Insikter om förfalskningsinformation i EOP

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor skyddas inkommande e-postmeddelanden automatiskt mot förfalskning. EOP använder förfalskningsinformation som en del av organisationens övergripande skydd mot nätfiske. Mer information finns i Skydd mot förfalskning i EOP.

När en avsändare förfalskar en e-postadress verkar de vara en användare i en av organisationens domäner eller en användare i en extern domän som skickar e-post till din organisation. Angripare som förfalskar avsändare för att skicka skräppost eller nätfiske via e-post måste blockeras. Men det finns scenarier där legitima avsändare förfalskar. Till exempel:

• Legitima scenarier för förfalskning av interna domäner:

  • Tredjepartsavsändare använder din domän för att skicka massutskick till dina egna anställda för företagsundersökningar.
  • Ett externt företag genererar och skickar annonserings- eller produktuppdateringar åt dig.
  • En assistent behöver regelbundet skicka e-post till en annan person i organisationen.
  • Ett internt program skickar e-postaviseringar.

• Legitima scenarier för förfalskning av externa domäner:

  • Avsändaren finns i en e-postlista (kallas även för en diskussionslista) och e-postlistan vidarebefordrar e-post från den ursprungliga avsändaren till alla deltagare i distributionslistan.
  • Ett externt företag skickar e-post för ett annat företags räkning (till exempel en automatiserad rapport eller ett företag med programvara som en tjänst).

Du kan använda insikter om förfalskningsinformation i Microsoft Defender-portalen för att snabbt identifiera falska avsändare som legitimt skickar oautentiserade e-postmeddelanden (meddelanden från domäner som inte klarar SPF-, DKIM- eller DMARC-kontroller) och manuellt tillåta dessa avsändare.

Genom att låta kända avsändare skicka falska meddelanden från kända platser kan du minska falska positiva identifieringar (bra e-post markerad som dålig). Genom att övervaka tillåtna falska avsändare tillhandahåller du ytterligare ett säkerhetslager för att förhindra att osäkra meddelanden kommer till din organisation.

På samma sätt kan du använda insikter om förfalskningsinformation för att granska falska avsändare som tillåts av förfalskningsinformation och manuellt blockera avsändare.

Resten av den här artikeln förklarar hur du använder insikter om förfalskningsinformation i Microsoft Defender-portalen och i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online; fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till fliken Falska avsändare på sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Om du vill gå direkt till insiktssidan för förfalskningsinformation använder du https://security.microsoft.com/spoofintelligence.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).

  • Exchange Online behörigheter:

    • Tillåt eller blockera falska avsändare eller aktivera eller inaktivera förfalskningsinformation: Medlemskap i någon av följande rollgrupper:
      • Organisationshantering
      • Säkerhetsadministratörochendast visningskonfiguration eller vybaserad organisationshantering.
    • Skrivskyddad åtkomst till insikten om förfalskningsinformation: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .

  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör^*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

    Viktigt

    ^* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

• Våra rekommenderade inställningar för principer för skydd mot nätfiske finns i EOP-principinställningar för skydd mot nätfiske.

• Du aktiverar och inaktiverar förfalskningsinformation i principer för skydd mot nätfiske i EOP och Microsoft Defender för Office 365. Förfalskningsinformation är aktiverat som standard. Mer information finns i Konfigurera principer för skydd mot nätfiske i EOP eller Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

• Våra rekommenderade inställningar för förfalskningsinformation finns i EOP-principinställningar för skydd mot nätfiske.

Hitta insikter om förfalskningsinformation i Microsoft Defender-portalen

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken Falska avsändare .

3. På fliken Falska avsändare ser insikten om förfalskningsinformation ut så här:

   

   Insikten har två lägen:

   • Insiktsläge: Om förfalskningsinformation är aktiverat visar insikten hur många meddelanden som har identifierats av förfalskningsinformation under de senaste sju dagarna.
   • Vad händer om-läge: Om förfalskningsinformation är inaktiverat visar insikten hur många meddelanden som skulle ha identifierats av förfalskningsinformation under de senaste sju dagarna.

Om du vill visa information om identifieringar av förfalskningsinformation väljer du Visa förfalskningsaktivitet i insikten om förfalskningsinformation för att gå till insiktssidan för förfalskningsinformation .

Visa information om förfalskningsidentifieringar

Insiktssidan för förfalskningsinformation på https://security.microsoft.com/spoofintelligence är tillgänglig när du väljer Visa förfalskningsaktivitet från förfalskningsinformationsinsikten på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation/blockera Listor.

På insiktssidan för förfalskningsinformation kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

• Förfalskad användare: Domänen för den falska användare som visas i rutan Från i e-postklienter. Från-adressen kallas även för 5322.From adressen.
• Skickar infrastruktur: Kallas även för infrastruktur. Den sändande infrastrukturen är något av följande värden:
  • Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress.
  • Om källans IP-adress inte har någon PTR-post identifieras den sändande infrastrukturen som <käll-IP>/24 (till exempel 192.168.100.100/24).
  • En verifierad DKIM-domän.
• Antal meddelanden: Antalet meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen till din organisation under de senaste sju dagarna.
• Senast sett: Det sista datumet då ett meddelande togs emot från den sändande infrastrukturen som innehåller den falska domänen.
• Förfalskningstyp: Ett av följande värden:
  • Internt: Den falska avsändaren finns i en domän som tillhör din organisation (en godkänd domän).
  • Extern: Den falska avsändaren finns i en extern domän.
• Åtgärd: Det här värdet är Tillåtet eller Blockerat:
  • Tillåten: Domänen misslyckades med explicit e-postautentisering kontrollerar SPF, DKIM och DMARC. Domänen klarade dock våra implicita e-postautentiseringskontroller (sammansatt autentisering). Därför vidtogs ingen förfalskningsåtgärd för meddelandet.
  • Blockerad: Meddelanden från kombinationen av den falska domänen och den sändande infrastrukturen markeras som felaktiga av förfalskningsinformation. Den åtgärd som vidtas på falska meddelanden med skadlig avsikt styrs av standard- eller strikt förinställda säkerhetsprinciper, standardprincipen för skydd mot nätfiske eller anpassade principer för skydd mot nätfiske. Mer information finns i Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Om du vill ändra listan över falska avsändare från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Förfalskningstyp: De tillgängliga värdena är Interna och Externa.
• Åtgärd: De tillgängliga värdena är Tillåt och Blockera

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd sökrutan och ett motsvarande värde för att hitta specifika poster.

Använd Exportera för att exportera listan över förfalskningsidentifieringar till en CSV-fil.

Visa information om förfalskningsidentifieringar

När du väljer en förfalskningsidentifiering i listan genom att klicka någonstans på raden förutom kryssrutan bredvid den första kolumnen öppnas en utfälld informationsvy som innehåller följande information:

• Varför fångade vi det här? section: Why we detected this sender as spoof, and what you can do for further information.

• Avsnittet Domänsammanfattning : Innehåller samma information från huvudsidan för Spoof Intelligence Insight .

• WhoIs-dataavsnitt : Teknisk information om avsändarens domän.

• Undersökningsavsnitt för Utforskaren: I Defender för Office 365 organisation innehåller det här avsnittet en länk för att öppna Threat Explorer för att se ytterligare information om avsändaren på fliken Nätfiske.

• Liknande e-postavsnitt : Innehåller följande information om förfalskningsidentifieringen:

  • Datum
  • Ämne
  • Mottagare
  • Avsändare
  • Avsändarens IP-adress

  Välj Anpassa kolumner för att ta bort de kolumner som visas. När du är klar väljer du Använd.

Om du vill ändra förfalskningsidentifieringen från Tillåt till Blockera eller vice versa läser du nästa avsnitt.

Åsidosätt förfalskningsinformationsutfallet

På sidan Insikter om förfalskningsinformation på https://security.microsoft.com/spoofintelligenceanvänder du någon av följande metoder för att åsidosätta förfalskningsinformationsutfallet:

• Markera en eller flera poster i listan genom att markera kryssrutan bredvid den första kolumnen.

  1. Välj åtgärden Massåtgärder som visas.
  2. I den utfällbara menyn Massåtgärder som öppnas väljer du Tillåt att förfalska eller Blockera från förfalskning och väljer sedan Använd.

• Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan.

  I den utfällbara menyn med information väljer du Tillåt att förfalska eller Blockera från förfalskning överst i den utfällbara menyn och väljer sedan Använd.

Tillbaka på insiktssidan för förfalskningsinformation tas posten bort från listan och läggs till på fliken Falska avsändare på sidan Tillåt/blockera Listor klientorganisation på .https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

Om tillåtna falska avsändare

Meddelanden från en tillåten förfalskad avsändare (identifieras automatiskt eller konfigureras manuellt) tillåts endast med hjälp av kombinationen av den falska domänen och den sändande infrastrukturen. Till exempel tillåts följande falska avsändare att förfalska:

• Domän: gmail.com
• Infrastruktur: tms.mx.com

Endast e-post från den domänen/det sändande infrastrukturparet tillåts förfalska. Andra avsändare som försöker förfalska gmail.com tillåts inte automatiskt. Meddelanden från avsändare i andra domäner som kommer från tms.mx.com kontrolleras fortfarande av förfalskningsinformation och kan blockeras.

Använda insikter om förfalskningsinformation i Exchange Online PowerShell eller fristående EOP PowerShell

I PowerShell använder du cmdleten Get-SpoofIntelligenceInsight för att visa tillåtna och blockerade falska avsändare som har identifierats av förfalskningsinformation. Om du vill tillåta eller blockera falska avsändare manuellt måste du använda cmdleten New-TenantAllowBlockListSpoofItems . Mer information finns i Använda PowerShell för att skapa tillåtna poster för falska avsändare i listan Tillåt/blockera klientorganisation och Använd PowerShell för att skapa blockposter för falska avsändare i listan Tillåt/blockera klientorganisation.

Om du vill visa informationen i insikten om förfalskningsinformation kör du följande kommando:

Get-SpoofIntelligenceInsight

Detaljerad information om syntax och parametrar finns i Get-SpoofIntelligenceInsight.

Andra sätt att hantera förfalskning och nätfiske

Var noggrann med förfalskning och nätfiskeskydd. Här är några relaterade sätt att kontrollera avsändare som förfalskar din domän och förhindra att de skadar din organisation:

• Kontrollera den falska e-postrapporten. Använd den här rapporten ofta för att visa och hjälpa till att hantera falska avsändare. Mer information finns i rapporten Förfalskningsidentifieringar.

• Granska SPF-, DKIM- och DMARC-konfigurationen. Mer information finns i följande artiklar:

  • E-postautentisering i Microsoft 365
  • Konfigurera SPF för att förhindra förfalskning
  • Använda DKIM för att validera utgående e-post som skickas från din anpassade domän
  • Använda DMARC för att validera e-post
  • Konfigurera betrodda ARC-förseglare