Anti-spoofing Schutz in Office 365

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Dieser Artikel beschreibt, wie Office 365 vor Phishingangriffen reduziert, dass verwendet Absenderdomänen, d. h., Domänen gefälschte, die manipuliert werden. Sie erreicht dies, indem Sie die Nachrichten zu analysieren und Sperren diejenigen, die mit der standard-e-Mail-Authentifizierungsmethoden noch andere Absender Ruf Techniken authentifiziert werden können. Zum Verringern der Anzahl von Phishing-Angriffen, die für Kunden zugänglich sind, wird diese Änderung implementiert wird.

In diesem Artikel wird erläutert, warum diese Änderung vorgenommen wird, wie Kunden auf diese Änderung vorbereiten können, wie Nachrichten angezeigt, die betroffen sind, wie Nachrichten Berichten, so falsche positive zu verringern sowie wie Absender an Microsoft für dieses vorbereiten sollten ändern.

Microsoft Anti-spoofing Technologie ist zunächst auf ihre Office 365 erweiterte Threat Protection (ATP) und E5 Kunden bereitgestellt. Allerdings können aufgrund der Art und Weise, die alle zugehörigen Filter voneinander zu lernen, nicht ATP-Kunden und sogar Outlook.com Benutzer auch beeinträchtigt werden.

Wie spoofing bei Phishing-Angriffen verwendet wird

Wenn es zum Schützen von ihren Benutzern kommt, nimmt Microsoft das Risiko von Phishing ernst. Einer der Techniken, mit denen Spammer und Phishing häufig ist spoofing, d. h., wann der Absender gefälschte ist und zu einer Person oder an einer beliebigen Stelle als die tatsächliche Quelle stammen, wird eine Meldung angezeigt. Dieses Verfahren wird in Phishing-Fälle dazu ausgelegt, Abrufen von Benutzeranmeldeinformationen häufig verwendet werden. Microsoft Anti-Spoofing Technologie untersucht speziell Fälschung von der "von: Kopfzeile ', wird, der in einer e-Mail-Clients wie Outlook angezeigt werden. Wenn Microsoft hat hohes vertrauen, die von: Kopfzeile manipuliert ist, wird die Nachricht als gefälschten Version identifiziert.

Spoofing Nachrichten weisen zwei negative Auswirkungen für Praxis Benutzer:

  1. Gefälschte Nachrichten zu täuschen Benutzer

    Zunächst möglicherweise eine gefälschte Nachricht täuschen Ein Benutzers einen Link und ihre Anmeldeinformationen zugewiesen, Schadsoftware herunterladen oder Antworten auf Nachrichten mit befinden sich vertrauliche Inhalte (der letztere als Business-e-Mail Kompromisse bezeichnet). Die folgenden beträgt beispielsweise eine Phishingnachricht mit einer gefälschten Absender msoutlook94@service.outlook.com:

    Phishing-Nachricht einen Identitätswechsel service.outlook.com

    Die oben genannten stammt nicht tatsächlich von service.outlook.com, aber stattdessen durch die leitet, um aussehen wie der an manipuliert wurde. Es wird versucht, bringen, dass einen Benutzer auf den Link in der Nachricht.

    Im nächste Beispiel ist contoso.com spoofing:

    Phishing-Nachricht - Business-e-Mail Kompromisse

    Die Nachricht sieht aus seriösen, aber tatsächlich gefälschten Version ist. Diese Meldung Phishing ist ein Business-e-Mail Kompromisse also eine Unterkategorie eines Phishing.

  2. Benutzer Begriff reale Nachrichten für gefälschte Regeln

    Zweite, gefälschte Nachrichten erstellen Ungenauigkeit für Benutzer, die über Phishingnachrichten wissen, aber den Unterschied zwischen einer Nachricht Real- und gefälschten eine ist nicht zu entnehmen. Beispielsweise die folgenden ist ein Beispiel für eine tatsächliche Kennwort zurücksetzen von der Microsoft Security-Konto e-Mail-Adresse:

    Microsoft seriösen Kennwort zurücksetzen

    Die obige Nachricht stammt von Microsoft, aber zur gleichen Zeit, werden Benutzer zu verwendeten erste Phishingnachrichten, die möglicherweise täuschen Ein Benutzers einen Link und ihre Anmeldeinformationen zugewiesen, Schadsoftware herunterladen oder Antworten auf Nachrichten mit befinden sich vertrauliche Inhalte. Da es schwierig ist den Unterschied zwischen einer realen Kennwort zurücksetzen und ein Fake eine mitteilen, viele Benutzer diese Nachrichten ignorieren, meldet sie als Spam, oder unnötigerweise eines Berichts die Nachrichten zurück zu Microsoft als verpassten Phishing-Angriffen.

Zum Beenden der spoofing, hat die e-Mail-Filterung Industry e-Mail-Authentifizierungsprotokolle wie SPF, DKIMund DMARCentwickelt. DMARC verhindert spoofing Untersuchen der Absender einer Nachricht – diejenige, die der Benutzer in ihrer e-Mail-Client angezeigt wird (in den Beispielen Dies ist service.outlook.com, outlook.com und accountprotection.microsoft.com) – mit der Domäne, die SPF oder DKIM übergeben. Das heißt, die Domäne, die der Benutzer sieht wurde authentifiziert und können daher nicht manipuliert. Eine genauere Beschreibung, finden Sie im Abschnitt "verstehen, warum e-Mail-Authentifizierung nicht immer aus, um spoofing beenden ist" später in diesem Dokument.

Das Problem ist jedoch die e-Mail-Authentifizierung, die Einträge optional, nicht erforderlich sind. Daher während wie Domänen für die strenge Authentifizierungsrichtlinien sind microsoft.com und skype.com geschützt von spoofing, Domänen, die schwächere Authentifizierungsrichtlinien für die oder keine Richtlinie gar veröffentlichen, eignen sich für Spoofing. Ab März 2018 veröffentlichen Sie nur 9 % von Domänen in der Fortune 500-Unternehmen sicherer e-Mail-Authentifizierungsrichtlinien. Die verbleibende 91 % möglicherweise durch eine leitet manipuliert werden, und es sei denn, erkennt der-e-Mail-Filter mit einer anderen Richtlinie möglicherweise an einen Endbenutzer übermittelt werden und zu täuschen diese:

DMARC Richtlinien des Fortune 500-Unternehmen


Das Verhältnis von kleinen bis mittleren großen Unternehmen, die sind ist nicht in den Fortune 500, die sichere e-Mail-Authentifizierungsrichtlinien veröffentlichen kleiner und kleinere weiterhin für Domänen, die außerhalb von Nordamerika und Europa westliche sind.

Dies ist ein großes Problem, da während Unternehmen möglicherweise nicht bekannt Funktionsweise der e-Mail-Authentifizierung, Phishing verstehen und deren fehlen nutzen.

Informationen zum Einrichten von SPF, DKIM und DMARC finden Sie im Abschnitt "Kunden von Office 365" später in diesem Dokument.

Beenden mit der Authentifizierung implizit e-Mail-spoofing

Da Phishing und Spear Phishing ein Problem aufgetreten ist ist, und aufgrund der eingeschränkten Annahme sicherer e-Mail-Authentifizierungsrichtlinien, Microsoft ständig in Funktionen zum Schutz seiner Kunden investieren. Daher ist Microsoft verschieben anstehen mit impliziten e-Mail-Authentifizierung – Wenn Sie eine Domäne authentifiziert wird nicht, Microsoft behandeln, als sei es e-Mail-Authentifizierung Datensätze veröffentlicht haben und er entsprechend behandelt, wenn es nicht übergeben wird.

Um dies zu erreichen, hat Microsoft zahlreichen Erweiterungen in normalen e-Mail-Authentifizierung, einschließlich Absender aufbauen, Absender/Empfänger Verlauf, Verhaltensanalyse und andere erweiterten Techniken erstellt. Eine Nachricht von einer Domäne, die e-Mail-Authentifizierung veröffentlichen nicht gesendet wird als Spoofing, es sei denn, sie andere enthält, zeigt um anzugeben, dass es seriösen ist markiert.

Auf diese Weise, beenden, die Benutzer haben können KONFIDENZ, dass eine e-Mail-Nachricht an sie gesendet wurde nicht manipuliert wurde, können Absender sicher sein, dass niemand wechselt ihrer Domäne Identität und Kunden von Office 365 noch deutlicher Schutz z. B. Identitätswechsel Schutz anbieten können.

Microsoft allgemeine Ankündigung finden Sie unter A Beringsee von Phishing Teil 2: Erweiterte Anti-spoofing in Office 365.

Identifizieren, dass eine Nachricht als manipuliert klassifiziert wird

Zusammengesetzte Authentifizierung


Während SPF, DKIM und DMARC alle direkt verwendet werden, kommunizieren nicht sie genügend Authentifizierungsstatus, für den Fall, dass eine Nachricht keine explizite Authentifizierung Datensätze enthalten sind. Microsoft hat daher einen Algorithmus entwickelt, der mehrere Signale zu einem einzelnen Wert aufgerufen zusammengesetzte Authentifizierung oder Compauth kurz kombiniert. Kunden in Office 365 haben Compauth Werte in der Kopfzeile Authentifizierung-Ergebnisse in den Kopfzeilen versehen.

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

Relativlage eldung Ergebnis

Beschreibung

möglicher Fehler

Die Nachricht nicht explizit Authentifizierung (Domäne senden veröffentlicht Einträge explizit in DNS) oder implizit Authentifizierung (senden) Domäne nicht veröffentlichen Sie Datensätze in DNS, damit Office 365 das Ergebnis interpoliert, als wäre sie Datensätze veröffentlicht haben

übergeben

Meldung übergeben explizite Authentifizierung (Nachricht übergeben DMARC oder Beste Raten übergeben DMARC) oder implizit Authentifizierung mit hoher KONFIDENZ (Senden von e-Mail-Authentifizierung Datensätze werden von der Domäne nicht veröffentlicht, Office 365 besitzt aber signifikante Back-End-Signale zu angeben die Nachricht ist zu rechnen seriösen)

softpass

Meldung übergeben implizit Authentifizierung mit niedriger bis mittlerer KONFIDENZ (Senden von e-Mail-Authentifizierung werden von der Domäne nicht veröffentlicht, Office 365 besitzt aber Back-End-Signale an, dass die Nachricht seriösen ist, aber die Stärke der das Signal schwächere ist)

keine

Nachricht hat sich nicht authentifiziert (oder hat sich authentifiziert, aber nicht ausrichten), aber zusammengesetzte Authentifizierung aufgrund Absender Ruf oder andere nicht angewendet.

Grund

Beschreibung

0XX

Zusammengesetzte Authentifizierung die Nachricht nicht.

-000 bedeutet, dass die Nachricht konnte nicht mit einer Aktion ablehnen oder Quarantäne DMARC

-001 bedeutet, dass die Nachricht implizit e-Mail-Authentifizierung fehlgeschlagen ist. Dies bedeutet, dass die sendende Domäne verfügt nicht über die e-Mail-Authentifizierung Datensätze veröffentlicht, oder sie haben, sie die Richtlinie für Fehler in einer schwächere hatten (SPF weiche Fail "oder" Neutral "," DMARC Richtlinie von p = keine)

Alle anderen Codes (1xx 2xx, 3xx, 4xx, 5xx)

Zu den verschiedenen internen Codes für entspricht, warum eine Nachricht übergeben implizit Authentifizierung oder keine Authentifizierung hatten, aber keine Maßnahme angewendet wurde

Anhand der Kopfzeilen von einer Nachricht, können Administrator oder sogar ein Endbenutzer bestimmen, wie Office 365 nach Abschluss ankommt, dass der Absender manipuliert werden kann.

Unterscheidung zwischen verschiedenen Arten von spoofing

Microsoft unterscheidet zwischen zwei verschiedene Arten von Nachrichten spoofing:

Innerhalb Organisations spoofing

Auch bekannt als Self-to-Self-spoofing, dies geschieht, wenn die Domäne in die: Adresse identisch ist oder richtet mit der Domäne des Empfängers (wenn die Domäne des Empfängers eine Ihrer Organisation Domänen akzeptiertwird); oder, wenn die Domäne in die: Adresse ist Teil der gleichen Organisation.

Beispielsweise weist die folgenden Absender und Empfänger aus derselben Domäne (contoso.com). Leerzeichen sind in der e-Mail-Adresse, um zu verhindern, Spambots sammeln auf dieser Seite eingefügt):

Von: Absender @ contoso.com
Zu: Empfänger @ contoso.com

Die folgenden besteht aus die Absender und Empfänger Domänen, die mit der Organisation Domäne (fabrikam.com) ausrichten:

Von: Absender @ foo.fabrikam.com
Zu: Empfänger @ bar.fabrikam.com

T er Folgen des Absenders und des Empfängers Domänen unterscheiden sich (microsoft.com und bing.com), aber sie derselben Organisation gehören (d. h., beide sind Teil der Organisation akzeptiert Domänen):

Von: Absender @ microsoft.com
Zu: Empfänger @ bing.com

Nachrichten, die nicht innerhalb Organisations spoofing enthalten die folgenden Werte in den Kopfzeilen:

X-Forefront-Antispam-Report:... CAT:SPM/HSPM/PHSH;... SFTY:9.11

Die Katze ist die Kategorie der Nachricht, und es ist normalerweise als SPM (Spam) sowie, jedoch gelegentlich HSPM (vertrauenswürdige Spam) sein oder Phishing (Phishing), je nachdem, welche anderen Arten von Mustern auftreten in der Nachricht.

Die SFTY ist die Sicherheitsstufe der Nachricht, die erste Ziffer (9) bedeutet die Nachricht ist Phishing und zweiten Reihe von Ziffern nach der Punkt (11) Dies bedeutet organisationsintern spoofing

Es gibt keine bestimmten Grundcode für zusammengesetzte Authentifizierung für spoofing, organisationsintern, die später in 2018 (Zeitachse noch nicht definiert) versehen werden sollen.

Domain-übergreifende spoofing

Dies geschieht, wenn die sendende Domäne in der From: Adresse ist eine externe Domäne für die Organisation empfangen. Nachrichten, die nicht zusammengesetzte Authentifizierung aufgrund Domain-übergreifende spoofing enthalten die folgenden Werte in den Kopfzeilen:

Ergebnis-Authentifizierung:... Compauth = Fail Grund = 000/001
X-Forefront-Antispam-Report:... CAT:SPOOF;... SFTY:9.22

In beiden Fällen wird der folgende rote Sicherheit Tipp versehen, in der Nachricht, oder einer ähnlichen, die für das Postfach des Empfängers Sprache angepasst ist:

Rote Sicherheit Tipp - Betrugsversuche

Es ist nur anhand von: Adresse und wissen, was der Empfänger-e-Mail ist oder Prüfen von e-Mail-Header, die Sie zwischen organisationsintern und Domain-übergreifende spoofing unterscheiden können.  

Wie können Kunden von Office 365 selbst für den neuen Antispoofing Schutz vorbereiten

Informationen für Administratoren

Als Administrator einer Organisation in Office 365 gibt es mehrere wichtigsten Informationen, die Sie kennen sollten.

Grundlegendes zu Warum e-Mail-Authentifizierung ist nicht immer aus, um spoofing beenden

Die neue Antispoofing Protection beruht auf e-Mail-Authentifizierung (SPF, DKIM und DMARC) nicht Markierung einer Nachricht spoofing. Ein gängiges Beispiel ist, wenn eine sendende Domäne nie SPF-Einträge für Sie veröffentlicht hat. Wenn keine SPF-Datensätze vorhanden sind, oder sie sind nicht korrekt eingerichtet, wird eine gesendete Nachricht als manipuliert, es sei denn, Microsoft Back-End-Intelligence hat, die besagt, dass die Nachricht seriösen gekennzeichnet.

Beispielsweise vor Antispoofing bereitgestellt wird, eine Nachricht möglicherweise wie folgt mit keine SPF-Eintrag, kein Datensatz DKIM und kein Datensatz DMARC nun wissen, wie:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Nach dem Antispoofing, wenn Sie eine erweiterte Schutz oder E5-Kunde sind der Compauth Wert ist sowie (nicht VFZ und nicht E5 Kunden sind nicht betroffen):

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Wenn dies von Beispiel.com durch das Einrichten eines SPF-Datensatzes, aber nicht auf einen Eintrag DKIM behoben werden, würde dies zusammengesetzte Authentifizierung übergeben, da die Domäne in der von die Domäne, die SPF übergeben ausgerichtet: Adresse:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Oder, wenn sie einen Datensatz DKIM aber nicht SPF-Eintrag eingerichtet haben, dies würde auch übergeben zusammengesetzte Authentifizierung, da die Domäne in der von die Domäne in der DKIM-Signatur, die übergeben ausgerichtet: Adresse:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Eine leitet möglicherweise auch SPF und DKIM einrichten und melden Sie die Nachricht mit ihrer eigenen Domäne, jedoch eine andere Domäne angeben, in der From: Adresse. Weder SPF noch DKIM erfordert die Domäne mit der Domäne in die Flatterrand: zu beheben, damit es sei denn, example.com DMARC Datensätze veröffentlicht, dies nicht als gefälschten Version mit DMARC markiert werden möchten:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

In der e-Mail-Client (Outlook, Outlook auf im Web oder einen anderen e-Mail-Client), nur von: Domäne angezeigt wird, nicht die Domäne in den SPF oder DKIM und die kann den Benutzer verleitet die Nachricht von Beispiel.com gesucht haben, aber tatsächlich maliciousDomain.com stammt täuschen .

Authentifizierte Nachricht aber aus: Domäne mit was SPF oder DKIM übergeben keine Ausrichtung

Aus diesem Grund Office 365 erforderlich ist, die die Domäne in die: Adresse richtet mit der Domäne in der SPF oder DKIM-Signatur, und sie nicht der Fall, einige interne Signale, der angibt, enthält die Nachricht seriösen ist. Andernfalls wäre die Nachricht ein Compauth Fail.

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

Auf diese Weise Loss von Office 365 Antispoofing Domänen ohne Authentifizierung, und mit den Domänen, die Authentifizierung, aber für die Domäne in der From-Konflikt eingerichtet: Adresse, die als d. h., dass der Benutzer sieht und der Ansicht ist, ist der Absender der Nachricht. Dies ist der Domänen außerhalb Ihrer Organisation als auch Domänen innerhalb Ihrer Organisation erfüllt.

Wenn Sie schon einmal eine Nachricht, die Fehler bei zusammengesetzten Authentifizierung und markiert erhalten als manipuliert, obwohl die Nachricht SPF und DKIM übergeben, es ist daher, da die Domäne, die SPF und DKIM übergeben nicht angeordnet werden, wobei die Domäne in der From: Adresse.

Grundlegendes zu Änderungen in wie gefälschten e-Mails behandelt werden

Derzeit für alle Kunden von Office 365 – VFZ und nicht-VFZ - Nachrichten die Fail DMARC mit einer Richtlinie, ablehnen oder Quarantäne werden als spam und normalerweise Aktion ausführen, die vertrauenswürdige Spam, manchmal die reguläre Spam Aktion markiert (je nachdem, ob andere Spamregeln zuerst identifizieren sie als Spam). Organisationsintern Spoofing Erkennung agieren die reguläre Spam. Dieses Verhalten muss nicht aktiviert werden, noch kann es deaktiviert werden.

Jedoch für Domain-übergreifende spoofing Nachrichten vor der Änderung diese würde durchlaufen reguläre Spam und Phishing Schadsoftware überprüft und wenn andere Teile der Filter als verdächtig, identifiziert würde kennzeichnen sie als Spam, Phishing oder Schadsoftware Hilfethemas. Mit dem neuen Domain-übergreifende spoofing Schutz jede Nachricht, die nicht authentifiziert werden kann, wird standardmäßig dauert die in der Anti-Phishing-definierte Aktion > Antispoofing Richtlinie. Sofern nicht definiert ist, wird es in Benutzer Junk-e-Mail-Ordner verschoben werden. In einigen Fällen müssen weitere verdächtigen e-Mail-Nachrichten auch den Rote Sicherheit Tipp der Nachricht hinzugefügt.

Dies kann einige Nachrichten führen, die zuvor als spam als spam, aber auch, nun einen Tipp rote Sicherheit weisen weiterhin markiert erste markiert wurden. in anderen Fällen hinzugefügt Nachrichten, die zuvor als kein Spam gekennzeichnet erste gestartet werden kann, als Spam (CAT:SPOOF) mit einer roten Sicherheit Tip markiert wurden. In wieder anderen Fällen Kunden, mit der alle Spam und Phishing in das Quarantäne verschoben wurden nun sieht diese in den Ordner Junk-e-Mails abnehmenden (dieses Verhalten können geändert werden, finden Sie unter Ändern der Einstellungen für Antispoofing).

Es gibt mehrere verschiedene Möglichkeiten, die eine Nachricht manipuliert werden kann (siehe "Differenzierte zwischen verschiedenen Arten von spoofing" oben in diesem Dokument) ab März 2018 wie Office 365 diese Nachrichten behandelt ist nicht noch unified. Die unter Tabelle ist eine schnelle Übersicht, mit Domain-übergreifende spoofing Schutz wird neues Verhalten:

Typ des Spoofing

Kategorie

Sicherheit Tipp hinzugefügt?

Gültig für

DMARC Fail (Quarantäne oder ablehnen)

HSPM (Standard), möglicherweise auch SPM oder PHSH

Nein (noch nicht)

Alle Office 365-Kunden, Outlook.com

Self-to-self

SPM

Ja

Alle Office 365-Kunden, Outlook.com

Domain-übergreifende

SPOOFING

Ja

Office 365-Ad erweiterte E5 und Schutz vor Angriffen Kunden

Ändern der Einstellungen für antispoofing

Zum Erstellen oder aktualisieren Ihre Einstellungen (Domain-übergreifende) Antispoofing, navigieren Sie zu der Anti-Phishing-> Antispoofing Einstellungen unter der Threatverwaltung > Richtlinie Registerkarte Sicherheit und Einhaltung von Vorschriften Center (SCC). Wenn Sie keine Anti-Phishing-Einstellungen nie erstellt haben, müssen Sie einen erstellen:

Anti-Phishing-– Erstellen einer neuen Richtlinie

Wenn Sie bereits eine erstellt haben, können Sie es zum Bearbeiten auswählen:

Anti-Phishing-- vorhandene Richtlinie ändern

Wählen Sie die soeben erstellte Richtlinie aus, und führen Sie die Schritte beschriebenen auf Weitere Informationen zu Spoofing Intelligence.

Antispoofing - Einstellungen ändern

Antispoofing - Aktionen ändern

So erstellen Sie eine neue Richtlinie über PowerShell

$org = Get-OrganizationConfig
$name = "My first antiphishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.g
# If the name is, you will need to pick a smaller name

# Next, create a new antiphishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the antiphishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

Sie können die Anti-Phishing-Richtlinienparameter mithilfe der PowerShell folgen der Dokumentation unter Set-AntiphishPolicyklicken Sie dann ändern. Sie können die $name als Parameter angeben:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

Weiter unten in 2018, anstatt Sie müssen eine Standardrichtlinie erstellen, wird ein Feld erstellt, die an alle Empfänger in Ihrer Organisation ausgelegte ist, damit Sie ihn manuell angegeben werden nicht (die folgenden Screenshots unterliegen ändern, bevor Sie die endgültige Implementierung).

Anti-Phishing-mit Standardrichtlinie


Eine weitere Änderung für später in 2018 geplant ist die Option zum Aktivieren oder deaktivieren Sie den Schutz von Antispoofing, und wählen Sie Basic oder von hoch Schutz (aktuell müssen Sie nur die Option zwischen Standard- und Strict, da diese keine Antispoofing deaktiviert. Standard richtet sich annähernd hoch, Basic weist keine der Verhalten und Strict weist keine der Verhalten entweder):

Anti-Phishing-mit Basic "und" hoch

Später in 2018, um Ihr Standardschutz über PowerShell einzurichten:  

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -AntispoofEnforcementType <Basic|High>

Sie sollten nur Antispoofing Schutz deaktivieren, wenn Sie eine andere e-Mail-Server oder Servern vor Office 365 verfügen (Siehe seriösen Szenarien Antispoofing Weitere Details zu deaktivieren).

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

R ecommendation

Wenn der erste Abschnitt in Ihrem e-Mail-Pfad Office 365 ist, und Sie zu viele seriösen e-Mails Spoofing markiert erhalten, sollten Sie zuerst Einrichten der Absender, die berechtigt sind, gefälschten e-Mail an Ihre Domäne zu senden (Siehe den Abschnitt "Verwalten von seriösen Absendern, wer senden nicht authentifizierte-e-Mail").


Wenn zu viele f Alse positive weiterhin wiedergegeben werden (z. B. legitime Nachrichten als Spoofing gekennzeichnet), wir empfehlen nicht Antispoofing Schutz ganz deaktivieren. In diesem Fall wird empfohlen, Basic statt hoher Schutz auswählen.

Es empfiehlt sich für die Arbeit durch falsche als zugänglich gemacht wird Ihre Organisation gefälschten e-Mail das einhandeln Erhebung erheblich höhere Kosten langfristig konnte.

Verwalten von seriösen Absendern, die nicht authentifizierte e-Mail senden

Office 365 nachzuverfolgen behält, die nicht authentifizierte e-Mail an Ihre Organisation sendet. Wenn der Dienst davon, dass der Absender nicht seriösen ist ausgegangen, wird es dann als ein Fehler Compauth gekennzeichnet. Dies wird als SPOOFING eingestuft werden, auch wenn sie die Richtlinie Antispoofing abhängt, die auf die Nachricht angewendet wurde.

Jedoch als Administrator können Sie angeben der Absender gefälschten e-Mail versenden dürfen des Office 365 Entscheidung überschreiben.

Methode 1 –, wenn Ihre Organisation Besitzer die Domäne ist, richten Sie e-Mail-Authentifizierung

So beheben Sie innerhalb Organisations spoofing und Domain-übergreifende spoofing in Fällen, wo Sie besitzen oder interagieren, mit mehreren Mandanten, kann diese Methode verwendet werden. Darüber hinaus hilft beheben Domain-übergreifende spoofing, in dem Sie für andere Kunden in Office 365 senden, und auch Drittanbietern, die in anderen Anbieter gehostet werden.

Weitere Informationen hierzu finden Sie im Abschnitt "Kunden von Office 365".

Methode 2 – verwenden Spoofing Intelligence Zugelassene Absender nicht authentifizierte e-Mail konfigurieren

Sie können auch Spoofing Intelligence , um zuzulassen, dass der Absender nicht authentifizierte Nachrichten an Ihre Organisation übertragen.

Auf externen Domänen der gefälschte Benutzer ist die Domäne in der From-Adresse, während die sendende Infrastruktur der sendenden IP-Adresse ist (aufgeteilte /24 CIDR Bereiche), oder die Organisation Domäne der PTR-Eintrag (im nachstehenden Screenshot, der sendende IP zu möglicherweise werden 131.107.18.4, deren PTR-Eintrag outbound.mail.protection.outlook.com ist, und möchten diese als outlook.com für die senden-Infrastruktur angezeigt).

Ändern Sie diese Absender, nicht authentifizierte e-Mail zu senden um zuzulassen, der Nein, damit ein Ja aus.

Einrichten von Antispoofing zulässige Absender
Sie können auch PowerShell verwenden, bestimmte Absender Ihrer Domäne Spoofing können:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

Erste gefälschten Absender über Powershell

In der Abbildung oben wurden zusätzliche Zeilenumbrüche hinzugefügt um Stellen Sie diesem Screenshot passt, aber tatsächlich würden alle Werte in einer einzigen Zeile angezeigt werden.

Bearbeiten Sie die Datei, und suchen Sie nach der Zeile, die outlook.com und bing.com entspricht, und ändern Sie dieAllowedToSpoofEintrag Nein in Ja:

Einstellung Spoofing zulassen auf Ja über Powershell

Speichern Sie die Datei, und klicken Sie dann auf ausführen:  

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"

Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

Dadurch wird jetzt bing.com nicht authentifizierte Absender senden *. outlook.com.

Methode 3 – Erstellen Sie einen zulassen-Eintrag für den Absender/Empfänger Paar

Sie können auch alle Spamfilterung nach einem bestimmten Absender umgehen auswählen. Weitere Informationen hierzu finden Sie unter wie eine Liste in Office 365 sicher einen Absender hinzuzufügen.

Wenn Sie diese Methode verwenden, überspringt die Spam und einige Phishing filtern, aber nicht Schadsoftware zu filtern.

Methode 4 – wenden Sie sich an den Absender, und bitten Sie ihn zum Einrichten von e-Mail-Authentifizierung

Da das Problem von Spam und Phishing empfiehlt es sich alle Absender e-Mail-Authentifizierung eingerichtet haben. Wenn Sie ein Administrator der sendenden Domäne kennen, wenden Sie sich an, und die Anforderung, die diese e-Mail-Authentifizierung Einträge festlegen, damit Sie keine überschreibt hinzufügen müssen. Weitere Informationen finden Sie unter "Administratoren von Domänen, die nicht Office 365-Kunden sind" weiter unten in diesem Dokument.

Während am zuerst zu Domänen authentifizieren senden erhalten schwierig sein kann, im Laufe der Zeit als mehr-e-Mail-Filter starten junking oder sogar ihre e-Mails ablehnen, bewirkt, damit die ordnungsgemäße Einträge einrichten, um eine bessere Bereitstellung sicherzustellen.

Anzeigen von Berichten mit, wie viele Nachrichten als manipuliert markiert wurden

Nachdem die Richtlinie Antispoofing aktiviert ist, können Sie Bedrohungsanalyse verwenden, können Sie um Zahlen zu gelangen, um wie viele Nachrichten als Phishing gekennzeichnet sind. Wechseln Sie zu diesem Zweck in die Sicherheit und Einhaltung von Vorschriften Center (SCC) unter Threatverwaltung > Explorer, legen Sie die Ansicht auf Phishing und Gruppe vom Absender Domänen- oder Schutzstatus:

Anzeigen, wie viele Nachrichten als Phishing gekennzeichnet sind

Sie können interagieren mit verschiedenen Berichte zu sehen, wie viele als Phishing, einschließlich der Nachrichten, die als SPOOFING markiert markiert wurden. Weitere Informationen finden Sie unter Erste Schritte mit Office 365 Bedrohungsanalyse.

Sie können keine noch aufteilen, die welche Nachrichten aufgrund von spoofing im Vergleich mit einer anderen Arten von Phishing (Allgemeine Phishing, Domäne oder Benutzeridentitätswechsel usw.) markiert wurden. Weiter unten in 2018, werden Sie durch die SCC dazu sein. Wenn Sie dies tun, können Sie diesen Bericht als Ausgangspunkt um sendende Domänen zu identifizieren, die möglicherweise seriösen, die als Spoofing aufgrund von Fehler bei der Authentifizierung gekennzeichnet wird sind.

Die unter Screenshot wird ein Vorschlag für wie diese Daten sehen, jedoch können geändert werden, wenn freigegeben:

Anzeigen von Phishing-Berichten nach Erkennungstyp

Für nicht VFZ und E5 Kunden diese Berichte später in 2018 unter Bedrohung Schutz Status (TPS) Berichte zur Verfügung, aber werden durch 24 Stunden verzögert werden. Diese Seite wird aktualisiert, wie sie in die Sicherheit und Compliance Center integriert sind.

Vorhersagen, wie viele Nachrichten als Spoofing gekennzeichnet wird

Später 2018 Office 365 aktualisiert einmal zugehörigen Einstellungen zum deaktivieren die Durchsetzung Antispoofing lassen, oder auf mit Basic oder von hoch Durchsetzung, erhalten Sie die Möglichkeit, finden Sie unter wie Anordnung der Nachricht auf die verschiedenen Einstellungen ändern wird. D. h., wenn Antispoofing deaktiviert ist, werden Sie können sehen, wie viele Nachrichten als Spoofing gefunden werden, wenn Sie auf Basic aktivieren; oder, wenn es Basic ist, werden Sie sehen, wie viele weitere Nachrichten als Spoofing gefunden werden, wenn Sie es auf hoch aktivieren werden.

Diese Funktion ist derzeit in der Entwicklung. Weitere Details definiert sind, wird diese Seite mit Screenshots der Sicherheit und Compliance Center und mit PowerShell Beispielen aktualisiert.

"Was passiert, wenn" Bericht zum Aktivieren der antispoofing
Mögliche bedienen gleicht einen gefälschten Absender

Grundlegendes zu wie spam, Phishing und erweiterte Phishing, die zur Erkennung kombiniert werden

Exchange Online-Kunden – VFZ und nicht VFZ – sind in der Lage, um anzugeben, die Aktionen an, wenn Sie den Dienst Nachrichten als Spam, Schadsoftware, vertrauenswürdige Spam, Phishing und Massen bezeichnet. Jedoch im Lieferumfang des neuen Anti-Phishing-Richtlinien für Kunden VFZ, und dass eine Meldung mehrere Arten der Erkennung (z. B. Malware, Phishing und Benutzeridentitätswechsel) drücken Sie möglicherweise, es möglicherweise einige Verwirrung, welche Richtlinie angewendet wird.

Im Allgemeinen wird die Richtlinie angewendet, die auf eine Nachricht identifiziert denX-Forefront-Antispam-ReportKopfzeile in der Eigenschaft Katze (Rubrikenachse).

Priority

Richtlinie

Kategorie

Wobei verwaltet?

Gültig für

1

Schadsoftware

MALW

Schadsoftware Richtlinie

Alle Kunden

2

Phishing-E-Mail

PHSH

Gehostete Inhaltsfilter Richtlinie

Alle Kunden

3

Spam mit hoher Vertrauenswürdigkeit

HSPM

Gehostete Inhaltsfilter Richtlinie

Alle Kunden

4

Spoofing

SPOOFING

Anti-Phishing-Richtlinie,
Spoofing Intelligence

Nur VFZ

5

Spam

SPM

Gehostete Inhaltsfilter Richtlinie

Alle Kunden

6

Massen

MASSEN

Gehostete Inhaltsfilter Richtlinie

Alle Kunden

7

Domäne Identitätswechsel

DIMP

Anti-Phishing-Richtlinie

Nur VFZ

8

Benutzeridentitätswechsel

UIMP

Anti-Phishing-Richtlinie

Nur VFZ

Wenn Sie mehrere unterschiedliche Anti-Phishing-Richtlinien haben, wird der jeweils die höchste Priorität anwenden. Angenommen Sie, Sie haben zwei Richtlinien:

Richtlinie

Priority

Benutzer/Domäne Identitätswechsel

Antispoofing

A

1

Klicken Sie auf

Deaktivieren

B

2

Deaktivieren

Klicken Sie auf

Wenn eine Nachricht eingeht und wird als spoofing und Benutzer Identitätswechsel identifiziert und demselben Satz von Benutzern auf Richtlinie A und B der Richtlinie ausgelegte ist, wird die Nachricht als gefälschten Version behandelt, jedoch keine Maßnahme wird angewendet, da Antispoofing deaktiviert ist , und SPOOFING ausgeführt wird mit höherer Priorität (4) als Benutzeridentitätswechsel (8).

Andere Arten von Phishing vornehmen werden Richtlinie anwenden angezeigt, müssen zum Anpassen der Einstellungen, die auf die verschiedenen Richtlinien angewendet werden.

So deaktivieren Sie Antispoofing seriösen Szenarien

Antispoofing Loss Kunden besser vor Phishing-Angriffen und daher deaktivieren Antispoofing Schutz wird nicht empfohlen. Durch deaktivieren, möglicherweise einige kurzfristig falsch-positive, aber langfristig beheben, die Sie für weitere Risiko verfügbar gemacht werden sollen. Die Kosten für das Einrichten der Authentifizierung auf der Seite Absender, oder Sie die Richtlinien Phishing Anpassungen vornehmen normalerweise einmalige Ereignisse sind oder nur minimale, Periodische Wartung erforderlich. Die Kosten aus einer Phishing-Angriffen wiederherstellen, in dem Daten offen gelegt wurde, oder Posten wurden ist jedoch gefährdet sehr viel höher.

Aus diesem Grund ist es besser, Antispoofing falsche als zu deaktivieren antispoof Schutz durchzuarbeiten.

Es ist jedoch ein gültigen Szenarios, wo Antispoofing deaktiviert werden sollen, und das Vorliegens zusätzliche e-Mail-Filterung ist, in das routing von Nachrichten und Office 365-Produkte ist nicht der erste Abschnitt auf dem e-Mail-Weg:
MX-Eintrag für Kunden verweist nicht nach Office 365

Der anderen Server ist möglicherweise lokal Mail Exchange-Server eine e-Mail-Gerät beispielsweise Ironport, filtern oder einem anderen Cloud gehosteten Dienst.

Wenn der MX-Eintrag der Empfänger Domäne zu Office 365 nicht zeigt, ist es nicht erforderlich Antispoofing deaktivieren, da es sich bei Office 365-MX-Eintrag für Ihre Domäne empfangen sucht und Antispoofing unterdrückt, wenn es auf einem anderen Dienst verweist. Wenn Sie nicht wissen, ob Ihre Domäne einen anderen Server im Vordergrund hat, können Sie eine Website wie MX-Toolbox, zum Nachschlagen der MX-Eintrag. Sagen sie ungefähr wie folgt vor:

MX-Eintrag gibt an, dass die Domäne zu Office 365 nicht zeigt

Diese Domäne hat einen MX-Eintrag, der nicht auf Office 365 verweist, damit Office 365 nicht Antispoofing Durchsetzung anwenden möchten.

Jedoch, wenn der MX-Eintrag für die Domäne des Empfängers unterstützt , obwohl es einem anderen Dienst vor Office 365 ist zu Office 365, zeigen, sollten Sie Antispoofing deaktivieren. Das am häufigsten verwendete Beispiel ist die Verwendung von eine Empfänger Überarbeitung:

Weiterleitung Diagramms für die Empfänger schreiben

MX-Eintrag für die Domäne "contoso.com" auf dem Server lokal verweist, während die Domäne @office365.contoso .net MX-Eintrag zu Office 365 verweist, da sie enthält *. protection.outlook.com, oder *. eo.outlook.com in den MX-Eintrag:

MX-Eintrag für verweist auf die Office 365, daher wahrscheinlich Empfänger schreiben

Achten Sie darauf, um zu unterscheiden, wenn MX-Eintrag für eine Empfänger Domäne zu Office 365 nicht zeigt, und wenn sie eine Empfänger Überarbeitung durchlaufen hat. Es ist wichtig, den Unterschied zwischen diesen beiden Fällen erkennen.

Wenn Sie nicht sicher sind, ob Ihre Domäne empfangende eine Empfänger-Überarbeitung durchlaufen hat, erkennen Sie manchmal durch die Nachrichtenheader betrachten.

eine) zunächst Blick auf die Spaltenüberschriften in der Nachricht für die Empfänger Domäne in derAuthentication-ResultsKopfzeile:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

Die Domäne des Empfängers ist als fetter roter Text oben, in diesem Fall office365.contoso.net gefunden. Dies kann unterschiedlich sein, die der Empfänger im Feld an: Kopfzeile:

Zu: Beispiel Empfänger < Empfänger @ contoso.com >

Führen Sie einen MX-Record Lookup der tatsächlichen Empfänger Domäne. Wenn sie enthält *. protection.outlook.com, mail.messaging.microsoft.com, *. eo.outlook.com oder mail.global.frontbridge.com, die bedeutet, dass die MX auf Office 365 verweist.

Wenn sie keine diese Werte enthält, bedeutet dies, dass die MX nicht auf Office 365 verweist. Ein Tool, die, das Sie verwenden können, um dies zu überprüfen, ist MX-Toolbox.

In diesem Beispiel bestimmten der nachstehend besagt die contoso.com der Domäne, die seit dem Feld an die Empfänger aussieht: Kopfzeile weist MX-Record für verweist auf einem Server auf Prem:
MX-Eintrag verweist, und klicken Sie auf Prem server

Ist jedoch der tatsächliche Empfänger, dessen MX-Eintrag zeigt auf Office 365, office365.contoso.net:

MX Datenpunkte zu Office 365, muss Empfänger schreiben

Daher weist diese Nachricht wahrscheinlich eine Empfänger-Überarbeitung sind.

b) zweites, werden Sie häufige Verwendung Fällen der Empfänger schreibt unterscheiden sich. Wenn Sie beabsichtigen, Schreiben Sie die Domäne des Empfängers zu *. onmicrosoft.com, Schreiben sie stattdessen *. mail.onmicrosoft.com.

Sobald Sie haben festgestellt, dass die endgültige Empfänger Domäne, die sich hinter einem anderen Server weitergeleitet wird und der Empfänger Domäne MX-Eintrag tatsächlich zu Office 365 verweist (wie in die DNS-Einträge veröffentlicht), können Sie fortfahren Antispoofing deaktivieren.

Beachten Sie, dass Sie nicht möchten, um Antispoofing zu deaktivieren, wenn die Domäne der erste Abschnitt auf dem Weiterleitung Weg Office 365 nur beim hinter ein oder mehrere Dienste angezeigt wird.

Zum Deaktivieren von Anti-spoofing

Wenn Sie bereits über eine Anti-Phishing-Richtlinie erstellt haben, legen Sie dieEnableAntispoofEnforcementder Parameter$false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false 

Wenn Sie nicht, dass der Name der Richtlinie (oder Richtlinien wissen) zu deaktivieren, können Sie diese anzeigen:

Get-AntiphishPolicy | fl Name

Wenn Sie alle vorhandenen Anti-Phishing-Richtlinien besitzen, können Sie erstellen Sie eine und deaktivieren Sie es dann (auch wenn Sie nicht über eine Richtlinie verfügen, Antispoofing weiterhin angewendete; klicken Sie auf in 2018 höher, eine Standardrichtlinie für Sie erstellt werden und Sie dann deaktivieren können, statt eine zu erstellen). Sie müssen dies in mehreren Schritten erfolgen:

$org = Get-OrganizationConfig
$name = "My first antiphishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to pick a smaller one
# Next, create a new antiphishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the antiphishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains

# Finally, scope the antiphishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false 

Deaktivieren von Antispoofing ist nur verfügbar über Cmdlet (weiter unten in Q2 2018 werden sie in die Sicherheit und Compliance Center verfügbar). Wenn Sie keinen Zugriff auf PowerShell erstellen Sie ein Ticket Support.
Denken Sie daran, dies zu Domänen nur angewendet werden soll, die indirekt routing bei Office 365 gesendet werden. Widerstehen nicht Antispoofing aufgrund von einigen falsche deaktivieren, ist es besser langfristig, bis sie arbeiten.

Informationen für einzelne Benutzer

Der einzelne Benutzer sind in der Antispoofing Sicherheit Tipp Umgang mit können eingeschränkt. Es gibt jedoch verschiedene Funktionen, die Sie ausführen können, um allgemeine Szenarien zu beheben.

Allgemeine Szenario #1 – Postfach Weiterleitung

Wenn Sie eine andere e-Mail-Dienst verwenden und Ihre e-Mail-Adresse bei Office 365 oder Outlook.com weiterleiten, Ihre e-Mail-Adresse möglicherweise als spoofing gekennzeichnet werden, und einen Tipp rote Sicherheit erhalten. Planen von Office 365 und Outlook.com dies automatisch behoben, wenn die Weiterleitung ist eine der Outlook.com, Office 365, Google Mail oder einen anderen Dienst, der das Protokoll Bogenverwendet wird. Jedoch bis zur Bereitstellung dieses Problem zu lösen, sollten Benutzer das Feature verbundene Konten verwenden, um ihre Nachrichten direkt importieren, anstatt die Weiterleitungsoption verwenden.

Wählen Sie zum Einrichten von verbundenen Konten in Office 365 in der oberen rechten Ecke der Office 365-Web-Oberfläche das Zahnradsymbol > E-Mail > E-Mail > Konten > verbundene Konten.

Option für Office 365 - verbundene Konten

In Outlook.com, die erfolgt das Zahnradsymbol > Optionen > E-Mail > Konten > verbundene Konten.

Allgemeine Szenario #2 – Listen Diskussion

Diskussionslisten bekanntermaßen haben Probleme mit Antispoofing aufgrund der Art diese und ändern Sie deren Inhalt noch beibehalten der ursprünglichen aus Nachricht weiterleiten: Adresse.

Nehmen Sie beispielsweise an Ihre e-Mail-Adresse @ contoso.com Benutzer, und Sie beobachten sichern Sie sich interessiert sind und teilnehmen an der Diskussion Liste Birdwatchers @ Beispiel.com. Beim Senden einer Nachricht zur Diskussionsliste, können Sie auf diese Weise senden:

Aus: Sonnensystem < Benutzer @ contoso.com >
zu: des Birdwatcher Diskussionsliste < Birdwatchers @ Beispiel.com >
Betreff: großartige Anzeigen von Blau Jays am oberen Rand MT. Rainer diese Woche

Jeder der Anzeige auschecken möchten diese Woche aus MT. Rainer?

Wenn die Liste der e-Mail-Nachricht empfängt, diese formatieren Sie die Nachricht, dessen Inhalt zu ändern, und es auf die restlichen die Mitglieder in der Diskussionsliste die von Teilnehmern aus vielen verschiedenen e-Mail-Empfänger besteht wiedergeben.

Aus: Sonnensystem < Benutzer @ contoso.com >
zu: des Birdwatcher Diskussionsliste < Birdwatchers @ Beispiel.com >
Betreff: [BIRDWATCHERS] großartige Anzeige von Blau Jays am oberen Rand MT. Rainer diese Woche

Jeder der Anzeige auschecken möchten diese Woche aus MT. Rainer?

---
Diese Nachricht wurde an die Diskussionsliste Birdwatchers gesendet. Sie können jederzeit kündigen des Abonnements.

In den oben genannten weist die Nachricht wiedergegebenen aus derselben: Adresse (Benutzer @ contoso.com), aber die ursprüngliche Nachricht durch Hinzufügen einer Kategorie in der Betreffzeile und einer Fußzeile an das Ende der Nachricht geändert wurde. Diese Art von Änderung der Nachricht ist in der Mailing-Listen häufig, und dazu führen, dass "false Positives".

Wenn Sie oder eine andere Person in Ihrer Organisation ist ein Administrator der Adressenliste, so konfigurieren, um eine Prüfung auf Antispoofing erfolgreich ist möglicherweise.

Wenn Sie keine Besitzrechte für die Adressliste sind:

  • Sie können die Maintainer der Mailingliste eine der Optionen oben implementiert wird (diese sollte außerdem e-Mail-Authentifizierung für die Domäne, die, der aus der Adressliste Weiterleitung ist, einrichten) anfordern

  • Sie können in Ihrem e-Mail-Client, um Nachrichten in den Posteingang verschieben Postfachregeln erstellen. Sie können auch Ihrer Organisation Administratoren einrichten können Regeln oder überschreibt als im Abschnitt Verwaltung seriösen Absendern, die nicht authentifizierte per e-Mail senden, werden erläutert anfordern

  • Sie können eine Support-Ticket mit Office 365 zum Erstellen einer Außerkraftsetzung für die Adressliste als seriösen behandelt erstellen.

Andere Szenarien

  1. Wenn keines der obigen häufige Szenarien in Ihrem Fall zutrifft, melden Sie die Nachricht als eine falsch positiv zurück an Microsoft. Weitere Informationen finden Sie im Abschnitt "wie kann ich Ergebnisse Spam oder nicht-Spam-Nachrichten an Microsoft" später in diesem Dokument.

  2. Darüber hinaus können Sie Ihre e-Mail-Administrator wenden, der als ein mit Microsoft-Support-Ticket auslösen zu können. Das Entwicklungsteam von Microsoft untersucht, warum die Nachricht als gefälschten Version gekennzeichnet wurde.

  3. Wenn Sie, wer der Absender ist und sicher sind, dass diese Absicht nicht manipuliert werden sind wissen, können Sie darüber hinaus der Absender der Nachricht, die angibt, dass sie Nachrichten aus einem e-Mail-Server sendet, die nicht authentifiziert Antworten. Manchmal führt dies den ursprünglichen Absender, kontaktieren ihre IT-Administrator, die die Datensätze der erforderlichen e-Mail-Authentifizierung eingerichtet wird.

    Wenn Sie genügend Absender zurück zur Domänenbesitzer antworten möchten, sollten sie die e-Mail-Authentifizierung Einträge einrichten, spurs sie diese in Aktion. Microsoft arbeitet auch mit der Domänenbesitzer der erforderlichen Einträge veröffentlichen, können Sie noch mehr, wenn sie einzelne Benutzer anfordern.

  4. Optional können Sie den Absender Ihrer Liste der sicheren Absender hinzufügen. Bedenken Sie jedoch, wenn eine leitet dieses Konto Spoofing, es bei Ihrem Postfach übermittelt werden. Daher, t, deren Wahl nur in Ausnahmefällen verwendet werden soll.

Wie sollte Absender an Microsoft Antispoofing Schutz vorzubereiten

Wenn Sie kein Administrator sind, die derzeit Nachrichten an Microsoft sendet Office 365 oder Outlook.com, sollten Sie sicherstellen, dass Ihre e-Mail-Adresse ordnungsgemäß authentifiziert wird andernfalls wird als Spam oder Phishing gekennzeichnet werden kann.

Kunden von Office 365

Wenn Sie ein Office 365-Kunde sind, und Verwenden von Office 365, um ausgehende e-Mail-Nachrichten zu senden:

Microsoft bietet keine detaillierte Implementierungsrichtlinien für jede SPF, DKIM und DMARC. Es gibt jedoch eine große Datenmenge online veröffentlicht. Es gibt auch 3rd Party Unternehmen dedizierten zum Schutz Ihrer Organisation e-Mail-Authentifizierung Einträge einrichten.

Administratoren von Domänen, die nicht Office 365-Kunden sind

Wenn Sie eine Domänenadministrator sind, aber nicht Office 365-Kunde sind:

  • Sie sollten SPF einrichten, veröffentlichen Sie Ihre Domäne sendenden IP-Adressen und eingerichtet haben, auch DKIM (falls vorhanden) zum digitalen Signieren von Nachrichten. Sie sollten auch das Einrichten DMARC Datensätze.

  • Wenn Sie Massen Absender, die e-Mail in Ihrem Auftrag übertragen werden haben, sollten Sie arbeiten mit ihnen eine e-Mail zu senden, dass die sendende Domäne in der From: Adresse (falls es Ihnen gehört) mit der Domäne, die übergibt SPF oder DMARC ausgerichtet.

  • Ich f haben Sie lokal e-Mail-Servern oder von einem Software-als-Service-Anbieter, oder einen Cloud-hosting-Service wie Microsoft Azure, GoDaddy, Racks mit 4U Amazon-Webdiensten senden oder ähnliche, stellen Sie sicher, dass sie Ihre SPF-Eintrag hinzugefügt werden.

  • Wenn Sie eine kleine Domäne, die von einem ISP gehostet wird sind, sollten Sie gemäß den Anweisungen auf dem SPF-Eintrag einrichten, die Sie vom Internetdienstanbieter bereitgestellt wird. Die meisten Internetdienstanbieter bieten die folgenden Arten von Anweisungen und befindet sich auf der Unternehmens-Support-Seiten.

  • Selbst wenn Sie hatten nicht e-Mail-Authentifizierung Datensätze vor dem Veröffentlichen, und es einwandfrei funktioniert, müssen Sie weiterhin e-Mail-Authentifizierung Datensätze, die an Microsoft senden veröffentlichen. Auf diese Weise sind Sie bei der Bekämpfung von Phishing helfen und verringern die Möglichkeit, dass entweder Sie oder Organisationen, gesendete Phished erhalten werden.

Was geschieht, wenn Sie nicht wissen, wie Ihre Domäne e-Mail senden?

Viele Domänen werden nicht SPF-Einträge veröffentlicht, da sie nicht kennen, die alle ihre Absender sind. Kein Problem, Sie müssen nicht wissen, wer aller Folien sind. In diesem Fall sollten Sie loslegen durch das Veröffentlichen eines SPF-Datensatzes für die Regeln kennen, insbesondere dann, wo sich Ihre corporate Datenverkehr befindet, und eine neutrale SPF-Richtlinie ?all veröffentlichen:

Beispiel.com IN TXT "V = spf1 include:spf.example.com? alle"

Die neutrale SPF-Richtlinie bedeutet, dass eine e-Mail, der außerhalb des Infrastruktur Ihres Unternehmens-e-Mail-Authentifizierung überhaupt zu anderen e-Mail-Empfänger übergeben wird. E-Mail, die von Absendern stammen, die Sie kennen nicht greift zurück zu Neutral, also nahezu identisch mit der Veröffentlichung von gar keine SPF-Eintrag.

Beim Senden von Office 365 wird e-Mail, die Ihren Verkehr Ihres Unternehmens kommen als authentifiziert gekennzeichnet werden, aber die e-Mails, die aus Quellen stammen, die Sie nicht kennen, die als Spoofing (in Abhängigkeit von, und zwar unabhängig davon, ob Office 365 implizit es authentifizieren können) dennoch markiert. Dies ist jedoch immer noch eine Verbesserung von alle Nachrichten, die Sie als Spoofing von Office 365 markiert wird.

Einmal haben Sie einen SPF-Eintrag mit einer fallbackabfragen Richtlinie des ersten mit abgerufen?all, können schrittweise mehr senden Infrastruktur integrieren und anschließend eine strengere Richtlinie veröffentlichen.

Was geschieht, wenn Sie der Besitzer einer Adressliste sind?

Finden Sie im Abschnitt "Allgemeine Szenario #2 – Diskussion Listen"aus.

Was geschieht, wenn Sie einen Anbieter Infrastruktur wie ein (Internet Service Provider, ISP), e-Mail-Service Provider (ESP) oder Cloud-Hostingdienst sind?

Wenn Sie eine Domäne e-Mail hosten und ihn e-Mail sendet, oder geben Sie hosting-Infrastruktur, die e-Mail zu senden, sollten Sie die folgenden Aktionen ausführen:

  • Stellen Sie sicher, dass Ihre Kunden-Dokumentation mit detaillierten Informationen zu was in den SPF-Datensätzen veröffentlicht haben

  • Erwägen Sie das Signieren DKIM-Signaturen für ausgehende e-Mail-Nachrichten, auch wenn der Kunde explizit es (Melden Sie sich mit der Standarddomäne) eingerichtet wird nicht. Sie können sogar Double-melden Sie sich die e-Mail mit DKIM Signaturen (einmal mit der vom Kunden-Domäne, wenn sie es eingerichtet wurde, und ein zweites Mal mit Ihres Unternehmens DKIM-Signatur)

Lässt an Microsoft ist nicht unbedingt, auch wenn Sie e-Mail aus Ihrer Plattform authentifizieren, jedoch mindestens stellt sicher, dass Microsoft nicht Ihre e-Mail-Adresse Junk-e-, da es nicht authentifiziert wird. Weitere Informationen hierzu versehen wie Outlook.com-e-Mail Filter finden Sie unter der Outlook.com Postmaster Seite.

Weitere Informationen hierzu über bewährte Methoden für die Service-Anbieter finden Sie unter M3AAWG Mobile Messaging bewährte Methoden für die Dienstanbieter.

Häufig gestellte Fragen

Warum ist Microsoft diese Änderung vorgenommen?

Aufgrund von der Einfluss der Phishing-Angriffen und weil e-Mail-Authentifizierung um 15 Jahren wurde, Microsoft geht davon aus, dass das Risiko von weiterhin nicht authentifizierte e-Mail zulassen größer ist als das Risiko seriösen e-Mail zu verlieren.

Bewirkt diese Änderung seriösen e-Mail als Spam gekennzeichnet werden?

Zuerst werden einige Nachrichten, die als Spam gekennzeichnet wurden. Im Laufe der Zeit jedoch Absender passt und dann werden die Menge des tatsächlich falsch beschriftet als gefälschten Nachrichten für die meisten e-Mail-Pfade unerheblich.
Microsoft selbst angenommenen dieses Feature zuerst mehrere Wochen vor der Bereitstellung für die restlichen seiner Kunden. Während die Unterbrechung am ersten, es allmählich abgelehnt ist.

Bringt Microsoft dieses Feature für Kunden von Outlook.com und nicht - erweiterte Schutz von Office 365?

Antispoofing Schutz wird werden Anfangs Variationswebsites für Kunden VFZ/E5 und möglicherweise in der Zukunft an die andere Benutzer freigegeben werden. Wenn jedoch bedeutet, möglicherweise einige Funktionen, die nicht, z. B. reporting angewendet werden und benutzerdefinierte überschreibt.

Wie kann ich Spam oder nicht-Spam-Nachrichten wieder an Microsoft melden?

Sie können entweder den Berichtnachricht-Add-in für Outlookverwenden oder wenn es nicht installiert, Spam, kein Spam und Phishing-Betrug Nachrichten an Microsoft für die Analyse übermitteln.

Ich bin ein Domänenadministrator, der wissen nicht, wer alle meine Absender sind!

Bitte finden Sie unter Administratoren von Domänen, die nicht Office 365-Kunden sind.

Was geschieht, wenn ich für meine Organisation, Antispoofing Schutz deaktivieren, obwohl Office 365 Meine primäre Filter ist?

Es wird dies nicht empfohlen, da Sie weitere verpassten Phishing und Spam-Nachrichten verfügbar gemacht werden. Nicht alle Phishing-spoofing und nicht alle Spoofing ausgelassen werden. Das Risiko werden höher als einen Kunden jedoch die Antispoofing ermöglicht.

Bedeutet Aktivieren von Antispoofing Schutz, dass ich aus allen Phishing geschützt werden?

Leider da Phishing anpassen, um andere Techniken verwenden, wie gefährdet Nein, Firmen oder Einrichten von Konten kostenlosen Dienste. Anti-Phishing-Schutz funktioniert jedoch viel besser erkennen diese andere Typen von Phishing-Methoden, da des Office 365-Schutz Layer sind Arbeit zusammen entwickelt und übereinander erstellen.

Können andere große e-Mail-Empfänger können nicht authentifizierte e-Mail kontaktieren?

Fast alle großen e-Mail-Empfänger implementieren traditionelle SPF, DKIM und DMARC. Einige Empfänger haben andere Prüfungen, die nur als nur Standards, aber wenige wechseln Sie im Hinblick auf Office 365 zu blockierenden nicht authentifizierte sind e-Mail- und als gefälschten Version behandelt werden. Jedoch die meisten der Branche ist immer mehr strict über diese spezielle Art von e-Mails, insbesondere wegen des Problems Phishing.

Weiterhin benötige ich die Option erweiterte Spam-Filterung für "SPF harte Fail" aktiviert ist, wenn ich Antispoofing aktivieren?

Nein, ist diese Option nicht mehr erforderlich, da das Feature Antispoofing nicht nur SPF Festplatte fehlschlägt, aber viel breiter mehrerer Kriterien berücksichtigt. Wenn Sie Antispoofing aktiviert und die Option SPF harte fehlschlagen aktiviert haben, erhalten Sie wahrscheinlich Weitere falsche. Es empfiehlt sich Deaktivieren dieses Features wie bietet fast keinen zusätzlichen Haken für Spam oder Phishing und stattdessen erzeugt hauptsächlich falsche positive Werte.

Trägt Absender-Neuschreibung Farbschema (SRS) zum Beheben von weitergeleiteten e-Mail?

SRS behoben nur teilweise weitergeleiteten e-Mail. Durch SMTP MAIL FROM neu zu schreiben, kann SRS sicherstellen, dass die weitergeleiteten Nachricht übergibt SPF am nächsten Ziel. Jedoch, da die Antispoofing basiert: Adresse in Kombination mit der MAIL FROM oder DKIM-Signierung Domäne (oder andere Signale), es ist nicht ausreichend, um zu verhindern, dass weitergeleiteten e-Mail als manipuliert markiert werden.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×