調整防網路釣魚保護
雖然 Microsoft 365 預設會啟用各種防網路釣魚功能,但某些網路釣魚郵件仍可能通過組織中的信箱。 本文說明您可以執行哪些動作來探索網路釣魚訊息通過的原因,以及您可以採取哪些動作來調整Microsoft 365 組織中的防網路釣魚設定, 而不會不小心讓情況變糟。
首先:處理任何遭入侵的帳戶,並確定您封鎖任何其他網路釣魚訊息,使其無法通過
如果收件者的帳戶因網路釣魚訊息而遭入侵,請遵循在 Microsoft 365 中回應遭入侵的電子郵件帳戶中的步驟。
如果您的訂用帳戶包含 適用於 Office 365 的 Microsoft Defender,您可以使用 Office 365 威脅情報來識別其他也收到網路釣魚訊息的使用者。 您有其他選項可封鎖網路釣魚訊息:
- 適用於 Office 365 的 Microsoft Defender 中的安全連結
- 適用於 Office 365 的 Defender 中的安全附件
- 適用於 Office 365 的 Microsoft Defender 中的防網路釣魚原則。 您可以暫時增加原則中的進階網路釣魚閾值,從 Standard 到積極、更積極或最積極。
確認這些原則正常運作。 由於 預設安全策略中的內建保護,預設會開啟安全連結和安全附件保護。 防網路釣魚的默認原則適用於預設開啟反詐騙保護的所有收件者。 原則中不會開啟模擬保護,因此必須進行設定。 如需指示,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則。
將網路釣魚訊息回報給Microsoft
報告網路釣魚訊息有助於微調用來保護 Microsoft 365 中所有客戶的篩選條件。 如需指示,請 參閱使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交至Microsoft。
檢查訊息標頭
您可以檢查網路釣魚訊息的標頭,以查看是否有任何可以自行執行的動作,以防止更多的網路釣魚訊息通過。 換句話說,檢查訊息標頭可協助您識別組織中負責允許網路釣魚訊息的任何設定。
具體而言,您應該檢查郵件標頭中的 [X-Forefront-Antispam-Report 標頭] 字段,以取得垃圾郵件篩選或網络釣魚略過篩選的指示, (SFV) 值。 略過篩選的訊息具有 的專案 SCL:-1
,這表示您的其中一個設定會藉由覆寫服務所決定的垃圾郵件或網路釣魚決策來允許此訊息通過。 如需如何取得郵件標題以及所有可用的反垃圾郵件和反網路釣魚郵件標頭完整清單的詳細資訊,請參閱 Microsoft 365 中的反垃圾郵件郵件標頭。
提示
您可以複製訊息標題的內容並貼到訊息標題分析器 工具中。 這項工具可協助您剖析標頭,並以易讀取的格式來呈現。
您也可以使用組態分析器來比較您的 EOP 和 適用於 Office 365 的 Defender 安全策略與 Standard 和嚴格建議。
保持受保護的最佳做法
每月執行 安全分數 ,以評估組織的安全性設定。
對於誤 (誤判) 訊息,或透過 (誤判) 允許的訊息,建議您在威脅總管中搜尋這些訊息 並進行即時偵測。 您可以依寄件者、收件者或郵件識別碼進行搜尋。 找到訊息之後,按兩下主旨以移至詳細數據。 如需隔離的訊息,請查看什麼是「偵測技術」,讓您可以使用適當的方法來覆寫。 如需允許的訊息,請查看允許訊息的原則。
從詐騙寄件者 Email (訊息的寄件者位址不符合訊息來源) 在 適用於 Office 365 的 Defender 中分類為網路釣魚。 有時詐騙是良性的,有時使用者不希望將來自特定詐騙發件者的郵件隔離。 若要將對使用者的影響降到最低,請定期檢閱 詐騙情報深入解析、 租使用者允許/封鎖清單中詐騙寄件人的專案,以及 詐騙偵測報告。 檢閱允許和封鎖的詐騙發件者並進行任何必要的覆寫之後,您可以放心地在反網路釣魚原則中設定詐騙情報來隔離可疑的郵件,而不是將它們傳遞給使用者的垃圾郵件 Email 資料夾。
在 適用於 Office 365 的 Defender 中,您也可以使用 中的 [模擬深入解析] 頁面https://security.microsoft.com/impersonationinsight來追蹤用戶模擬或網域模擬偵測。 如需詳細資訊,請參閱 適用於 Office 365 的 Defender 中的模擬深入解析。
定期檢閱 威脅防護狀態報告 以進行網路釣魚偵測。
有些客戶不小心將自己的網域放在反垃圾郵件原則中的 [允許寄件者] 或 [允許網域] 清單中,藉此允許網路釣魚郵件通過。 雖然此設定允許某些合法的訊息通過,但也允許通常會遭到垃圾郵件和/或網路釣魚篩選器封鎖的惡意訊息。 您應該更正基礎問題,而不是允許網域。
若要處理Microsoft 365 封鎖的合法郵件, (涉及您網域中發件人的誤判) ,最佳方式是針對 所有 電子郵件網域完整且完整地設定 DNS 中的 SPF、DKIM 和 DMARC 記錄:
確認您的SPF記錄識別網域中發件者 的所有 電子郵件來源 (別忘了第三方服務!) 。
使用永久故障 () ,以確保設定為這麼做的電子郵件系統會拒絕未經授權的寄件者。 您可以使用 詐騙情報深入解析 來協助識別使用您網域的發件者,讓您可以在SPF記錄中包含授權的第三方發件者。
如需設定指示,請參閱:
建議您盡可能將網域的電子郵件直接傳送至 Microsoft 365。 換句話說,請將Microsoft 365 網域的 MX 記錄指向 Microsoft 365。 Exchange Online Protection (EOP) 能夠在其郵件直接傳遞至 Microsoft 365 時,為您的雲端使用者提供最佳保護。 如果您必須在 EOP 前方使用第三方電子郵件檢查系統,請使用連接器的增強式篩選。 如需指示,請參閱 Exchange Online 中連接器的增強篩選。
讓使用者使用 Outlook 中的內建 [報表] 按鈕 ,或在組織中部署 Microsoft報表訊息或報表網路釣魚載入 巨集。 設定 使用者報告設定 ,將用戶回報的郵件傳送至報告信箱、傳送至Microsoft或兩者。 用戶回報的訊息接著可供系統管理員在 的 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上的 [用戶回報] 索引卷標上使用。 管理員 可以如使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交至Microsoft中所述,向Microsoft報告用戶報告的郵件或任何訊息。 向Microsoft回報誤判或誤判的用戶或系統管理員很重要,因為它有助於訓練我們的偵測系統。
多重要素驗證 (MFA) 是防止帳戶遭入侵的好方法。 您應該強烈考慮為所有使用者啟用 MFA。 針對階段式方法,請先為最敏感的用戶啟用 MFA, (系統管理員、主管等 ) ,然後再為每個人啟用 MFA。 如需指示, 請參閱設定多重要素驗證。
攻擊者通常會使用轉送規則給外部收件者來擷取數據。 使用 [Microsoft 安全分數] 中的 [檢閱信箱轉寄規則] 資訊,以尋找甚至防止將規則轉寄給外部收件者。 如需詳細資訊,請參閱含有安全分數的用戶端外部轉寄降低風險規則 (英文)。
使用 自動轉寄郵件報表 來檢視轉寄電子郵件的特定詳細數據。