Proteção antifalsificação no EOP
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Se você for um cliente do Microsoft 365 com caixas de correio no Exchange Online ou um cliente autônomo da Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, o EOP incluirá recursos para ajudar a proteger sua organização contra remetentes falsificados (forjados).
Quando se trata de proteger os usuários, a Microsoft leva a sério a ameaça de phishing. A falsificação é uma técnica comum usada por invasores. As mensagens falsas parecem se originar de alguém ou algum lugar que não é a origem real. Esta técnica é frequentemente utilizada em campanhas de phishing concebidas para obter credenciais de utilizador. A tecnologia anti-spoofing na EOP examina especificamente a falsificação do cabeçalho De no corpo da mensagem, porque esse valor de cabeçalho é o remetente da mensagem que é mostrado nos clientes de e-mail. Quando a EOP tem alta confiança de que o cabeçalho De é forjado, a mensagem é identificada como falsificada.
As seguintes tecnologias antifalsificação estão disponíveis na EOP:
Autenticação de email: Um componente integrante de qualquer esforço antifalsificação é o uso de autenticação de email (também conhecida como validação de email) pelos registros SPF, DKIM e DMARC no DNS. Você pode configurar esses registros para seus domínios, para que os sistemas de email de destino possam verificar a validade das mensagens que afirmam ser de remetentes em seus domínios. Para mensagens de entrada, o Microsoft 365 requer autenticação de email para domínios do remetente. Para obter mais informações, confira Autenticação de email no Microsoft 365.
A EOP analisa e bloqueia mensagens com base na combinação de métodos padrão de autenticação de e-mail e técnicas de reputação do remetente.
Informações de informações de spoof: reveja as mensagens falsificadas de remetentes em domínios internos e externos durante os últimos sete dias. Para saber mais, confira Informações de inteligência contra falsificação no EOP.
Permitir ou bloquear remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino: quando substitui o veredicto nas informações de spoof intelligence, o remetente falsificado torna-se uma entrada de permissão ou bloqueio manual que só aparece no separador Remetentes falsificados na página Permitir/Bloquear Listas inquilino em https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Você também pode criar manualmente entradas de permissão ou bloqueio para remetentes falsificados antes que eles sejam detectados pela inteligência contra falsificação. Para obter mais informações, veja Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.
Políticas antiphishing: no EOP e no Microsoft Defender para Office 365, as políticas anti phishing contêm as seguintes configurações contra falsificação:
- Ativar ou desativar a inteligência contra falsificação.
- Ativar ou desativar os indicadores de remetentes não autenticados no Outlook.
- Especificar a ação para os remetentes falsificados bloqueados.
Para saber mais, confira Configurações de inteligência contra falsificação nas políticas anti phishing.
As políticas anti-phishing no Defender para Office 365 contêm proteções adicionais, incluindo a proteção contra representação. Para saber mais, confira Configurações exclusivas em políticas anti phishing no Microsoft Defender para Office 365.
Relatório de detecção de falsificação: para saber mais, confira Relatório de Detecções de Falsificações.
Defender para Office 365 organizações também podem utilizar deteções em tempo real (Plano 1) ou Explorer de Ameaças (Plano 2) para ver informações sobre tentativas de phishing. Para obter mais informações, confira Investigação e resposta a ameaças do Microsoft 365.
Dica
É importante compreender que uma falha de autenticação composta não resulta diretamente no bloqueio de uma mensagem. O nosso sistema utiliza uma estratégia de avaliação holística que considera a natureza suspeita geral de uma mensagem juntamente com os resultados da autenticação composta. Este método foi concebido para mitigar o risco de bloquear incorretamente e-mails legítimos de domínios que podem não cumprir estritamente os protocolos de autenticação de e-mail. Esta abordagem equilibrada ajuda a distinguir e-mails genuinamente maliciosos de remetentes de mensagens que simplesmente não cumprem as práticas padrão de autenticação de e-mail.
Como a falsificação é usada em ataques de phishing
Os remetentes falsificados nas mensagens têm as seguintes implicações negativas para os utilizadores:
Engano: as mensagens de remetentes falsificados podem levar o destinatário a selecionar uma ligação e a abdicar das respetivas credenciais, a transferir software maligno ou a responder a uma mensagem com conteúdo confidencial (conhecido como comprometimento de e-mail empresarial ou BEC).
A seguinte mensagem é um exemplo de phishing que usa o remetente falsificado msoutlook94@service.outlook.com:
Essa mensagem não veio de service.outlook.com, mas o invasor falsificou o campo do cabeçalho De para fazer com que parecesse ter vindo. O remetente tentou enganar o destinatário para selecionar a ligação alterar a palavra-passe e fornecer as respetivas credenciais.
A seguinte mensagem é um exemplo de BEC que usa o domínio de email falsificado contoso.com:
A mensagem parece legítima, mas o remetente é falso.
Confusão: Mesmo os utilizadores que sabem sobre phishing podem ter dificuldades em ver as diferenças entre mensagens reais e mensagens de remetentes falsificados.
A seguinte mensagem é um exemplo de uma mensagem real de redefinição de senha da conta de Segurança da Microsoft:
A mensagem realmente veio da Microsoft, mas os usuários foram condicionados a suspeitar. Como é difícil distinguir uma mensagem de redefinição de senha real de uma falsa, os usuários podem ignorar a mensagem, denunciá-la como spam ou denunciá-la desnecessariamente à Microsoft como phishing.
Diferentes tipos de falsificação
A Microsoft diferencia entre dois tipos diferentes de remetentes falsificados em mensagens:
Falsificação dentro da organização: Também conhecida como falsificação self-to-self. Por exemplo:
O remetente e o destinatário estão no mesmo domínio:
De: chris@contoso.com
Para: michelle@contoso.comO remetente e o destinatário estão em subdomínios do mesmo domínio:
De: laura@marketing.fabrikam.com
Para: julia@engineering.fabrikam.comO remetente e o destinatário estão em domínios diferentes que pertencem à mesma organização (ou seja, os dois domínios estão configurados como domínios aceitos na mesma organização):
De: remetente @ microsoft.com
Para: destinatário @ bing.comOs espaços são usados nos endereços de email para impedir a coleta de spambots.
As mensagens reprovadas na autenticação composta devido à falsificação dentro da organização contêm os seguintes valores de cabeçalho:
Authentication-Results: ... compauth=fail reason=6xx
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11
reason=6xx
indica falsificação dentro da organização.SFTY
é o nível de segurança da mensagem.9
indica phishing,.11
indica spoofing intra-org.
Falsificação entre domínios: Os domínios do remetente e do destinatário são diferentes e não têm relação entre si (também conhecidos como domínios externos). Por exemplo:
De: chris@contoso.com
Para: michelle@tailspintoys.comAs mensagens reprovadas na autenticação composta devido à falsificação entre domínios contêm os seguintes valores de cabeçalhos:
Authentication-Results: ... compauth=fail reason=000/001
X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22
reason=000
indica que a mensagem foi reprovada na autenticação explícita de email.reason=001
indica que a mensagem foi reprovada na autenticação implícita de email.SFTY
é o nível de segurança da mensagem.9
indica phishing,.22
indica spoofing entre domínios.
Para obter mais informações sobre Authentication-Results e
compauth
valores, veja Authentication-results message header fields (Campos de cabeçalho da mensagem Authentication-results).
Problemas com a proteção antifalsificação
Sabe-se que as listas de correio (também conhecidas como listas de debates) têm problemas com a proteção anti-spoofing devido à forma como reencaminham e modificam as mensagens.
Por exemplo, Gabriela Laureano (glaureano@contoso.com) está interessada na observação de aves, junta-se à lista birdwatchers@fabrikam.comde correio e envia a seguinte mensagem para a lista:
Por: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de discussão do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: Belo exemplo de gaios azuis no topo do Monte Rainier esta semanaAlguém quer conferir esta semana a vista do Monte Rainier?
O servidor da lista de endereçamento recebe a mensagem, modifica seu conteúdo e a repete aos membros da lista. A mensagem reproduzida tem o mesmo endereço De (glaureano@contoso.com), mas é adicionada uma etiqueta ao assunto e é adicionado um rodapé à parte inferior da mensagem. Esse tipo de modificação é comum em listas de endereçamento, e pode resultar em falsos positivos para falsificação.
Por: "Gabriela Laureano" <glaureano@contoso.com>
Para: Lista de discussão do Birdwatcher <birdwatchers@fabrikam.com>
Assunto: [OBSERVAÇÃODEPÁSSAROS] Belo exemplo de gaios azuis no topo do Monte Rainier esta semanaAlguém quer conferir esta semana a vista do Monte Rainier?
Esta mensagem foi enviada para a lista de discussão de Observação de Pássaros. Você pode cancelar a assinatura a qualquer momento.
Para ajudar as mensagens da lista de endereçamento a passarem nas verificações antifalsificação, execute as seguintes etapas com base no controle da lista de endereçamento:
A sua organização é proprietária da lista de correio:
- Verifique as Perguntas Frequentes em DMARC.org: Opero uma lista de endereçamento e quero interoperar com o DMARC, o que devo fazer?.
- Leia as instruções nesta postagem do blog: Uma dica para os operadores de listas de endereçamento interoperarem com o DMARC para evitar falhas.
- Considere instalar atualizações no seu servidor de lista de correio para suportar o ARC. Para obter mais informações, confira http://arc-spec.org.
A sua organização não é proprietária da lista de correio:
- Peça ao mantenedor da lista de endereçamento para que ele configure a autenticação de email para o domínio do qual a lista de endereçamento está retransmitindo. Os proprietários são mais propensos a agir se os membros suficientes lhes pedirem para configurar a autenticação de e-mail. Embora a Microsoft também trabalhe com proprietários de domínio para publicar os registros necessários, é ainda mais eficaz quando usuários individuais solicitam isso.
- Crie regras de Caixa de Entrada no seu cliente de e-mail para mover mensagens para a Caixa de Entrada.
- Utilize a Lista de Permissões/Bloqueios do Inquilino para criar uma entrada de permissão para a lista de correio para a tratar como legítima. Para obter mais informações, consulte Criar entradas de permissões para remetentes falsificados.
Se tudo falhar, você poderá relatar a mensagem como um falso positivo para a Microsoft. Para mais informações, confira Relatar mensagens e arquivos à Microsoft.
Considerações sobre a proteção antifalsificação
Se você é um administrador que atualmente envia mensagens para o Microsoft 365, precisa garantir que seu email seja autenticado corretamente. Caso contrário, ele pode ser marcado como spam ou phishing. Para obter mais informações, consulte Como evitar falhas de autenticação de e-mail ao enviar correio para o Microsoft 365.
Os remetentes em listas de Remetentes Seguros de utilizadores individuais (ou administradores) ignoram partes da pilha de filtragem, incluindo a proteção spoof. Para obter mais informações, confira Remetentes Confiáveis do Outlook.
Se possível, os administradores devem evitar utilizar listas de remetentes permitidos ou listas de domínios permitidas em políticas antisspam. Estes remetentes ignoram a maior parte da pilha de filtragem (as mensagens de phishing e software maligno de alta confiança são sempre colocadas em quarentena). Para mais informações, confira Usar listas de remetentes permitidos ou listas de domínios permitidos.