Microsoft 365 中的反钓鱼策略

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft具有Exchange Online邮箱的 365 个组织、独立Exchange Online Protection (EOP) 没有Exchange Online邮箱的组织,以及Microsoft Defender for Office 365组织。

Microsoft Defender for Office 365组织的示例包括:

提示

作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南

下表描述了 EOP 中的反钓鱼策略与 Defender for Office 365 中的反钓鱼策略之间的高级差异:

功能 防钓鱼策略
在 EOP 中
防钓鱼策略
in Defender for Office 365
自动创建的默认策略
创建自定义策略
常见策略设置*
欺骗设置
第一触点安全提示
模拟设置
高级网络钓鱼阈值

* 在默认策略中,策略名称和说明是只读的, (说明为空) ,并且无法指定策略应用于 (默认策略应用于) 的所有收件人。

若要配置反钓鱼策略,请参阅以下文章:

本文的其余部分介绍 EOP 和 Defender for Office 365 中的防钓鱼策略中可用的设置。

提示

作为本文的配套内容,我们建议在登录到 Microsoft 365 管理中心 时使用Microsoft Defender for Endpoint自动设置指南。 本指南根据你的环境自定义你的体验。 若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 Microsoft 365 设置指南

常见策略设置

EOP 和 Defender for Office 365 的防钓鱼策略中提供了以下策略设置:

  • 名称:无法重命名默认的防钓鱼策略。 创建自定义反钓鱼策略后,无法在Microsoft Defender门户中重命名策略。

  • 描述 无法向默认的反钓鱼策略添加说明,但可以添加和更改所创建的自定义策略的说明。

  • 用户、组和域排除这些用户、组和域:收件人筛选器,用于标识应用策略的内部收件人。 自定义策略中至少需要一个条件。 条件和例外在默认策略中不可用, (默认策略应用于) 的所有收件人。 对于条件和例外,可以使用以下收件人筛选器:

    • 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
      • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
      • 指定的 Microsoft 365 组。
    • :Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。

    只能使用一次条件或异常,但条件或异常可以包含多个值:

    • 相同条件或异常的多个使用 OR 逻辑 (,例如 recipient1<><recipient2>) :

      • 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
      • 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
    • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

    • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

      • 用户: romain@contoso.com
      • 组:高管

      当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

    提示

    自定义反钓鱼策略中至少需要 用户、组和域 设置中的一个选择,以识别 应用该策略的邮件收件人。 Defender for Office 365中的防钓鱼策略还具有模拟设置,可在其中指定接收模拟保护的发件人电子邮件地址或发件人域,如本文稍后所述。

欺骗设置

欺骗是电子邮件中的发件人地址 (电子邮件客户端中显示的发件人地址) 与电子邮件源的域不匹配时。 有关欺骗的详细信息,请参阅 Microsoft 365 中的反欺骗保护

EOP 和 Defender for Office 365 的反钓鱼策略中提供了以下欺骗设置:

  • 启用欺骗智能:打开或关闭欺骗智能。 建议将其保持打开。

    启用欺骗智能后, 欺骗智能见解 会显示欺骗智能自动检测和允许或阻止的欺骗发件人。 可以手动重写欺骗情报判断,以允许或阻止从见解中检测到的欺骗发件人。 但是,当你这样做时,欺骗发件人将从欺骗智能见解中消失,并且仅在 的“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem的“欺骗发件人”选项卡上可见。 或者,你可以手动为租户允许/阻止列表中的欺骗发件人创建允许或阻止条目,即使欺骗智能见解未检测到它们。 有关详细信息,请参阅以下文章:

    注意

    • 反欺骗保护在Standard和严格预设安全策略中启用,默认在默认的反钓鱼策略和你创建的新自定义反钓鱼策略中启用。
    • 如果 MX 记录未指向 Microsoft 365,则无需禁用反欺骗保护;请改为为连接器启用增强筛选。 有关说明,请参阅 Exchange Online 中连接器的增强筛选
    • 禁用反欺骗保护只会禁用复合身份验证检查中的隐式欺骗保护。 有关反欺骗保护如何影响 显式DMARC 检查以及源域的 DMARC 策略配置 (p=quarantinep=reject DMARC TXT 记录) ,请参阅 Spoof 保护和发送方 DMARC 策略 部分。
  • 未经身份验证的发件人指示器:仅在启用欺骗情报时,才可在 安全提示 & 指示器 部分使用。 请参阅下一部分的详细信息。

  • 操作:对于来自被阻止的欺骗发件人的消息 (自动阻止的欺骗情报 (组合身份验证 失败以及恶意意图) 或手动阻止在租户允许/阻止列表中) ,还可以指定要对邮件执行的操作:

欺骗保护和发送方 DMARC 策略

在防钓鱼策略中,可以控制是否 p=quarantine 遵循发件人 DMARC 策略中的 或 p=reject 值。 如果邮件未通过 DMARC 检查,则可以在发件人的 DMARC 策略中为 p=quarantinep=reject 指定单独的操作。 涉及以下设置:

  • 当邮件被检测为欺骗时,遵循 DMARC 记录策略:如果出现显式电子邮件身份验证失败,此设置将启用发件人的 DMARC 策略。 选择此设置后,以下设置可用:

    • 如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=隔离:可用操作为:
      • 隔离邮件
      • 将邮件移动到收件人的垃圾邮件Email文件夹
    • 如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=reject:可用操作为:
      • 隔离邮件
      • 拒绝邮件

    如果选择“ 隔离邮件 ”作为操作,将使用为欺骗智能保护选择的隔离策略。

反钓鱼策略中的 DMARC 设置。

下表描述了欺骗智能与是否遵循发件人 DMARC 策略之间的关系:

  启用 DMARC 策略 关闭 DMARC 策略
欺骗智能打开 隐式和显式电子邮件身份验证失败的单独操作:
  • 隐式失败:使用反网络钓鱼策略中的 “如果通过欺骗智能检测到邮件为欺骗” 操作。
  • 显式失败
    • DMARC 策略:在反钓鱼策略 p=quarantine中,使用 “如果邮件被检测为欺骗,并且 DMARC”策略设置为 p=隔离 操作。
    • DMARC 策略:在反钓鱼策略 p=reject中,使用 “如果邮件被检测为欺骗,并且 DMARC”策略设置为 p=拒绝 操作。
    • DMARC 策略 p=none:Microsoft 365 未应用任何操作,但筛选堆栈中的其他保护功能仍能够对消息进行操作。
反网络钓鱼策略中的“ 如果通过欺骗智能检测到邮件为欺骗 ”操作,则用于隐式和显式电子邮件身份验证失败。 显式电子邮件身份验证失败会忽略 p=quarantineDMARC 策略中的 、 p=rejectp=none或其他值。
欺骗智能关闭 不使用隐式电子邮件身份验证检查。

显式电子邮件身份验证失败:
  • DMARC 策略:在反钓鱼策略 p=quarantine中,使用 “如果邮件被检测为欺骗,并且 DMARC”策略设置为 p=隔离 操作。
  • DMARC 策略:在反钓鱼策略 p=reject中,使用 “如果邮件被检测为欺骗,并且 DMARC”策略设置为 p=拒绝 操作。
  • DMARC 策略 p=none:Microsoft 365 未将消息标识为欺骗,但筛选堆栈中的其他保护功能仍能够对消息进行操作。
不使用隐式电子邮件身份验证检查。

显式电子邮件身份验证失败:
  • DMARC 策略 p=quarantine:隔离邮件。
  • DMARC 策略 p=reject:隔离邮件。
  • DMARC 策略 p=none:Microsoft 365 未应用任何操作,但筛选堆栈中的其他保护功能仍能够对消息进行操作。

注意

如果 Microsoft 365 域的 MX 记录指向位于 Microsoft 365 前面的第三方服务或设备,则仅当为接收入站消息的连接器启用了“连接器增强筛选”时,才会应用 Honor DMARC 策略设置。

客户可以使用以下方法替代特定电子邮件和/或发件人的 Honor DMARC 策略 设置:

  • 管理员用户可以 将发件人添加到用户邮箱中的“安全发件人”列表。
  • 管理员可以使用欺骗智能保护租户允许/阻止列表来允许来自欺骗性发件人的邮件。
  • 管理员创建一个适用于所有用户的 Exchange 邮件流规则(也称为传输规则),该规则允许那些特定发件人的邮件。
  • 管理员为不符合组织的 DMARC 策略的被拒绝电子邮件的所有用户创建 Exchange 邮件流规则。

未经身份验证的发件人指示器

未经身份验证的发件人指示器是 EOP 和 Defender for Office 365 反钓鱼策略的安全提示 & 指示器部分中提供的欺骗设置的一部分。 仅当启用欺骗智能时,以下设置才可用:

  • 针对欺骗的未经身份验证的发件人显示 (?) :如果邮件未通过 SPF 或 DKIM 检查 ,并且 邮件未通过 DMARC 或 复合身份验证,请在“发件人”框中向发件人的照片添加问号。 关闭此设置后,不会将问号添加到发件人的照片中。

  • 显示“via”标记:如果发件人地址 (电子邮件客户端中显示的邮件发件人的域与 DKIM 签名或 chris@contoso.comMAIL FROM 地址中的域不同,请在“发件人”框中添加“via”标记) (通过 fabrikam.com) 。 有关这些地址的详细信息,请参阅 电子邮件标准概述

若要防止将问号或“via”标记添加到来自特定发件人的邮件,可以使用以下选项:

  • 允许欺骗发送方在欺骗 智能见解 中或手动在 租户允许/阻止列表中。 即使策略中启用了“显示”“通过”标记设置,允许欺骗发件人将阻止“ 通过”标记 出现在发件人的邮件中。
  • 为发件人域配置电子邮件身份验证
    • 对于发件人照片中的问号,SPF 或 DKIM 是最重要的。
    • 对于“via”标记,请确认 DKIM 签名或 MAIL FROM 地址中的域与 (或是“发件人”地址中域) 的子域。

有关详细信息,请参阅识别 Outlook.com 和Outlook 网页版中的可疑邮件

第一触点安全提示

EOP 和 Defender for Office 365 组织中提供了“显示第一个接触安全提示”设置,并且不依赖于欺骗情报或模拟保护设置。 在以下情况下,向收件人显示安全提示:

  • 他们第一次收到来自发件人的邮件时
  • 他们通常不会从发件人那里收到消息。

此功能增加了针对潜在模拟攻击的额外保护层,因此建议将其打开。

第一个触点安全提示由邮件的 SFTYX-Forefront-Antispam-Report 标头中字段的值 9.25 控制。 此功能无需创建邮件流规则 (也称为传输规则,) 将名为 X-MS-Exchange-EnableFirstContactSafetyTip 的标头添加到邮件的值 Enable ,但此功能仍可用。

根据邮件中的收件人数,第一个联系人安全提示可以是以下值之一:

  • 单一收件人

    你通常不会从 <电子邮件地址>收到电子邮件。

    包含一个收件人的邮件的第一个联系人安全提示

  • 多个收件人

    收到此邮件的一些用户通常不会从 <电子邮件地址收到电子邮件>。

    包含多个收件人的邮件的第一个联系人安全提示

注意

如果邮件有多个收件人,则是否显示小费以及针对谁基于多数模型。 如果大多数收件人从未或不经常收到来自发件人的邮件,则受影响的收件人将收到“ 收到此邮件的一些人员...” 提示。 如果你担心此行为会将一个收件人的通信习惯暴露给另一个收件人,则不应启用第一个联系人安全提示,而是继续使用邮件流规则和 X-MS-Exchange-EnableFirstContactSafetyTip 标头。

S/MIME 签名的消息中未标记第一个接触安全提示。

Microsoft Defender for Office 365 中的防钓鱼策略中的独占设置

本部分介绍仅在 Defender for Office 365 中的反钓鱼策略中可用的策略设置。

注意

Defender for Office 365中默认的反钓鱼策略为所有收件人提供欺骗保护和邮箱智能。 但是,默认策略中未配置或启用其他可用的 模拟保护 功能和 高级设置 。 若要启用所有保护功能,请修改默认的防钓鱼策略或创建其他反钓鱼策略。

Microsoft Defender for Office 365中的防钓鱼策略中的模拟设置

模拟是邮件中发件人或发件人的电子邮件域类似于真实发件人或域的位置:

  • 域 contoso.com 的模拟示例是 ćóntoso.com。
  • 用户模拟是用户的显示名称和电子邮件地址的组合。 例如,Valeria Barrios (vbarrios@contoso.com) 可能模拟为 Valeria Barrios,但电子邮件地址不同。

注意

模拟保护查找相似的域。 例如,如果你的域 contoso.com,则检查不同的顶级域 (.com、.biz 等 ) ,以及甚至有些相似的域。 例如,contosososo.com 或 contoabcdef.com 可能被视为 contoso.com 的模拟尝试。

(注册域、配置电子邮件身份验证 DNS 记录等 ) ,模拟域可能被视为合法域,但域的意图是欺骗收件人。

以下部分所述的模拟设置仅在 Defender for Office 365 中的反钓鱼策略中可用。

提示

有关检测到的模拟尝试的详细信息,请参阅模拟见解。 有关详细信息,请参阅 Defender for Office 365 中的模拟见解

用户模拟保护

用户模拟保护可防止将特定的内部或外部电子邮件地址模拟 为邮件发件人。 例如,你会收到一封来自公司副总裁的电子邮件,要求你向她发送一些内部公司信息。 你会这么做吗? 许多人会不假思索地发送回复。

可以使用受保护的用户添加内部和外部发件人电子邮件地址,以防止模拟。 此受用户模拟保护的发件人列表不同于策略应用于默认策略 (所有收件人的收件人列表;在“常见策略设置”部分的“用户、组和域”设置中配置的特定收件人) 。

注意

在每个反钓鱼策略中,最多可以指定 350 个用户进行用户模拟保护。

如果发件人和收件人以前通过电子邮件进行通信,则用户模拟保护不起作用。 如果发件人和收件人从未通过电子邮件进行通信,则可以将邮件标识为模拟尝试。

如果在另一个反钓鱼策略中为用户模拟保护指定了该电子邮件地址时,尝试将用户添加到用户模拟保护,则可能会收到错误“电子邮件地址已存在”。 此错误仅在 Defender 门户中发生。 如果在 PowerShell 中的 New-AntiPhishPolicySet-AntiPhishPolicy cmd Exchange Online let 中使用相应的 TargetedUsersToProtect 参数,则不会收到错误。

默认情况下,在默认策略或自定义策略中,不会为模拟保护配置任何发件人电子邮件地址。

“用户 ”列表添加内部或外部电子邮件地址时,来自这些 发件人 的邮件将受到模拟保护检查。 如果邮件发送给策略应用于默认策略 (所有收件人的收件人,则会检查邮件是否模拟;自定义策略中的用户、组和域收件人) 。 如果在发件人的电子邮件地址中检测到模拟,则会对邮件应用模拟用户的操作。

对于检测到的用户模拟尝试,可以使用以下操作:

域模拟保护

域模拟保护可防止 模拟发件人电子邮件地址中的 特定域。 例如,你拥有的所有域 (接受的域) 或特定的自定义域 (你拥有的域或合作伙伴域) 。 受模拟保护的发件人域不同于策略应用于默认策略的所有收件人 (收件人的收件人列表;在“常见策略设置”部分的“用户、组和域”设置中配置的特定收件人) 。

注意

在每个反钓鱼策略中,最多可以为域模拟保护指定 50 个自定义域。

来自指定域中 发件人 的邮件将接受模拟保护检查。 如果邮件发送给策略应用于默认策略 (所有收件人的收件人,则会检查邮件是否模拟;自定义策略中的用户、组和域收件人) 。 如果在发件人电子邮件地址的域中检测到模拟,则会对邮件应用域模拟操作。

默认情况下,在默认策略或自定义策略中,不会为模拟保护配置任何发件人域。

对于检测到的域模拟尝试,可以使用以下操作:

邮箱智能模拟保护

邮箱智能使用人工智能 (AI) 来确定用户电子邮件模式及其频繁的联系人。

例如,Gabriela Laureano (glaureano@contoso.com) 是公司的首席执行官,因此,在 启用用户保护 策略设置中将她添加为受保护的发件人。 但是,策略中的一些接收者会定期与一位名叫加布里埃拉·劳雷亚诺的供应商沟通, (glaureano@fabrikam.com) 。 因为这些收件人具有与 glaureano@fabrikam.com的通信历史记录,因此邮箱智能不会将来自 glaureano@fabrikam.com 的邮件识别为这些收件人的 glaureano@contoso.com 模拟尝试。

注意

如果发件人和收件人以前通过电子邮件通信,则邮箱智能保护不起作用。 如果发件人和收件人从未通过电子邮件进行通信,则邮箱智能可以将邮件标识为模拟尝试。

邮箱智能具有两个特定设置:

  • 启用邮箱智能:打开或关闭邮箱智能。 此设置有助于 AI 区分来自合法发件人和模拟发件人的消息。 默认情况下,此设置处于打开状态。
  • 为模拟保护启用智能:默认情况下,此设置处于关闭状态。 使用从邮箱智能中获取的联系人历史记录 (频繁的联系人和无联系人) 来帮助保护用户免受模拟攻击。 若要对检测到的邮件执行邮箱智能操作,需要打开此设置和 启用邮箱智能 设置。

对于邮箱智能检测到的模拟尝试,可执行以下操作:

  • 不要应用任何操作:这是默认值。 此操作的结果与启用 邮箱智能 处于打开状态但 “启用智能模拟保护 ”处于关闭状态时的结果相同。
  • 将邮件重定向到其他电子邮件地址
  • 将邮件移动到收件人的垃圾邮件Email文件夹
  • 隔离邮件:如果选择此操作,还可以选择适用于邮箱智能保护隔离的邮件的隔离策略。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析
  • 传递邮件并将其他地址添加到密件抄送行
  • 在邮件传递之前删除邮件

模拟安全提示

当消息被标识为模拟尝试时,用户会显示模拟安全提示。 提供以下安全提示:

  • 显示用户模拟安全提示:发件人地址包含用户 模拟保护中指定的用户。 仅当 启用用户保护 已打开并配置时可用。

    此安全提示由邮件的 X-Forefront-Antispam-Report 标头中字段的值 9.20 SFTY 控制。 文本显示:

    此发件人看起来类似于以前向你发送电子邮件的人,但可能不是该人。

  • 显示域模拟安全提示:发件人地址包含 域模拟保护中指定的域。 仅当 启用要保护的域 处于打开状态并配置时可用。

    此安全提示由邮件的 X-Forefront-Antispam-Report 标头中字段的值 9.19 SFTY 控制。 文本显示:

    此发件人可能正在模拟与组织关联的域。

  • 显示用户模拟异常字符安全提示:发件人地址包含异常字符集, (例如,数学符号和文本或大写字母和小写字母的混合,) 用户模拟保护中指定的发件人。 仅当 启用用户保护 已打开并配置时可用。 文本显示:

    电子邮件地址 <email address> 包括意外的字母或数字。 建议不要与此消息交互。

注意

以下消息中未标记安全提示:

  • S/MIME 签名的邮件。
  • 组织设置允许的邮件。

受信任的发件人和域

受信任的发件人和域是模拟保护设置的例外。 来自指定发件人和发件人域的邮件永远不会被策略分类为基于模拟的攻击。 换句话说,受保护发件人、受保护域或邮箱智能保护的操作不会应用于这些受信任的发件人或发件人域。 这些列表的最大限制为 1024 个条目。

注意

受信任的域条目不包括指定域的子域。 需要为每个子域添加一个条目。

如果Microsoft来自以下发件人的 365 条系统消息被标识为模拟尝试,则可以将发件人添加到受信任的发件人列表中:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Microsoft Defender for Office 365反钓鱼策略中的高级钓鱼阈值

以下高级钓鱼阈值仅在 Defender for Office 365 中的反钓鱼策略中可用。 这些阈值控制将机器学习模型应用于消息以确定网络钓鱼判决的敏感度:

  • 1 - Standard:这是默认值。 对邮件执行的操作的严重性取决于邮件钓鱼的置信度 (低、中、高或非常高的置信度) 。 例如,被标识为具有非常高置信度钓鱼的邮件应用了最严重的操作,而被标识为网络钓鱼且置信度较低的邮件则应用了不太严重的操作。
  • 2 - 攻击性:将高度置信度标识为网络钓鱼的邮件被视为具有非常高的置信度。
  • 3 - 更具攻击性:被标识为具有中等或高度置信度的钓鱼邮件被视为具有非常高的置信度。
  • 4 - 最具攻击性:被标识为具有低、中或高置信度的钓鱼邮件被视为具有非常高的置信度。

误报 (标记为坏消息) 随着设置的增加而增加。 有关建议设置的信息,请参阅 Microsoft Defender for Office 365 中的防钓鱼策略设置