在 Office 365 中的反欺骗保护

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

本文介绍如何 Office 365 减少防范网络仿冒攻击使用伪造发件人域,即欺骗的域。它来实现此通过分析邮件并阻止不能使用标准的电子邮件的身份验证方法,也不其他发件人信誉技术身份验证的那些。实现此更改是为了减少向公开客户网络仿冒攻击的数量。

本文还介绍为什么要进行此更改,客户如何准备此项更改,如何查看受影响的邮件、 如何报告的邮件、 如何减轻误报,以及发件人向 Microsoft 对此应做好准备更改。

Microsoft 的反欺骗技术最初部署到其 Office 365 高级威胁保护 (ATP) 和 E5 客户。不过,所有其筛选器相互学习的方式,由于非 ATP 客户和甚至 Outlook.com 用户也可能受到影响。

如何欺骗网络仿冒攻击中使用

保护其用户时,Microsoft 向来认真网络钓鱼的威胁。垃圾邮件和网络钓鱼者经常使用的方法之一欺骗,这当伪造发件人,并显示一条消息打出来自某人或某一位置以外的实际的源。此方法通常用于网络仿冒营销活动旨在获取用户凭据。Microsoft 的反欺骗技术专门检查伪造从: 页眉这是 Outlook 之类的电子邮件客户端中显示的一个。当 Microsoft 具有高可信度的 From: 标题欺骗、 其标识为欺骗的消息。

欺骗邮件有两个负面影响所作的实际用户:

  1. 欺骗的邮件欺骗用户

    首先,伪造的消息可能诱使用户单击链接和放弃其凭据,下载恶意软件,或答复邮件的敏感内容 (其中后者被称为业务电子邮件危害)。例如,下面是网络仿冒邮件与 msoutlook94@service.outlook.com 欺骗发件人:

    模拟 service.outlook.com 网络仿冒邮件

    上述实际上并不来自于 service.outlook.com,但网络仿冒者以使其看起来像改为被盗用。正在尝试诱使用户单击邮件中的链接。

    下一个示例欺骗 contoso.com:

    网络仿冒邮件-业务电子邮件危害

    邮件看似合法,但实际上是欺骗。此网络仿冒邮件是一种业务电子邮件泄露,这是网络仿冒的子类别。

  2. 用户混淆伪造的实邮件

    第二个、 欺骗邮件创建不确定性的用户了解有关网络仿冒邮件,但不能告诉实邮件和欺骗的一个之间的区别。例如,下面是实际的密码重置从 Microsoft 安全帐户的电子邮件地址的示例:

    Microsoft 合法密码重置

    上面的消息未来自 Microsoft,但同时,用户将用于获取网络仿冒邮件的可能诱使用户单击链接和放弃其凭据,下载恶意软件,或答复邮件的敏感内容。很难区分真正密码重置和虚设一个,许多用户忽略这些消息,因为它们报告为垃圾邮件,或不必要地邮件返回向 Microsoft 报告为错过网络钓鱼。

若要停止欺骗,电子邮件筛选行业开发了电子邮件身份验证协议,例如SPFDKIMDMARC。DMARC 可防止欺诈检查邮件的发件人-用户可以看到其电子邮件客户端中的一个 (在上面的示例中,这是 service.outlook.com、 outlook.com 和 accountprotection.microsoft.com)-使用的域的 SPF 或 DKIM 传递。即用户看到的域已进行身份验证,因此不欺骗。更完整讨论,请参阅部分中"了解为什么电子邮件身份验证不足始终以停止欺骗"本文档中的更高版本上。

但是,问题是记录是可选的则不需要的电子邮件身份验证。因此,同时与强身份验证策略域喜欢 microsoft.com 和 skype.com 进行保护从欺骗,根本发布较弱的身份验证策略或没有策略,针对正在欺骗的域。年 3 月 2018年只有 9%的财富 500 强中的公司域的发布强电子邮件身份验证策略。钓鱼,可能会被欺骗剩余 91%和除非检测到的电子邮件筛选器使用另一个策略,可能会传递到最终用户欺骗它们:

DMARC 的财富 》 500 公司的策略


中小型到大小公司的比例不在财富 500 强电子邮件身份验证策略发布较小,并更小仍然是北美地区和西欧以外的域。

这是一个大问题,因为钓鱼企业可能不是电子邮件身份验证的工作原理的注意,同时执行了解并利用缺乏。

设置 SPF、 DKIM 和 DMARC 的信息,请参阅部分中"本文档中的更高版本上的客户的 Office 365"

停止欺骗隐式电子邮件身份验证

因为网络钓鱼和矛网络钓鱼是这样的问题,由于强电子邮件身份验证策略的有限采用 Microsoft 继续投资保护其客户功能。因此,Microsoft 是以隐式电子邮件身份验证-如果域不身份验证,Microsoft 会将其视为它已发布的电子邮件身份验证记录和它不会通过相应地处理。

若要完成此任务,Microsoft 已经构建了许多扩展包括发件人信誉、 发件人/收件人历史记录、 行为的分析和其他高级的技巧正常电子邮件身份验证。将标记未发布电子邮件身份验证的域发送的邮件,为欺骗除非它包含其他信号以表明合法。

这样,最终用户可以有一封电子邮件发送给他们不伪造 confidence,发件人可以确信没有人模拟他们的域,并且的 Office 365 的客户可以提供更好的保护,如模拟保护。

若要查看 Microsoft 的常规通知,请参阅Sea 的网络钓鱼第 2 部分-Office 365 中增强反欺骗

用于标识邮件被归类为欺骗

复合身份验证


虽然 SPF、 DKIM 和 DMARC 所有有用本身,他们不通信足够的身份验证状态事件邮件具有显式身份验证的记录中。因此,Microsoft 开发了将多个信号合并到单个值的简短称为复合身份验证或 compauth 算法。在 Office 365 中的客户必须 compauth 值在邮件头中的身份验证结果页眉上标记。

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

比较 uth 结果

说明

失败

显式身份验证失败的消息 (发送域中发布的记录显式 DNS) 或隐式身份验证 (发送以便 Office 365 插值结果,就像它已发布的记录的域未在 DNS 中,发布记录)。

传递

消息传递显式身份验证 (邮件传递 DMARC 或最佳猜测传递 DMARC) 或高自信隐式身份验证 (发送域不发布电子邮件身份验证记录,但 Office 365 具有到强后端信号指明消息的可能合法)。

softpass

消息传递自信盘低-中的隐式身份验证 (发送域不发布身份验证电子邮件,但 Office 365 后端信号以表示邮件是合法,但信号强度较弱)。

邮件未通过验证 (或未进行身份验证,但仍然无法对齐),但不是会应用发件人信誉或其他因素导致复合身份验证。

原因

说明

0xx

复合身份验证失败消息。

-000 意味着邮件失败 DMARC 具有拒绝或隔离的操作。

-001 意味着隐式电子邮件身份验证失败的消息。这意味着发送域没有电子邮件身份验证记录发布,或者如果那样,它们必须较弱的失败策略 (SPF 柔化失败或中立、 DMARC 策略的 p = 无)。

-组织具有显式禁止发送欺骗的电子邮件的发件人中的域对策略的方式 002,管理员手动设置此设置。

-010 意味着邮件失败 DMARC 具有拒绝或隔离、 操作和发送域是您所在组织的接受域之一 (这是自行自行或组织内的一部分欺骗)。

-011 意味着隐式电子邮件的身份验证失败的消息,发送域是您所在组织的接受域之一 (这是自行自行或组织内的一部分欺骗)。

所有其他代码 (1xx、 2xx、 3xx、 4xx、 5xx)

为什么邮件传递隐式身份验证,或者有没有身份验证但已应用的任何操作,则对应于各种内部代码。

通过查看邮件头,管理员或甚至最终用户将可以确定如何在发件人可能具有欺骗性结束到达时 Office 365。

区分不同类型的欺骗

Microsoft 区分两种类型的欺诈邮件:

组织内欺骗

也称为自行到自行欺骗,发生这种情况时在从域: 地址相同,或与收件人域 (收件人域时的其中一个您所在组织的接受的域); 对齐或者,当在从域: 地址是相同的组织的一部分。

例如,以下具有发件人和收件人从同一个域 (contoso.com)。若要防止 spambot 搜集此页面上的电子邮件地址中插入空格):

From: sender @ contoso.com
To: 收件人 @ contoso.com

以下具有发件人和收件人域中对齐组织的域 (fabrikam.com):

From: sender @ foo.fabrikam.com
To: 收件人 @ bar.fabrikam.com

他关注发件人和收件人域中的不同 T (microsoft.com 和 bing.com),但它们属于同一组织 (即两者都是组织的接受的域的一部分):

From: sender @ microsoft.com
To: 收件人 @ bing.com

失败欺骗组织内的邮件包含标题中的以下值:

X Forefront 反垃圾邮件报告:...CAT:SPM/HSPM/PHSH;...SFTY:9.11

猫类别的邮件,并以正常方式将其标记为 SPM (垃圾邮件),但有时可能会 HSPM (高可信度垃圾邮件) 或网络钓鱼 (网络仿冒) 根据哪些其他类型的图案出现在邮件中。

SFTY 是邮件的安全级别、 第一个数字 (9) 表示邮件是网络仿冒,和另一组的位数后的圆点 (11) 意味着它是组织内欺骗

没有特定的原因的组织内欺骗、 复合将戳以后在 2018 (尚未定义日程表) 中的验证代码。

跨域欺骗

发生这种情况时在从发送域: 地址是否接收组织外部域。由于跨域欺骗失败复合身份验证的邮件包含标题中的以下值:

Authentication-Results: … compauth=fail reason=000/001
X Forefront 反垃圾邮件报告:...CAT:SPOOF;...SFTY:9.22

在这两种情况下,在邮件中或等效的收件人的邮箱语言自定义标记以下红色安全提示:

红色的安全提示-欺诈检测

它只是从看: 地址并了解您的收件人电子邮件什么,或通过检查时,您可以区分组织内部和跨域欺骗的电子邮件标头。  

Office 365 的客户可以如何准备自己为新的反欺骗保护

针对管理员的信息

作为 Office 365 中组织的管理员,有多个关键您应注意的信息。

了解为什么电子邮件身份验证不足始终以停止欺骗

新的反欺骗保护依赖于电子邮件身份验证 (SPF、 DKIM 和 DMARC),未标记为欺诈邮件。发送域具有永不发布 SPF 记录时的常见示例。如果没有 SPF 记录,或他们未正确设置,将视为欺骗除非 Microsoft 具有显示邮件是合法的后端智能标记已发送的邮件。

例如,反欺骗部署之前, 邮件可能会有看起来像没有 SPF 记录,没有 DKIM 记录,并没有 DMARC 记录与下面:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

反欺骗后如果您是高级威胁保护或 E5 客户,compauth 值戳 (不影响非 ATP 和非 E5 客户):

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Example.com 修复此设置 SPF 记录,但不是一个 DKIM 记录,这会通过复合身份验证,因为在从域对齐传递 SPF 域: 地址:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

或者,如果他们设置 DKIM 记录,但不是 SPF 记录,这会由于传递 DKIM 签名中的域的域和在从对齐传递复合身份验证: 地址:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

然而,钓鱼可能也设置 SPF 和 DKIM,签名邮件使用其自己的域,但指定在从另一个域: 地址。SPF 和 DKIM 都不需要的域,在从域与对齐: 地址,因此除非 example.com 发布 DMARC 记录,这会将标记为使用 DMARC 欺骗:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

在电子邮件客户端 (Outlook,在 web 或任何其他电子邮件客户端上的 Outlook) 中,仅从: 显示的域,不是在域中 SPF 或 DKIM,并且可以使用户误以为该邮件来自 example.com,但确实来自 maliciousDomain.com.

经过身份验证的邮件,但是从: 域未与什么传递 SPF 或 DKIM 对齐

因此,Office 365 需要在从域: 地址与 SPF 或 DKIM 签名,在域中对齐和如果它不会包含指示的其他一些内部信号是合法的邮件。否则,该消息将 compauth 失败。

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

因此,Office 365 反欺骗保护与无身份验证的域和设置身份验证,但对在从域不匹配的域: 地址,它是一个用户可以看到并认为是邮件的发件人。此条件成立同时向您的组织外部的域,以及您的组织中的域。

因此,如果您曾收到复合身份验证失败,并且标记视为欺骗,即使 SPF 和 DKIM 传递的邮件的邮件,这是因为不会与在从域对齐的域的 SPF 和 DKIM 传递: 地址。

了解如何欺骗的电子邮件中的更改将被视为

目前,所有客户的 Office 365-ATP 和非-ATP-消息与拒绝或隔离策略 DMARC 标记为垃圾邮件和通常采用高可信度垃圾邮件操作,或有时正常垃圾邮件操作的失败 (具体取决于是否其他垃圾邮件规则第一次其标识为垃圾邮件)。组织内欺骗检测执行正常垃圾邮件的操作。此行为不需要启用,也可以将其禁用。

但是,跨域欺骗邮件,此更改之前他们将经过正常的垃圾邮件和网络钓鱼,恶意软件检查以及其他部分的筛选器将其标识为可疑邮件,如果希望将其标记为垃圾邮件和网络钓鱼,恶意软件分别。使用新的跨域欺骗保护,不能进行身份验证的任何邮件将默认情况下,执行的操作中反钓鱼定义 > 防欺骗策略。如果未定义,它将被移动到用户垃圾邮件文件夹。在某些情况下,更可疑邮件还将添加到邮件的红色安全提示。

这可能会导致先前已标记为垃圾邮件仍然收到标记为垃圾邮件,但现在也有红色安全提示; 一些消息在其他情况下,将添加先前已标记为非垃圾邮件将开始获取标记为垃圾邮件 (CAT:SPOOF) 红色安全提示的邮件。仍然其他情况下,已将所有垃圾邮件和网络钓鱼移动到隔离的客户想立即看到它们继续到垃圾邮件文件夹 (此行为可以被更改,请参阅更改您的反欺骗设置)。

有多种不同的方法可以 (请参阅本文档的早期版本中的"Differentiating 之间不同类型的欺骗" ) 伪造一条消息,但年 3 月 2018 Office 365 将处理这些邮件的方式不尚未统一。下表是摘要,使用跨域欺骗保护正在新行为:

欺骗的类型

类别

添加安全提示?

适用于

DMARC 失败 (隔离或拒绝)

HSPM (默认),也可能会 SPM 或 PHSH

无 (尚未)

所有 Office 365 客户 Outlook.com

自我到自行

SPM

所有 Office 365 客户 Outlook.com

跨域

欺骗

Office 365 Ad vanced 威胁保护和 E5 客户

更改您的反欺骗设置

要创建或更新 (跨域) 反欺骗设置,请导航到反钓鱼 > 威胁管理下的反欺骗设置 > 策略的安全和合规性中心中的选项卡。如果您永远不会创建任何反钓鱼设置,您需要创建一个:

防网络钓鱼-创建新的策略

如果您已经创建了一个,您可以选择以对其进行修改:

防网络钓鱼-修改现有策略

选择刚创建的策略,并在所述继续执行步骤了解更多有关欺骗智能。

启用或禁用 antispoofing

启用或禁用 antispoofing 安全提示

若要创建新策略通过 PowerShell:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.

# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

然后,您可以修改使用 PowerShell,关注的文档集 AntiphishPolicy反钓鱼策略参数。您可以指定 $name 作为参数:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

更高版本中 2018,而不是您无需创建一个默认策略,将创建一个为您以便您不需要手动指定它适用于您的组织中的所有收件人 (下面的屏幕截图制约最终实现之前更改)。

默认策略防网络钓鱼

与您创建的策略,不能删除默认策略、 修改其优先级,或选择要向其范围的用户、 域或组。

防网络钓鱼默认策略的详细信息

在更高版本中 2018,要将您的默认保护通过 PowerShell 设置:

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

如果您有其他邮件服务器或 Office 365 前面的服务器,应仅禁用反欺骗保护 (请参阅合法方案禁用反欺骗更多详细信息)。

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

R ecommendation

如果您的电子邮件路径中的第一个跃点是 Office 365,并收到太多合法的电子邮件标记为欺骗,您应首先设置您可以向您的域发送的电子邮件的发件人 (请参阅"管理合法发件人发送的部分未经过身份验证电子邮件")。


如果您仍收到太多 f 假正值 (例如,合法邮件标记为欺骗),我们不建议完全禁用反欺骗的保护。相反,我们建议您选择 Basic,而不高的保护。

最好是通过比以公开您的组织于最终可能会长期提出显著提高成本欺骗电子邮件的误报工作。

管理合法的发件人发送未经身份验证的电子邮件

跟踪谁正在将未经身份验证的电子邮件发送到您的组织的 office 365。如果该服务认为不合法发件人,它会将其标记为compauth失败。这将归为欺骗,尽管这取决于您反欺骗已应用于策略的邮件。

但是,作为管理员,您可以指定哪些发件人都可以发送欺骗电子邮件,覆盖 Office 365 的决策。

方法 1-如果您的组织拥有域,设置电子邮件身份验证

可以使用此方法来解决组织内欺诈和跨域欺骗您拥有或交互的情况下使用多个租户。它也有助于解决跨域欺骗,发送到其他 Office 365 中的客户,并且也在其他提供商托管的第三方。

有关详细信息,请参阅部分中, "客户的 Office 365"

方法 2-使用欺骗智能配置允许未经身份验证的电子邮件的发件人

您可以使用欺骗智能允许发件人传输到您的组织的未经身份验证的消息。

对于外部域,欺骗的用户是在从地址域发送的基础结构时发送方 IP 地址 (分为/24 CIDR 范围),或 PTR 记录组织域 (在下面的屏幕截图,发送 IP 可能将其 PTR 记录是 outbound.mail.protection.outlook.com,131.107.18.4,这将显示为发送基础结构的 outlook.com)。

要允许此发件人发送未经身份验证的电子邮件,请更改为

设置 antispoofing 允许发件人
您还可以使用 PowerShell 允许特定发件人窃取您的域:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

获取通过 Powershell 欺骗发件人

在上面的图像,以使此屏幕截图适合,但在现实中的所有值将都显示在一行上已经添加额外的换行符。

编辑文件和查找与 outlook.com 和 bing.com,对应的行和更改AllowedToSpoof为是无来自条目:

为是通过 Powershell 允许设置欺骗

保存该文件,并运行:  

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"

Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

现在,这将允许 bing.com 发送未经身份验证的电子邮件从 *。 outlook.com。

方法 3-创建允许项的发件人/收件人对

您也可以选择绕过所有垃圾邮件筛选特定发件人。有关详细信息,请参阅如何安全地将发件人添加到 Office 365 中的允许列表。

如果您使用此方法,它将跳过垃圾邮件和网络钓鱼筛选的一些但不是恶意软件筛选。

方法 4-联系发件人,让他们设置电子邮件身份验证

由于垃圾邮件和网络钓鱼的问题,Microsoft 建议设置电子邮件身份验证的所有发件人。如果您知道发送域的管理员,请联系他们以及他们设置电子邮件身份验证记录以便您不需要添加任何重写的要求。有关详细信息,请参阅"管理员不是 Office 365 客户的域的"本文档中更高版本。

时,可能很难在第一次获取发送进行身份验证的域,一段时间,为更多电子邮件筛选器开始 junking 或甚至拒绝其电子邮件,它将导致它们设置正确的记录,以确保提供更好。

查看报表的多少邮件视为欺骗标记

启用反欺骗策略后,您可以使用威胁智能熟悉多少邮件标记为网络钓鱼的数字。若要执行此操作,转到的安全和合规性中心 (源代码管理) 下威胁管理 > 资源管理器中,按发件人域或保护状态将视图设置为网络钓鱼和组:

查看多少邮件标记为网络钓鱼

您可以使用各种报表,以查看标记为网络仿冒,包括邮件标记为欺骗多少进行交互。若要了解详细信息,请参阅开始使用 Office 365 威胁智能

您还不能拆分哪些邮件已标记由于欺骗与其他类型的网络仿冒 (常规网络钓鱼、 域或用户模拟等)。但是,更高版本中 2018,您将能够执行此操作通过安全和合规性中心。一旦执行操作时,可以为起始位置使用此报表可以确定发送可能是合法的被标记为欺骗由于失败身份验证的域。

屏幕截图下面是如何此数据的外观,但释放时可能会更改的方案:

查看网络钓鱼检测类型的报表

对于非 ATP 和 E5 客户,这些报表将在以后在 2018 下威胁保护状态 (TPS) 报表中,但将被推迟至少 24 小时。此页面将会更新集成的安全性和合规性中心。

预测多少邮件将被标记为欺骗

或更高版本中 2018 Office 365 一次更新设置以使您可以关闭反欺骗强制上使用基本或从高强制将为您提供的能力,以查看邮件处置将如何更改在不同的设置。也就是说,如果反欺骗处于关闭状态,您将能够看到将变为 Basic; 如果为欺骗检测多少邮件或者,如果这是基本,您将能够查看如果您打开为高,将为欺骗检测到的多少更多的邮件。

此功能目前正在开发中。定义更多详细信息,同时与安全和合规性中心的屏幕截图以及 PowerShell 示例将更新此页面。

"如果"启用 antispoofing 的报表
可能允许欺骗发件人的用户体验

了解如何垃圾邮件、 网络钓鱼和高级网络钓鱼检测组合

Exchange Online 客户 – ATP 和非 ATP – 可指定当服务识别为恶意软件、 垃圾邮件、 高可信度垃圾邮件、 网络仿冒,和批量邮件时要执行的操作。但是,随着 ATP 客户的新反钓鱼策略和事实邮件可能点击多个检测类型 (例如,恶意软件、 网络钓鱼和用户模拟),可能有哪些策略适用于某些混淆。

一般情况下中, 标识向邮件应用的策略SCL猫 (分类) 属性中的标题。

优先级

策略

类别

在其中管理?

适用于

1

恶意软件

MALW

恶意软件策略

所有客户

2

网络钓鱼

PHSH

托管内容筛选器策略

所有客户

3

可信度高的垃圾邮件

HSPM

托管内容筛选器策略

所有客户

4

欺骗

欺骗

反钓鱼策略
欺骗智能

仅 ATP

5

垃圾邮件

SPM

托管内容筛选器策略

所有客户

6

批量

批量

托管内容筛选器策略

所有客户

7

域模拟

DIMP

反钓鱼策略

仅 ATP

8

用户模拟

UIMP

反钓鱼策略

仅 ATP

如果您有多个不同的反钓鱼策略,将应用的最高优先级的一个。例如,假设您有两个策略:

策略

优先级

用户/域模拟

反欺骗

A

1

关闭

B

2

关闭

如果邮件附带并标识为欺诈和用户模拟和同一组用户适用于 A 策略和策略 B,然后邮件将被视为欺骗但没有操作应用以来防欺骗是否处于关闭状态并欺骗运行在较高优先级 (4) 比用户模拟 (8)。

若要进行其他类型的网络钓鱼策略应用,您需要调整谁各种策略应用于的设置。

若要禁用反欺骗的合法方案

更好地反欺骗保证客户网络仿冒攻击的因此强烈建议您不要禁用反欺骗的保护。通过禁用它,您可以解决某些短期误报,但您将面临更多的风险的长期。设置侧发件人的身份验证或网络钓鱼策略中进行调整的成本是通常一次性事件或需要最少、 定期维护。但是,恢复从位置已公开数据,网络仿冒攻击的成本或资产已被泄露是高得多。

因此,最好通过比要禁用反欺骗保护反欺骗误报工作。

但是,则可以在其中应禁用反欺骗,和其他邮件筛选时,才合法方案邮件路由,和 Office 365 中的产品不是电子邮件路径中的第一个跃点:
客户 MX 记录不指向 Office 365

其他服务器可能 Exchange 本地邮件服务器筛选设备 Ironport,如邮件或另一种云托管服务。

如果收件人域的 MX 记录不指向 Office 365,则无需禁用反欺骗,因为 Office 365 查找接收域的 MX 记录,并取消反欺骗指向另一个服务。如果您不知道您的域是否具有另一台服务器上方,您可以使用网站如 MX 工具箱查找 MX 记录。它可能会显示如下所示的内容:

MX 记录指示域不指向 Office 365

此域具有不指向 Office 365,以便 Office 365 不适用反欺骗强制 MX 记录。

但是,如果收件人域的 MX 记录指向 Office 365,即使没有 Office 365 前面的另一个服务,然后您应禁用反欺骗。通过使用收件人的重写内容是最常见的示例:

路由图表中为收件人重写的

域 contoso.com 的 MX 记录指向本地服务器,而域 @office365.contoso.net MX 记录指向在 Office 365,因为它包含 *。 protection.outlook.com,或 *。 eo.outlook.com 的 MX 记录中:

MX 记录指向 Office 365,因此可能收件人重写

请务必区分收件人域的 MX 记录不指向 Office 365,以及其经历收件人的重写内容时。请务必告诉这两种情况之间的差异。

如果您不确定接收域经历收件人重写,有时您可以通过判断查看邮件头。

a) 开始,看的邮件中的收件人域中的标题Authentication-Results标题:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

在此例 office365.contoso.net 上方,加粗红色文本中找到收件人域。这可能不同,在收件人收件人: 标题:

To: 示例收件人 < 收件人 @ contoso.com >

执行实际收件人域的 MX 记录查找。如果它包含 *。 protection.outlook.com、 mail.messaging.microsoft.com,*。 eo.outlook.com 或 mail.global.frontbridge.com,这意味着 MX 指向 Office 365。

如果它不包含这些值,则意味着 MX 不指向 Office 365。您可以使用此验证的工具之一是 MX 工具箱。

对于此示例中,下面显示该 contoso.com,如下所示收件人,因为它是收件人的域: 页眉中,具有 MX 记录指向本地服务器:
MX 记录指向本地服务器

但是,实际收件人是的 office365.contoso.net 其 MX 记录是否指向 Office 365:

MX 指向 Office 365,必须是收件人重写

因此,此消息可能经历收件人重写。

b) 第二步,务必常见的使用情况的收件人的重写区别。如果您要重写到收件人域 *。 onmicrosoft.com,而是将其向重写 *。 mail.onmicrosoft.com。

一旦此前你标识了另一个服务器路由最终收件人域和收件人域的 MX 记录实际上指向 Office 365 (如发布在其 DNS 记录),您可以继续禁用反欺骗。

请记住,不希望禁用反欺骗如果路由路径中的域的第一个跃点仅在一个或多个服务背后时为 Office 365。

如何禁用反欺骗

如果您已经拥有创建反钓鱼策略,设置EnableAntispoofEnforcement参数$false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false 

如果您不知道策略 (或策略) 若要禁用的名称,您可以显示它们:

Get-AntiphishPolicy | fl Name

如果您没有任何现有的反钓鱼策略,您可以创建一个,然后将其禁用 (即使您没有策略、 反欺骗的仍应用; 在 2018年中更高版本,将为您创建的默认策略和可以然后禁用,而不是创建一个).将有多个步骤中执行此操作:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains

# Finally, scope the antiphishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false 

禁用反欺骗功能才可用通过 cmdlet (后面的第 2 季度 2018年它将安全和合规性中心中可用)。如果您没有访问 PowerShell,创建支持票证。 请记住,这只应应用到进行间接路由到 Office 365 发送时的域。抵御由于某些误报禁用反欺骗的诱惑,它将长期好学习以上各工作。

单个用户的的信息

单个用户将仅限于它们与反欺骗安全提示的交互方式。但是,有几种方法可以解决常见情况。

常见方案 #1 – 邮箱转发

如果您使用其他电子邮件服务,并将您的电子邮件转发到 Office 365 或 Outlook.com,您的电子邮件可能会被标记为欺诈和接收红色安全提示。Office 365 和 Outlook.com 计划自动解决此问题时转发器是一个 Outlook.com、 Office 365、 Gmail 或使用弧形协议的任何其他服务。但是,直到部署该修复时,用户应使用已连接帐户功能导入其邮件直接,而不是使用转发选项。

要设置 Office 365 中的已连接帐户,请在 Office 365 web 界面右上角中选择齿轮图标 > 邮件 > 邮件 > 帐户 > 连接的帐户。

Office 365-已连接帐户的选项

在 Outlook.com 中,该过程将齿轮图标 > 选项 > 邮件 > 帐户 > 连接的帐户。

常见方案 #2 – 讨论列表

讨论列表已知遇到反欺骗由于方式他们转发邮件和修改其内容,但保留从原始: 地址。

例如,假设您的电子邮件地址是用户 @ contoso.com,并且您感兴趣注册优惠监视和加入讨论列表 birdwatchers @ example.com。当您对讨论列表发送一条消息时,您可能会发送这种方式:

从:John Doe < 用户 @ contoso.com >到: Birdwatcher 的讨论列表 < birdwatchers @ example.com >主题:出色的蓝色 jays 保持联系突出顶部查看本周

任何人都要签出查看从保持联系突出本周?

当电子邮件列表收到邮件时,它们、 设置邮件格式修改其内容,和播放该向组成参与者从许多不同的电子邮件接收器讨论列表上的成员的其余部分。

从:John Doe < 用户 @ contoso.com >到: Birdwatcher 的讨论列表 < birdwatchers @ example.com >主题: [BIRDWATCHERS] 出色查看保持联系突出顶部蓝色 jays 本周

任何人都要签出查看从保持联系突出本周?

--- 此邮件已发送到 Birdwatchers 讨论列表。您可以随时取消订阅。

在上述情况,重播的邮件具有相同的: 地址 (用户 @ contoso.com),但原始邮件已被添加到主题行和邮件的底部页脚标记。这种类型的消息修改常见邮寄列表中,可能会导致误报。

如果您或您组织中的某人邮件列表中的管理员,您可能能够将其配置为通过反欺骗检查。

  • 检查在 DMARC.org 常见问题:我运行邮件列表,要与 DMARC 互操作、 怎么办?

  • 阅读说明在这篇博客文章:有关邮寄列表运算符与 DMARC 若要避免失败交互操作的提示

  • 在邮件列表中服务器支持弧形、 C onsider 安装更新,请参阅https://arc-spec.org

如果您没有所有权邮寄列表:

  • 您可以请求邮寄列表维护实现其中一个选项上述 (他们应包含电子邮件身份验证设置邮件列表中继从域)

  • 您可以在您的电子邮件客户端将邮件移动到收件箱中创建邮箱规则。您也可以请求允许您所在组织的管理员设置的规则,或作为重写节所述管理合法的发件人发送未经身份验证的电子邮件

  • 您可以使用 Office 365 创建的邮件列表,以将其视为合法替代创建支持票证

其他方案

  1. 这两个以上的常见情况适用于您的具体情况,如果为 false 的正后向 Microsoft 报告邮件。有关详细信息,请参阅部分中"如何报告垃圾邮件或非垃圾邮件返回给 Microsoft"本文档中的更高版本上。

  2. 此外,您可以联系您的电子邮件管理员可以引发它作为与 Microsoft 支持票证。Microsoft 工程团队将调查为什么邮件已标记为欺骗。

  3. 此外,如果您知道谁发件人是并确信它们都不被恶意欺骗,您可能答复发件人,指示他们从身份验证不在邮件服务器发送邮件。这有时会导致原始发件人联系其 IT 管理员,并将设置所需的电子邮件身份验证记录。 如果足够发件人答复回域所有者他们应该设置电子邮件身份验证记录,它 spurs 他们采取的操作。虽然 Microsoft 也处理域所有者发布所需的记录,它有助于更多当单个用户请求。

  4. 或者,您可能会添加到安全发件人列表的发件人。但是,请注意,如果钓鱼欺骗该帐户,它将发送到您的邮箱。因此,t 应请谨慎使用他的选项。

发件人向 Microsoft 应如何准备反欺骗保护

如果您是管理员并当前将消息发送给 Microsoft,Office 365 或 Outlook.com 中,您应该确保正确经过身份验证您的电子邮件否则它可能会被标记为垃圾邮件或网络钓鱼。

Office 365 的客户

如果您是 Office 365 客户,并且您使用 Office 365 发送的出站电子邮件:

  • 为您的域,设置在 Office 365,以帮助防止欺诈 SPF

  • 为您的主要域使用 DKIM 以验证从您的自定义域 Office 365 中发送的出站电子邮件

  • 请考虑设置 DMARC 记录您的域来确定谁是合法的发件人

Microsoft 不提供对每个 SPF、 DKIM,以及 DMARC 详细实施工作结束后的准则。但是,存在许多联机发布的信息。还有第三方公司专用于帮助您的组织设置电子邮件身份验证记录。

不是 Office 365 客户的域的管理员

如果您是域管理员,但不是 Office 365 客户:

  • 您应设置要发布您的域发送的 IP 地址、 SPF 和也设置 DKIM (如果可用) 来对邮件进行数字签名。您还可能会考虑设置 DMARC 记录。

  • 如果您有批量发件人正在传送代表您的电子邮件,您应处理它们的方式发送电子邮件以便在从发送域: 与传递 SPF 或 DMARC 的域的地址 (如果您属于) 对齐。

  • 是否必须在部署邮件服务器,或从软件-服务提供商,或从 Microsoft Azure、 GoDaddy、 机架、 Amazon Web 服务,如云托管服务发送 f 或类似,您应该确保他们添加到您的 SPF 记录。

  • 如果您是由 ISP 托管较小的域,您应设置 ISP 为您提供您 SPF 记录,按照说明进行操作。大多数 Isp 提供以下类型的说明进行操作,可以找到公司的支持页上。

  • 即使没有发布电子邮件身份验证记录之前,并且它正常工作,您仍然必须发布向 Microsoft 发送的电子邮件身份验证记录。这样,您是抵御网络仿冒,在帮助,并降低您向的组织获取 phished 的可能性。

如果您不知道人为您的域发送电子邮件?

多个域,因为它们不知道其所有发件人处于不发布 SPF 记录。不必担心,您不需要知道谁能全部。相反,您应通过开始发布为您执行知道,尤其是您公司的通信设备的位置,并发布中性 SPF 策略,?all 的 SPF 记录:

在 TXT example.com"v = spf1 include:spf.example.com? 所有"

中性 SPF 策略意味着,利用您公司的基础结构附带的任何电子邮件将通过电子邮件身份验证在所有其他电子邮件接收器。来自您不知道有关发件人的电子邮件将回退到特定,几乎相同根本发布没有 SPF 记录。

当发送到 Office 365,电子邮件来自您公司的流量将被标记为经过身份验证,但仍可能来自您不知道有关源的电子邮件标记为欺骗 (根据 Office 365 可以隐式验证)。但是,这仍然是从所有电子邮件标记为欺骗通过 Office 365 的改进。

一次您已获得入门回退策略的 SPF 记录?all您可以逐渐包括更发送基础结构,然后发布更严格的策略。

如果您是邮寄列表的所有者?

请参阅"列出了常见方案 #2 – 讨论"部分。

如果您是 Internet 服务提供商 (ISP)、 电子邮件服务提供商 (ESP) 或云托管服务等的基础结构提供程序?

如果托管的域的电子邮件,并且其发送电子邮件,或提供了托管可以发送电子邮件的基础结构,您应执行下列操作:

  • 确保您的客户有详细描述要发布其 SPF 记录中的文档

  • 考虑在出站电子邮件签名 DKIM 签名,即使客户不明确将其设置 (默认域与号)。您可以偶数双号 (一次使用客户的域,如果他们有其进行了设置,以及与您的公司 DKIM 签名的第二个时间) DKIM 签名的电子邮件

不能保证可交付性给 Microsoft,即使您验证电子邮件来自您的平台,但至少它可以确保 Microsoft 不会不垃圾电子邮件,因为它没有经过身份验证。围绕 Outlook.com 如何筛选电子邮件的详细信息,请参阅Outlook.com Postmaster 页面

服务提供商的最佳做法的详细信息,请参阅M3AAWG 移动消息的最佳做法服务提供商

常见问题

为什么 Microsoft 进行此更改?

由于攻击网络钓鱼的影响,以及电子邮件身份验证已掌握 15 年,因为 Microsoft 认为,继续允许未经身份验证的电子邮件的风险大于丢失合法的电子邮件的风险。

此更改将导致合法的电子邮件标记为垃圾邮件?

首先,将某些已标记为垃圾邮件的邮件。但是,一段时间,将调整发件人和则是大多数电子邮件路径可以忽略的错误地标记为欺骗的邮件的数量。
首先,Microsoft 本身采用此功能之前将其部署到其客户的其余部分的几周。同时时中断最初逐渐拒绝它。

将 Outlook.com 和非高级威胁保护客户的 Office 365 的 Microsoft 使此功能?

反欺骗保护将最初分发给 ATP/E5 客户和将来可能会发布到其其他用户。但是,如果是这样,可能有一些功能,如报告不会应用和自定义覆盖。

如何报告垃圾邮件或非垃圾邮件返回到 Microsoft?

您可以使用报告消息加载项的 Outlook,或如果它不安装,提交垃圾邮件、 非垃圾邮件和网络钓鱼骗局邮件给 Microsoft 以进行分析

我不知道我所有发件人是谁域管理员 !

请参阅不是 Office 365 客户的域的管理员。

如果会发生什么禁用反欺骗保护我的组织,即使是 Office 365 是我主要筛选器?

我们不建议这样因为您将面临更错过网络仿冒以及垃圾邮件。并非所有网络仿冒欺骗,而且不是所有欺骗将会都丢失。但是,风险将高于使反欺骗的客户。

启用反欺骗保护意思我将抵御所有网络钓鱼?

很遗憾,不能,因为钓鱼都将采用以使用其他方法如泄露帐户或设置的免费服务的帐户。但是,反网络仿冒保护工作得更好地检测这些其他类型的网络钓鱼方法,因为 Office 365 保护层是设计工作一起并构建彼此。

其他大型电子邮件接收器阻止未经身份验证的电子邮件?

几乎所有大的电子邮件接收器实现传统 SPF、 DKIM 和 DMARC。某些接收器有其他检查严格比那些标准,但少转为未经身份验证的 Office 365 阻止的电子邮件并将其视为欺骗。但是,大多数行业变得更严格有关此特定类型的电子邮件,尤其是由于网络钓鱼的问题。

是否仍需要启用"SPF 硬 Fail"如果我启用反欺骗的高级垃圾邮件筛选选项?

否,因为反欺骗功能不仅认为 SPF 硬失败,但剩余宽度的一组条件,则不再需要此选项。如果您有反欺骗启用,并且启用了 SPF 硬失败选项,您可能会获得更多误报。建议您禁用此功能,如一样为垃圾邮件或网络钓鱼,提供几乎没有其他捕获并改为生成大部分误报。

发件人重写方案 (SRS) 帮助修复转发电子邮件?

SRS 仅部分修复转发电子邮件的问题。通过重写 SMTP 邮件从,SRS 可以确保转发的消息传递 SPF 在下一个目标。但是,因为反欺骗基于发: 地址中的邮件从或 DKIM 签名域 (或其他信号) 的组合,它不足以防止被视为欺骗标记转发电子邮件。

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×