Microsoft 365 のフィッシング詐欺対策ポリシー
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
フィッシング対策の保護設定を構成するためのポリシーは、Exchange Online メールボックスを持つ Microsoft 365 組織、Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織、およびMicrosoft Defender for Office 365組織。
Microsoft Defender for Office 365組織の例を次に示します。
- Microsoft 365 Enterprise E5、Microsoft 365 Education A5 など
- Microsoft 365 Enterprise
- Microsoft 365 Business
- アドオンとしてのMicrosoft Defender for Office 365
ヒント
この記事のコンパニオンとして、 セキュリティ アナライザーのセットアップ ガイド を参照してベスト プラクティスを確認し、防御を強化し、コンプライアンスを強化し、自信を持ってサイバーセキュリティ環境をナビゲートする方法について学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの Security Analyzer 自動セットアップ ガイドにアクセスできます。
EOP のフィッシング対策ポリシーとDefender for Office 365のフィッシング対策ポリシーの大まかな違いを次の表に示します。
機能 | フィッシング対策ポリシー EOP の |
フィッシング対策ポリシー Defender for Office 365 |
---|---|---|
自動的に作成された既定のポリシー | ✔ | ✔ |
カスタム ポリシーの作成 | ✔ | ✔ |
一般的なポリシー設定* | ✔ | ✔ |
スプーフィング設定 | ✔ | ✔ |
最初の接触安全チップ | ✔ | ✔ |
偽装設定 | ✔ | |
高度なフィッシングのしきい値 | ✔ |
* 既定のポリシーでは、ポリシー名と説明は読み取り専用です (説明は空白です)、ポリシーを適用するユーザーを指定することはできません (既定のポリシーはすべての受信者に適用されます)。
フィッシング対策ポリシーを構成するには、次の記事を参照してください。
この記事の残りの部分では、EOP とDefender for Office 365のフィッシング対策ポリシーで使用できる設定について説明します。
ヒント
この記事のコンパニオンとして、Microsoft 365 管理センターにサインインするときにMicrosoft Defender for Endpoint自動セットアップ ガイドを使用することをお勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 Microsoft 365 セットアップ ガイドにアクセスしてください。
一般的なポリシー設定
EOP および Defender for Office 365 のフィッシング対策ポリシーでは、次のポリシー設定を使用できます。
名前: 既定のフィッシング対策ポリシーの名前を変更することはできません。 カスタムフィッシング対策ポリシーを作成した後、Microsoft Defender ポータルでポリシーの名前を変更することはできません。
形容 既定のフィッシング対策ポリシーに説明を追加することはできませんが、作成するカスタム ポリシーの説明を追加および変更できます。
[ユーザー、グループ、およびドメイン] と [これらのユーザー、グループ、およびドメインを除外する]: [受信者] フィルターを使用して、ポリシーが適用される内部受信者を識別します。 カスタム ポリシーでは、少なくとも 1 つの条件が必要です。 条件と例外は、既定のポリシーでは使用できません (既定のポリシーはすべての受信者に適用されます)。 条件と例外には、次の受信者フィルターを使用できます。
- ユーザー: organization内の 1 つ以上のメールボックス、メール ユーザー、またはメール連絡先。
-
グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: Microsoft 365 で構成 されている承認済みドメインの 1 つ以上。 受信者のプライマリ メール アドレスは、指定したドメイン内にあります。
条件または例外は 1 回だけ使用できますが、条件または例外には複数の値を含めることができます。
同じ条件または例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2> を使用します)。
- 条件: 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
- 例外: 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com
- グループ: エグゼクティブ
ポリシーは、
romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
ヒント
カスタムフィッシング対策ポリシーでは、ポリシーが適用されるメッセージ受信者を特定するために、ユーザー、グループ、ドメインの設定で少なくとも 1 つの選択が必要です。 Defender for Office 365のフィッシング対策ポリシーには偽装設定もあります。この設定では、この記事で後述するように、偽装保護を受ける送信者のメール アドレスまたは送信者ドメインを指定できます。
スプーフィング設定
スプーフィングとは、メール メッセージ内の差出人アドレス (電子メール クライアントに表示される送信者アドレス) がメール ソースのドメインと一致しない場合です。 スプーフィングの詳細については、「 Microsoft 365 でのなりすまし対策保護」を参照してください。
EOP とDefender for Office 365のフィッシング対策ポリシーでは、次のスプーフィング設定を使用できます。
スプーフィング インテリジェンスを有効にする: スプーフィング インテリジェンスのオンとオフを切り替えます。 オンのままにしておくことをお勧めします。
スプーフィング インテリジェンスが有効になっている場合、 スプーフィング インテリジェンスの分析情報 には、スプーフィング インテリジェンスによって自動的に検出および許可またはブロックされたなりすまし送信者が表示されます。 スプーフィング インテリジェンスの判定を手動でオーバーライドして、検出されたスプーフィングされた送信者を分析情報から許可またはブロックできます。 ただし、スプーフィングされた送信者はスプーフィング インテリジェンスの分析情報から消え、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示されます。 または、スプーフィング インテリジェンスの分析情報によって検出されない場合でも、テナントの許可/ブロックリストでスプーフィングされた送信者の許可またはブロック エントリを手動で作成できます。 詳細については、次の記事を参照してください。
- 詳細については、「EOP のスプーフィング インテリジェンス分析」を参照してください。
- テナント許可/ブロック一覧のなりすまし送信者
注:
- なりすまし対策保護は、Standardと厳密な事前設定されたセキュリティ ポリシーで有効になっており、既定のフィッシング対策ポリシーと、作成した新しいカスタムフィッシング対策ポリシーで既定で有効になっています。
- MX レコードが Microsoft 365 を指していない場合は、なりすまし対策保護を無効にする必要はありません。代わりにコネクタの拡張フィルター処理を有効にします。 手順については、「Exchange Online のコネクタの拡張フィルター」を参照してください。
- スプーフィング対策保護を無効にすると、複合認証チェックからの暗黙的なスプーフィング保護のみが無効になります。
明示的な DMARC チェックがスプーフィング対策保護の影響を受ける方法と、ソース ドメインの DMARC ポリシー (DMARC TXT レコードの
p=quarantine
またはp=reject
) の構成については、「スプーフィング保護と送信者 DMARC ポリシー」セクションを参照してください。
認証されていない送信者インジケーター: スプーフィング インテリジェンスがオンになっている場合にのみ、「 安全のヒント & インジケーター 」セクションで使用できます。 次のセクションの詳細を参照してください。
アクション: ブロックされたスプーフィングされた送信者からのメッセージ (スプーフィング インテリジェンス (複合認証 エラーと悪意のある意図によって自動的にブロックされる) または [テナントの許可/ブロック] リストで手動でブロックされたメッセージの場合は、メッセージに対して実行するアクションを指定することもできます。
受信者の迷惑メール Email フォルダーにメッセージを移動する: これが既定値です。 メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。 詳細については、「Microsoft 365 のメールボックスExchange Online迷惑メール設定を構成する」を参照してください。
メッセージを検疫する: 目的の受信者ではなく検疫にメッセージを送信します。 検疫の詳細については、以下の記事を参照してください。
- Microsoft 365 での検疫
- Microsoft 365 で管理者として検疫されたメッセージとファイルを管理する
- Microsoft 365 で検疫されたメッセージをユーザーとして検索して解放する
[ メッセージの検疫] を選択した場合は、スプーフィング インテリジェンス保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
なりすまし保護と送信者 DMARC ポリシー
フィッシング対策ポリシーでは、送信者 DMARC ポリシーの値を p=quarantine
するか p=reject
するかを制御できます。 メッセージが DMARC チェックに失敗した場合は、送信者の DMARC ポリシーで p=quarantine
または p=reject
に個別のアクションを指定できます。 次の設定が含まれます。
メッセージがスプーフィングとして検出されたときに DMARC レコード ポリシーを適用する: この設定では、送信者の DMARC ポリシーを明示的な電子メール認証エラーに適用します。 この設定を選択すると、次の設定を使用できます。
-
メッセージがスプーフィングとして検出され、DMARC ポリシーが p=検疫として設定されている場合: 使用可能なアクションは次のとおりです。
- メッセージを検疫する
- 受信者の迷惑メール Email フォルダーにメッセージを移動する
-
メッセージがスプーフィングとして検出され、DMARC ポリシーが p=reject として設定されている場合: 使用可能なアクションは次のとおりです。
- メッセージを検疫する
- メッセージを拒否する
[アクションとして メッセージを検疫する ] を選択した場合、スプーフィング インテリジェンス保護用に選択されている検疫ポリシーが使用されます。
-
メッセージがスプーフィングとして検出され、DMARC ポリシーが p=検疫として設定されている場合: 使用可能なアクションは次のとおりです。
スプーフィング インテリジェンスと送信者 DMARC ポリシーが適用されるかどうかの関係については、次の表を参照してください。
DMARC ポリシーの適用 オン | DMARC ポリシーの適用オフ | |
---|---|---|
スプーフィング インテリジェンスオン | 暗黙的な電子メール認証エラーと明示的な電子メール認証エラーに対するアクションを分離します。
|
フィッシング対策ポリシー でスプーフィング インテリジェンスアクションによってスプーフィングとしてメッセージが検出された場合 は、暗黙的および明示的な電子メール認証エラーの両方に使用されます。 明示的な電子メール認証エラーは、DMARC ポリシー内の p=quarantine 、 p=reject 、 p=none 、またはその他の値を無視します。 |
スプーフィング インテリジェンスオフ | 暗黙的な電子メール認証チェックは使用されません。 明示的な電子メール認証エラー:
|
暗黙的な電子メール認証チェックは使用されません。 明示的な電子メール認証エラー:
|
注:
Microsoft 365 ドメインの MX レコードが、Microsoft 365 の前にあるサード パーティのサービスまたはデバイスを指している場合、受信メッセージを受信するコネクタに対してコネクタの拡張フィルター処理が有効になっている場合にのみ、DMARC ポリシーの適用設定が適用されます。
お客様は、次の方法を使用して、特定の電子メール メッセージや送信者の DMARC ポリシー 設定を優先できます。
- 管理者 または ユーザー は、ユーザーのメールボックスの [差出人セーフ リスト] に送信者を追加できます。
- 管理者は、スプーフィング インテリジェンス分析やテナントの許可/ブロック リストを使用して、なりすまし送信者からのメッセージを許可できます。
- 管理者が、該当する送信者のメッセージを許可するすべてのユーザーに向けて Exchange メール フロー ルール (トランスポート ルールとも呼ばれる) を作成します。
- 管理者は、organizationの DMARC ポリシーに失敗した拒否されたメールに対して、すべてのユーザーに対して Exchange メール フロー ルールを作成します。
認証されていない送信者インジケーター
認証されていない送信者インジケーターは、EOP とDefender for Office 365の両方のフィッシング対策ポリシーの安全に関するヒント & インジケーターのセクションで利用できるスプーフィング設定の一部です。 次の設定は、スプーフィング インテリジェンスがオンになっている場合にのみ使用できます。
認証されていない送信者のスプーフィングの表示 (?): メッセージが SPF または DKIM チェックに 合格せず、メッセージが DMARC または 複合認証に合格しない場合は、[差出人] ボックスの送信者の写真に疑問符を追加します。 この設定をオフにすると、送信者の写真に疑問符は追加されません。
"via" タグを表示する: 差出人アドレス (メール クライアントに表示されるメッセージ送信者) のドメインが DKIM 署名または MAIL FROM アドレスのドメインと異なる場合は、[差出人] ボックスに "via" タグ (chris@contoso.comvia fabrikam.com) を追加します。 これらのアドレスの詳細については、「 電子メール メッセージ標準の概要」を参照してください。
疑問符または "via" タグが特定の送信者からのメッセージに追加されないようにするには、次のオプションがあります。
- スプーフィング インテリジェンスの分析情報で、 または テナントの許可/ブロックリストで手動で、なりすまし送信者を許可します。 スプーフィングされた送信者を許可すると、ポリシーで ["via" タグの表示設定がオンになっている場合でも、送信者からのメッセージに "via" タグ が表示されなくなります。
- 送信者ドメインの電子メール認証を構成します。
- 送信者の写真の疑問符については、SPF または DKIM が最も重要です。
- "via" タグの場合は、DKIM 署名のドメイン、または MAIL FROM アドレスが From アドレスのドメインと一致 (またはサブドメイン) であることを確認します。
詳細については、「Outlook.com とOutlook on the webで疑わしいメッセージを特定する」を参照してください。
最初の接触安全チップ
[最初の連絡先の安全ヒントを表示する] 設定は、EOP およびDefender for Office 365組織で使用でき、スプーフィング インテリジェンスや偽装保護設定に依存しません。 次のシナリオでは、安全ヒントが受信者に表示されます。
- 送信者からメッセージを初めて受け取る場合
- 送信者からメッセージを受け取ることがよくあります。
この機能により、偽装攻撃の可能性に対する保護層が追加されるため、有効にすることをお勧めします。
最初の接触安全ヒントは、メッセージの X-Forefront-Antispam-Report ヘッダーのSFTY
フィールドの値 9.25 によって制御されます。 この機能は、 X-MS-Exchange-EnableFirstContactSafetyTip という名前のヘッダーをメッセージに Enable
値に追加するメール フロー ルール (トランスポート ルールとも呼ばれます) を作成する必要性に取って代わるものですが、この機能は引き続き使用できます。
メッセージ内の受信者の数に応じて、最初の連絡先の安全に関するヒントは次のいずれかの値になります。
単一の受信者:
電子メール アドレス>から電子メール<受け取ることがあまりありません。
複数の受信者:
このメッセージを受け取ったユーザーの中には、 <email アドレス>からメールを受け取ることがあまりない人もいます。
注:
メッセージに複数の受信者が含まれている場合は、ヒントが表示されているかどうか、および誰がマジョリティ モデルに基づいているか。 大多数の受信者が送信者からメッセージを受信したことがない場合、またはあまり受信しない場合、影響を受ける受信者は、 このメッセージを受け取った一部のユーザーを受け取 ります。ヒント。 この動作によってある受信者の通信習慣が別の受信者に公開されることを懸念する場合は、最初の連絡先の安全ヒントを有効にせず、代わりにメール フロー ルールと X-MS-Exchange-EnableFirstContactSafetyTip ヘッダーを引き続き使用する必要があります。
最初の接触安全ヒントは、S/MIME 署名付きメッセージにスタンプされません。
Microsoft Defender for Office 365のフィッシング対策ポリシーの排他的設定
このセクションでは、Defender for Office 365のフィッシング対策ポリシーでのみ使用できるポリシー設定について説明します。
注:
Defender for Office 365の既定のフィッシング対策ポリシーは、すべての受信者にスプーフィング保護とメールボックス インテリジェンスを提供します。 ただし、他の使用可能な 偽装保護機能 と 詳細設定 は、既定のポリシーでは構成または有効になっていません。 すべての保護機能を有効にするには、既定のフィッシング対策ポリシーを変更するか、追加のフィッシング対策ポリシーを作成します。
Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定
偽装とは、メッセージ内の送信者または送信者のメール ドメインが実際の送信者またはドメインに似ている場合です。
- ドメイン contoso.com のなりすまし例は óntoso.com です。
- ユーザーなりすましは、ユーザーの表示名とメール アドレスの組み合わせです。 たとえば、Valeria Barrios (vbarrios@contoso.com) は Valeria Barrios と偽装されますが、電子メール アドレスは異なります。
注:
偽装保護では、類似するドメインが検索されます。 たとえば、ドメインが contoso.com されている場合は、さまざまな最上位ドメイン (.com、.biz など) に対してチェックされますが、多少似たドメインもあります。 たとえば、contosososo.com や contoabcdef.com は、contoso.com の偽装試行と見なされる場合があります。
偽装されたドメインは、受信者を欺く目的を除き、正当と見なされる場合があります (ドメインが登録され、電子メール認証 DNS レコードが構成されているなど)。
次のセクションで説明する偽装設定は、Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。
ヒント
検出された偽装試行の詳細については、偽装分析情報を参照してください。 詳細については、「Defender for Office 365の偽装分析情報」を参照してください。
ユーザー偽装保護
ユーザー偽装保護により、特定の内部または外部の電子メール アドレスが メッセージの送信者として偽装されるのを防ぎます。 たとえば、会社の副社長から社内情報を送信するように求めるメール メッセージが届きます。 あなたはそれをしますか? 多くの人が何も考えずに返信を送るだろう。
保護されたユーザーを使用して、内部および外部の送信者の電子メール アドレスを追加して、偽装から保護できます。 このユーザー偽装から保護される送信者の一覧は、ポリシーが適用される受信者の一覧 (既定のポリシーのすべての受信者、[共通ポリシー設定] セクションの [ユーザー、グループ、ドメイン] 設定で構成されている特定の受信者) とは異なります。
注:
フィッシング対策ポリシーごとに、ユーザー偽装保護に最大 350 人のユーザーを指定できます。
送信者と受信者が以前に電子メールで通信した場合、ユーザー偽装保護は機能しません。 送信者と受信者が電子メールで通信したことがない場合、メッセージは偽装試行として識別できます。
別のフィッシング対策ポリシーでユーザー偽装保護用に電子メール アドレスが既に指定されている場合に、ユーザー偽装保護にユーザーを追加しようとすると、"メール アドレスは既に存在します" というエラーが表示されることがあります。 このエラーは、Defender ポータルでのみ発生します。 PowerShell の New-AntiPhishPolicy コマンドレットまたは Set-AntiPhishPolicy コマンドレットで対応する TargetedUsersToProtect パラメーターを使用した場合、エラー Exchange Online返されません。
既定では、既定のポリシーまたはカスタム ポリシーでは、偽装保護用に送信者の電子メール アドレスは構成されません。
内部または外部の電子メール アドレスを [ユーザー] に追加して保護リストを保護 すると、それらの 送信者 からのメッセージは偽装保護チェックの対象になります。 ポリシーが適用される受信者 (既定のポリシーのすべての受信者) にメッセージが送信された場合、メッセージの偽装がチェックされます。カスタム ポリシーのユーザー、グループ、およびドメインの受信者)。 送信者のメール アドレスで偽装が検出された場合、偽装されたユーザーのアクションがメッセージに適用されます。
検出されたユーザー偽装の試行では、次のアクションを使用できます。
アクションを適用しない: これが既定のアクションです。
メッセージを他のメール アドレスにリダイレクトする: 目的の受信者ではなく、指定した受信者にメッセージを送信します。
受信者の迷惑メール Email フォルダーにメッセージを移動する: メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。 詳細については、「Microsoft 365 のメールボックスExchange Online迷惑メール設定を構成する」を参照してください。
メッセージを検疫する: 目的の受信者ではなく検疫にメッセージを送信します。 検疫の詳細については、以下の記事を参照してください。
- Microsoft 365 での検疫
- Microsoft 365 で管理者として検疫されたメッセージとファイルを管理する
- Microsoft 365 で検疫されたメッセージをユーザーとして検索して解放する
[ メッセージの検疫] を選択した場合は、ユーザー偽装保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
メッセージを配信し、他のアドレスを Bcc 行に追加する: 目的の受信者にメッセージを配信し、指定した受信者にメッセージをサイレント 配信します。
配信される前にメッセージを削除する: すべての添付ファイルを含め、メッセージ全体をサイレント 削除します。
ドメイン偽装保護
ドメイン偽装保護により、 送信者のメール アドレス内の特定のドメインが 偽装されないようにします。 たとえば、所有するすべてのドメイン (承認済みドメイン) や特定のカスタム ドメイン (所有しているドメインまたはパートナー ドメイン) などです。 偽装から保護されている送信者ドメインは、ポリシーが適用される受信者の一覧とは異なります (既定のポリシーのすべての受信者、[共通ポリシー設定] セクションの [ユーザー、グループ、ドメイン] 設定で構成されている特定の受信者)。
注:
各フィッシング対策ポリシーでは、ドメイン偽装保護用に最大 50 個のカスタム ドメインを指定できます。
指定されたドメイン内 の送信者 からのメッセージは、偽装保護チェックの対象となります。 ポリシーが適用される受信者 (既定のポリシーのすべての受信者) にメッセージが送信された場合、メッセージの偽装がチェックされます。カスタム ポリシーのユーザー、グループ、およびドメインの受信者)。 送信者のメール アドレスのドメインで偽装が検出された場合、ドメイン偽装のアクションがメッセージに適用されます。
既定では、既定のポリシーまたはカスタム ポリシーでは、偽装保護用に送信者ドメインは構成されません。
検出されたドメイン偽装の試行では、次のアクションを使用できます。
アクションを適用しない: これが既定値です。
メッセージを他のメール アドレスにリダイレクトする: 目的の受信者ではなく、指定した受信者にメッセージを送信します。
受信者の迷惑メール Email フォルダーにメッセージを移動する: メッセージはメールボックスに配信され、迷惑メール Email フォルダーに移動されます。 詳細については、「Microsoft 365 のメールボックスExchange Online迷惑メール設定を構成する」を参照してください。
メッセージを検疫する: 目的の受信者ではなく検疫にメッセージを送信します。 検疫の詳細については、以下の記事を参照してください。
- Microsoft 365 での検疫
- Microsoft 365 で管理者として検疫されたメッセージとファイルを管理する
- Microsoft 365 で検疫されたメッセージをユーザーとして検索して解放する
[ メッセージの検疫] を選択した場合は、ドメイン偽装保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
メッセージを配信し、他のアドレスを Bcc 行に追加する: 目的の受信者にメッセージを配信し、指定した受信者にメッセージをサイレント 配信します。
配信前にメッセージを削除する: すべての添付ファイルを含むメッセージ全体をサイレント 削除します。
メールボックス インテリジェンス偽装保護
メールボックス インテリジェンスは、人工知能 (AI) を使用して、頻繁に連絡先を持つユーザーの電子メール パターンを決定します。
たとえば、Gabriela Laureano (glaureano@contoso.com) は会社の CEO であるため、[ユーザーがポリシーの設定を 保護できるようにする ] で保護された送信者として彼女を追加します。 しかし、ポリシーの受信者の中には、ガブリエラ・ラウレアーノ (glaureano@fabrikam.com) という名前のベンダーと定期的に通信する人もいます。 これらの受信者には glaureano@fabrikam.comとの通信履歴があるため、メールボックス インテリジェンスは、 glaureano@fabrikam.com からのメッセージを、それらの受信者に対する glaureano@contoso.com の偽装試行として識別しません。
注:
送信者と受信者が以前に電子メールで通信した場合、メールボックス インテリジェンス保護は機能しません。 送信者と受信者が電子メールで通信したことがない場合、メッセージはメールボックス インテリジェンスによる偽装試行として識別できます。
メールボックス インテリジェンスには、次の 2 つの特定の設定があります。
- メールボックス インテリジェンスを有効にする: メールボックス インテリジェンスのオンとオフを切り替えます。 この設定は、AI が正当な送信者と偽装された送信者とのメッセージを区別するのに役立ちます。 既定では、この設定はオンになっています。
- 偽装保護のインテリジェンスを有効にする: 既定では、この設定はオフになっています。 メールボックス インテリジェンス (頻繁な連絡先と連絡先なしの両方) から学習した連絡先履歴を使用して、偽装攻撃からユーザーを保護します。 メールボックス インテリジェンスが検出されたメッセージに対してアクションを実行するには、この設定と [メールボックス インテリジェンスを有効にする] 設定の両方をオンにする必要があります。
メールボックス インテリジェンスによって検出された偽装試行の場合は、次のアクションを使用できます。
- アクションを適用しない: これが既定値です。 このアクションの結果は、[ メールボックス インテリジェンスを有効にする] がオンになっているが、[ インテリジェンス偽装保護を有効にする] がオフになっている場合と同じ結果になります。
- メッセージを他のメール アドレスにリダイレクトする
- 受信者の迷惑メール Email フォルダーにメッセージを移動する
- メッセージを検疫する: このアクションを選択した場合は、メールボックス インテリジェンス保護によって検疫されたメッセージに適用される検疫ポリシーを選択することもできます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
- メッセージを配信し、他のアドレスを Bcc 行に追加する
- メッセージが配信される前にメッセージを削除する
偽装の安全性に関するヒント
偽装の安全性に関するヒントは、メッセージが偽装試行として識別されると、ユーザーに表示されます。 次の安全に関するヒントを利用できます。
ユーザー偽装の安全性のヒントを表示する: 差出人アドレスには、ユーザー偽装保護で指定された ユーザーが含まれています。 [ユーザーの保護を有効にする] がオンになっていて構成されている場合にのみ使用できます。
この安全ヒントは、メッセージの X-Forefront-Antispam-Report ヘッダーの
SFTY
フィールドの値 9.20 によって制御されます。 テキストには次が示されています。この送信者は、以前にメールを送信したユーザーに似ていますが、そのユーザーではない可能性があります。
[ドメイン偽装の安全性のヒントを表示する]: [差出人] アドレスには、 ドメイン偽装保護で指定されたドメインが含まれています。 [保護するドメインを有効にする] がオンになっていて構成されている場合にのみ使用できます。
この安全ヒントは、メッセージの X-Forefront-Antispam-Report ヘッダーの
SFTY
フィールドの値 9.19 によって制御されます。 テキストには次が示されています。この送信者は、organizationに関連付けられているドメインを偽装している可能性があります。
ユーザー偽装の異常な文字の安全ヒントを表示する: 差出人アドレスには、 ユーザー偽装保護で指定された送信者に、通常とは異なる文字セット (数学記号やテキスト、大文字と小文字の組み合わせなど) が含まれています。 [ユーザーの保護を有効にする] がオンになっていて構成されている場合にのみ使用できます。 テキストには次が示されています。
<email address>
メール アドレスには、予期しない文字または数字が含まれています。 このメッセージを操作しないことをお勧めします。
注:
安全に関するヒントは、次のメッセージにスタンプされません。
- S/MIME 署名付きメッセージ。
- 組織の設定で許可されるメッセージ。
信頼できる送信者とドメイン
信頼された送信者とドメインは、偽装保護設定の例外です。 指定された送信者と送信者ドメインからのメッセージは、ポリシーによって偽装ベースの攻撃として分類されることはありません。 つまり、保護された送信者、保護されたドメイン、またはメールボックス インテリジェンス保護に対するアクションは、これらの信頼された送信者または送信者ドメインには適用されません。 これらのリストの上限は 1024 エントリです。
注:
信頼されたドメイン エントリには、指定したドメインのサブドメインは含まれません。 サブドメインごとにエントリを追加する必要があります。
次の送信者からの Microsoft 365 システム メッセージが偽装試行として識別された場合は、信頼できる送信者の一覧に送信者を追加できます。
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
Microsoft Defender for Office 365のフィッシング対策ポリシーの高度なフィッシングしきい値
次の高度なフィッシングしきい値は、Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。 これらのしきい値は、メッセージに機械学習モデルを適用してフィッシング判定を決定するための感度を制御します。
- 1 - Standard: これが既定値です。 メッセージに対して実行されるアクションの重大度は、メッセージがフィッシング (低、中、高、または非常に高い信頼度) であるという信頼度によって異なります。 たとえば、非常に高い信頼度を持つフィッシングとして識別されるメッセージには、最も重大なアクションが適用されますが、信頼度の低いフィッシングとして識別されるメッセージは、あまり重大なアクションが適用されません。
- 2 - 攻撃的: 高い信頼度を持つフィッシングとして識別されたメッセージは、非常に高い信頼度で識別されたかのように扱われます。
- 3 - より積極的: 中程度または高い信頼度を持つフィッシングとして識別されたメッセージは、非常に高い信頼度で識別されたかのように扱われます。
- 4 - 最も攻撃的: 低、中、または高い信頼度を持つフィッシングとして識別されるメッセージは、非常に高い信頼度で識別されたかのように扱われます。
この設定を増やすと、誤検知 (不適切とマークされた良好なメッセージ) が発生する可能性が高くなります。 推奨される設定については、Microsoft Defender for Office 365のフィッシング対策ポリシー設定に関するページを参照してください。