Informações de informações de spoof para caixas de correio na nuvem

Em todas as organizações com caixas de correio na nuvem, as mensagens de e-mail de entrada são automaticamente protegidas contra spoofing. O Microsoft 365 utiliza informações de spoof como parte da defesa geral da sua organização contra phishing. Para obter mais informações, veja Proteção anti-spoofing.

Quando um remetente falsifica um endereço de email, ele parece ser um usuário em um dos domínios da sua organização ou um usuário em um domínio externo que envia emails para sua organização. Os atacantes que falsificam remetentes para enviar spam ou e-mail de phishing têm de ser bloqueados. Mas há cenários em que remetentes legítimos estão falsificando. Por exemplo:

• Cenários legítimos para falsificação de domínios internos:

  • Os remetentes que não sejam da Microsoft utilizam o seu domínio para enviar correio em massa aos utilizadores na sua organização (por exemplo, para votações da empresa).
  • Uma empresa externa gera e envia anúncios ou atualizações de produtos em seu nome.
  • Um assistente que deve enviar emails regularmente para outra pessoa em sua organização.
  • Um aplicativo interno envia notificações por email.

• Cenários legítimos para falsificação de domínios externos:

  • O remetente está em uma lista de endereçamento (também conhecida como lista de discussão) que está retransmitindo o email do remetente original para todos os participantes contidos nela.
  • Uma empresa externa está enviando emails para outra empresa (por exemplo, um relatório automatizado ou uma empresa de software como serviço).

Utilize as informações de spoof intelligence no portal do Microsoft Defender para identificar e permitir manualmente remetentes falsificados que lhe enviam legitimamente e-mails que não passam verificações de autenticação de e-mail (SPF, DKIM ou DMARC).

Ao permitir que remetentes conhecidos enviem mensagens falsificadas a partir de localizações conhecidas, pode reduzir os falsos positivos (e-mail bom marcado como incorreto). Ao monitorar os remetentes falsificados permitidos, você fornece uma camada extra de segurança para impedir que mensagens não seguras cheguem à sua organização.

Da mesma forma, pode utilizar as informações de spoof intelligence para rever os remetentes falsificados permitidos por informações de spoof e bloquear manualmente esses remetentes.

O resto deste artigo explica como utilizar as informações de spoof intelligence no portal do Microsoft Defender e no PowerShell.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente ao separador Remetentes falsificados na página Listas de Permissões/Bloqueios de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Para aceder diretamente à página Informações de inteligência do Spoof , utilize https://security.microsoft.com/spoofintelligence.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

• É necessário ter permissões atribuídas antes de executar os procedimentos descritos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & permissões de colaboração>do Defender para Office 365 estiver Ativo. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).

  • permissões de Exchange Online:

    • Permitir ou bloquear remetentes falsificados, ativar ou desativar informações de spoof: associação a um dos seguintes grupos de funções:
      • Organization Management
      • Administrador de SegurançaeConfiguração Apenas de Visualização ou Gestão da Organização Apenas de Visualização.
    • Acesso só de leitura às informações de informações de spoof intelligence: Associação nos grupos de funções Leitor Global, Leitor de Segurança ou Gestão de Organização Só de Visualização .

  • permissões de Microsoft Entra: a associação nas funções Administrador^* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

    Importante

    ^* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.

• Para obter as nossas definições recomendadas para políticas anti-phishing, incluindo informações de spoof, consulte Definições de política anti phishing para todas as caixas de correio na nuvem.

• Pode ativar e desativar a inteligência spoof em políticas anti-phishing. A inteligência contra falsificação é habilitada por padrão. Para obter mais informações, veja um dos seguintes artigos:

  • Configurar políticas anti-phishing se não tiver Microsoft Defender para Office 365
  • Configurar políticas anti-phishing no Microsoft Defender para Office 365

Localizar as informações de spoof intelligence no portal do Microsoft Defender

1. No portal de Microsoft Defender em https://security.microsoft.com, aceda a Email & políticas de colaboração>& regras Políticas> deameaças Listas de Permissões>/Bloqueios de Inquilinos na secção Regras. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

2. Selecione o separador Remetentes falsificados .

3. No separador Remetentes falsificados , as informações de spoof intelligence têm o seguinte aspeto:

   

   O insight tem dois modos:

   • Modo de informações: se a inteligência spoof estiver ativada, as informações mostram quantas mensagens foram detetadas durante os últimos sete dias.
   • Modo E se: se a inteligência spoof estiver desativada, as informações mostram quantas mensagens a inteligência spoof teria detetado durante os últimos sete dias.

Para ver informações sobre as deteções de informações de spoof intelligence, selecione Ver atividade de spoofing nas informações de spoof intelligence para aceder à página Informações de informações de spoof intelligence .

Ver informações sobre deteções de spoof

A página Informações de informações de spoof intelligence em https://security.microsoft.com/spoofintelligence está disponível quando seleciona Ver atividade de spoofing a partir das informações de spoof intelligence no separador Remetentes falsificados na página Listas de Permissões/Bloqueios de Inquilinos .

Na página Informações de inteligência de spoof , pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:

• Utilizador falsificado: o domínio do utilizador falsificado na caixa De em clientes de e-mail (também conhecido como endereço 5322.From P2).
• Infraestrutura de envio: também conhecida como infraestrutura. A infraestrutura de envio é um dos seguintes valores:
  • O domínio encontrado em uma pesquisa inversa de DNS (registro PTR) do endereço IP do servidor de email de origem.
  • Se o endereço IP de origem não tiver nenhum registro PTR, a infraestrutura de envio será identificada como< IP de origem>/24 (por exemplo, 192.168.100.100/24).
  • Um domínio DKIM verificado.
• Contagem de mensagens: o número de mensagens da combinação do domínio falsificado e a infraestrutura de envio para a sua organização nos últimos sete dias.
• Visto pela última vez: a última data em que uma mensagem foi recebida da infraestrutura de envio que contém o domínio falsificado.
• Tipo de spoof: um dos seguintes valores:
  • Interno: o remetente falsificado está num domínio que pertence à sua organização (um domínio aceite).
  • Externo: o remetente falsificado está num domínio externo.
• Ação: este valor é Permitido ou Bloqueado:

  • Permitido: o domínio falhou a autenticação de e-mail explícita verifica o SPF, o DKIM e o DMARC. No entanto, o domínio passou em nossas verificações de autenticação de email implícitas (autenticação composta). Como resultado, nenhuma ação contra falsificação foi executada na mensagem.

  • Bloqueado: as mensagens do domínio falsificado e da infraestrutura de envio são marcadas como incorretas por spoof intelligence. A ação tomada em mensagens falsificadas com intenções maliciosas é controlada por:

    • As políticas de segurança predefinidas Standard ou Estritas.
    • A política anti-phishing predefinida.
    • Políticas anti-phishing personalizadas.

    Para obter mais informações, consulte Configurar políticas antiphishing no Microsoft Defender para Office 365.

Para alterar a lista de remetentes falsificados do espaçamento normal para compacto, selecione Alterar o espaçamento entre listas para compactar ou normal e, em seguida, selecione Compactar lista.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtro que é aberta:

• Tipo de spoof: os valores disponíveis são Interno e Externo.
• Ação: os valores disponíveis são Permitir e Bloquear

Quando terminar a lista de opções Filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas.

Utilize Exportar para exportar a lista de deteções de spoof para um ficheiro CSV.

Ver detalhes sobre deteções de spoof

Quando seleciona uma deteção de spoof na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes que contém as seguintes informações:

• Porque é que apanhámos isto? secção: por que detetámos este remetente como spoof e o que pode fazer para obter mais informações.

• Secção de resumo do domínio : inclui as mesmas informações da página principal informações de informações do Spoof Intelligence .

• Secção de dados WhoIs: informações técnicas sobre o domínio do remetente.

• Explorer secção de investigação: no Defender para Office 365 organização, esta secção contém uma ligação para abrir o Threat Explorer para ver mais detalhes sobre o remetente no separador Phish.

• Secção E-mails Semelhantes : Contém as seguintes informações sobre a deteção de spoof:

  • Date
  • Assunto
  • Recipiente
  • Sender
  • IP do remetente

  Selecione Personalizar colunas para remover as colunas apresentadas. Quando tiver terminado, selecione Aplicar.

Para alterar a deteção de spoof de Permitir para Bloquear ou vice-versa, consulte a secção seguinte.

Anular o veredicto da inteligência falsa

Na página Informações de informações de spoof intelligence em https://security.microsoft.com/spoofintelligence, utilize um dos seguintes métodos para substituir o veredicto de spoof intelligence:

• Selecione uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna.

  1. Selecione a ação Ações em massa apresentada.
  2. Na lista de opções Ações em massa que é aberta, selecione Permitir spoof ou Bloquear de spoofing e, em seguida, selecione Aplicar.

• Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de marcar.

  Na lista de opções de detalhes que é aberta, selecione Permitir para spoofing ou Bloquear de spoofing na parte superior da lista de opções e, em seguida, selecione Aplicar.

Novamente na página Informações de inteligência de spoof , a entrada é removida da lista e é adicionada ao separador Remetentes falsificados na página Listas de Permissões/Bloqueios de Inquilinos em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Sobre remetentes falsificados permitidos

As mensagens de um remetente falsificado permitido (automaticamente detetado ou configurado manualmente) são permitidas apenas através da combinação do domínio falsificado e da infraestrutura de envio. Por exemplo, o remetente falsificado a seguir tem permissão para falsificar:

• Domínio: gmail.com
• Infraestrutura: tms.mx.com

Só é permitido e-mail desse par de infraestrutura de domínio/envio para spoof. Outros remetentes que tentam falsificar gmail.com não são permitidos automaticamente. As informações de spoof verificam mensagens de remetentes noutros domínios provenientes de tms.mx.com e essas mensagens ainda podem ser bloqueadas.

Utilizar as informações de spoof intelligence no PowerShell

No Exchange Online PowerShell, utiliza o cmdlet Get-SpoofIntelligenceInsight para ver remetentes falsificados permitidos e bloqueados que foram detetados por informações de spoof. Para permitir ou bloquear manualmente os remetentes falsificados, tem de utilizar o cmdlet New-TenantAllowBlockListSpoofItems . Para obter mais informações, veja Utilizar o PowerShell para criar entradas de permissões para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos e Utilizar o PowerShell para criar entradas de blocos para remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.

Para ver as informações nas informações de spoof intelligence, execute o seguinte comando:

Get-SpoofIntelligenceInsight

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-SpoofIntelligenceInsight.

Outras formas de gerir spoofing e phishing

Seja diligente em relação ao spoofing e à proteção contra phishing. Seguem-se formas relacionadas de marcar em remetentes que estão a falsificar o seu domínio e ajudar a evitar que estes danifiquem a sua organização:

• Verifique o Relatório de Correio De Spoof. Utilize este relatório frequentemente para ver e ajudar a gerir remetentes falsificados. Para obter informações, veja Relatório de Deteções de Spoof.

• Reveja a configuração de SPF, DKIM e DMARC. Para saber mais, confira os seguintes artigos:

  • autenticação Email
  • Configurar o SPF para identificar origens de e-mail válidas para os seus domínios de cloud personalizados
  • Configurar o DKIM para assinar correio a partir do seu domínio na nuvem
  • Configurar o DMARC para validar o domínio de endereço De para remetentes da cloud
  • Configurar sealers ARC fidedignos