Beveiliging tegen phishing afstemmen

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Hoewel Microsoft 365 wordt geleverd met een verscheidenheid aan antiphishingfuncties die standaard zijn ingeschakeld, is het mogelijk dat sommige phishingberichten nog steeds in postvakken in uw organisatie terechtkomen. In dit artikel wordt beschreven wat u kunt doen om te ontdekken waarom een phishingbericht is doorgekomen en wat u kunt doen om de antiphishing-instellingen in uw Microsoft 365-organisatie aan te passen zonder dat het per ongeluk erger wordt.

Eerste dingen eerst: omgaan met eventuele gecompromitteerde accounts en ervoor zorgen dat u eventuele phishingberichten blokkeert om door te komen

Als het account van een geadresseerde is gehackt als gevolg van het phishingbericht, volgt u de stappen in Reageren op een gehackt e-mailaccount in Microsoft 365.

Als uw abonnement Microsoft Defender voor Office 365 bevat, kunt u Office 365 Bedreigingsinformatie gebruiken om andere gebruikers te identificeren die ook het phishingbericht hebben ontvangen. U hebt aanvullende opties om phishingberichten te blokkeren:

• Veilige koppelingen in Microsoft Defender voor Office 365
• Veilige bijlagen in Microsoft Defender voor Office 365
• Antiphishingbeleid in Microsoft Defender voor Office 365. U kunt de drempelwaarden voor geavanceerde phishing in het beleid tijdelijk verhogen van Standard naar Agressief, Agressiever of Meest agressief.

Controleer of deze beleidsregels werken. Beveiliging van veilige koppelingen en veilige bijlagen is standaard ingeschakeld, dankzij ingebouwde beveiliging in vooraf ingesteld beveiligingsbeleid. Antiphishing heeft een standaardbeleid dat van toepassing is op alle geadresseerden waarvoor bescherming tegen adresvervalsing standaard is ingeschakeld. Imitatiebeveiliging is niet ingeschakeld in het beleid en moet daarom worden geconfigureerd. Zie Antiphishingbeleid configureren in Microsoft Defender voor Office 365 voor instructies.

Het phishingbericht rapporteren aan Microsoft

Het rapporteren van phishingberichten is handig bij het afstemmen van de filters die worden gebruikt om alle klanten in Microsoft 365 te beschermen. Zie De pagina Inzendingen gebruiken om vermoedelijke spam, phishing, URL's, legitieme e-mail die wordt geblokkeerd en e-mailbijlagen naar Microsoft te verzenden voor instructies.

De berichtkoppen inspecteren

U kunt de headers van het phishingbericht bekijken om te zien of u zelf iets kunt doen om te voorkomen dat er meer phishingberichten binnenkomen. Met andere woorden, als u de berichtkoppen bekijkt, kunt u eventuele instellingen in uw organisatie identificeren die verantwoordelijk waren voor het toestaan van phishingberichten.

U moet met name het veld X-Forefront-Antispam-Report-header in de berichtkoppen controleren op indicaties van het overslaan van filters op spam of phishing in de waarde SFV (Spam Filtering Verdict). Berichten die filteren overslaan, hebben een vermelding van SCL:-1, wat betekent dat een van uw instellingen dit bericht heeft toegestaan door de spam- of phishingbeoordelingen die door de service zijn bepaald, te overschrijven. Zie Antispam berichtkoppen in Microsoft 365 voor meer informatie over het ophalen van berichtkoppen en de volledige lijst met alle beschikbare antispam- en antiphishing-berichtkoppen.

Tip

U kunt de inhoud van een berichtkop kopiëren en plakken in het hulpmiddel Message Header Analyzer. Met dit hulpprogramma kunt u headers parseren en deze een leesbare indeling geven.

U kunt de configuratieanalyse ook gebruiken om uw EOP- en Defender voor Office 365-beveiligingsbeleid te vergelijken met de standaard- en strikte aanbevelingen.

Aanbevolen procedures om beschermd te blijven

• Voer op maandbasis Secure Score uit om de beveiligingsinstellingen van uw organisatie te beoordelen.

• Voor berichten die per ongeluk in quarantaine terechtkomen (fout-positieven) of voor berichten die zijn toegestaan (fout-negatieven), raden we u aan deze berichten te zoeken in Bedreigingsverkenner en realtime detecties. U kunt zoeken op afzender, geadresseerde of bericht-id. Nadat u het bericht hebt gevonden, gaat u naar de details door op het onderwerp te klikken. Voor een bericht in quarantaine kijkt u wat de detectietechnologie was, zodat u de juiste methode kunt gebruiken om te overschrijven. Kijk voor een toegestaan bericht naar welk beleid het bericht is toegestaan.

• Email van vervalste afzenders (het Van-adres van het bericht komt niet overeen met de bron van het bericht) wordt in Defender voor Office 365 geclassificeerd als phishing. Soms is adresvervalsing goedaardig en soms willen gebruikers niet dat berichten van bepaalde vervalste afzenders in quarantaine worden geplaatst. Als u de impact op gebruikers wilt minimaliseren, controleert u periodiek het inzicht in spoof intelligence, vermeldingen voor vervalste afzenders in de lijst met toegestane/geblokkeerdetenants en het rapport Adresvervalsingen. Nadat u toegestane en geblokkeerde vervalste afzenders hebt bekeken en de benodigde overschrijvingen hebt uitgevoerd, kunt u met vertrouwen spoof-informatie in antiphishingbeleid configureren om verdachte berichten in quarantaine te plaatsen in plaats van ze af te leveren aan de map Ongewenste Email van de gebruiker.

• In Defender voor Office 365 kunt u ook de pagina https://security.microsoft.com/impersonationinsightImitatieinzicht op gebruiken om detecties van gebruikersimitatie of domeinimitatie bij te houden. Zie Inzicht in imitatie in Defender voor Office 365 voor meer informatie.

• Controleer regelmatig het rapport Bedreigingsbeveiligingsstatus op phishingdetecties.

• Sommige klanten staan per ongeluk phishingberichten toe door hun eigen domeinen te plaatsen in de lijst Afzender toestaan of Domein toestaan in antispambeleid. Hoewel deze configuratie sommige legitieme berichten toestaat, staat het ook schadelijke berichten toe die normaal gesproken worden geblokkeerd door de spam- en/of phishingfilters. In plaats van het domein toe te staan, moet u het onderliggende probleem oplossen.

  De beste manier om om te gaan met legitieme berichten die worden geblokkeerd door Microsoft 365 (fout-positieven) waarbij afzenders in uw domein betrokken zijn, is door de SPF-, DKIM- en DMARC-records in DNS volledig en volledig te configureren voor al uw e-maildomeinen:

  • Controleer of uw SPF-record alle bronnen van e-mail identificeert voor afzenders in uw domein (vergeet geen services van derden!).

  • Gebruik hard fail (-all) om ervoor te zorgen dat onbevoegde afzenders worden geweigerd door e-mailsystemen die hiervoor zijn geconfigureerd. U kunt het inzicht in spoof intelligence gebruiken om afzenders te identificeren die uw domein gebruiken, zodat u geautoriseerde externe afzenders kunt opnemen in uw SPF-record.

  Zie voor configuratie-instructies:

  • SPF instellen om adresvervalsing te helpen voorkomen
  • DKIM gebruiken om uitgaande e-mail te valideren die wordt verzonden vanuit uw aangepaste domein
  • DMARC gebruiken om e-mail te valideren

• Waar mogelijk raden we u aan e-mail voor uw domein rechtstreeks bij Microsoft 365 te bezorgen. Met andere woorden, wijs de MX-record van uw Microsoft 365-domein naar Microsoft 365. Exchange Online Protection (EOP) biedt uw cloudgebruikers de beste bescherming wanneer hun e-mail rechtstreeks bij Microsoft 365 wordt bezorgd. Als u een e-mailhygiënesysteem van derden moet gebruiken vóór EOP, gebruikt u Verbeterde filtering voor connectors. Zie Verbeterde filtering voor connectors in Exchange Online voor instructies.

• Laat gebruikers de ingebouwde knop Rapport gebruiken in Outlook of de invoegtoepassing Microsoft Report Message of Report Phishing implementeren in uw organisatie. Configureer de door de gebruiker gerapporteerde instellingen om door de gebruiker gerapporteerde berichten te verzenden naar een rapportagepostvak, naar Microsoft of beide. Door de gebruiker gerapporteerde berichten zijn vervolgens beschikbaar voor beheerders op het tabblad Gebruiker gerapporteerd op de pagina Inzendingen op https://security.microsoft.com/reportsubmission?viewid=user. Beheer kunt door de gebruiker gerapporteerde berichten of berichten aan Microsoft rapporteren, zoals beschreven in De pagina Inzendingen gebruiken om verdachte spam, phishing, URL's, legitieme e-mail die wordt geblokkeerd en e-mailbijlagen naar Microsoft te verzenden. Het is belangrijk dat de gebruiker of beheerder fout-positieven of fout-negatieven rapporteert aan Microsoft, omdat het helpt bij het trainen van onze detectiesystemen.

• Meervoudige verificatie (MFA) is een goede manier om gecompromitteerde accounts te voorkomen. Overweeg MFA in te schakelen voor al uw gebruikers. Voor een gefaseerde aanpak moet u eerst MFA inschakelen voor uw meest gevoelige gebruikers (beheerders, leidinggevenden, enzovoort) voordat u MFA inschakelt voor iedereen. Zie Meervoudige verificatie instellen voor instructies.

• Regels voor doorsturen naar externe geadresseerden worden vaak gebruikt door aanvallers om gegevens te extraheren. Gebruik de doorstuurregels controleren in Microsoft Secure Score om regels voor doorsturen naar externe geadresseerden te zoeken en zelfs te voorkomen. Zie Regels voor extern doorsturen van clients beperken met beveiligingsscore voor meer informatie.

  Gebruik het rapport Automatisch verzonden berichten om specifieke details over doorgestuurde e-mail weer te geven.