Optimieren des Schutzes gegen Phishing
Obwohl Microsoft 365 eine Vielzahl von Anti-Phishing-Features enthält, die standardmäßig aktiviert sind, ist es möglich, dass einige Phishing-Nachrichten weiterhin an Postfächer in Ihrem organization gelangen. In diesem Artikel wird beschrieben, was Sie tun können, um herauszufinden, warum eine Phishing-Nachricht durchkam, und was Sie tun können, um die Anti-Phishing-Einstellungen in Ihrem Microsoft 365-organization anzupassen, ohne die Dinge versehentlich zu verschlimmern.
Das Wichtigste zuerst: Behandeln Sie alle kompromittierten Konten, und stellen Sie sicher, dass Sie weitere Phishing-Nachrichten daran hindern, durchzukommen.
Wenn das Konto eines Empfängers infolge der Phishing-Nachricht kompromittiert wurde, führen Sie die Schritte unter Reagieren auf ein kompromittiertes E-Mail-Konto in Microsoft 365 aus.
Wenn Ihr Abonnement Microsoft Defender for Office 365 enthält, können Sie Office 365 Threat Intelligence verwenden, um andere Benutzer zu identifizieren, die ebenfalls die Phishingnachricht erhalten haben. Sie haben zusätzliche Optionen zum Blockieren von Phishing-Nachrichten:
- Sichere Links in Microsoft Defender for Office 365
- Sichere Anlagen in Microsoft Defender für Office 365
- Antiphishingrichtlinien in Microsoft Defender for Office 365. Sie können die Erweiterten Phishing-Schwellenwerte in der Richtlinie vorübergehend von Standard auf Aggressiv, Aggressiver oder Aggressivste erhöhen.
Überprüfen Sie, ob diese Richtlinien funktionieren. Der Schutz für sichere Links und sichere Anlagen ist dank des integrierten Schutzes in voreingestellten Sicherheitsrichtlinien standardmäßig aktiviert. Antiphishing verfügt über eine Standardrichtlinie, die für alle Empfänger gilt, bei denen der Antispoofingschutz standardmäßig aktiviert ist. Der Identitätswechselschutz ist in der Richtlinie nicht aktiviert und muss daher konfiguriert werden. Anweisungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365.
Melden der Phishing-Nachricht an Microsoft
Das Melden von Phishingnachrichten ist hilfreich bei der Optimierung der Filter, die zum Schutz aller Kunden in Microsoft 365 verwendet werden. Anweisungen finden Sie unter Verwenden der Seite "Übermittlungen", um mutmaßliche Spam-, Phishing-, URLs, legitime E-Mails, die blockiert werden, und E-Mail-Anlagen an Microsoft zu übermitteln.
Überprüfen der Nachrichtenheader
Sie können die Header der Phishing-Nachricht untersuchen, um festzustellen, ob Sie selbst etwas tun können, um zu verhindern, dass weitere Phishing-Nachrichten empfangen werden. Anders ausgedrückt: Das Untersuchen der Nachrichtenheader kann Ihnen helfen, alle Einstellungen in Ihrem organization zu identifizieren, die für das Zulassen der Phishing-Nachrichten verantwortlich waren.
Insbesondere sollten Sie das X-Forefront-Antispam-Report-Kopfzeilenfeld in den Nachrichtenheadern auf Hinweise auf übersprungene Filterung für Spam oder Phishing im Wert spam filtering verdict (SFV) überprüfen. Nachrichten, die die Filterung überspringen, haben den Eintrag SCL:-1
, was bedeutet, dass eine Ihrer Einstellungen diese Nachricht durchläuft, indem die spam- oder phishing-Bewertungen überschrieben wurden, die vom Dienst bestimmt wurden. Weitere Informationen zum Abrufen von Nachrichtenheadern und die vollständige Liste aller verfügbaren Antispam- und Antiphishing-Nachrichtenheader finden Sie unter Antispam-Nachrichtenheader in Microsoft 365.
Tipp
Sie können den Inhalt einer Nachrichtenkopfzeile kopieren und in das Tool Nachrichtenkopfanalyse einfügen. Mit diesem Tool können Sie Kopfzeilen analysieren und in ein besser lesbares Format umwandeln.
Sie können auch das Konfigurationsanalysetool verwenden, um Ihre EOP- und Defender for Office 365-Sicherheitsrichtlinien mit den Empfehlungen Standard und Strict zu vergleichen.
Bewährte Methoden zum Schutz
Führen Sie die Sicherheitsbewertung monatlich aus, um die Sicherheitseinstellungen Ihrer organization zu bewerten.
Für Nachrichten, die versehentlich in Quarantäne gehen (falsch positive Ergebnisse), oder für Nachrichten, die durch zulässig sind (falsch negative), wird empfohlen, dass Sie in Explorer Bedrohungserkennungen und Echtzeiterkennungen nach diesen Nachrichten suchen. Sie können nach Absender, Empfänger oder Nachrichten-ID suchen. Nachdem Sie die Nachricht gefunden haben, wechseln Sie zu den Details, indem Sie auf den Betreff klicken. Sehen Sie sich bei einer in Quarantäne befindlichen Nachricht an, was die "Erkennungstechnologie" war, sodass Sie die entsprechende Methode zum Überschreiben verwenden können. Bei einer zulässigen Nachricht sehen Sie nach, welche Richtlinie die Nachricht zugelassen hat.
Email von gefälschten Absendern (die Absenderadresse der Nachricht stimmt nicht mit der Quelle der Nachricht überein) wird in Defender for Office 365 als Phishing klassifiziert. Manchmal ist Spoofing harmlos, und manchmal möchten Benutzer nicht, dass Nachrichten von bestimmten gefälschten Absendern unter Quarantäne gesetzt werden. Um die Auswirkungen auf Benutzer zu minimieren, überprüfen Sie in regelmäßigen Abständen die Erkenntnisse zu Spoofintelligenz, die Einträge für spoofte Absender in der Zulassungs-/Sperrliste für Mandanten und den Bericht spoof detections (Spooferkennungen). Nachdem Sie zulässige und blockierte gefälschte Absender überprüft und alle erforderlichen Außerkraftsetzungen vorgenommen haben, können Sie Spoofintelligenz in Antiphishingrichtlinien sicher konfigurieren, um verdächtige Nachrichten unter Quarantäne zu stellen, anstatt sie in den Junk-Email-Ordner des Benutzers zu übermitteln.
In Defender for Office 365 können Sie auch die Seite https://security.microsoft.com/impersonationinsightIdentitätswechsel unter verwenden, um Erkennungen von Benutzeridentitätswechseln oder Domänenidentitätswechseln nachzuverfolgen. Weitere Informationen finden Sie unter Identitätswechsel in Defender for Office 365.
Überprüfen Sie regelmäßig den Threat Protection-Statusbericht auf Phishing-Erkennungen.
Einige Kunden lassen Phishing-Nachrichten versehentlich durch, indem sie ihre eigenen Domänen in die Liste Absender zulassen oder Domäne zulassen in Antispamrichtlinien einfügen. Obwohl diese Konfiguration einige legitime Nachrichten durchlässt, erlaubt sie auch schädliche Nachrichten, die normalerweise durch die Spam- und/oder Phishingfilter blockiert würden. Anstatt die Domäne zuzulassen, sollten Sie das zugrunde liegende Problem beheben.
Die beste Möglichkeit, mit legitimen Nachrichten umzugehen, die von Microsoft 365 blockiert werden (falsch positive Ergebnisse), die Absender in Ihrer Domäne einbeziehen, besteht darin, die SPF-, DKIM- und DMARC-Einträge im DNS für alle Ihre E-Mail-Domänen vollständig zu konfigurieren:
Stellen Sie sicher, dass Ihr SPF-Eintrag alle E-Mail-Quellen für Absender in Ihrer Domäne identifiziert (vergessen Sie nicht die Dienste von Drittanbietern!).
Verwenden Sie hard fail (-all), um sicherzustellen, dass nicht autorisierte Absender von E-Mail-Systemen abgelehnt werden, die dafür konfiguriert sind. Sie können die Spoofintelligenz-Erkenntnis verwenden, um Absender zu identifizieren, die Ihre Domäne verwenden, sodass Sie autorisierte Drittanbieter-Absender in Ihren SPF-Eintrag aufnehmen können.
Konfigurationsanweisungen finden Sie unter:
Wenn möglich, empfehlen wir Ihnen, E-Mails für Ihre Domäne direkt an Microsoft 365 zu übermitteln. Anders ausgedrückt: Verweisen Sie auf den MX-Eintrag Ihrer Microsoft 365-Domäne auf Microsoft 365. Exchange Online Protection (EOP) bietet den besten Schutz für Ihre Cloudbenutzer, wenn ihre E-Mails direkt an Microsoft 365 übermittelt werden. Wenn Sie vor EOP ein E-Mail-Hygienesystem eines Drittanbieters verwenden müssen, verwenden Sie erweiterte Filterung für Connectors. Anweisungen hierzu finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
Lassen Sie Benutzer die integrierte Schaltfläche Bericht in Outlook verwenden oder die Add-Ins Microsoft Report Message oder Report Phishing in Ihrem organization bereitstellen. Konfigurieren Sie die vom Benutzer gemeldeten Einstellungen , um vom Benutzer gemeldete Nachrichten an ein Berichterstellungspostfach, an Microsoft oder beides zu senden. Vom Benutzer gemeldete Nachrichten sind dann für Administratoren auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=userverfügbar. Admin können von Benutzern gemeldete Nachrichten oder nachrichten an Microsoft melden, wie unter Verwenden der Seite Übermittlungen beschrieben, um vermuteten Spam, Phishing, URLs, legitime E-Mails, die blockiert werden, und E-Mail-Anlagen an Microsoft zu übermitteln. Die Meldung falsch positiver oder falsch negativer Ergebnisse durch Benutzer oder Administratoren an Microsoft ist wichtig, da dies dazu beiträgt, unsere Erkennungssysteme zu trainieren.
Multi-Factor Authentication (MFA) ist eine gute Möglichkeit, kompromittierte Konten zu verhindern. Sie sollten unbedingt die MFA für alle Ihre Benutzer aktivieren. Für einen stufenweisen Ansatz beginnen Sie, indem Sie MFA für Ihre sensibelsten Benutzer (Administratoren, Führungskräfte usw.) aktivieren, bevor Sie MFA für alle aktivieren. Anweisungen finden Sie unter Einrichten der mehrstufigen Authentifizierung.
Weiterleitungsregeln an externe Empfänger werden häufig von Angreifern verwendet, um Daten zu extrahieren. Verwenden Sie die Informationen zum Überprüfen der Postfachweiterleitungsregeln in der Microsoft-Sicherheitsbewertung , um Weiterleitungsregeln an externe Empfänger zu finden und sogar zu verhindern. Weitere Informationen finden Sie unter Mindern von Regeln für die externe Clientweiterleitung mit Sicherheitsbewertung.
Verwenden Sie den Bericht automatisch weitergeleitete Nachrichten , um bestimmte Details zu weitergeleiteten E-Mails anzuzeigen.