Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Политики защиты от фишинга защищают от фишинговых атак путем обнаружения поддельных отправителей, попыток олицетворения и других обманных методов электронной почты. Базовые функции защиты от фишинга предоставляются всем облачным почтовым ящикам Microsoft 365, включая аналитику спуфинга, предупреждение системы безопасности при первом контакте и индикаторы неподтвержденных отправителей. Кроме того, Microsoft Defender для Office 365 предоставляет следующие расширенные меры защиты:
-
Защита олицетворения:
- Защита от олицетворения пользователя, домена и отправителя.
- Возможность определять доверенных отправителей и домены для уменьшения ложноположительных результатов.
-
Пороговые значения фишинговых сообщений электронной почты:
- Настраиваемые пороговые значения фишинга для точной настройки обнаружения.
-
Обнаружение на основе ИИ и машинного обучения:
- Улучшено обнаружение сложных фишинговых атак с помощью расширенных алгоритмов.
-
Дополнительные отчеты и аналитические сведения:
- Расширенные возможности отчетности и подробная информация о попытках фишинга помимо базового журналирования.
В Microsoft Defender политики защиты от фишинга доступны на странице Электронная почта и совместная работа>Политики и правила>Политики угроз>Защита от фишинга. Хотя политика защиты от фишинга по умолчанию автоматически применяется ко всем получателям, вы также можете создать настраиваемые политики для конкретных пользователей, групп или доменов. В этой статье описываются параметры, доступные в политиках защиты от фишинга для всех облачных почтовых ящиков и в политиках защиты от фишинга в Defender для Office 365.
Настройка политик защиты от фишинга
Чтобы настроить политики защиты от фишинга, ознакомьтесь со следующими статьями:
- Настройка политик защиты от фишинга (базовая защита)
- Настройка политик защиты от фишинга в Microsoft Defender для Office 365
- Рекомендуемые параметры. См. раздел Рекомендуемые параметры политики защиты от фишинга.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центр администрирования Microsoft 365.
Совет
В дополнение к этой статье рекомендуется использовать руководство по автоматической настройке Microsoft Defender для конечной точки при входе в Центр администрирования Microsoft 365. В этом руководстве вы настраиваете интерфейс в зависимости от среды. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите к руководству по настройке Microsoft 365.
Сравнение политик защиты от фишинга для всех облачных почтовых ящиков и в Defender для Office 365
Политики защиты от фишинга для всех облачных почтовых ящиков и политики защиты от фишинга в Defender для Office 365 имеют несколько общих функций (политика по умолчанию, настраиваемые политики, общие параметры политики, параметры спуфинга и подсказка по безопасности при первом контакте), но только Defender для Office 365 включает параметры защиты от имитации пользователей и пороговые значения для фишинговых сообщений электронной почты. Сравнение конкретных функций:
| Функция | Политики защиты от фишинга для всех облачных почтовых ящиков |
Политики защиты от фишинга в Defender для Office 365 |
|---|---|---|
| Автоматически созданная политика по умолчанию | ✔ | ✔ |
| Создание настраиваемых политик | ✔ | ✔ |
| Общие параметры политики* | ✔ | ✔ |
| Параметры подделки | ✔ | ✔ |
| Совет по безопасности при первом контакте | ✔ | ✔ |
| Параметры олицетворения | ✔ | |
| Пороговые значения фишинговых сообщений электронной почты | ✔ |
* В политике по умолчанию имя и описание политики доступны только для чтения (описание пустое), и нельзя указать, к кому применяется политика (политика по умолчанию применяется ко всем получателям).
Общие параметры политики
Следующие параметры политики доступны в политиках защиты от фишинга для всех облачных почтовых ящиков и в политиках защиты от фишинга в Defender для Office 365:
Имя. Вы не можете переименовать политику защиты от фишинга по умолчанию. После создания настраиваемой политики защиты от фишинга вы не сможете переименовать политику на портале Microsoft Defender.
Описание Вы не можете добавить описание в политику защиты от фишинга по умолчанию, но вы можете добавить и изменить описание настраиваемых политик, которые вы создаете.
Пользователи, группы и домены и Исключить этих пользователей, группы и домены: Фильтры получателей используются для определения внутренних получателей, к которым применяется политика. В пользовательских политиках требуется по крайней мере одно условие. Условия и исключения недоступны в политике по умолчанию (политика по умолчанию применяется ко всем получателям). Для условий и исключений можно использовать следующие фильтры получателей:
- Пользователи: один или несколько почтовых ящиков или почтовых пользователей в организации.
-
Группы.
- Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
- Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
- Домены: один или несколько настроенных обслуживаемых доменов в Microsoft 365. Основной адрес электронной почты получателя находится в указанном домене.
Условие или исключение можно использовать только один раз, но условие или исключение могут содержать несколько значений:
Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):
- Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
- Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:
- Пользователи:
romain@contoso.com - Группы: руководители
Политика применяется к нему
romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.- Пользователи:
Совет
В пользовательских политиках защиты от фишинга требуется по крайней мере один выбор в параметрах Пользователи, группы и домены , чтобы определить получателей сообщений, к которым применяется политика. Политики защиты от фишинга в Defender для Office 365 также имеют параметры олицетворения, где можно указать адреса электронной почты отправителя или домены отправителя, получающие защиту олицетворения.
Параметры подделки
Спуфинг — это когда адрес в поле "От" в сообщении электронной почты (адрес отправителя, который отображают почтовые клиенты) не совпадает с доменом источника сообщения электронной почты. Дополнительные сведения о спуфингом см. в разделе Защита от спуфингов.
Совет
Сравнение подмены и имитации см. в статье Подмена и имитация.
Следующие параметры спуфингов доступны в политиках защиты от фишинга для всех облачных почтовых ящиков и в политиках защиты от фишинга в Defender для Office 365:
Включить анализ подмены: Включает или отключает анализ подмены. Рекомендуется оставить его включенным.
Если включена аналитика спуфинга, в ней отображаются поддельные отправители, которые были автоматически обнаружены и разрешены или заблокированы средствами аналитики спуфинга. Вы можете вручную переопределить вердикт анализа спуфинга, чтобы разрешить или заблокировать обнаруженных подменённых отправителей в разделе аналитики. Но когда вы это сделаете, подменённый отправитель исчезнет из аналитики по спуфингу и будет отображаться только на вкладке Подменённые отправители на странице Списки разрешений и блокировок клиента по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Или вы можете вручную создать записи разрешения или блокировки для поддельных отправителей в списке разрешений и блокировок клиента, даже если функция анализа подмены никогда не обнаруживала эти сообщения. Дополнительные сведения см. в следующих статьях:
Примечание.
- Защита от спуфинга включена в предустановленные политики безопасности Standard и Strict. Он включен по умолчанию в политике защиты от фишинга по умолчанию и в новых настраиваемых политиках защиты от фишинга, которые вы создаете.
- Вам не нужно отключать защиту от спуфингов, если запись MX не указывает на Microsoft 365; Вместо этого вы включите расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.
- Отключение защиты от спуфингов отключает только неявную защиту от спуфингов от составных проверок проверки подлинности . Сведения о том, как защита от спуфингов и политика DMARC домена исходного домена (
p=quarantineилиp=rejectв записи DMARC TXT) влияют на явные проверки DMARC, см. в разделе Защита от подделки и политики DMARC отправителя.
Индикаторы отправителей без проверки подлинности. Доступны в разделе Советы по безопасности & индикаторы , только если включена подделательная аналитика. Дополнительные сведения см. в разделе Индикаторы неуверенных отправителей.
Действия: Для сообщений от заблокированных подмененных отправителей (автоматически блокируемых с помощью средств обнаружения спуфинга (сбой составной проверки подлинности плюс вредоносное намерение) или вручную блокируемых в списке разрешений и блокировок клиента) можно также указать, какое действие следует выполнять с сообщениями:
Перемещать сообщения в папки «Нежелательная почта» получателей: Это значение по умолчанию. Сообщение доставляется в почтовый ящик и перемещается в папку Нежелательная Email. Дополнительные сведения см. в статье Настройка параметров нежелательной почты в облачных почтовых ящиках.
Помещает сообщение в карантин. Отправляет сообщение в карантин вместо предполагаемых получателей. Сведения о карантине см. в следующих статьях:
- Карантин
- Управление сообщениями и файлами, помещенными в карантин, в качестве администратора
- Поиск и освобождение сообщений из карантина от имени пользователя
При выборе параметра Карантин сообщения можно также выбрать политику карантина, которая применяется к сообщениям, которые были помещены в карантин с помощью защиты от подделанной аналитики. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Защита от подделки и политики DMARC отправителя
В политиках защиты от фишинга можно указать, следует ли учитывать значения p=quarantine или p=reject в политиках DMARC отправителя. Если сообщение не проходит проверку DMARC, можно указать отдельные действия для p=quarantine или p=reject в политике DMARC отправителя. Используются следующие параметры:
Соблюдайте политику записей DMARC при обнаружении сообщения как поддела. Этот параметр включает соблюдение политики DMARC отправителя при явных сбоях проверки подлинности электронной почты. Если этот параметр выбран, доступны следующие параметры:
-
Если сообщение обнаружено как подделаное, а политика DMARC задана как p=карантин: доступные действия:
- Поместить сообщение в карантин
- Переместите сообщение в папки нежелательной почты получателей
-
Если сообщение обнаружено как подделаное, а политика DMARC задана как p=reject, доступны следующие действия:
- Поместить сообщение в карантин
- Отклонить сообщение
Если в качестве действия выбрать параметр Поместить сообщение в карантин , система будет использовать политику карантина, выбранную для защиты от подделанной аналитики.
-
Если сообщение обнаружено как подделаное, а политика DMARC задана как p=карантин: доступные действия:
Действие, предпринимаемое в отношении поддельного сообщения, зависит от того, включена ли аналитика спуфинга и включен ли параметр Соблюдать политику DMARC. Комбинации и их результирующее поведение:
Совет
Важно понимать, что сбой составной проверки подлинности напрямую не приводит к блокировке сообщения. Наша система использует целостную стратегию оценки, которая учитывает общий подозрительный характер сообщения наряду с составными результатами проверки подлинности. Этот метод снижает риск неправильной блокировки допустимой электронной почты из доменов, которые могут не строго соответствовать протоколам проверки подлинности электронной почты. Этот сбалансированный подход помогает отличить действительно вредоносные сообщения от допустимых отправителей сообщений, которые не соответствуют стандартным методам проверки подлинности электронной почты.
| Соблюдать политику DMARC: Вкл. | Соблюдать политику DMARC: Выкл. | |
|---|---|---|
| Защита от подмены: вкл. | Отдельные действия при неявных и явных сбоях проверки подлинности по электронной почте:
|
Действие Если сообщение определяется аналитикой спуфинга как поддельное (AuthenticationFailAction) в политике защиты от фишинга используется как для неявных, так и для явных сбоев проверки подлинности электронной почты. Явные сбои проверки подлинности по электронной почте игнорируют p=quarantine, p=reject, p=noneили другие значения в политике DMARC. |
| Спуфинговая аналитика выкл. | Неявные проверки подлинности электронной почты не используются. Явные сбои проверки подлинности электронной почты:
|
Не используются неявные проверки подлинности электронной почты. Явные сбои проверки подлинности электронной почты:
|
Примечание.
Если запись MX для домена Microsoft 365 указывает на службу или устройство, не относящиеся к Microsoft и расположенные перед Microsoft 365, параметр Соблюдать политику DMARC применяется только в том случае, если для соединителя, принимающего входящие сообщения, включен параметр Расширенная фильтрация для соединителей.
Клиенты могут переопределить параметр политики Honor DMARC для определенных сообщений электронной почты и (или) отправителей, используя следующие методы:
- Администраторы могут использовать Exchange Online PowerShell для настройки коллекции надежных списков или пользователей может обновить список надежных отправителей в Outlook, чтобы добавить отправителей в список надежных отправителей в почтовый ящик пользователя.
- Администраторы могут использовать аналитические данные о подмене отправителя, список разрешений и блокировок клиента или списки разрешенных отправителей или доменов в политиках защиты от нежелательной почты, чтобы разрешить доставку сообщений от подмененного отправителя.
- Администраторы могут создать для всех пользователей правило обработки потока почты Exchange (правило транспорта), разрешающее отправку сообщений для этих конкретных отправителей.
- Администраторы создают правило потока обработки почты Exchange для всех пользователей для отклоненной электронной почты, которое не выполняет политику DMARC организации.
Индикаторы отправителей без проверки подлинности
Индикаторы неаутентифицированных отправителей являются частью параметров спуфинга, доступных в разделе Советы по безопасности & индикаторы в политиках защиты от фишинга для всех облачных почтовых ящиков и в политиках защиты от фишинга в Defender для Office 365. Следующие параметры доступны только в том случае, если включен подделанный интеллект:
Показывать (?) для неаутентифицированных отправителей при спуфинге: добавляет вопросительный знак к фотографии отправителя в поле «От», если сообщение не проходит проверки SPF или DKIM и не проходит DMARC или составную проверку подлинности (комбинированная оценка Microsoft результатов SPF, DKIM и DMARC). Если этот параметр отключен, вопросительный знак не добавляется на фотографию отправителя.
Показать тег via. Добавляет тег via (
chris@contoso.com <u>via</u> fabrikam.com) в поле From, если домен в адресе From (в почтовых клиентах отображается отправитель сообщения) отличается от домена в подписи DKIM или адреса MAIL FROM . Дополнительные сведения об этих адресах см. в статье Общие сведения о стандартах сообщений электронной почты.
Чтобы предотвратить добавление вопросительного знака или тега via в сообщения от определенных отправителей, у вас есть следующие параметры:
- Разрешите поддельного отправителя в аналитических данных о спуфинге или вручную в списке разрешений и блокировок клиента. Разрешение поддельного отправителя предотвращает отображение тега "via" в сообщениях от этого отправителя, даже если в политике включен параметр Показывать тег "via".
-
Настройка проверки подлинности электронной почты для домена отправителя.
- Для вопросительного знака на фотографии отправителя наиболее важными являются SPF или DKIM.
- Для тега via убедитесь, что домен в подписи DKIM или адрес MAIL FROM соответствует (или является поддоменом) домену в адресе From.
Дополнительные сведения см. в статье Определение подозрительных сообщений в Outlook.com и Outlook в Интернете
Совет по безопасности при первом контакте
Параметр Показывать предупреждение безопасности при первом контакте доступен в политиках защиты от фишинга для всех облачных почтовых ящиков, а также в политиках защиты от фишинга в Defender для Office 365 и не зависит от параметров аналитики подмены или защиты от имитации. Подсказка по безопасности отображается получателям в следующих сценариях:
- При первом получении сообщения от отправителя
- Они не часто получают сообщения от отправителя.
Эта функция добавляет дополнительный уровень защиты от потенциальных атак с подменой личности, поэтому мы рекомендуем включить её.
Первый совет по безопасности при первом контакте определяется значением 9,25 поля SFTY в заголовке X-Forefront-Antispam-Report сообщения. Эта функция устраняет необходимость создавать правила обработки почтового потока (также известные как транспортные правила), которые добавляют к сообщениям заголовок с именем X-MS-Exchange-EnableFirstContactSafetyTip и значением Enable, хотя эта возможность по-прежнему доступна.
В зависимости от количества получателей в сообщении первый совет по безопасности контакта может иметь одно из следующих значений:
Один получатель:
Вы не часто получаете электронную почту с <адреса> электронной почты.
Несколько получателей:
Некоторые пользователи, получившие это сообщение, не часто получают сообщения электронной почты с <адреса> электронной почты.
Примечание.
Если сообщение отправлено нескольким получателям, то решение о том, будет ли показана подсказка и кому именно, принимается по принципу большинства. Если большинство получателей никогда или не часто получают сообщения от отправителя, затронутые получатели получают подсказку Некоторые пользователи, которые получили это сообщение... . Если вы обеспокоены тем, что это поведение передает привычки общения одного получателя другому, не следует включать первую подсказку по безопасности контакта и продолжать использовать правила потока обработки почты и заголовок X-MS-Exchange-EnableFirstContactSafetyTip .
Подсказка о безопасности при первом контакте не отображается в сообщениях, подписанных с помощью S/MIME.
Эксклюзивные параметры в политиках защиты от фишинга в Microsoft Defender для Office 365
В этом разделе описываются параметры политики, доступные только в политиках защиты от фишинга в Defender для Office 365.
Примечание.
Политика защиты от фишинга по умолчанию в Defender для Office 365 обеспечивает защиту от подделки и аналитику почтовых ящиков для всех получателей. Однако другие доступные функции защиты от олицетворения и пороговые значения фишинговой почты не настроены в политике по умолчанию. Чтобы включить все функции защиты, измените политику защиты от фишинга по умолчанию или создайте другие политики защиты от фишинга.
Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365
Олицетворение — это то, что отправитель или домен электронной почты отправителя в сообщении выглядит как настоящий отправитель или домен:
- Примером олицетворения домена
contoso.comявляетсяćóntoso.com. - Олицетворение пользователя — это сочетание отображаемого имени пользователя и адреса электронной почты. Например, злоумышленник может выдавать себя за Валерию Барриос (vbarrios@contoso.com), используя имя Valeria Barrios, но с другим адресом электронной почты.
Примечание.
Защита от подмены выявляет похожие домены. Например, если ваш домен — contoso.com, мы проверяем варианты с разными доменами верхнего уровня (.com, .biz и т. д.), а также домены, которые хотя бы немного похожи. Например, contosososo.com или contoabcdef.com могут быть расценены как попытки выдать себя за contoso.com.
В противном случае олицетворенный домен может считаться допустимым (домен зарегистрирован, настроены записи DNS проверки подлинности по электронной почте и т. д.), за исключением того, что цель домена заключается в обмане получателей.
Параметры имитации для защиты от имитации пользователей, защиты от имитации доменов, анализа почтовых ящиков, советов по безопасности при имитации и надежных отправителей и доменов доступны только в политиках защиты от фишинга в Defender для Office 365.
Совет
Подробные сведения об обнаруженных попытках выдачи себя за другое лицо доступны в разделе аналитики по выдаче себя за другое лицо. Дополнительные сведения см. в статье Аналитика имитации в Defender для Office 365.
Для сравнения имитации и спуфинга см. раздел Спуфинг и имитация.
Защита олицетворения пользователя
Защита от подмены пользователей предотвращает использование конкретных внутренних или внешних адресов электронной почты в качестве отправителей сообщений. Например, вы получите сообщение электронной почты от вице-президента вашей компании с просьбой отправить ей некоторые внутренние сведения о компании. Вы бы это сделали? Многие люди отправляли бы ответ, не думая.
Вы можете использовать список защищаемых пользователей, чтобы добавить адреса электронной почты внутренних и внешних отправителей для защиты от подмены личности. Этот список отправителей, защищенных от олицетворения пользователей, отличается от списка получателей , к которым применяется политика (все получатели для политики по умолчанию; определенные получатели, настроенные в параметре Пользователи, группы и домены в разделе Общие параметры политики ).
Примечание.
Вы можете указать не более 350 пользователей для защиты от олицетворения пользователей в каждой политике защиты от фишинга.
Если включены оба параметра — Включить аналитику почтовых ящиков и Включить аналитику для защиты от олицетворения, — защита от олицетворения пользователей не работает, если отправитель и получатель ранее общались по электронной почте. Если отправитель и получатель никогда не сообщали по электронной почте, сообщение можно определить как попытку олицетворения.
Если пользователь уже включен в защиту олицетворения в политике защиты от фишинга, при попытке добавить пользователя в защиту олицетворения в другой политике защиты от фишинга может возникнуть следующая ошибка: "Адрес электронной почты уже существует". Эта ошибка возникает только на портале Defender. Вы не получите ошибку, если используете соответствующий параметр TargetedUsersToProtect в командлетах New-AntiPhishPolicy или Set-AntiPhishPolicy в Exchange Online PowerShell.
По умолчанию адреса электронной почты отправителей не настроены для защиты от подмены пользователей ни в политике по умолчанию, ни в настраиваемых политиках.
Когда вы добавляете внутренние или внешние адреса электронной почты в список Пользователи, которых нужно защитить, сообщения от этих отправителей проходят проверки защиты от подмены. Сообщение проверяется на подмену, если оно отправлено получателю, на которого распространяется политика (все получатели в политике по умолчанию; получатели из раздела Пользователи, группы и домены в пользовательских политиках). Если в адресе электронной почты отправителя обнаружена подмена, к сообщению применяется действие, заданное для поддельных пользователей.
Для обнаруженных попыток олицетворения пользователя доступны следующие действия:
Не применять никаких действий: действие по умолчанию.
Перенаправление сообщения на другие адреса электронной почты. Отправляет сообщение указанным получателям, а не предполагаемым получателям.
Переместить сообщения в папки нежелательной почты получателей: Сообщение доставляется в почтовый ящик и перемещается в папку нежелательной почты. Дополнительные сведения см. в статье Настройка параметров нежелательной почты в облачных почтовых ящиках.
Помещает сообщение в карантин. Отправляет сообщение в карантин вместо предполагаемых получателей. Сведения о карантине см. в следующих статьях:
- Карантин
- Управление сообщениями и файлами, помещенными в карантин, в качестве администратора
- Поиск и освобождение сообщений из карантина от имени пользователя
При выборе параметра Карантин сообщения можно также выбрать политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты олицетворения пользователя. Политики карантина определяют, что пользователи могут делать с сообщениями, помещенным в карантин. Дополнительные сведения см. в разделе Анатомия политики карантина.
Доставить сообщение и добавить другие адреса в поле «Скрытая копия»: доставить сообщение указанным получателям и незаметно доставить сообщение указанным получателям.
Удалить сообщение перед его доставкой: Без уведомления удалите сообщение целиком, включая все вложения.
Защита от подмены домена
Защита от подмены домена предотвращает подмену определенных доменов в адресе электронной почты отправителя. Например, все домены, которыми вы владеете (обслуживаемые домены) или определенные личные домены (домены, которыми вы владеете, или домены партнеров). Домены отправителей , защищенные от олицетворения, отличаются от списка получателей , к которым применяется политика (все получатели политики по умолчанию; определенные получатели, настроенные в параметре Пользователи, группы и домены в разделе Общие параметры политики ).
Примечание.
В каждой политике защиты от фишинга можно указать не более 50 пользовательских доменов для защиты от подмены домена.
Если включены параметры Включить аналитику почтовых ящиков и Включить аналитику для защиты от олицетворения, защита от олицетворения домена не работает, если отправитель и получатель ранее переписывались по электронной почте. Если отправитель и получатель никогда не сообщали по электронной почте, сообщение можно определить как попытку олицетворения.
Сообщения от отправителей из указанных доменов проверяются средствами защиты от выдачи себя за другое лицо. Сообщение проверяется на имитацию, если сообщение отправлено получателю, на которого распространяется действие политики (все получатели для политики по умолчанию; получатели из списка Пользователи, группы и домены в пользовательских политиках). Если обнаружена подмена в домене электронного адреса отправителя, к сообщению применяется действие, заданное для подмены домена.
По умолчанию домены отправителей не настроены для использования в защите от подмены ни в политике по умолчанию, ни в пользовательских политиках.
Для обнаруженных попыток имитации домена доступны следующие действия:
Не применять никаких действий: значение по умолчанию.
Перенаправление сообщения на другие адреса электронной почты. Отправляет сообщение указанным получателям, а не предполагаемым получателям.
Переместить сообщения в папки «Нежелательная почта» получателей: Сообщение доставляется в почтовый ящик и перемещается в папку «Нежелательная почта». Дополнительные сведения см. в статье Настройка параметров нежелательной почты в облачных почтовых ящиках.
Помещает сообщение в карантин. Отправляет сообщение в карантин вместо предполагаемых получателей. Сведения о карантине см. в следующих статьях:
- Карантин
- Управление сообщениями и файлами, помещенными в карантин, в качестве администратора
- Поиск и освобождение сообщений из карантина от имени пользователя
Если выбрать параметр Поместить сообщение в карантин, можно также выбрать политику карантина, применяемую к сообщениям, которые помещаются в карантин защитой от подмены домена. Политики карантина определяют, что пользователи могут делать с сообщениями, помещенным в карантин. Дополнительные сведения см. в разделе Анатомия политики карантина.
Отправить сообщение и добавить другие адреса в поле «Скрытая копия»: Отправить сообщение предназначенным получателям и скрытно доставить сообщение указанным получателям.
Удалить сообщение перед его доставкой: Без уведомления удаляет всё сообщение, включая все вложения.
Защита от подмены личности с помощью аналитики почтовых ящиков
Аналитика почтовых ящиков использует искусственный интеллект (ИИ) для определения шаблонов электронной почты пользователей с их частыми контактами.
Например, Габриэла Лауреано (glaureano@contoso.com) является генеральным директором вашей компании, поэтому вы добавляете ее в качестве защищенного отправителя в параметрах включить защиту пользователей политики. Но некоторые получатели, указанные в политике, регулярно общаются с поставщиком, которого также зовут Габриэла Лауреано (glaureano@fabrikam.com). Поскольку у этих получателей есть история общения с glaureano@fabrikam.com, аналитика почтового ящика не распознаёт сообщения от glaureano@fabrikam.com как попытку glaureano@fabrikam.com выдать себя за glaureano@contoso.com для этих получателей.
Примечание.
Интеллектуальная защита почтовых ящиков не работает, если отправитель и получатель ранее общались по электронной почте. Если отправитель и получатель никогда не сообщали по электронной почте, сообщение можно определить как попытку олицетворения с помощью аналитики почтовых ящиков.
Аналитика почтовых ящиков имеет два конкретных параметра:
- Включить аналитику почтовых ящиков. Включите или отключите аналитику почтовых ящиков. Этот параметр помогает ИИ различать сообщения от допустимых и олицетворенных отправителей. По умолчанию этот параметр включен.
- Включить аналитические функции для защиты от выдачи себя за другое лицо: По умолчанию этот параметр отключён. Чтобы защитить пользователей от атак олицетворения, используйте журнал контактов, полученный из аналитики почтовых ящиков (как частые контакты, так и отсутствие контакта). Чтобы аналитика почтовых ящиков могла принимать меры с обнаруженными сообщениями, необходимо включить этот параметр и параметр Включить аналитику почтовых ящиков .
Для попыток олицетворения, обнаруженных аналитикой почтовых ящиков, доступны следующие действия:
- Не применять никаких действий: значение по умолчанию. Это действие дает тот же результат, что и в случае, когда Включить интеллект почтовых ящиков включен, а Включить защиту от имитации интеллекта отключен.
- Перенаправление сообщения на другие адреса электронной почты
- Переместите сообщение в папки нежелательной почты получателей
- Карантин сообщения. Если выбрано это действие, можно также выбрать политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты аналитики почтовых ящиков. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
- Отправьте сообщение и добавьте другие адреса в поле «Скрытая копия»
- Удаление сообщения перед его доставкой
Советы по защите от выдачи себя за другое лицо
Пользователям отображаются советы по безопасности, когда сообщения распознаются как попытки выдачи себя за другое лицо. Доступны следующие советы по безопасности:
Показать подсказку по безопасности олицетворения пользователя. Адрес from содержит пользователя, указанного в защите олицетворения пользователя. Доступно, только если включен и настроен параметр Включить защиту пользователей .
Эта рекомендация по безопасности определяется значением 9,20 поля
SFTYв заголовке сообщения X-Forefront-Antispam-Report. В тексте говорится:<Отправитель> похож на пользователя, который ранее отправил вам сообщение электронной почты, но может не быть этим человеком.
Показать совет по безопасности олицетворения домена. Адрес from содержит домен, указанный в защите олицетворения домена. Доступно только в том случае, если включен и настроен параметр Включить домены для защиты .
Эта рекомендация по безопасности определяется значением 9.19 поля
SFTYв заголовке сообщения X-Forefront-Antispam-Report. В тексте говорится:Этот отправитель может олицетворять домен, связанный с вашей организацией.
Показывать совет по безопасности о необычных символах при имитации пользователя: адрес в поле "От" содержит необычные наборы символов (например, математические символы и текст или сочетание прописных и строчных букв) у отправителя, указанного в защите от имитации пользователя. Доступно, только если включен и настроен параметр Включить защиту пользователей . В тексте говорится:
Адрес
<email address>электронной почты содержит непредвиденные буквы или цифры. Рекомендуется не взаимодействовать с этим сообщением.
Примечание.
Советы по безопасности не маркируются в следующих сообщениях:
- Сообщения, подписанные S/MIME.
- Сообщения, разрешенные параметрами организации.
Доверенные отправители и домены
Доверенные отправители и домены не подпадают под действие параметров защиты от подмены. Сообщения от указанных отправителей и доменов отправителей никогда не классифицируются политикой как атаки на основе олицетворения. Другими словами, действие для защищенных отправителей, защищенных доменов или защиты аналитики почтовых ящиков не применяется к этим доверенным отправителям или доменам отправителей. Максимальное ограничение для этих списков — 1024 записи.
Примечание.
Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.
Если системные сообщения Microsoft 365 от следующих отправителей идентифицируются как попытки олицетворения, вы можете добавить отправителей в список доверенных отправителей:
noreply@email.teams.microsoft.comnoreply@emeaemail.teams.microsoft.comno-reply@sharepointonline.com
Пороговые значения фишинга электронной почты в политиках защиты от фишинга в Microsoft Defender для Office 365
Следующие пороговые значения фишинговой почты доступны только в политиках защиты от фишинга в Defender для Office 365. Эти пороговые значения определяют чувствительность для применения моделей машинного обучения к сообщениям для фишинговых вердиктов:
- 1 — Standard: значение по умолчанию. Серьезность действия, выполняемого с сообщением, зависит от степени уверенности в том, что сообщение является фишинговым (низкая, средняя, высокая или очень высокая достоверность). Например, к сообщениям с очень высокой степенью достоверности применяются самые серьезные действия. К сообщениям, идентифицированным с низкой степенью достоверности, применяются менее серьезные действия.
- 2 — агрессивные: сообщения, идентифицированные как фишинг с высокой степенью достоверности, обрабатываются так, как если бы они были идентифицированы с очень высокой степенью достоверности.
- 3 . Более агрессивные: сообщения, идентифицированные как фишинг со средней или высокой степенью достоверности, обрабатываются так, как если бы они были идентифицированы с очень высокой степенью достоверности.
- 4 . Наиболее агрессивные: сообщения, идентифицированные как фишинг с низкой, средней или высокой степенью достоверности, обрабатываются так, как если бы они были идентифицированы с очень высокой степенью достоверности.
Вероятность ложноположительных результатов (хорошие сообщения, помеченные как плохие) увеличивается по мере увеличения этого параметра. Сведения о рекомендуемых параметрах см. в разделе Пороговые значения фишинга электронной почты в политиках защиты от фишинга в Microsoft Defender для Office 365.
Подделывание и олицетворение
Спуфинг — это подделка адреса электронной почты или домена отправителя, чтобы письмо выглядело как отправленное из надежного источника. Злоумышленник манипулирует адресом электронной почты отправителя в заголовке сообщения (также известный как адрес от, 5322.From адрес или отправитель P2), чтобы ввести получателя в заблуждение.
- Защита от фишинга для всех облачных почтовых ящиков включает базовое обнаружение спуфингов с помощью проверки SPF, DKIM и DMARC.
- Defender для Office 365 включает в себя расширенный интеллект спуфинга для более эффективного обнаружения и устранения сложных атак спуфинга.
Олицетворение — это злоумышленник, имитируя доверенного пользователя, домена или торговой марки, чтобы заставить получателя поверить, что сообщение электронной почты является подлинным. Злоумышленник часто использует незначительные варианты фактического имени пользователя или домена (например, mithun@ćóntoso.com вместо mithun@contoso.com).
- Защита от фишинга для всех облачных почтовых ящиков не включает защиту олицетворения.
- Defender для Office 365 включает защиту от олицетворения для пользователей, доменов и брендов, позволяя администраторам задавать доверенные объекты и пороговые значения для обнаружения.
Олицетворение может пройти проверку подлинности электронной почты (SPF, DKIM и DMARC), если злоумышленник создал похожий домен и опубликовал допустимые записи DNS. Несмотря на прохождение проверки подлинности, злоумышленник по-прежнему олицетворяет доверенный домен или пользователя, чтобы обмануть получателей. Это поведение подчеркивает важность расширенной защиты олицетворения, предоставляемой Defender для Office 365.
Чтобы понять порядок обработки для типов защиты электронной почты и приоритет политик, см. раздел Порядок и приоритет защиты электронной почты.