Office 365 中的反詐騙保護

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

本文將說明如何 Office 365 降低網路釣魚攻擊用途是寄件者網域,也就是詐騙的網域。這樣的優勢分析郵件並封鎖無法使用標準的電子郵件驗證方法或其他寄件者評價技術驗證的項目。若要減少網路釣魚攻擊用戶實作這項變更。

本文也說明為什麼正在進行這項變更、 客戶如何準備這項變更、 如何檢視會受影響的郵件、 如何報告的郵件]、 如何減輕誤判,以及如何寄件者至 Microsoft 應準備這變更。

Microsoft 的反詐騙技術初次部署 Office 365 進階威脅保護 (ATP) 及 E5 客戶。不過,因為其篩選的所有瞭解彼此的方式,非 ATP 客戶和甚至 Outlook.com 使用者可能也會受到影響。

在 [網路釣魚攻擊的詐騙使用方式

保護其使用者時,Microsoft 就會嚴重潛在威脅的網路釣魚。垃圾郵件和網路釣客經常使用的技巧在詐騙,這就偽造寄件者,並產生來自或非實際的來源位置會顯示的訊息。這項技巧通常用於設計來取得使用者認證的網路釣魚行銷活動。Microsoft 的反詐騙技術,特別是檢查偽造 ' 從: 標題 」 即會顯示在像是 Outlook 等電子郵件用戶端的項目。當 Microsoft 具有可靠的 [從: 標題詐騙,它會識別為詐騙郵件。

詐騙郵件會有兩個負數影響實際使用者:

  1. 詐騙的郵件惡作劇使用者

    首先,詐騙的郵件可能會騙使用者按一下連結及放棄其認證,下載惡意程式碼,或回覆郵件的機密內容 (第二個稱為商務電子郵件洩漏)。例如,下列是網路釣魚詐騙寄件者的 msoutlook94@service.outlook.com 訊息:

    模擬 service.outlook.com 網路釣魚郵件

    上述並非實際來自 service.outlook.com,但改為詐騙,使其看起來像 phisher。正在嘗試騙使用者按一下郵件中的連結。

    下一個範例詐騙 contoso.com:

    網路釣魚郵件-商務電子郵件入侵

    訊息看起來合法,但事實上,是詐騙。此網路釣魚郵件是一種商務電子郵件入侵,也就是網路釣魚的子類別。

  2. 使用者造成混淆假的真實郵件

    第二個詐騙郵件建立不確定性使用者知道關於網路釣魚郵件,但無法分辨實數的訊息與詐騙的項目之間的差異。例如,下列是在實際的密碼重設 Microsoft 安全性帳戶的電子郵件地址的範例:

    Microsoft 正確的密碼重設

    上述郵件是來自 Microsoft,但同時,使用者就是用來取得網路釣魚郵件可能會騙使用者按一下連結並放棄其認證,下載惡意程式碼,或回覆郵件的機密內容。由於很難實數密碼重設與 fake 項目之間的差異,許多使用者略過這些訊息、 報告為垃圾郵件,或不必要報表郵件回至 Microsoft 以未接的網路釣魚詐騙。

若要停止詐騙,開發電子郵件驗證通訊協定,例如SPFDKIMDMARC篩選產業的電子郵件。DMARC 可讓您避免詐騙檢查郵件的寄件者-使用者在他們的電子郵件用戶端中看到的項目 (在上述範例中,這是 service.outlook.com 與 outlook.com,accountprotection.microsoft.com)-使用網域的 SPF 或 DKIM 傳遞。也就是說,使用者所看到的網域經過驗證,因此不詐騙。如需更完整的討論,請參閱一節 」瞭解為什麼電子郵件驗證永遠不夠停止詐騙 」稍後文件中。

不過,問題是記錄是選擇性的不需要的電子郵件驗證。因此,而強大的驗證原則網域等 microsoft.com 和 skype.com 受到從詐騙,完全發佈弱驗證原則或沒有原則、 詐騙的目標的網域。年 3 月 2018年只依 9%的網域的公司中星 500 發佈強式的電子郵件驗證原則。剩餘 91%可能詐騙 phisher,並在除非郵件篩選偵測到使用另一個原則,可能會傳遞給使用者和欺騙進行:

Fortune 500 大企業的 DMARC 原則


小型-媒體大小公司的比例不在發佈強式的電子郵件驗證原則星 500 會比較小,仍小,北美洲與西歐以外的網域。

這是大的問題,因為網路釣客時企業可能不知道電子郵件驗證的運作方式,請執行了解並利用缺乏。

設定 SPF DKIM,與 DMARC 上的資訊,請參閱區段 」的 Office 365 」 的客戶稍後這份文件。

停止與隱含的電子郵件驗證詐騙

因為網路釣魚和矛網路釣魚這類問題,而強大的電子郵件驗證原則有限採用,因為 Microsoft 持續投入保護其客戶的功能。因此,Microsoft 就移動; 具有隱含的電子郵件驗證-如果網域無法進行驗證,Microsoft 就會將它視為它已發佈的電子郵件驗證記錄並且將它視為會相應地無法通過。

若要這麼做,Microsoft 具有內建許多延伸一般電子郵件驗證,包括評價寄件者、 收件者寄件者/歷程記錄、 行為分析及其他進階的技巧。從無法發佈電子郵件驗證的網域傳送的訊息會標示為詐騙除非其中包含其他告知指出正確。

這麼做,可以讓使用者的結束信賴度的不詐騙電子郵件傳送給他們,寄件者可以自信沒有人模擬自己的網域,且客戶的 Office 365 可以提供更好的保護,例如模擬保護。

若要查看 Microsoft 的一般公告,請參閱海的 Phish 第 2 部分-Office 365 中增強型反詐騙

識別訊息視為詐騙分類

複合索引驗證


時 SPF DKIM,與 DMARC 單獨都很有用,他們不通訊足夠驗證狀態,在事件郵件有不明確的驗證記錄。因此,Microsoft 開發將多個訊號合併成單一值的簡短稱為複合驗證] 或 compauth 演算法。在 Office 365 中的客戶的郵件標頭中的驗證結果標頭中加上的 compauth 值。

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

CompA uth 結果

描述

會失敗。

訊息無法明確驗證 (傳送網域發佈記錄其他 dns) 或隱含驗證 (傳送網域並未不發佈記錄在 [DNS],讓 Office 365 插補結果,如同其已發佈的記錄)。

傳遞

郵件傳遞明確驗證 (郵件傳遞 DMARC 或最佳猜測傳遞 DMARC) 或有可靠的隱含驗證 (傳送網域不會發佈電子郵件驗證記錄,但 Office 365 有強式的後端訊號以表示郵件是可能正確)。

softpass

傳遞訊息低-中型放心隱含驗證 (傳送網域不會發佈電子郵件驗證],但 Office 365 有後端訊號以表示郵件是合法,但是訊號強度不擅)。

郵件已驗證 (或並未驗證但沒有對齊),但不是會套用評價寄件者或其他因素的複合驗證。

原因

描述

0xx

複合索引的驗證失敗訊息。

-000 表示無法 DMARC 以 [拒絕] 或 [隔離的動作。

-001 表示郵件隱含的電子郵件驗證失敗。這表示傳送網域沒有電子郵件驗證記錄發佈,或如果有,必須弱失敗原則 (SPF 柔失敗或中立、 DMARC 原則的 p = 無)。

-組織已明確禁止傳送詐騙電子郵件寄件者/網域對原則 002 表示,這項設定手動設定由系統管理員。

-無法與動作的 [拒絕] 或 [隔離,DMARC 和傳送的網域是您組織的接受網域,就表示 010 (這是要自行自我或組織內部的一部分詐騙)。

-郵件隱含的電子郵件驗證失敗,並傳送的網域是您組織的公認的網域,就表示 011 (這是要自行自我或組織內部的一部分詐騙)。

所有其他代碼 (1xx 2xx、 3xx、 4xx、 5xx)

為什麼郵件傳遞隱含驗證],或已驗證,但不套用任何動作,將會對應到各種內部代碼。

藉由查看一則訊息的標題,系統管理員或甚至使用者可以決定如何將 Office 365 送達在結束時,可能會詐騙寄件者。

不同類型的詐騙之間的差異

Microsoft 區分兩種不同的詐騙郵件:

組織內部詐騙

也稱為自我-自我詐騙、 發生這種情況時的網域,在 [從: 地址相同,或與收件者網域 (如果收件者網域其中一個組織公認的網域)。或當在 [從網域: 地址屬於相同的組織。

例如,以下有寄件者和收件者從相同的網域 (contoso.com)。將電子郵件地址,以防止 spambot 蒐集在此頁面上插入空格):

From: sender @ contoso.com
To: 收件者 @ contoso.com

下列具有對齊與組織的網域 (fabrikam.com) 的寄件者和收件者網域:

From: sender @ foo.fabrikam.com
To: 收件者 @ bar.fabrikam.com

T 他追蹤寄件者和收件者網域有不同 (microsoft.com 和 bing.com),但這些工具屬於相同的組織 (也就是兩屬於組織公認的網域):

From: sender @ microsoft.com
To: 收件者 @ bing.com

失敗詐騙組織內部的郵件包含標頭中的下列值:

X Forefront-反垃圾郵件報告:...CAT:SPM/HSPM/PHSH;...SFTY:9.11

貓已的郵件中,類別,以正常方式加上為 SPM (垃圾郵件),但有時候可能會 HSPM (高信賴垃圾郵件) 或 PHISH (網路釣魚) 根據其他類型的圖樣會出現在郵件中。

SFTY 是郵件的安全性層級、 第一個數字 (9) 表示郵件是網路釣魚和第二個設定的數字後點 (11) 表示它是組織內部詐騙

沒有特定的原因程式碼的組織內部詐騙,就會更新版本中 2018 (尚未定義時間表) 中加上的複合驗證。

跨網域詐騙

發生這種情況時傳送的網域,在 [從: 地址是接收組織外部網域。複合驗證失敗因為跨網域詐騙郵件包含標頭中的下列值:

Authentication-Results: … compauth=fail reason=000/001
X Forefront-反垃圾郵件報告:...CAT:SPOOF;...SFTY:9.22

在這兩種情況下,是在郵件中或自訂收件者的信箱語言相等中加上下列的紅色的安全性秘訣:

紅色的安全性秘訣-網路詐騙偵測

只要查看 [從是: 位址,並瞭解您的收件者電子郵件什麼,或透過檢查,您可以讓組織內部和跨網域詐騙之間的電子郵件標頭。  

如何客戶的 Office 365 可以準備本身的新的反詐騙保護

管理員資訊

以 Office 365 中組織的系統管理員身分,有幾項關鍵您應該知道的資訊。

瞭解為什麼電子郵件驗證永遠不夠停止詐騙

新的反詐騙保護依賴電子郵件驗證 (SPF、 DKIM 及 DMARC) 不訊息標示為詐騙。傳送網域未發佈 SPF 記錄時的常見範例。如果沒有 SPF 記錄,或不正確的方式將設定,已傳送的郵件會視為詐騙除非 Microsoft 有顯示郵件是正確的後端智慧標示。

例如之前反詐騙部署,, 郵件可能會有看起來像下列沒有 SPF 記錄、 沒有 DKIM 的記錄,且沒有 DMARC 記錄:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

之後反詐騙,如果您是進階威脅保護或 E5 客戶,compauth 值會加上 (非 ATP 和非 E5 客戶不受影響):

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

如果 example.com 固定此設定 SPF 記錄,但不是 DKIM 記錄,這會因為網域傳遞 SPF 對齊的網域,在 [從傳遞複合驗證: 地址:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

或者,您也可以如果這些設定 DKIM 記錄,但不是 SPF 記錄時,這會同時傳遞複合驗證因為傳遞 DKIM 簽名中的網域對齊的網域,在 [從: 地址:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Phisher 可能也設定 SPF 和 DKIM 並簽署郵件使用自己的網域,不過,指定不同的網域,在 [從: 地址。SPF 或 DKIM 都不需要的網域,在 [從該網域與對齊: 地址,因此 example.com 發佈 DMARC 記錄,除非不可以標示為使用 DMARC 詐騙:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

在電子郵件用戶端 (Outlook 網頁版或任何其他電子郵件用戶端上的 Outlook),只從: 網域,則不是網域 SPF 或 DKIM,以及可以將該郵件來自 example.com,但實際來自 maliciousDomain.com 思考誤導使用者.

驗證的訊息但從: 網域沒有對齊什麼傳遞 SPF 或 DKIM

因此,Office 365 所需的網域,在 [從: SPF 或 DKIM 的簽名] 中的網域與對齊的地址,並不是,包含一些其他內部表示表示郵件是合法。否則,郵件會 compauth 會失敗。

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

因此,Office 365 反詐騙保護,驗證的網域及設定驗證,但不相符,在 [從網域的網域: 地址,也就是一個使用者可以查看和認為是郵件的寄件者。這是這兩個組織外部的網域,以及您的組織內部的網域,則為 true。

因此,如果您曾收到一則訊息,複合驗證失敗,且標示視為詐騙,即使該郵件傳遞 SPF 和 DKIM,是因為網域的 SPF 和 DKIM 傳遞至不會對齊的網域,在 [從: 地址。

了解如何詐騙電子郵件中的變更會視為

目前的所有客戶的 Office 365 – ATP 和非 ATP-訊息與拒絕] 或 [隔離的原則 DMARC 標示為垃圾郵件,並通常會採取高信賴垃圾郵件動作或有時一般垃圾郵件動作的會失敗 (根據是否其他垃圾郵件的規則第一次加以識別為垃圾郵件)。組織內部詐騙偵測採取一般垃圾郵件的動作。不需要啟用,此行為,也可以將其停用。

不過,跨網域詐騙郵件],這項變更之前他們想要檢查垃圾郵件與 phish,惡意程式碼的一般檢查,如果其他篩選器的部分進行歸類為可疑郵件,將其標示為垃圾郵件、 phish 或惡意程式碼分別。新的跨網域詐騙保護,無法驗證的所有郵件,根據預設,都會在防網路釣魚中定義的動作 > 反詐騙原則。如果不定義,就會移動到使用者垃圾郵件] 資料夾。在某些情況下,更可疑郵件也會有紅色的安全性秘訣新增至郵件。

這可能會導致某些先前標示為已仍然收到標示為垃圾郵件,但也現在會有一個紅色的安全性秘訣; 垃圾郵件的郵件在其他情況下,加入先前標示為非垃圾郵件會開始快速標示為垃圾郵件 (CAT:SPOOF) 使用紅色安全性提示的郵件。其他的情況下,已移動所有垃圾郵件和 phish 到隔離的客戶便會立即看到這些行至 [垃圾郵件] 資料夾 (這種行為可以變更,請參閱變更您的反詐騙設定)。

有多個不同的方式,可以 (請參閱之前在這份文件中的「 Differentiating 之間不同類型的詐騙 」 ) 詐騙郵件,但年 3 月 2018年到 Office 365 會處理這些訊息的方式不尚未整合。以下表格是 [快速摘要,跨網域詐騙保護的新行為:

詐騙的類型

類別

新增的安全性秘訣嗎?

適用於

DMARC 會失敗 (隔離或拒絕)

HSPM (預設),也可能 SPM 或 PHSH

無 (尚未)

所有的 Office 365 客戶 Outlook.com

自我-自我

SPM

Yes

所有的 Office 365 客戶 Outlook.com

跨網域

詐騙

Yes

Office 365 Ad vanced 威脅保護與 E5 客戶

變更您反詐騙的設定

若要建立或更新您的 (跨網域) 反詐騙設定,瀏覽至防網路釣魚 > 威脅管理] 下的 [防詐騙設定 > 原則] 索引標籤中的安全性與規範中心。如果您永遠不會建立任何防網路釣魚設定,您將需要建立一個:

反網路釣魚-建立新的原則

如果您已經建立一個,您可以將其加以修改選取:

反網路釣魚-修改現有的原則

選取您剛剛建立的原則和上所述的步驟進行了解更多關於詐騙智慧。

啟用或停用 antispoofing

啟用或停用 antispoofing 安全性秘訣

若要建立新的原則,透過 PowerShell:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.

# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

然後,您可能會修改使用 PowerShell,追蹤的文件組 AntiphishPolicy防網路釣魚原則參數。您可以指定 $name 做為參數:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

稍後的 2018,而不是您需要建立的預設原則,就會建立您組織中的所有收件者,因此您不必手動指定範圍 (下方的螢幕擷取畫面會有所變更最終實作之前)。

預設的原則反網路釣魚

跟您所建立的原則,您無法刪除預設的原則、 修改其優先順序,或選擇 [使用者、 網域] 或群組來設定要列印範圍。

反網路釣魚預設原則的詳細資訊

稍後在 2018,為您的預設保護透過 PowerShell 設定:

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

您應該只停用反詐騙保護如果您有其他郵件伺服器或 Office 365 前面的伺服器 (請參閱合法情況停用反詐騙的更多詳細資料)。

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

R ecommendation

如果您的電子郵件 path 中的第一個躍點是 Office 365,您會收到太多合法的電子郵件標示為詐騙,您應該先設定您傳送詐騙電子郵件給您的網域所允許的寄件者 (請參閱章節「 管理合法的寄件者傳送者未驗證電子郵件的 「)。


如果您仍然收到太多 f alse 測 (例如,合法的郵件標示為詐騙),我們不建議完全停用反詐騙保護。不過,我們建議您選擇基本,而不最高保護。

最好是以執行誤判比若要公開貴組織的最後長期意更成本詐騙電子郵件。

管理人員傳送電子郵件驗證合法的寄件者

記錄誰未經驗證的電子郵件傳送到貴組織的 office 365。如果服務認為寄件者並不是合法,它會將它標記為compauth失敗。這將會被歸類為詐騙雖然您已套用至郵件的反詐騙原則而定。

不過,身為管理員,您可以指定哪些寄件者允許傳送詐騙的電子郵件,覆寫 Office 365 的決策。

方法 1: 如果您的組織擁有該網域,設定電子郵件驗證

這個方法可以用於解決組織內部詐騙,與跨網域詐騙在您擁有或互動的情況下使用多個租用戶。也有助於解決跨網域詐騙您傳送給其他 Office 365 中的客戶的位置和也會裝載於其他提供者的協力廠商。

如需詳細資訊,請參閱] 區段中, 「 客戶的 Office 365 」

方法 2-使用詐騙智慧設定允許的寄件者的未經驗證的電子郵件

您也可以使用詐騙智慧以允許寄件者以傳輸至您的組織未驗證的訊息。

外部網域,詐騙的使用者是從地址的網域傳送的基礎結構時傳送 IP 位址 (分成 /24 CIDR 範圍),或組織的 PTR 記錄的網域 (在下面的的螢幕擷取畫面,傳送 IP 可能131.107.18.4 其 PTR 記錄是 outbound.mail.protection.outlook.com,而這會顯示為傳送的基礎結構的 outlook.com)。

若要允許傳送未經驗證的電子郵件寄件者,請變更為 [ ]

設定 antispoofing 允許的寄件者
您也可以使用 PowerShell 若要允許特定的寄件者偽造您的網域:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

快速詐騙的寄件者透過 Powershell

在上圖中,其他分行符號已加入,讓此螢幕擷取畫面,但是實際上所有的值會出現在同一行。

編輯檔案的對應至 outlook.com 與 bing.com 的線條外觀和變更AllowedToSpoof從 [否] 為 [是] 的項目:

允許是透過 Powershell 設定詐騙

儲存檔案,然後再執行:  

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"

Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

現在,這可讓傳送未經驗證的電子郵件從 bing.com *。 outlook.com。

方法 3-建立寄件者/收件者對允許項目

您也可以選擇略過所有的垃圾郵件篩選的特定寄件者。如需詳細資訊,請參閱如何安全地將寄件者新增至 Office 365 中的儲存格內允許] 清單。

如果您使用這個方法,它會略過垃圾郵件和部分 phish 篩選,但不是惡意程式碼篩選。

方法 4-連絡寄件者,並要求他們設定電子郵件驗證

垃圾郵件與網路釣魚的問題,因為 Microsoft 建議設定電子郵件驗證的所有寄件者。如果您知道傳送網域的系統管理員,請連絡他們和要求,所以您不需要新增任何覆寫設定電子郵件驗證記錄。如需詳細資訊,請參閱 「的不是 Office 365 客戶的網域管理員 」更新這份文件中。

時,可能難以在第一次開始傳送驗證的網域,一段時間,為多郵件篩選開始 junking 或甚至拒絕他們的電子郵件,它會導致這些設定正確的記錄,以確保較佳的傳遞。

檢視方式有多郵件標示為已詐騙的報告

一旦啟用反詐騙原則,您可以使用威脅智慧至多少的郵件標示為 phish 學習並熟悉數字。若要這麼做,請移到安全性與規範中心 (SCC) 威脅管理] 下 > 總管] 中,檢視 Phish,與群組來設定寄件者網域或保護狀態:

檢視多少的郵件標示為 phish

您可以查看多少已標示為 [網路釣魚,包括郵件標示為詐騙的各種報告與進行互動。若要深入瞭解,請參閱開始使用 Office 365 威脅智慧

您還無法分割哪一個郵件已標示因為詐騙與其他類型的網路釣魚 (一般網路釣魚、 網域或使用者模擬等等)。不過,稍後在 2018,您可以執行此動作的安全性與規範中心透過。一旦您這麼做,您可以為開始的位置使用這個報告,識別傳送可能是正確的被標示為詐騙,因為無法驗證的網域項目。

以下螢幕擷取畫面是 [提案,這項資料如何看起來,但發行時,可能會變更:

檢視 [依類型偵測網路釣魚報表

非 ATP 與 E5 客戶,這些報表會在有 2018 威脅保護狀態 (TPS) 在報告] 下,但會依至少 24 小時的時間延遲。整合的安全性與規範中心時,就會更新此頁面。

預測多少的郵件會標示為詐騙

稍後 2018,Office 365 一次更新其設定,讓您關閉反詐騙強制執行,或在具有基本或由高強制執行會提供您能夠查看如何在各項設定變更郵件處理。就是反詐騙是關閉的如果您將無法看到多少郵件會偵測為詐騙,如果您開啟為基本;或者,如果這是基本,您能夠看到多少更多的郵件會偵測為詐騙,如果您開啟為 [高]。

此功能目前開發。定義更多詳細資料,此頁面將會更新與安全性與規範中心的螢幕擷取畫面,使用 PowerShell 範例。

「 如果 」 啟用 antispoofing 的報表
可能 UX 允許詐騙寄件者

了解如何垃圾郵件,網路釣魚和偵測結合的進階網路釣魚

Exchange Online 客戶 – ATP 和非 ATP – 就可以指定服務識別為惡意程式碼,垃圾郵件,高信賴垃圾郵件、 網路釣魚和大量的郵件時採取的動作。不過,使用 ATP 客戶的新防網路釣魚原則和郵件可能會按下多個偵測類型 (例如惡意程式碼、 網路釣魚和使用者模擬) fact 簡介,可能有哪原則適用於部分混淆。

一般而言,在內識別出套用到郵件的原則X-Forefront-Antispam-Report貓 (類別)] 屬性中的標題。

優先順序

原則

類別

在進行管理?

適用於

1

惡意程式碼

MALW

惡意程式碼原則

所有的客戶

2

網路釣魚

PHSH

主控的內容篩選原則

所有的客戶

3

高信賴垃圾郵件

HSPM

主控的內容篩選原則

所有的客戶

4

詐騙

詐騙

防網路釣魚原則
詐騙智慧

僅限 ATP

5

垃圾郵件

SPM

主控的內容篩選原則

所有的客戶

6

大量

大量

主控的內容篩選原則

所有的客戶

7

網域模擬

DIMP

防網路釣魚原則

僅限 ATP

8

使用者模擬

UIMP

防網路釣魚原則

僅限 ATP

如果您有多個不同的反網路釣魚原則,就會套用在最高優先順序的項目。例如,假設您有兩個原則:

原則

優先順序

使用者/網域模擬

反詐騙

A

1

關閉

B

2

關閉

如果一則訊息,若便會被視為詐騙和使用者模擬並同一組使用者範圍限定為原則 A 和原則 B,然後郵件被視為詐騙,但執行任何動作會套用自反詐騙已關閉並詐騙執行較高優先順序 (4) 與使用者模擬 (8)。

若要讓其他類型的網路釣魚套用原則,您將需要調整各種不同的原則套用到人員的設定。

若要停用反詐騙合法案例

更有效地反詐騙保護客戶網路釣魚攻擊,因此停用反詐騙保護鼓勵。停用它,您可能會解決某些短期誤判,但您將會公開給其他風險的長期。設定 [寄件者位於驗證,或在 「 網路釣魚原則,調整成本通常一次性事件或需要少、 定期進行的維修作業。不過,若要復原網路釣魚攻擊,其中已公開資料,成本] 或 [資產已經遭到盜用是更高。

因此,最好是以執行反詐騙誤判於要停用反詐騙保護。

不過,就是合法情況位置應停用反詐騙,而且有其他郵件篩選時,這是郵件路由],和 Office 365 中的產品無法在電子郵件路徑中的第一個躍點:
客戶 MX 記錄不是指向 Office 365

其他伺服器可能 Exchange 內部部署郵件伺服器,篩選裝置 Ironport,例如郵件或其他的雲端裝載服務。

如果收件者的網域的 MX 記錄不是指向 Office 365,然後則不需要停用反詐騙,因為 Office 365 查閱接收網域的 MX 記錄,且不顯示反詐騙指向其他服務。如果您不知道您的網域是否另一個伺服器的前方,您可以使用的網站,例如 MX 工具箱查閱的 MX 記錄。它可能會顯示結果如下所示:

MX 記錄會指出網域不是指向 Office 365

這個網域有不是指向 Office 365,讓 Office 365 不會套用反詐騙強制執行的 MX 記錄。

不過,如果的收件者的網域的 MX 記錄指向 Office 365,即使有另一個 Office 365 前面的服務,然後您應該停用反詐騙。使用收件者的好,是最常見的範例:

收件者的好路由圖表

網域 contoso.com 的 MX 記錄指向內部部署伺服器,而網域 @office365.contoso.net 的 MX 記錄指向 Office 365 因為其中含有 *。 protection.outlook.com,或 *。 eo.outlook.com 的 MX 記錄中:

指向 Office 365 的 MX 記錄,因此可能收件者改寫

請務必分辨時的收件者網域的 MX 記錄不是指向 Office 365 時,已經過收件者的好。請務必告訴這兩種情況下之間的差異。

如果您不確定接收網域已經過收件者好,有時候您可以告訴查看郵件標題。

a),先看看在收件者的網域中的郵件標題 Authentication-Results標題:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

在此案例 office365.contoso.net 上述粗體紅色文字中找到的收件者的網域。這可能是不同的 [收件者在收件者: 標題:

To: 範例收件者 < @ contoso.com 收件者 >

執行實際的收件者網域的 MX 記錄的查閱。如果包含 *。 protection.outlook.com、 mail.messaging.microsoft.com,*。 eo.outlook.com 或 mail.global.frontbridge.com,代表 MX 指向 Office 365。

如果不包含這些值,則表示 MX 不指向 Office 365。您可以使用驗證這一種工具是 MX 工具箱。

此特定範例,以下顯示該 contoso.com,因為它是 [收件者,看起來像收件者的網域: 標題中,具有 MX 記錄指向內部部署伺服器:
MX 記錄指向內部部署伺服器

不過,實際的收件者是的 office365.contoso.net 其 MX 記錄會指向 Office 365:

MX 指向 Office 365,必須是收件者的好

因此,此訊息可能已經過收件者好。

b) 第二個,請務必辨別常見的使用情況的收件者重。如果您要重新寫入收件者網域 *。 onmicrosoft.com,請改為重寫 *。 mail.onmicrosoft.com。

一旦您識別出最終收件者網域前另一個伺服器路由的收件者網域的 MX 記錄是指向 Office 365 (如下圖所發行的 DNS 記錄),您可以繼續停用反詐騙。

請記住,您不想停用反詐騙如果網域的路由 path 中的第一個躍點時,Office 365,只是前一或多個服務。

如何停用反詐騙

如果您已建立的反網路釣魚原則,設定EnableAntispoofEnforcement參數$false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false 

如果您不知道原則 (或原則),以停用的名稱,您可以顯示註解:

Get-AntiphishPolicy | fl Name

如果您沒有安裝任何現有的反網路釣魚原則,可以建立一個,然後將它停用 (即使您沒有原則、 反詐騙是仍套用; 2018年稍後上、 將為您建立的預設原則,然後停用,而不是建立一個).您必須在多個步驟,請執行下列動作:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains

# Finally, scope the antiphishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false 

停用反詐騙只適用於透過指令程式 (Q2 2018 在稍後將會提供的安全性與規範中心)。如果您沒有存取權 PowerShell,建立支援票證。
請記住,此應該只能套用至經歷 indirect 路由傳送至 Office 365 的網域。抵抗因某些誤判而停用反詐騙誘惑、 將長期以處理。

個別使用者的資訊

個別使用者僅限於他們可以互動反詐騙安全性秘訣。然而,有的幾個動作才能解決常見的案例。

常見的案例 #1 – 信箱轉寄

如果您使用其他電子郵件服務,並將您的電子郵件轉寄給 Office 365 或 Outlook.com,您的電子郵件可能會標示為詐騙和接收一個紅色的安全性秘訣。Office 365 與 Outlook.com 計劃自動解決這個問題時轉寄站是其中一個 Outlook.com、 Office 365、 Gmail 或任何其他使用弧形通訊協定的服務。不過,直到部署的修正,使用者應使用連線的帳戶功能直接匯入他們的郵件,而不是使用 [轉接] 選項。

若要設定連線的帳戶,Office 365 中,選取 [Office 365 web 介面的右上角中的 [齒輪圖示 > 郵件 > 郵件 > 帳戶 > 連線的帳戶。

Office 365-連線帳戶的選項

在 Outlook.com 中,有程序的齒輪圖示 > 選項 > 郵件 > 帳戶 > 連線的帳戶。

常見的案例 #2-討論區清單

討論區清單已知會有問題反詐騙的方式,轉寄郵件及修改其內容,但保留從原始: 地址。

例如,假設您的電子郵件地址是 @ contoso.com,使用者與您有興趣鳥監控加入 @ example.com 討論區清單 birdwatchers。當您將訊息傳送至 [討論區] 清單中時,您可能會傳送,這種方式:

從:John 華 < 使用者 @ contoso.com >
至: Birdwatcher 的討論區清單 < birdwatchers @ example.com >
主旨:好檢視的頂端的 [周 Rainier 藍色 jays 本週

任何人想要查看檢視周 Rainier 從 [本週嗎?

當電子郵件清單中,會收到訊息時,他們設定郵件的格式、 修改其內容,以及重新它執行的其他參與者的組成從許多不同的電子郵件接收者的討論區清單上的成員。

從:John 華 < 使用者 @ contoso.com >
至: Birdwatcher 的討論區清單 < birdwatchers @ example.com >
主旨: [BIRDWATCHERS] 好檢視周 Rainier 頂端藍色 jays 本週

任何人想要查看檢視周 Rainier 從 [本週嗎?

---
此訊息傳送至 Birdwatchers 討論區清單。您可以隨時取消。

在上方,重新執行的郵件包含從相同: 地址 (使用者 @ contoso.com),但原始郵件已被新增標籤至 [主旨] 行中,與頁尾至郵件的底部。此類型的訊息修改一般在郵件清單中,而可能會導致誤判。

如果您或由貴組織中的郵寄清單管理員,您可以將它設定為通過反詐騙檢查。

如果您沒有郵寄清單的擁有權:

  • 您可以要求 maintainer 郵寄清單的實作其中一個選項上方 (他們也應有轉送郵寄清單的網域設定電子郵件驗證)

  • 您可以建立信箱規則,在您的電子郵件用戶端,將郵件移至收件匣。您也可以要求貴組織的系統管理員設定允許的規則,或覆寫為節討論的管理合法的寄件者可傳送未經驗證的電子郵件

  • 您可以建立 Office 365,以建立覆寫將它視為合法郵寄清單的支援票證

其他案例

  1. 如果這兩個以上的常見案例適用於您的情況,報告為 false 的正數返回郵件給 Microsoft。如需詳細資訊,請參閱一節 」如何可以回報垃圾郵件 」 或 「 非垃圾郵件回至 Microsoft 「稍後文件中。

  2. 此外,您可能也連絡您的電子郵件系統管理員可以提高為 microsoft 的支援票證。Microsoft 工程團隊將調查為什麼郵件已標示為詐騙。

  3. 此外,如果您知道寄件者是,並確定這些不惡意詐騙人員,您可能會回到指出其從不會驗證郵件伺服器傳送郵件的寄件者回覆。有時候會產生原始的寄件者連絡他們 IT 系統管理員,就會設定必要的電子郵件驗證記錄。

    當足夠的寄件者回覆回到網域擁有者,他們應該設定電子郵件驗證記錄時,它將不需採取動作 spurs 它們。當 Microsoft 也會搭配使用網域的擁有者可以發佈所需的記錄時,協助您更個別使用者要求時才。

  4. 或者,您可以新增寄件者至安全的寄件者清單。不過,請注意,如果 phisher 偽造該帳戶,它會傳送到您的信箱。因此,t 應該謹慎使用他的選項。

如何應準備反詐騙保護 Microsoft 的寄件者

如果您目前將訊息傳送至 Microsoft 的系統管理員的 Office 365 或 Outlook.com 中,您應該確認已正確地驗證您的電子郵件可能會將其標示為垃圾郵件 」 或 「 phish 的否則。

Office 365 的客戶

如果您是 Office 365 客戶,並使用 Office 365 傳送外寄電子郵件:

為每個 SPF、 DKIM 和 DMARC,Microsoft 並不提供詳細的實作方針。然而,有許多線上發佈的資訊。還有第 3 廠商專用協助您設定電子郵件驗證記錄的組織。

系統管理員的不是 Office 365 客戶的網域

如果您的網域系統管理員,但不是 Office 365 客戶:

  • 您應該設定 SPF 發佈您的網域傳送的 IP 位址和也設定 DKIM (如果有的話) 以數位簽署郵件。您也可以考慮設定 DMARC 記錄。

  • 如果您有大量寄件者傳輸代表您的電子郵件時,您應該使用它們的方式傳送電子郵件,例如傳送的網域,在 [從: 對齊傳遞 SPF 或 DMARC 該網域 (如果您所屬) 的地址。

  • 我必須內部部署郵件伺服器,或傳送軟體-為-的-服務提供者,或從 Microsoft Azure、 GoDaddy、 Rackspace Amazon Web 服務,例如的雲端裝載服務 f 或類似,您應該確保即會新增到您的 SPF 記錄。

  • 如果您是裝載在 ISP 小型網域,您應該設定您的 SPF 記錄根據的指示所提供給您的 ISP。大部分的 Isp 提供這些類型的指示,可以在公司的支援頁面上。

  • 即使您未有發佈電子郵件驗證記錄之前,毫無,您仍必須發佈電子郵件驗證記錄以傳送給 Microsoft。如此一來,您是在網路釣魚對抗協助,減少您或組織您傳送到],將會取得 phished 的可能性。

如果您不知道電子郵件傳送給您的網域嗎?

因為卻不知道所有的寄件者的多個網域不發行 SPF 記錄。沒問題,您不需要知道誰全部都是。不過,您應該即可開始發佈給您知道,特別是您公司的流量的所在位置,並發佈中性 SPF 原則,?all 的 SPF 記錄:

在 TXT example.com 」 v = spf1 include:spf.example.com? 所有 」

中性 SPF 原則表示離開您公司的基礎結構的任何電子郵件會傳送電子郵件驗證在其他電子郵件接收器。來自您不知道的寄件者的電子郵件會改為中性,幾乎一樣在發佈沒有 SPF 記錄。

傳送到 Office 365 時,將來自您公司的流量的電子郵件標示為已驗證,但仍可能來自您不知道的來源電子郵件標示為詐騙 (視 Office 365 可以隱含地進行驗證,而定)。不過,這是仍改進從 Office 365 會為詐騙標示的所有電子郵件。

一次您已卡住入門後援原則的 SPF 記錄? 所有您可以漸漸包含多傳送基礎結構,然後發佈更嚴格的原則。

如果您是擁有者的郵件清單?

請參閱「 常見的案例 #2-討論區清單]

如果您是例如網際網路服務提供者 (ISP)、 電子郵件服務提供者 (ESP) 或的雲端裝載服務的基礎結構提供者?

如果您主控網域的電子郵件、,傳送電子郵件,或提供可以傳送電子郵件的主機服務基礎結構,您應該執行下列動作:

  • 確保您的客戶有詳細說明什麼發佈其 SPF 記錄中的文件

  • 請考慮 DKIM 簽章外寄電子郵件簽章,即使客戶不明確地將其設定 (使用預設網域號)。您可以偶數點登使用 DKIM 簽章 (一次與客戶的網域,必須將其設定,如果一次使用貴公司的 DKIM 簽章) 的電子郵件

即使您驗證電子郵件來自您的平台,但至少確保 Microsoft 不會不垃圾電子郵件因為未經驗證不保證既至 Microsoft。周圍 Outlook.com 郵件如何篩選電子郵件的詳細資訊,請參閱Outlook.com 郵件管理員] 頁面

如需服務提供者的最佳作法的詳細資訊,請參閱M3AAWG 行動訊息的最佳作法服務提供者

常見問題集

為什麼 Microsoft 進行這項變更?

因為的影響網路釣魚攻擊及 Microsoft 電子郵件驗證已 15 年,因為認為,繼續允許未經驗證的電子郵件的風險是高於遺失合法的電子郵件的風險。

這項變更會導致合法的電子郵件標示為垃圾郵件?

首先,將會有一些已標示為垃圾郵件的郵件。不過,一段時間,寄件者會調整,然後郵件誤標為詐騙量會忽略大部分的電子郵件的路徑。
Microsoft 本身第一次採用這項功能將其部署到其客戶的其餘部分前幾週。中斷的第一個時,它會逐漸拒絕。

Microsoft 會這項功能到 Outlook.com 及非進階威脅保護客戶的 Office 365 嗎?

反詐騙保護最初首展 ATP/E5 客戶,並在未來可能發行給其他使用者。不過,如果是這樣,可能不會套用例如報告的部分功能,自訂覆寫。

如何可以回報垃圾郵件 」 或 「 非垃圾郵件回至 Microsoft?

您可以使用報表訊息增益集 Outlook,或如果不是安裝,請提交垃圾郵件、 非垃圾郵件和網路釣魚詐騙郵件至 Microsoft 以分析

我不知道所有我的寄件者的網域管理員 !

請參閱不是 Office 365 客戶的網域的管理員。

如果發生什麼事反詐騙保護停用為組織中,即使 Office 365 我主要的篩選條件?

我們不建議這因為您將公開更多未接的網路釣魚和垃圾郵件。並非所有的網路釣魚詐騙並不是所有詐騙會未接都來電。不過,會高於啟用反詐騙客戶的風險。

啟用反詐騙保護意思我會受到保護的所有網路釣魚?

很抱歉,沒有,因為網路釣客會調整使用其他技術,例如遭到盜用帳戶或帳戶的可用服務設定。不過,防網路釣魚保護偵測這些使用其他類型的網路釣魚的方法,因為 Office 365 的保護層級放在一起設計工作,並建立彼此運作更好。

其他大型的電子郵件接收器封鎖未經驗證的電子郵件?

幾乎所有大型的電子郵件接收器實作傳統 SPF DKIM,與 DMARC。某些接收器有其他檢查嚴格比只標準,但少移時未經驗證的 Office 365 封鎖的電子郵件並將其視為詐騙。不過,大部分的產業變得更嚴格有關此特定類型的電子郵件,尤其是因為網路釣魚的問題。

我仍需要啟用 「 SPF 難失敗 」 如果啟用反詐騙的進階垃圾郵件篩選選項?

否,此選項已不再需要因為 SPF 難失敗,但更多組準則的不只會考慮反詐騙的功能。如果您有反詐騙啟用並啟用 SPF 難失敗的選項,您可能會更多的誤判。我們建議您停用此功能,即提供幾乎任何其他攔截垃圾郵件 」 或 「 phish,並請改為產生大多誤判。

會說明修正轉寄電子郵件寄件者重新配置 (SRS)?

SRS 只有部分修正轉寄電子郵件的問題。重寫 SMTP 郵件從,SRS 可以確保在下一個目的地轉寄的郵件傳遞 SPF。不過,因為反詐騙根據 [從: 地址搭配郵件從或 DKIM 登入網域 (或其他訊號),並不足,防止轉寄電子郵件標示為詐騙。

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×