Proteção anti-spoofing na EOP
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Nas organizações do Microsoft 365 com caixas de correio em organizações Exchange Online ou Proteção do Exchange Online autónomas (EOP) sem Exchange Online caixas de correio, a EOP inclui funcionalidades para ajudar a proteger a sua organização de remetentes falsificados (falsificados).
Quando se trata de proteger os seus utilizadores, a Microsoft leva a sério a ameaça de phishing. O spoofing é uma técnica comum utilizada pelos atacantes. As mensagens falsificadas parecem ter origem em alguém ou noutro local que não seja a origem real. Esta técnica é frequentemente utilizada em campanhas de phishing concebidas para obter credenciais de utilizador. A tecnologia anti-spoofing na EOP examina especificamente a falsificação do cabeçalho De no corpo da mensagem, porque esse valor de cabeçalho é o remetente da mensagem que é mostrado nos clientes de e-mail. Quando a EOP tem uma elevada confiança de que o cabeçalho De é falsificado, a mensagem é identificada como spoofed.
As seguintes tecnologias anti-spoofing estão disponíveis na EOP:
Email autenticação: uma parte integral de qualquer esforço anti-spoofing é a utilização da autenticação de e-mail (também conhecida como validação de e-mail) por registos SPF, DKIM e DMARC no DNS. Pode configurar estes registos para os seus domínios para que os sistemas de e-mail de destino possam verificar a validade das mensagens que afirmam ser provenientes de remetentes nos seus domínios. Para mensagens de entrada, o Microsoft 365 requer autenticação de e-mail para domínios do remetente. Para obter mais informações, consulte Email autenticação no Microsoft 365.
A EOP analisa e bloqueia mensagens com base na combinação de métodos padrão de autenticação de e-mail e técnicas de reputação do remetente.
Informações de informações de spoof: reveja as mensagens falsificadas de remetentes em domínios internos e externos durante os últimos sete dias. Para obter mais informações, veja Informações de inteligência de spoof na EOP.
Permitir ou bloquear remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino: quando substitui o veredicto nas informações de spoof intelligence, o remetente falsificado torna-se uma entrada de permissão ou bloqueio manual que só aparece no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Também pode criar manualmente entradas de permissão ou bloqueio para remetentes spoof antes de serem detetadas por spoof intelligence. Para obter mais informações, veja Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.
Políticas anti-phishing: na EOP e Microsoft Defender para Office 365, as políticas anti-phishing contêm as seguintes definições anti-spoofing:
- Ative ou desative as informações de spoof.
- Ativar ou desativar indicadores de remetente não autenticados no Outlook.
- Especifique a ação para remetentes falsificados bloqueados.
Para obter mais informações, veja Definições de spoof em políticas anti-phishing.
As políticas anti-phishing no Defender para Office 365 contêm proteções adicionais, incluindo a proteção contra representação. Para obter mais informações, consulte Definições exclusivas em políticas anti-phishing no Microsoft Defender para Office 365.
Relatório de deteções de spoof: para obter mais informações, veja Relatório de Deteções de Spoof.
Defender para Office 365 organizações também podem utilizar Deteções em tempo real (Plano 1) ou Explorador de Ameaças (Plano 2) para ver informações sobre tentativas de phishing. Para obter mais informações, veja Microsoft 365 threat investigation and response (Investigação e resposta a ameaças do Microsoft 365).
Sugestão
É importante compreender que uma falha de autenticação composta não resulta diretamente no bloqueio de uma mensagem. O nosso sistema utiliza uma estratégia de avaliação holística que considera a natureza suspeita geral de uma mensagem juntamente com os resultados da autenticação composta. Este método foi concebido para mitigar o risco de bloquear incorretamente e-mails legítimos de domínios que podem não cumprir estritamente os protocolos de autenticação de e-mail. Esta abordagem equilibrada ajuda a distinguir e-mails genuinamente maliciosos de remetentes de mensagens que simplesmente não cumprem as práticas padrão de autenticação de e-mail.
Como o spoofing é utilizado em ataques de phishing
Os remetentes falsificados nas mensagens têm as seguintes implicações negativas para os utilizadores:
Engano: as mensagens de remetentes falsificados podem levar o destinatário a selecionar uma ligação e a abdicar das respetivas credenciais, a transferir software maligno ou a responder a uma mensagem com conteúdo confidencial (conhecido como comprometimento de e-mail empresarial ou BEC).
A seguinte mensagem é um exemplo de phishing que utiliza o remetente msoutlook94@service.outlook.comfalsificado:
Esta mensagem não veio de service.outlook.com, mas o atacante falsificou o campo de cabeçalho De para que parecesse. O remetente tentou enganar o destinatário para selecionar a ligação alterar a palavra-passe e fornecer as respetivas credenciais.
A seguinte mensagem é um exemplo de BEC que utiliza o domínio de e-mail falsificado contoso.com:
A mensagem parece legítima, mas o remetente está falsificado.
Confusão: Mesmo os utilizadores que sabem sobre phishing podem ter dificuldades em ver as diferenças entre mensagens reais e mensagens de remetentes falsificados.
A seguinte mensagem é um exemplo de uma mensagem de reposição de palavra-passe real da conta de Segurança microsoft:
A mensagem veio mesmo da Microsoft, mas os utilizadores foram condicionados a suspeitar. Uma vez que é difícil a diferença entre uma mensagem de reposição de palavra-passe real e uma falsa, os utilizadores podem ignorar a mensagem, denunciá-la como spam ou comunicar desnecessariamente a mensagem à Microsoft como phishing.
Diferentes tipos de spoofing
A Microsoft diferencia entre dois tipos diferentes de remetentes falsificados em mensagens:
Spoofing intra-org: também conhecido como self-to-self spoofing. Por exemplo:
O remetente e o destinatário estão no mesmo domínio:
De: chris@contoso.com
Para: michelle@contoso.comO remetente e o destinatário estão em subdomínios do mesmo domínio:
De: laura@marketing.fabrikam.com
Para: julia@engineering.fabrikam.comO remetente e o destinatário estão em domínios diferentes que pertencem à mesma organização (ou seja, ambos os domínios são configurados como domínios aceites na mesma organização):
De: remetente @ microsoft.com
Para: destinatário @ bing.comOs espaços são utilizados nos endereços de e-mail para impedir a recolha de spambot.
As mensagens que falham na autenticação composta devido ao spoofing intra-org contêm os seguintes valores de cabeçalho:
Authentication-Results: ... compauth=fail reason=6xx
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11
reason=6xx
indica spoofing intra-org.SFTY
é o nível de segurança da mensagem.9
indica phishing,.11
indica spoofing intra-org.
Spoofing entre domínios: os domínios do remetente e do destinatário são diferentes e não têm qualquer relação entre si (também conhecidos como domínios externos). Por exemplo:
De: chris@contoso.com
Para: michelle@tailspintoys.comAs mensagens que falham na autenticação composta devido ao spoofing entre domínios contêm os seguintes valores de cabeçalhos:
Authentication-Results: ... compauth=fail reason=000/001
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22
reason=000
indica que a mensagem falhou na autenticação explícita de e-mail.reason=001
indica que a mensagem falhou na autenticação implícita de e-mail.SFTY
é o nível de segurança da mensagem.9
indica phishing,.22
indica spoofing entre domínios.
Para obter mais informações sobre Authentication-Results e
compauth
valores, veja Authentication-results message header fields (Campos de cabeçalho da mensagem Authentication-results).
Problemas com a proteção anti-spoofing
Sabe-se que as listas de correio (também conhecidas como listas de debates) têm problemas com a proteção anti-spoofing devido à forma como reencaminham e modificam as mensagens.
Por exemplo, Gabriela Laureano (glaureano@contoso.com) está interessada na observação de aves, junta-se à lista birdwatchers@fabrikam.comde correio e envia a seguinte mensagem para a lista:
De: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de Debates do Observador de Pássaros <birdwatchers@fabrikam.com>
Assunto: Grande visualização de jays azuis no topo do Monte. Rainier esta semanaQualquer um quer ver a visualização esta semana do Mt. Mais chuvoso?
O servidor da lista de correio recebe a mensagem, modifica o respetivo conteúdo e reproduz-a para os membros da lista. A mensagem reproduzida tem o mesmo endereço De (glaureano@contoso.com), mas é adicionada uma etiqueta ao assunto e é adicionado um rodapé à parte inferior da mensagem. Este tipo de modificação é comum em listas de correio e pode resultar em falsos positivos para spoofing.
De: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de Debates do Observador de Pássaros <birdwatchers@fabrikam.com>
Assunto: [BIRDWATCHERS] Grande visualização de jays azuis no topo do Monte. Rainier esta semanaQualquer um quer ver a visualização esta semana do Mt. Mais chuvoso?
Esta mensagem foi enviada para a Lista de Debates dos Observadores de Aves. Pode anular a subscrição em qualquer altura.
Para ajudar as mensagens da lista de correio a passar em verificações anti-spoofing, siga os passos com base no controlo da lista de correio:
A sua organização é proprietária da lista de correio:
- Consulte as FAQ em DMARC.org: opero uma lista de correio e quero interagir com o DMARC, o que devo fazer?.
- Leia as instruções nesta mensagem de blogue: uma sugestão para os operadores de lista de correio interagirem com a DMARC para evitar falhas.
- Considere instalar atualizações no seu servidor de lista de correio para suportar o ARC. Para obter mais informações, consulte http://arc-spec.org.
A sua organização não é proprietária da lista de correio:
- Peça ao responsável pela manutenção da lista de correio para configurar a autenticação de e-mail para o domínio a partir do qual a lista de correio está a reencaminhar. Os proprietários são mais propensos a agir se os membros suficientes lhes pedirem para configurar a autenticação de e-mail. Embora a Microsoft também trabalhe com proprietários de domínios para publicar os registos necessários, ajuda ainda mais quando os utilizadores individuais o pedem.
- Crie regras de Caixa de Entrada no seu cliente de e-mail para mover mensagens para a Caixa de Entrada.
- Utilize a Lista de Permissões/Bloqueios do Inquilino para criar uma entrada de permissão para a lista de correio para a tratar como legítima. Para obter mais informações, consulte Criar entradas de permissões para remetentes falsificados.
Se tudo o resto falhar, pode comunicar a mensagem como um falso positivo à Microsoft. Para obter mais informações, consulte Comunicar mensagens e ficheiros à Microsoft.
Considerações sobre a proteção anti-spoofing
Se for um administrador que atualmente envia mensagens para o Microsoft 365, tem de se certificar de que o seu e-mail está devidamente autenticado. Caso contrário, poderá ser marcado como spam ou phishing. Para obter mais informações, consulte Como evitar falhas de autenticação de e-mail ao enviar correio para o Microsoft 365.
Os remetentes em listas de Remetentes Seguros de utilizadores individuais (ou administradores) ignoram partes da pilha de filtragem, incluindo a proteção spoof. Para obter mais informações, consulte Remetentes Seguros do Outlook.
Se possível, os administradores devem evitar utilizar listas de remetentes permitidos ou listas de domínios permitidas em políticas antisspam. Estes remetentes ignoram a maior parte da pilha de filtragem (as mensagens de phishing e software maligno de alta confiança são sempre colocadas em quarentena). Para obter mais informações, veja Utilizar listas de remetentes permitidos ou listas de domínios permitidas.