提示
你知道你可以免費試用 Microsoft Defender for Office 365 Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 Defender for Office 365 的 90 天試用版。 了解誰可以註冊並試用 Microsoft Defender for Office 365。
在所有擁有雲端信箱的組織中,入信郵件會自動受到偽造保護。 Microsoft 365 利用 偽裝情報 作為你組織整體防範網路釣魚防禦的一部分。 欲了解更多資訊,請參閱 反欺騙保護。
當寄件者偽造電子郵件地址時,他們看起來會像是您其中一個組織網域的使用者,或是將電子郵件傳送至貴組織的外部網域使用者。 欺騙寄件者發送垃圾郵件或釣魚郵件的攻擊者必須被封鎖。 但在某些情況下,合法寄件者會詐騙。 例如:
詐騙內部網域的合法案例:
- 非Microsoft寄件人會利用你的網域向組織內的用戶發送大量郵件,例如公司投票 () 。
- 一家外部公司代表您產生並送出廣告或產品更新。
- 經常需要傳送電子郵件給貴組織內另一個人的助理。
- 內部應用程式傳送電子郵件通知。
詐騙外部網域的合法案例:
- 寄件者在郵寄清單中 (也稱為討論清單),而郵寄清單將來自原始寄件者的電子郵件轉送給郵寄清單上的所有參與者。
- 外部公司代表另一家公司傳送電子郵件 (例如自動報告,或軟體即服務公司)。
利用Microsoft Defender入口網站中的偽造智慧洞察,快速識別並手動允許那些合法寄送未通過 SPF、DKIM 或 DMARC) 檢查的電子郵件的偽造寄件人 (。
允許已知寄件人從已知地點發送偽造郵件,可以減少錯誤) (良好郵件的誤報。 透過監視允許的偽裝寄件者,您提供額外安全性層級,防止不安全的郵件到達貴組織。
同樣地,你也可以利用偽裝情報洞察來審查偽裝情報允許的偽造發送者,並手動封鎖這些發送者。
本文其餘部分將說明如何在 Microsoft Defender 入口網站和 PowerShell 中使用偽造情報洞察。
注意事項
此洞察中只會出現被偽造情報偵測到的偽造寄件者。 來自 DMARC 失敗且 DMARC 政策
p=rejectp=quarantine設定為或未出現在本洞察中的網域訊息。 當郵件在反釣魚政策中被偵測為偽造設定時,會依據 Honor DMARC 紀錄政策進行處理。當你在偽造智慧洞察中覆寫允許或封鎖的判決時,偽造的寄件者會變成手動允許或封鎖的輸入,僅出現在租戶允許/封鎖名單頁面https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的偽裝寄件者標籤中。 你也可以在偽造智慧偵測到之前,手動建立允許或封鎖偽造寄件者的條目。 欲了解更多資訊,請參閱 租戶允許/封鎖清單中的偽造寄件者。
偽造智慧洞察中的 行動 值 允許 或 阻擋 指的是偽裝 偵測 (Microsoft 365是否) 識別該訊息為偽造。 行動值不一定影響整體訊息的過濾。 例如,為了避免誤報,如果我們發現偽造訊息沒有惡意意圖,可能會被傳送。
詐騙情報深入解析顯示了七天的資料。 Get-SpoofIntelligenceInsight 這個 cmdlet 顯示了 30 天的資料。
開始之前有哪些須知?
你可以在 https://security.microsoft.com. 開啟 Microsoft Defender 入口網站。 要直接進入租戶允許/封鎖名單頁面的偽裝寄件人標籤,請使用 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem。 若要直接前往 偽裝情報洞察 頁面,請使用 https://security.microsoft.com/spoofintelligence。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須已獲派權限,才能進行本文中的程序。 您有下列選項:
Microsoft Defender 全面偵測回應 基於角色的統一存取控制 (RBAC) (若 Email & 協作>,Defender for Office 365 權限為
啟用。僅影響 Defender 入口網站,不影響 PowerShell) :授權與設定/安全設定/核心安全設定 (管理) 或授權與設定/安全設定/核心安全設定 (讀取) 。-
-
允許或封鎖偽造的寄件者,或開啟或關閉偽造情報:加入以下角色群組之一:
- 組織管理
- 安全管理員與僅檢視設定 或 僅檢視組織管理。
- 僅讀存取偽裝智慧洞察:會員資格為全域閱讀器、安全閱讀器或僅視組織管理角色群組。
-
允許或封鎖偽造的寄件者,或開啟或關閉偽造情報:加入以下角色群組之一:
Microsoft Entra 權限:成為全域管理員*、安全管理員、全域閱讀器或安全閱讀器角色的成員,可賦予使用者在 Microsoft 365 中其他功能所需的權限與權限。
重要事項
* Microsoft 強烈主張最小權限原則。 僅分配執行任務所需的最低權限,有助於降低安全風險並強化組織整體防護。 全域管理員是一個高度特權的職位,應該限制在緊急情境或無法使用其他角色時使用。
關於我們建議的反釣魚政策設定,包括偽造情報,請參閱 所有雲端郵箱的防釣魚政策設定。
你可以在反釣魚政策中啟用或關閉偽造情報。 根據預設,啟用詐騙情報。 欲了解更多資訊,請參閱以下文章之一:
在 Microsoft Defender 入口網站找到偽裝情報的洞察
在Microsoft Defender入口https://security.microsoft.com網站,請前往Email &協作>、政策 & 規則>、威脅政策>、租戶允許/封鎖名單,請在規則區塊中。 或者,要直接進入 租戶允許/封鎖名單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選擇「 偽造寄件 人」標籤。
在 偽造的發送 者標籤中,偽造智慧洞察看起來如下:
深入解析有兩種模式:
- 洞察模式:若啟用偽造智慧,洞察會顯示過去七天內偵測到多少訊息偽造智慧。
- 假設模式:如果關閉偽造智慧,洞察會顯示過去七天內偽造智慧 偵測 到多少訊息。
若要查看偽造智慧偵測的資訊,請在偽造智慧洞察中選擇 「檢視偽造活動 」,前往偽 造智慧洞察 頁面。
查看有關偽裝偵測的資訊
注意事項
請記住,只有被偽造智慧偵測到的偽造寄件者才會出現在這個洞察中。 來自 DMARC 失敗且 DMARC 政策p=rejectp=quarantine設定為或未出現在本洞察中的網域訊息。 當郵件在反釣魚政策中被偵測為偽造設定時,會依據 Honor DMARC 紀錄政策進行處理。
當你在租戶允許/封鎖清單頁面的偽裝發送者標籤中,選擇偽造智慧洞察中的「檢視偽造活動」時,就能看到偽https://security.microsoft.com/spoofintelligence裝智慧洞察頁面。
在 Spoof 智慧洞察 頁面,您可以點擊可用的欄位標頭來排序條目。 以下欄位可供參考:
-
偽造使用者:電子郵件用戶端中「寄件者」欄位中被偽造使用者的網域 (也稱為
5322.From地址或 P2 位址) 。 -
發送基礎設施:也稱為 基礎設施。 發送基礎設施為以下數值之一:
- 在來源郵件伺服器 IP 位址的反向 DNS 查閱 (PTR 記錄) 中找到的網域。
- 如果來源 IP 位址沒有 PTR 記錄,則傳送基礎結構被識別為<來源 IP>/24 (例如,192.168.100.100/24)。
- 已驗證的 DKIM 網域。
- 訊息數量:過去七天內,偽造網域 與 發送基礎設施組合寄給你組織的訊息數量。
- 最後一次收到:從包含偽造網域的發送基礎設施收到訊息的最後日期。
-
偽造類型:以下值之一:
- 內部:偽造的寄件者屬於你組織的網域, (接受的網域) 。
- 外部:被偽造的寄件者位於外部網域。
-
動作:此值為 允許 或 阻擋:
允許:該網域在明確電子郵件認證中未通過 SPF、 DKIM 和 DMARC 檢查。 然而,網域通過了我們的明確電子郵件驗證檢查 (複合驗證)。 因此,沒有對郵件採取反詐騙動作。
被封鎖:來自偽造網域 及 發送基礎設施的訊息會被偽造智慧標記為不良。 對惡意偽造訊息的處理由以下因素控制:
- The Standard 或 Strict 預設的安全政策。
- 預設的反釣魚政策。
- 自訂的反釣魚政策。
如需詳細資訊,請參閱 在適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則。
要將偽造寄件者清單從正常間距改為緊湊間距,請選擇 
「將列表間距改為壓縮」或「正常」,然後選擇 
「壓縮清單」。
要篩選條目,請選擇
篩選。 以下篩選器可在開啟的 篩選 器飛出視窗中提供:
- 偽裝類型:可用的值為 內部 值與 外部值。
- 動作:可用的值為 允許 與 封鎖
當你完成 篩選 器飛出後,選擇 套用。 要清除篩選條件,請選擇 
清除篩選器。
使用 
搜尋 框及相應的數值來尋找特定條目。
使用 
匯出 功能將偽造偵測清單匯出成 CSV 檔案。
查看關於偽裝偵測的詳細資訊
當你點擊清單中除第一欄旁勾選框外的任何地方,選擇偽裝偵測時,會跳出一個詳細的飛躍視窗,包含以下資訊:
我們為什麼會發現這個? 章節:為何我們偵測到這個寄件人是偽造的,以及你可以做些什麼以獲得更多資訊。
網域摘要 區塊:包含與主 Spoof 情報洞察 頁面相同的資訊。
WhoIs 資料 區塊:關於寄件人網域的技術資訊。
Explorer 調查區塊:在 Defender for Office 365 組織中,此區塊包含一個連結,可開啟威脅總管,查看 Phish 標籤中關於發送者的更多細節。
類似電子郵件 區塊:包含以下關於偽造偵測的資訊:
- Date
- 主旨
- 收件者
- Sender
- 寄件者 IP
選擇 自訂欄位 以移除顯示的欄位。 完成後,選擇 「申請」。
提示
若要查看其他條目的詳細資料而不留下詳細視窗,請使用
飛出視窗頂端的「上一項目」和「下一項目」。
若要將偽裝偵測從允許封鎖或反之改變,請參見下一節。
覆寫偽裝情報的判決
在偽 造情報洞察 頁面 https://security.microsoft.com/spoofintelligence,請使用以下任一方法來覆寫偽造情報的判決:
請從列表中選擇第一欄旁的勾選框,選擇一個或多個條目。
- 選擇
出現的「大量行動」動作。 - 在開啟的 「Bulk Actions 」飛碟中,選擇 允許偽裝 或 封鎖偽裝,然後選擇 套用。
- 選擇
點擊清單中除勾選框外的任意位置即可選擇該條目。
在開啟的詳細跳板中,選擇「 允許偽裝 」或「 阻擋偽造 」,然後選擇 套用。
回到偽裝智慧洞察頁面,該條目會從列表中移除,並加入租戶允許/封鎖名單頁面https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的偽裝寄件者標籤。
關於允許的僞裝寄件者
允許偽造寄件者的訊息 (自動偵測或手動設定) 僅允許使用偽造網域 與 發送基礎設施的組合。 例如,允許以下僞裝的寄件者進行詐騙:
- 領域:gmail.com
- 基礎建設:tms.mx.com
只有該網域/寄件基礎設施配對的電子郵件才被允許偽裝。 不會自動允許其他嘗試詐騙 gmail.com 的寄件者。 偽造智慧會檢查來自其他網域、來自 tms.mx.com 的發送者訊息,而這些訊息仍可被阻擋。
在 PowerShell 中使用偽造智慧洞察
在 Exchange Online PowerShell 中,你可以使用 Get-SpoofIntelligenceInsight 這個 cmdlet 來查看被偽造智慧偵測到的允許與被封鎖的偽造寄件者。 要手動允許或封鎖偽造的寄件者,你需要使用 New-TenantAllowBlockListSpoofItems 這個 cmdlet。 欲了解更多資訊,請參閱 「使用 PowerShell 建立租戶允許/封鎖清單 中偽造寄件者的允許條目」,以及 「使用 PowerShell 建立租戶允許/封鎖清單中偽造寄件者的封鎖條目」。
要查看偽造情報洞察中的資訊,請執行以下指令:
Get-SpoofIntelligenceInsight
欲了解詳細語法與參數資訊,請參見 Get-SpoofIntelligenceInsight。
其他管理偽造與網路釣魚的方法
勤於進行詐騙和網路釣魚防護。 以下是檢查偽造您網域的寄件者,並協助防止他們損害您組織的相關方法:
請查看 偽造郵件報告。 經常使用此報告以查看並協助管理偽造的寄件人。 詳情請參閱 偽裝偵測報告。
檢視你的防曬、DKIM和DMARC配置。 如需詳細資訊,請參閱下列文章: