Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Во всех организациях с облачными почтовыми ящиками входящие сообщения электронной почты автоматически защищены от спуфингов. Microsoft 365 использует поддельный интеллект в рамках общей защиты вашей организации от фишинга. Дополнительные сведения см. в разделе Защита от спуфингов.
Когда отправитель подделывает адрес электронной почты, он выглядит как пользователь в одном из доменов вашей организации или пользователь во внешнем домене, который отправляет электронную почту в вашу организацию. Злоумышленники, которые подделают отправителей для отправки спама или фишинговой почты, должны быть заблокированы. Но есть сценарии, когда законные отправители подделывают. Например:
Допустимые сценарии подмены внутренних доменов:
- Отправители, не относящиеся к Корпорации Майкрософт, используют ваш домен для отправки массовой почты пользователям в вашей организации (например, для опросов компании).
- Внешняя компания генерирует и рассылает рекламу или обновления продукта от вашего имени.
- Помощнику регулярно нужно отправлять электронную почту для другого человека в вашей организации.
- Внутреннее приложение отправляет уведомления по электронной почте.
Допустимые сценарии спуфинга внешних доменов:
- Отправитель находится в списке рассылки (также известном как список обсуждения), и список рассылки ретранслирует электронную почту от исходного отправителя всем участникам списка рассылки.
- Внешняя компания отправляет электронную почту от имени другой компании (например, автоматический отчет или компания, предоставляющая программное обеспечение как услуга).
Используйте сведения о спуфинге на портале Microsoft Defender, чтобы быстро выявлять и вручную разрешать подменённых отправителей, которые легитимно отправляют вам электронные сообщения, не проходящие проверку подлинности электронной почты (SPF, DKIM или DMARC).
Разрешив известным отправителям отправлять поддельные сообщения из известных местоположений, вы можете сократить количество ложных срабатываний (когда корректное письмо ошибочно помечается как нежелательное). Отслеживая разрешенных поддельных отправителей, вы обеспечиваете дополнительный уровень безопасности для предотвращения поступления небезопасных сообщений в свою организацию.
Вы также можете использовать данные Spoof Intelligence, чтобы проверить поддельных отправителей, разрешенных системой Spoof Intelligence, и вручную заблокировать определенных разрешенных поддельных отправителей.
В следующих разделах объясняется, как использовать аналитику спуфа на портале Microsoft Defender и в PowerShell.
Примечание.
В этом представлении отображаются только отправители с поддельным адресом, обнаруженные системой анализа спуфинга. Сообщения из доменов, в которых произошел сбой DMARC, где для политики DMARC задано значение
p=rejectилиp=quarantineне отображаются в этой аналитике. Эти сообщения обрабатываются в соответствии с параметром Соблюдать политику записи DMARC, если сообщение определяется как поддельное в параметрах защиты от спуфинга в политике защиты от фишинга.Когда вы переопределяете вердикт «разрешить» или «заблокировать» в сведениях о распознавании подмены, подменённый отправитель становится записью ручного разрешения или блокировки, которая отображается только на вкладке Подменённые отправители на странице Списки разрешённых и заблокированных адресов клиента по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Вы также можете вручную создавать разрешенные или блокировать записи для поддельных отправителей, прежде чем подделательная аналитика обнаружит их. Дополнительные сведения см. в разделе Подделанные отправители в списке разрешенных и заблокированных клиентов.
Значения действияРазрешить или Блокировать в аналитических сведениях о спуфинге относятся к обнаружению спуфинга (то есть к тому, определило ли Microsoft 365 сообщение как поддельное или нет). Значение Действия не обязательно влияет на общую фильтрацию сообщения. Например, чтобы избежать ложноположительных срабатываний, поддельное сообщение может быть доставлено, если мы обнаружим, что оно не несёт злонамеренного характера.
Аналитическая сводка по спуфингу показывает данные за последние семь дней. В Exchange Online PowerShell командлет Get-SpoofIntelligenceInsight отображает данные за 30 дней.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на вкладку Поддельные отправители на странице Списки разрешений и блокировок арендатора, используйте https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Чтобы перейти непосредственно на страницу Сведения аналитики спуфинга, используйте https://security.microsoft.com/spoofintelligence.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:
Microsoft Defender XDR: единое управление доступом на основе ролей (RBAC) (если для Электронная почта & совместная работа>Defender для Office 365 разрешение имеет значение
Active. Влияет только на портал Defender, но не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).-
-
Разрешить или заблокировать подделанных отправителей, включить или отключить спуфинговую аналитику: членство в одной из следующих групп ролей:
- Управление организацией
- Администратор безопасностииконфигурация только для просмотра или управление организацией только для просмотра.
- Доступ только для чтения к аналитике спуфинга: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
-
Разрешить или заблокировать подделанных отправителей, включить или отключить спуфинговую аналитику: членство в одной из следующих групп ролей:
Разрешения Microsoft Entra: Членство в ролях Глобальный администратор*, Администратор безопасности, Глобальный читатель или Читатель безопасности предоставляет пользователям необходимые разрешения, а также разрешения для использования других функций Microsoft 365.
Важно!
* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
Рекомендуемые параметры для политик защиты от фишинга, включая аналитику спуфинга, см. в статье Параметры политики защиты от фишинга для всех облачных почтовых ящиков.
Вы включаете и отключаете спуфинговую аналитику в политиках защиты от фишинга. Аналитика спуфинга включена по умолчанию. Дополнительные сведения см. в одной из следующих статей:
Поиск аналитических сведений о спуфингах на портале Microsoft Defender
Откройте аналитику по спуфингу
Чтобы открыть аналитические сведения о спуфингах на портале Microsoft Defender, выполните следующие действия.
На портале Microsoft Defender по адресу https://security.microsoft.com, перейдите к Электронная почта & совместная работа>Политики & правила>Политики угроз>Списки разрешения/блокировки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.
Перейдите на вкладку Подделанные отправители .
На вкладке Поддельные отправители отображаются сведения системы аналитики спуфинга, как показано на следующем рисунке:
Есть два режима аналитики:
- Режим аналитики: если включена аналитика спуфинга, в режиме аналитики отображается, сколько сообщений обнаружила аналитика спуфинга за последние семь дней.
- Режим "Что, если": Если интеллектуальное обнаружение спуфинга отключено, эта аналитическая сводка показывает, сколько сообщений средство интеллектуального обнаружения спуфинга могло бы обнаружить за последние семь дней.
Чтобы просмотреть сведения об обнаружениях спуфинга, выберите Просмотр действий, связанных с подменой в разделе аналитики спуфинга, чтобы перейти на страницу Аналитика спуфинга.
Просмотреть сведения об обнаружениях подмены
Примечание.
Помните, что в этой аналитике отображаются только подделанные отправители, обнаруженные спуфингом. Сообщения из доменов, в которых произошел сбой DMARC, где для политики DMARC задано значение p=reject или p=quarantine не отображаются в этой аналитике. Эти сообщения обрабатываются в соответствии с параметром Соблюдать политику записи DMARC, если сообщение определяется как поддельное в параметрах защиты от спуфинга в политике защиты от фишинга.
Страница Аналитика спуфинга по адресу https://security.microsoft.com/spoofintelligence доступна при выборе пункта Просмотреть действия спуфинга в разделе Аналитика спуфинга на вкладке Подделанные отправители на странице Списки разрешенных и заблокированных клиентов .
На странице Аналитика спуфинга можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:
-
Подделанный пользователь: домен подделаного пользователя в поле From в почтовых клиентах (также известный
5322.Fromкак адрес или адрес P2). -
Инфраструктура отправки: также известна как инфраструктура. Значение параметра «Инфраструктура отправителя» может быть одним из следующих:
- Домен, обнаруженный при обратном DNS-запросе (запись PTR) для IP-адреса исходного почтового сервера.
- Если исходный IP-адрес не имеет записи PTR, отправляющая инфраструктура идентифицируется как <исходный IP-адрес> /24 (например, 192.168.100.100/24).
- Проверенный домен DKIM.
- Количество сообщений: Количество сообщений, полученных из комбинации поддельного домена и инфраструктуры отправки в вашу организацию за последние семь дней.
- Последний просмотр: дата последнего получения сообщения из инфраструктуры отправки, содержащей подделанный домен.
-
Тип спуфинга: одно из следующих значений:
- Внутренний. Подделанный отправитель находится в домене, принадлежавом вашей организации ( принятом домене).
- Внешний: подделанный отправитель находится во внешнем домене.
-
Действие: это значение разрешено или заблокировано:
Разрешено: домен не прошёл явные проверки аутентификации электронной почты: SPF, DKIM и DMARC. Однако домен прошел наши неявные проверки подлинности электронной почты (составная проверка подлинности). В результате действия по защите от спуфинга к сообщению не применялись.
Заблокировано: Сообщения из поддельного домена и инфраструктуры отправки помечаются системой анализа спуфинга как вредоносные. Действие, применяемое к поддельным сообщениям с вредоносными целями, определяется:
- Предустановленные политики безопасности Standard или Strict.
- Политика защиты от фишинга по умолчанию.
- Настраиваемые политики защиты от фишинга.
Дополнительные сведения см. в разделе Настройка политик защиты от фишинга в Microsoft Defender для Office 365.
Чтобы изменить список подделанных отправителей с обычного на компактный, выберите
Изменить интервал списка на компактный или обычный, а затем выберите
Компактный список.
Чтобы отфильтровать записи, выберите
Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Тип подмены: Допустимые значения: Internal и External.
- Действие: доступные значения : Разрешить и Блокировать.
По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите
Очистить фильтры.
Используйте поле Поиск и соответствующее значение для поиска определенных записей.
Используйте
Export, чтобы экспортировать список обнаруженных случаев спуфинга в файл CSV.
Просмотр сведений об обнаружении спуфингов
Если выбрать в списке запись об обнаруженной подмене, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений, содержащая следующую информацию:
Почему мы поймали это? section: почему мы обнаружили этого отправителя как подделанного и что вы можете сделать для получения дополнительных сведений.
Раздел Сводка по домену: содержит ту же информацию, что и на основной странице Spoof intelligence insight.
Раздел данных WhoIs: Техническая информация о домене отправителя.
Раздел «Исследование в Обозревателе»: в организации Defender для Office 365 этот раздел содержит ссылку для открытия Обозреватель угроз, чтобы просмотреть дополнительные сведения об отправителе на вкладке Фишинг.
Раздел Аналогичные сообщения электронной почты. Содержит следующие сведения об обнаружении спуфингов:
- Date
- Тема
- Получатель
- Sender
- IP-адрес отправителя
Выберите Настроить столбцы , чтобы удалить отображаемые столбцы. По завершении нажмите кнопку Применить.
Совет
Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте
предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Чтобы изменить защиту от спуфинга с Разрешить на Блокировать или наоборот, см. Переопределение решения интеллектуальной системы обнаружения спуфинга.
Переопределить вердикт системы анализа спуфинга
Важно!
Когда вы переопределяете вердикт аналитики подмены, запись удаляется со страницы Spoof intelligence insight и добавляется на вкладку Подменённые отправители на странице Списки разрешённых/заблокированных элементов клиента по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
На странице Сведения об аналитике подмены по адресу https://security.microsoft.com/spoofintelligence, используйте один из следующих методов, чтобы переопределить решение аналитики подмены:
Выберите одну или несколько записей из списка, установив флажок рядом с первым столбцом.
- Выберите действие
Массовые операции, которое появится. - В открывшемся всплывающем меню Массовые действия выберите Разрешить спуфинг или Заблокировать спуфинг, а затем выберите Применить.
- Выберите действие
Выберите элемент из списка, щелкнув в любом месте строки, кроме флажка.
В открывшейся всплывающей панели сведений выберите Разрешить спуфинг или Блокировать спуфинг в верхней части панели, а затем выберите Применить.
Вернувшись на страницу Аналитика подмены, вы увидите, что запись удалена из списка и добавлена на вкладку Подменённые отправители на странице Списки разрешений/блокировок организации по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
О разрешенных поддельных отправителях
Сообщения от разрешенного спуфинированного отправителя (автоматически обнаруженные или настроенные вручную) разрешены только при использовании сочетания подделанного домена и инфраструктуры отправки. Например, следующий поддельный отправитель может выполнять спуфинг:
- Домен: gmail.com
- Инфраструктура: tms.mx.com
Подделать можно только электронную почту из этой пары "домен/отправляющая инфраструктура". Другие отправители, пытающиеся подделать gmail.com, автоматически не допускаются. Механизм выявления спуфинга проверяет сообщения от отправителей из других доменов, которые поступают с tms.mx.com, и такие сообщения по-прежнему могут блокироваться.
Используйте аналитические сведения о спуфинге в PowerShell
В Exchange Online PowerShell вы используете командлет Get-SpoofIntelligenceInsight для просмотра разрешенных и заблокированных отправителей с подменой, обнаруженных функцией анализа подмены. Чтобы вручную разрешить или заблокировать подменных отправителей, необходимо использовать командлет New-TenantAllowBlockListSpoofItems. Дополнительные сведения см. в статьях Использование PowerShell для создания записей разрешений для поддельных отправителей в списке разрешений и блокировок клиента и Использование PowerShell для создания записей блокировки для поддельных отправителей в списке разрешений и блокировок клиента.
Чтобы просмотреть сведения в аналитике спуфинга, выполните следующую команду:
Get-SpoofIntelligenceInsight
Подробные сведения о синтаксисе и параметрах см. в разделе Get-SpoofIntelligenceInsight.
Дополнительные средства для управления спуфингом и фишингом
Уделяйте должное внимание защите от спуфинга и фишинга. Вот несколько связанных способов проверить отправителей, которые подменяют ваш домен, и помочь предотвратить ущерб, который они могут нанести вашей организации:
Проверьте отчет о поддельных письмах. Часто используйте этот отчет для просмотра подделанных отправителей и управления ими. Дополнительные сведения см. в отчете о выявлении подмены.
Проверьте конфигурацию SPF, DKIM и DMARC. Дополнительные сведения см. в следующих статьях:
- проверка подлинности Email
- Настройка SPF для определения допустимых источников электронной почты для пользовательских облачных доменов
- Настройка DKIM для подписывания почты из облачного домена
- Настройте DMARC для проверки домена адреса From для облачных отправителей
- Настройка доверенных запечатывщиков ARC