Erkenntnisse zur Spoofintelligenz in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection EOP-Organisationen ohne Exchange Online Postfächer werden eingehende E-Mail-Nachrichten automatisch vor Spoofing geschützt. EOP verwendet Spoofintelligenz als Teil des allgemeinen Organization-Schutz vor Phishing. Weitere Informationen finden Sie unter Anti-Spoofing-Schutz in EOP.

Wenn ein Absender eine E-Mail-Adresse spooft, sieht es so aus, als ob es sich um einen Benutzer in einer der Domänen Ihrer Organisation oder um einen Benutzer in einer externen Domäne handelt, der E-Mails an Ihre Organisation sendet. Angreifer, die Absender zum Senden von Spam- oder Phishing-E-Mails spoofen, müssen blockiert werden. Es gibt jedoch Szenarien, in denen legitime Absender Spoofing ausführen. Beispiel:

  • Legitime Szenarien zum Spoofing interner Domänen:

    • Absender von Drittanbietern verwenden Ihre Domain, um Massenmails für Unternehmensumfragen an Ihre eigenen Mitarbeiter zu senden.
    • Ein externes Unternehmen generiert und sendet Werbung oder Produktupdates in Ihrem Auftrag.
    • Ein Assistent sendet regelmäßig E-Mails für eine andere Person in Ihrer Organisation.
    • Eine interne Anwendung sendet E-Mail-Benachrichtigungen.
  • Legitime Szenarien zum Spoofing externer Domänen:

    • Der Absender befindet sich in einem Verteiler (auch Adressenliste), und der Verteiler leitet die E-Mail vom ursprünglichen Absender an alle Teilnehmer des Verteilers weiter.
    • Ein externes Unternehmen sendet E-Mails im Auftrag eines anderen Unternehmens (z. B. einen automatisierten Bericht oder ein Software-as-a-Service-Unternehmen).

Sie können die Spoofintelligenz-Erkenntnisse im Microsoft Defender-Portal verwenden, um gefälschte Absender schnell zu identifizieren, die Ihnen legitimerweise nicht authentifizierte E-Mails senden (Nachrichten von Domänen, die SPF-, DKIM- oder DMARC-Überprüfungen nicht bestehen) und diese Absender manuell zulassen.

Indem Sie es bekannten Absendern erlauben, gefälschte Nachrichten von bekannten Speicherorten zu senden, können Sie falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) reduzieren. Durch die Überwachung der zulässigen gefälschten Absender bieten Sie eine zusätzliche Sicherheitsebene, um zu verhindern, dass unsichere Nachrichten in Ihrem organization eintreffen.

Ebenso können Sie die Spoofintelligenz-Erkenntnis verwenden, um gefälschte Absender zu überprüfen, die durch Spoofintelligenz zugelassen wurden, und diese Absender manuell zu blockieren.

Im weiteren Verlauf dieses Artikels wird erläutert, wie Sie die Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal und in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige eOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Hinweis

  • In den Erkenntnissen der Spoofintelligenz werden nur gefälschte Absender angezeigt, die von Spoofintelligenz erkannt wurden. Wenn Sie die Zulassungs- oder Sperrbewertung in der Erkenntnis außer Kraft setzen, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Blockeintrag, der nur auf der Registerkarte Spoofed senders auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt wird. Sie können auch zugelassene oder blockierte Einträge für gefälschte Absender erstellen, bevor diese von der Spoofintelligenz erkannt werden. Weitere Informationen finden Sie unter Spoofed senders in the Tenant Allow/Block List.For more information, see Spoofed senders in the Tenant Allow/Block List.

  • Die AktionswerteZulassen oder Blockieren in der Spoofintelligenz-Erkenntnis beziehen sich auf die Spooferkennung (unabhängig davon, ob Microsoft 365 die Nachricht als gespooft identifiziert hat oder nicht). Der Aktionswert wirkt sich nicht unbedingt auf die allgemeine Filterung der Nachricht aus. Um beispielsweise falsch positive Ergebnisse zu vermeiden, kann eine gefälschte Nachricht zugestellt werden, wenn wir feststellen, dass sie keine böswillige Absicht hat.

  • Die Spoofintelligenz-Erkenntnis und die Registerkarte Spoofed Senders in der Mandantenliste Zulassen/Blockieren ersetzen die Funktionalität der Spoofintelligenzrichtlinie, die auf der Seite antispamrichtlinien im Security & Compliance Center verfügbar war.

  • Die Spoofintelligenz-Erkenntnis zeigt Daten im Wert von 7 Tagen an. Das Cmdlet Get-SpoofIntelligenceInsight zeigt Daten im Wert von 30 Tagen an.

Was sollten Sie wissen, bevor Sie beginnen?

Suchen der Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal

  1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Mandanten zulassen/blockieren Listen im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.

  3. Auf der Registerkarte Spoofed senders (Spoofed Senders ) sieht die Erkenntnis zur Spoofintelligenz wie folgt aus:

    Die Erkenntnisse zur Spoofintelligenz auf der Seite

    Die Erkenntnis verfügt über zwei Modi:

    • Erkenntnismodus: Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis an, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden.
    • Was-wäre-wenn-Modus: Wenn Spoofintelligenz deaktiviert ist, zeigt die Erkenntnis, wie viele Nachrichten in den letzten sieben Tagen von Spoofintelligenz erkannt wurden .

Um Informationen zu den Erkennungen von Spoofintelligenz anzuzeigen, wählen Sie In der Erkenntnisse zur Spoofintelligenz die Option Spoofingaktivität anzeigen aus, um zur Seite Spoof intelligence insight (Erkenntnisse über Spoofintelligenz ) zu wechseln.

Anzeigen von Informationen zu Spooferkennungen

Hinweis

Denken Sie daran, dass auf dieser Seite nur gefälschte Absender angezeigt werden, die von Spoofintelligenz erkannt wurden.

Die Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligence ist verfügbar, wenn Sie auf der Seite Mandanten zulassen/blockieren Listen auf der Registerkarte Spoofed senders (Spoofed senders) die Option Anzeigen der Spoofingaktivität aus der Spoofintelligenz-Erkenntnis auswählen.

Auf der Seite Erkenntnisse zur Spoofintelligenz können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

  • Gefälschter Benutzer: Die Domäne des gefälschten Benutzers, die in E-Mail-Clients im Feld Von angezeigt wird. Die Von-Adresse wird auch als 5322.From Adresse bezeichnet.
  • Senden der Infrastruktur: Wird auch als Infrastruktur bezeichnet. Die Sendeinfrastruktur weist einen der folgenden Werte auf:
    • Die Domäne in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers.
    • Wenn die Quell-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <Quell-IP-Adresse>/24 identifiziert (z. B. 192.168.100.100/24).
    • Eine überprüfte DKIM-Domäne
  • Nachrichtenanzahl: Die Anzahl der Nachrichten aus der Kombination aus der gefälschten Domäne und der Sendeinfrastruktur an Ihre organization innerhalb der letzten sieben Tage.
  • Zuletzt gesehen: Das letzte Datum, an dem eine Nachricht von der sendenden Infrastruktur empfangen wurde, die die gefälschte Domäne enthält.
  • Spooftyp: Einer der folgenden Werte:
    • Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrem organization gehört (eine akzeptierte Domäne).
    • Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
  • Aktion: Dieser Wert ist Zulässig oder Blockiert:

Wenn Sie die Liste der gefälschten Absender von normalem in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

  • Spooftyp: Die verfügbaren Werte sind Intern und Extern.
  • Aktion: Die verfügbaren Werte sind Allow (Zulassen) und Block (Blockieren).

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Verwenden Sie Export , um die Liste der Spooferkennungen in eine CSV-Datei zu exportieren.

Anzeigen von Details zu Spooferkennungen

Wenn Sie eine Spooferkennung aus der Liste auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

  • Warum haben wir das fangen? Section: Warum wir diesen Absender als Spoof erkannt haben und was Sie tun können, um weitere Informationen zu erhalten.

  • Abschnitt "Domänenzusammenfassung": Enthält die gleichen Informationen auf der Standard Spoof Intelligence-Erkenntnisseite.

  • Abschnitt "WhoIs-Daten ": Technische Informationen zur Domäne des Absenders.

  • Explorer Untersuchungsabschnitt: In Defender for Office 365 organization enthält dieser Abschnitt einen Link zum Öffnen von Threat Explorer, um zusätzliche Details zum Absender auf der Registerkarte Phish anzuzeigen.

  • Abschnitt "Ähnliche E-Mails" : Enthält die folgenden Informationen zur Spooferkennung:

    • Date
    • Subject
    • Empfänger
    • Sender
    • Sender-IP

    Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen. Wenn Sie fertig sind, wählen Sie Übernehmen aus.

Tipp

Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Informationen zum Ändern der Spooferkennung von Zulassen in Blockieren oder umgekehrt finden Sie im nächsten Abschnitt.

Überschreiben des Spoofintelligenz-Urteils

Verwenden Sie auf der Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligenceeine der folgenden Methoden, um die Spoofintelligenzbewertung zu überschreiben:

  • Wählen Sie einen oder mehrere Einträge aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren.

    1. Wählen Sie die aktion Massenaktionen aus, die angezeigt wird.
    2. Wählen Sie im daraufhin geöffneten Flyout Massenaktionendie Option Spoofing zulassen oder Spoofing blockieren aus, und wählen Sie dann Übernehmen aus.
  • Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

    Wählen Sie im daraufhin geöffneten Details-Flyout Spoofing zulassen oder Spoofing blockieren am oberen Rand des Flyouts aus, und wählen Sie dann Übernehmen aus.

Zurück auf der Seite "Erkenntnisse zur Spoofintelligenz" wird der Eintrag aus der Liste entfernt und der Registerkarte Spoofierte Absender auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemhinzugefügt.

Informationen zu zulässigen gefälschten Absendern

Nachrichten von einem zulässigen spoofierten Absender (automatisch erkannt oder manuell konfiguriert) sind nur mit der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur zulässig. Beispielsweise kann der folgende gefälschte Absender spoofen:

  • Domäne: gmail.com
  • Infrastruktur: tms.mx.com

Nur E-Mails aus diesem Domänen-/Sendeinfrastrukturpaar dürfen spooft werden. Andere Absender, die versuchen, gmail.com zu spoofen, sind nicht automatisch zulässig. Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, werden weiterhin durch Spoofintelligenz überprüft und werden möglicherweise blockiert.

Verwenden der Erkenntnisse zur Spoofintelligenz in Exchange Online PowerShell oder eigenständiger EOP PowerShell

In PowerShell verwenden Sie das Cmdlet Get-SpoofIntelligenceInsight , um zulässige und blockierte spoofierte Absender anzuzeigen , die von spoof intelligence erkannt wurden. Um die gefälschten Absender manuell zuzulassen oder zu blockieren, müssen Sie das Cmdlet New-TenantAllowBlockListSpoofItems verwenden. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Erstellen von Zulassungseinträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste und Verwenden von PowerShell zum Erstellen von Blockeinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste.

Führen Sie den folgenden Befehl aus, um die Informationen in der Erkenntnisse zur Spoofintelligenz anzuzeigen:

Get-SpoofIntelligenceInsight

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SpoofIntelligenceInsight.

Weitere Möglichkeiten zum Verwalten von Spoofing und Phishing

Achten Sie auf Spoofing und Phishingschutz. Hier finden Sie verwandte Möglichkeiten, um Absender zu überprüfen, die Ihre Domäne spoofen, und verhindern Sie, dass sie Ihre organization: