有雲端信箱的組織都具備防護功能,以防止偽造 (偽造) 寄件者。偽造是攻擊者常用的技術。 詐騙訊息是來自實際來源以外的某人或某個位置。 這種技術經常用於旨在獲取用戶憑證的釣魚行動中。
Microsoft 365 中的反偽造技術特別檢查訊息正文中 From 標頭的偽造, (也稱為 5322.From 地址、From 地址或 P2 寄件人) ,因為電子郵件用戶端會將 From 標頭值顯示為訊息發送者。 當 Microsoft 365 有高度信心判斷 From 標頭是偽造時,該訊息即被識別為偽造。
以下防偽裝技術可在 所有雲端信箱內建的安全功能中提供:
電子郵件驗證:任何反詐騙工作的整合部分就是在 DNS 中使用 SPF、DKIM 和 DMARC 記錄的電子郵件驗證 (Authentication) (也稱為電子郵件驗證 (Validation))。 您可以為網域設定這些記錄,這樣目的地電子郵件系統就能檢查您網域中寄件者所聲稱郵件的有效性。 對於入站訊息,Microsoft 365 要求發送者網域的電子郵件認證。 欲了解更多資訊,請參閱 Email 認證。
Microsoft 365 根據標準電子郵件認證方法與寄件者信譽技術結合,分析並阻擋郵件。
偽造情報洞察:審查在過去七天內,偵測到來自內部及外部網域的發送者偽造訊息。 欲了解更多資訊,請參閱 偽裝情報洞察。
允許或封鎖租戶允許/封鎖清單中的偽造寄件者:當你在偽造智慧洞察中覆寫該判決時,偽造的寄件者會成為一個手動允許或封鎖輸入,僅出現在租戶允許/封鎖清單頁面https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的偽造寄件者標籤中。 你也可以手動建立允許或封鎖偽造發送者的條目,避免偽造智慧偵測到。 欲了解更多資訊,請參閱 租戶允許/封鎖清單中的偽造寄件者。
反釣魚政策:在所有雲端信箱內建的安全功能以及 適用於 Office 365 的 Microsoft Defender 中,反釣魚政策包含以下防偽造設定:
- 開啟或關閉詐騙情報。
- 開啟或關閉 Outlook 中未驗證的寄件者指示。
- 指定對封鎖詐騙寄件者的動作。
如需詳細資訊,請參閱防網路釣魚原則中的詐騙。
適用於 Office 365 的 Defender 的反釣魚政策包含額外的保護措施,包括冒充保護。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的防網路釣魚原則專屬設定。
詐騙偵測報告:如需詳細資訊,請參閱詐騙偵測報告。
Microsoft 365 組織包含 適用於 Office 365 的 Defender (或附加訂閱,) 擁有即時偵測 (Plan 1) 或威脅探測器 (Plan 2) ,以查看釣魚攻擊資訊。 如需詳細資訊,請參閱 Microsoft 365 威脅調查及回應。
提示
重要的是要了解, 複合認證 失敗並不直接導致訊息被封鎖。 Microsoft 365 採用整體評估策略,考量訊息的整體可疑性及綜合認證結果。 此方法旨在降低因不嚴格遵守電子郵件認證協定而錯誤封鎖合法郵件的風險。 這種平衡的方法有助於區分真正惡意的電子郵件與單純不符合標準電子郵件驗證規範的郵件發送者。
網路釣魚攻擊中的詐騙方式
訊息中偽造的寄件人對使用者有以下負面影響:
欺騙:偽造寄件者的訊息可能誘使收件人交出憑證、下載惡意軟體,或回覆帶有敏感內容的訊息 (稱為商業電子郵件詐騙(Business Email compromise,簡稱 BEC) )。
下列郵件是使用偽裝寄件者
msoutlook94@service.outlook.com的網路釣魚範例:
這封郵件並非來自 service.outlook.com,而是攻擊者偽造 [寄件者] 標頭欄位,使其看起來像是來自該處。 寄件人試圖誘使收件人選擇 「更改密碼 」連結並提供憑證。
以下郵件是使用詐騙電子郵件網域 contoso.com 的 BEC 範例:
郵件看起來合法,但寄件者卻是偽造的。
混淆:即使是知道釣魚的使用者,也可能難以分辨真實訊息與偽造寄件者的差異。
以下郵件是來自 Microsoft 安全性帳戶真實密碼重設郵件的範例:
這訊息確實來自 Microsoft,但用戶被訓練成保持懷疑。 因為分辨真實密碼重設郵件與假冒郵件有其難度,使用者會略過這些郵件、將它們回報為垃圾郵件或在不應該的情況下,將這些郵件當作網路釣魚回報給 Microsoft。
不同類型的詐騙
Microsoft 在訊息中區分兩種不同的偽造寄件者:
組織內部詐騙:也稱為自我詐騙。 例如:
寄件者和收件者位於同一個網域:
From: chris@contoso.com To: michelle@contoso.com寄件者和收件者位於同一個網域中的子網域:
From: laura@marketing.fabrikam.com To: julia@engineering.fabrikam.com寄件者和收件者位於隸屬相同組織的不同網域中 (也就是兩個網域都設定為相同組織中公認的網域 (部分機器翻譯)):
From: cindy@tailspintoys.com To: steve@wingtiptoys.com
因為組織內部詐騙包含下列標頭值,因此郵件不會通過複合驗證:
Authentication-Results: ... compauth=fail reason=6xxX-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11-
reason=6xx表示組織內部詐騙。 -
SFTY是郵件的安全層級。-
9表示是網路釣魚。 -
.11表示組織內部詐騙。
-
跨網域詐騙:寄件者和收件者網域並不相同,且彼此之間沒有關係 (也稱為外部網域)。 例如:
From: chris@contoso.com To: michelle@tailspintoys.com因為跨網域詐騙包含下列標頭值,因此郵件不會通過複合驗證:
Authentication-Results: ... compauth=fail reason=000/001X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22reason=000表示郵件未通過明確電子郵件驗證。reason=001值表示郵件未通過隱含電子郵件驗證。SFTY是郵件的安全層級。-
9表示是網路釣魚。 -
.22表示存在跨域偽造。
-
欲了解更多關於 認證結果 與
compauth值的資訊,請參閱 認證結果訊息標頭欄位。
反詐騙保護的問題
郵件列表 (也稱為討論名單) 因其轉發和修改訊息的方式,常常存在防欺騙保護的問題。
例如,Gabriela Laureano (glaureano@contoso.com) 對賞鳥感興趣,因此加入了郵件列表 birdwatchers@fabrikam.com,並向該名單發送了以下訊息:
From: "Gabriela Laureano" <glaureano@contoso.com>
To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Subject: Great viewing of blue jays at the top of Mt. Rainier this week
Anyone want to check out the viewing this week from Mt. Rainier?
郵寄清單伺服器會接收郵件,修改其內容,並且對清單的成員重新播放。 重播訊息的 From(寄件人)地址與 () glaureano@contoso.com 相同,但主旨行會加上標籤,並在訊息底部加上頁尾。 這類修改在郵件列表中很常見,可能導致偽造的誤報。
From: "Gabriela Laureano" <glaureano@contoso.com>
To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com>
Subject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier this week
Anyone want to check out the viewing this week from Mt. Rainier?
This message was sent to the Birdwatchers Discussion List. You can unsubscribe at any time.
為了幫助郵件名單訊息通過防偽造檢查,請根據您的情況採取以下步驟:
您的組織擁有郵件名單:
- 請查看 DMARC.org 上的常見問題集:我操作郵寄清單,並想要與 DMARC 互相操作,該怎麼做?。
- 閱讀此部落格文章的指示:郵寄清單操作人員與 DMARC 互相操作以避免失敗的提示。
- 考慮更新你的郵件列表伺服器,使其支援 ARC。 如需詳細資訊,請參閱 http://arc-spec.org。
您的組織並不擁有郵件名單:
- 請郵件列表的維護者設定郵件列表轉發的網域的電子郵件認證。 如果有足夠多的會員要求他們設定電子郵件認證,業主更有可能採取行動。 雖然 Microsoft 也會與網域擁有者合作發佈所需的記錄,但是當個別使用者提出要求時,助益更大。
- 在你的電子郵件客戶端建立收 件匣規則 ,將訊息移到收件匣。
- 使用租戶允許/封鎖清單建立郵件列表的允許條目,讓郵件列表視為合法。 欲了解更多資訊,請參閱 為偽造寄件人建立允許條目。
如果其他所有項目都失敗,您可以將郵件當作誤判向 Microsoft 報告。 如需詳細資訊,請參閱回報訊息和檔案至 Microsoft。
反詐騙保護的考量
定期向 Microsoft 365 發送電子郵件的組織管理員需要確保郵件已正確認證。 否則,可能會標示為垃圾郵件或網路釣魚。 欲了解更多資訊,請參閱 「如何避免寄信至 Microsoft 365 時電子郵件認證失敗」。
在 Microsoft 365 中,使用者允許清單中的發送者會繞過過濾堆疊的部分,包括偽裝防護。 如需詳細資訊,請參閱 Outlook 安全寄件者。
若可能,管理員應避免在反垃圾郵件政策中使用允許的寄件人清單或允許的網域清單。 這些發送者繞過大部分過濾堆疊 (高信心的釣魚和惡意訊息總是被隔離) 。 如需詳細資訊,請參閱使用允許的寄件者清單或允許的網域清單。