Erkenntnisse zur Spoofintelligenz für Cloudpostfächer

In allen Organisationen mit Cloudpostfächern werden eingehende E-Mail-Nachrichten automatisch vor Spoofing geschützt. Microsoft 365 verwendet Spoofintelligenz als Teil der allgemeinen Verteidigung Ihrer organization gegen Phishing. Weitere Informationen finden Sie unter Anti-Spoofing-Schutz.

Wenn ein Absender eine E-Mail-Adresse spooft, sieht es so aus, als ob es sich um einen Benutzer in einer der Domänen Ihrer Organisation oder um einen Benutzer in einer externen Domäne handelt, der E-Mails an Ihre Organisation sendet. Angreifer, die Absender zum Senden von Spam- oder Phishing-E-Mails spoofen, müssen blockiert werden. Es gibt jedoch Szenarien, in denen legitime Absender Spoofing ausführen. Beispiel:

• Legitime Szenarien zum Spoofing interner Domänen:

  • Nicht-Microsoft-Absender verwenden Ihre Domäne, um Massensendungen an Benutzer in Ihrem organization zu senden (z. B. für Unternehmensumfragen).
  • Ein externes Unternehmen generiert und sendet Werbung oder Produktupdates in Ihrem Auftrag.
  • Ein Assistent sendet regelmäßig E-Mails für eine andere Person in Ihrer Organisation.
  • Eine interne Anwendung sendet E-Mail-Benachrichtigungen.

• Legitime Szenarien zum Spoofing externer Domänen:

  • Der Absender befindet sich in einem Verteiler (auch Adressenliste), und der Verteiler leitet die E-Mail vom ursprünglichen Absender an alle Teilnehmer des Verteilers weiter.
  • Ein externes Unternehmen sendet E-Mails im Auftrag eines anderen Unternehmens (z. B. einen automatisierten Bericht oder ein Software-as-a-Service-Unternehmen).

Verwenden Sie die Spoofintelligenz-Erkenntnisse im Microsoft Defender-Portal, um gefälschte Absender schnell zu identifizieren und manuell zuzulassen, die Ihnen rechtmäßig E-Mails senden, die keine E-Mail-Authentifizierungsprüfungen (SPF, DKIM oder DMARC) bestehen.

Indem Sie es bekannten Absendern erlauben, gefälschte Nachrichten von bekannten Speicherorten zu senden, können Sie falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) reduzieren. Durch die Überwachung der zulässigen gefälschten Absender bieten Sie eine zusätzliche Sicherheitsebene, um zu verhindern, dass unsichere Nachrichten in Ihrer Organisation eintreffen.

Ebenso können Sie die Erkenntnisse zur Spoofintelligenz verwenden, um gefälschte Absender zu überprüfen, die von Spoofintelligenz zugelassen werden, und diese Absender manuell blockieren.

Im weiteren Verlauf dieses Artikels wird erläutert, wie Sie die Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal und in PowerShell verwenden.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Registerkarte Gefälschte Absender auf der Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Verwenden Sie , um direkt zur Seite Spoof intelligence insight (Erkenntnisse zur Spoofintelligenz ) https://security.microsoft.com/spoofintelligencezu wechseln.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

  • Exchange Online Berechtigungen:

    • Spoofed Sender zulassen oder blockieren oder Spoofintelligenz aktivieren oder deaktivieren: Mitgliedschaft in einer der folgenden Rollengruppen:
      • Organisationsverwaltung
      • SicherheitsadministratorundNur-Sicht-Konfiguration oder Ansichts-Organisationsverwaltung.
    • Schreibgeschützter Zugriff auf die Spoofintelligenz-Erkenntnis: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleseberechtigter" oder " Sichtgeschützter Organisationsverwaltung ".

  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator^*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

    Wichtig

    ^* Microsoft setzt sich nachdrücklich für das Prinzip der geringsten Rechte ein. Wenn Sie Konten nur die minimalen Berechtigungen zuweisen, die zum Ausführen ihrer Aufgaben erforderlich sind, können Sie Sicherheitsrisiken reduzieren und den allgemeinen Schutz Ihrer organization stärken. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die Sie auf Notfallszenarien beschränken sollten oder wenn Sie keine andere Rolle verwenden können.

• Informationen zu unseren empfohlenen Einstellungen für Antiphishingrichtlinien, einschließlich Spoofintelligenz, finden Sie unter Antiphishing-Richtlinieneinstellungen für alle Cloudpostfächer.

• Sie aktivieren und deaktivieren Spoofintelligenz in Antiphishingrichtlinien. Spoofintelligenz ist standardmäßig aktiviert. Weitere Informationen finden Sie in einem der folgenden Artikel:

  • Konfigurieren von Antiphishingrichtlinien, wenn Sie nicht über Microsoft Defender for Office 365
  • Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365

Suchen der Erkenntnisse zur Spoofintelligenz im Microsoft Defender-Portal

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Mandanten zulassen/blockieren Listen im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

2. Wählen Sie die Registerkarte Spoofed senders (Spoofed senders) aus.

3. Auf der Registerkarte Spoofed senders (Spoofed Senders ) sieht die Erkenntnis zur Spoofintelligenz wie folgt aus:

   

   Die Erkenntnis verfügt über zwei Modi:

   • Erkenntnismodus: Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis an, wie viele Nachrichten spoof intelligence in den letzten sieben Tagen erkannt wurden.
   • Was-wäre-wenn-Modus: Wenn Spoofintelligenz deaktiviert ist, zeigt die Erkenntnis an, wie viele Nachrichten die Spoofintelligenz in den letzten sieben Tagen erkannt hätte .

Um Informationen zu den Erkennungen von Spoofintelligenz anzuzeigen, wählen Sie In der Erkenntnisse zur Spoofintelligenz die Option Spoofingaktivität anzeigen aus, um zur Seite Spoof intelligence insight (Erkenntnisse über Spoofintelligenz ) zu wechseln.

Anzeigen von Informationen zu Spooferkennungen

Die Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligence ist verfügbar, wenn Sie auf der Seite Mandanten zulassen/blockieren Listen auf der Registerkarte Spoofed senders (Spoofed senders) die Option Anzeigen der Spoofingaktivität aus der Spoofintelligenz-Erkenntnis auswählen.

Auf der Seite Erkenntnisse zur Spoofintelligenz können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

• Gefälschter Benutzer: Die Domäne des gefälschten Benutzers im Feld Von in E-Mail-Clients (auch als 5322.From Adresse oder P2-Adresse bezeichnet).
• Senden der Infrastruktur: Wird auch als Infrastruktur bezeichnet. Die Sendeinfrastruktur weist einen der folgenden Werte auf:
  • Die Domäne in einem Reverse-DNS-Lookup (PTR-Eintrag) der IP-Adresse des Quell-E-Mail-Servers.
  • Wenn die Quell-IP-Adresse keinen PTR-Eintrag aufweist, wird die sendende Infrastruktur als <Quell-IP-Adresse>/24 identifiziert (z. B. 192.168.100.100/24).
  • Eine überprüfte DKIM-Domäne
• Nachrichtenanzahl: Die Anzahl der Nachrichten aus der Kombination aus der gefälschten Domäne und der Sendeinfrastruktur an Ihre organization innerhalb der letzten sieben Tage.
• Zuletzt gesehen: Das letzte Datum, an dem eine Nachricht von der sendenden Infrastruktur empfangen wurde, die die gefälschte Domäne enthält.
• Spooftyp: Einer der folgenden Werte:
  • Intern: Der gefälschte Absender befindet sich in einer Domäne, die zu Ihrem organization gehört (eine akzeptierte Domäne).
  • Extern: Der gefälschte Absender befindet sich in einer externen Domäne.
• Aktion: Dieser Wert ist Zulässig oder Blockiert:

  • Zulässig: Bei der Domäne sind die expliziten E-Mail-Authentifizierungsprüfungen SPF, DKIM und DMARC fehlgeschlagen. Die Domäne hat jedoch unsere impliziten E-Mail-Authentifizierungsprüfungen bestanden (zusammengesetzte Authentifizierung). Daher wurde keine Antispoofingaktion für die Nachricht ausgeführt.

  • Blockiert: Nachrichten aus der gefälschten Domäne und der sendenden Infrastruktur werden durch Spoofintelligenz als ungültig gekennzeichnet. Die Aktion, die für gefälschte Nachrichten mit böswilliger Absicht ausgeführt wird, wird durch Folgendes gesteuert:

    • Die voreingestellten Sicherheitsrichtlinien Standard oder Strict.
    • Die Standardmäßige Antiphishingrichtlinie.
    • Benutzerdefinierte Antiphishingrichtlinien.

    Weitere Informationen hierzu finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender für Office 365.

Wenn Sie die Liste der gefälschten Absender von normalem in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

• Spooftyp: Die verfügbaren Werte sind Intern und Extern.
• Aktion: Die verfügbaren Werte sind Allow (Zulassen) und Block (Blockieren).

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Verwenden Sie Export , um die Liste der Spooferkennungen in eine CSV-Datei zu exportieren.

Anzeigen von Details zu Spooferkennungen

Wenn Sie eine Spooferkennung aus der Liste auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

• Warum haben wir das fangen? Section: Warum wir diesen Absender als Spoof erkannt haben und was Sie tun können, um weitere Informationen zu erhalten.

• Abschnitt "Domänenzusammenfassung ": Enthält die gleichen Informationen von der Hauptseite für Spoofintelligenz-Erkenntnisse .

• Abschnitt "WhoIs-Daten ": Technische Informationen zur Domäne des Absenders.

• Explorer Untersuchungsabschnitt: In Defender for Office 365 organization enthält dieser Abschnitt einen Link zum Öffnen von Threat Explorer um weitere Details zum Absender auf der Registerkarte Phish anzuzeigen.

• Abschnitt "Ähnliche E-Mails" : Enthält die folgenden Informationen zur Spooferkennung:

  • Date
  • Subject
  • Empfänger
  • Sender
  • Sender-IP

  Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu entfernen. Wenn Sie fertig sind, wählen Sie Übernehmen aus.

Informationen zum Ändern der Spooferkennung von Zulassen in Blockieren oder umgekehrt finden Sie im nächsten Abschnitt.

Überschreiben des Spoofintelligenz-Urteils

Verwenden Sie auf der Seite Spoofintelligenz-Erkenntnisse unter https://security.microsoft.com/spoofintelligenceeine der folgenden Methoden, um die Spoofintelligenzbewertung zu überschreiben:

• Wählen Sie einen oder mehrere Einträge aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren.

  1. Wählen Sie die aktion Massenaktionen aus, die angezeigt wird.
  2. Wählen Sie im daraufhin geöffneten Flyout Massenaktionendie Option Spoofing zulassen oder Spoofing blockieren aus, und wählen Sie dann Übernehmen aus.

• Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

  Wählen Sie im daraufhin geöffneten Details-Flyout Spoofing zulassen oder Spoofing blockieren am oberen Rand des Flyouts aus, und wählen Sie dann Übernehmen aus.

Zurück auf der Seite "Erkenntnisse zur Spoofintelligenz" wird der Eintrag aus der Liste entfernt und der Registerkarte Spoofierte Absender auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemhinzugefügt.

Informationen zu zulässigen gefälschten Absendern

Nachrichten von einem zulässigen spoofierten Absender (automatisch erkannt oder manuell konfiguriert) sind nur mit der Kombination aus der gefälschten Domäne und der sendenden Infrastruktur zulässig. Beispielsweise kann der folgende gefälschte Absender spoofen:

• Domäne: gmail.com
• Infrastruktur: tms.mx.com

Nur E-Mails aus diesem Domänen-/Sendeinfrastrukturpaar dürfen spooft werden. Andere Absender, die versuchen, gmail.com zu spoofen, sind nicht automatisch zulässig. Spoofintelligenz überprüft Nachrichten von Absendern in anderen Domänen, die von tms.mx.com stammen, und diese Nachrichten können weiterhin blockiert werden.

Verwenden der Erkenntnisse zur Spoofintelligenz in PowerShell

In Exchange Online PowerShell verwenden Sie das Cmdlet Get-SpoofIntelligenceInsight, um zulässige und blockierte gefälschte Absender anzuzeigen, die von Spoofintelligenz erkannt wurden. Um die gefälschten Absender manuell zuzulassen oder zu blockieren, müssen Sie das Cmdlet New-TenantAllowBlockListSpoofItems verwenden. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Erstellen von Zulassungseinträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste und Verwenden von PowerShell zum Erstellen von Blockeinträgen für gefälschte Absender in der Mandanten-Zulassungs-/Sperrliste.

Führen Sie den folgenden Befehl aus, um die Informationen in der Erkenntnisse zur Spoofintelligenz anzuzeigen:

Get-SpoofIntelligenceInsight

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SpoofIntelligenceInsight.

Weitere Möglichkeiten zum Verwalten von Spoofing und Phishing

Achten Sie auf Spoofing und Phishingschutz. Hier finden Sie verwandte Möglichkeiten, um Absender zu überprüfen, die Ihre Domäne spoofen, und verhindern Sie, dass sie Ihre organization:

• Überprüfen Sie den Spoof-E-Mail-Bericht. Verwenden Sie diesen Bericht häufig, um gefälschte Absender anzuzeigen und zu verwalten. Weitere Informationen finden Sie im Bericht spoof detections (Spooferkennungen).

• Überprüfen Sie Ihre SPF-, DKIM- und DMARC-Konfiguration. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Email-Authentifizierung
  • Einrichten von SPF zum Identifizieren gültiger E-Mail-Quellen für Ihre benutzerdefinierten Clouddomänen
  • Einrichten von DKIM zum Signieren von E-Mails aus Ihrer Clouddomäne
  • Einrichten von DMARC zum Überprüfen der Von-Adressdomäne für Cloud-Absender
  • Konfigurieren vertrauenswürdiger ARC-Versiegelungen