Hopp til hovedinnhold

Utvidet beskyttelse mot phishing i Office 365

Logo letter
Evelon AS
Jon-Alfred Smith
bilde av en postkasse

En vanlig teknikk som benyttes i phishing-e-post, er å forfalske avsenderadressen. Det kan forlede mottaker til å tro at meldingene kommer fra en pålitelig kilde. Microsoft har i disse dager rullet ut et vern mot forfalskning eller anti-spoof protection til alle som har postbokser i Office 365 eller bruker Exchange Online Protection. Det kan drastisk redusere faren for å bli utsatt for phishing-angrep med falske avsendere. Men det vil i en overgangsperiode også føre til at flere gyldige e-postmeldinger ender opp i søppelpostmappen i Outlook. Årsaken er at det nå stilles krav til autentisering av all innkommende e-post, og ikke alle avsenderdomener har de nødvendige godkjenningsmekanismene på plass. Her får du råd om hvordan du på best mulig måte kan håndtere det nye forfalskningsvernet, både som sluttbruker og systemansvarlig.

Forfalskningsvernet i praksis

Beskyttelse1

Helst bør alle konfigurere de tre protokollene SPF, DKIM og DMARC med en sterk policy for e-postautentisering. Dette gir den beste beskyttelse mot falske avsendere, også utenfor Office 365. Du kan lese mer om dette i Beskyttelse mot phishing-e-post i Office 365. Problemet er at protokollene kan være feil konfigurert, og samlet er de lite utbredt. Derfor har Microsoft utviklet flere ekstensjoner, basert på faktorer som ryktet til avsender, kommunikasjonsmønstre, historikken mellom avsender og mottaker og andre avanserte tekniker med utgangspunkt i maskinlæring. På den måten foretas det en implisitt eller sammensatt autentisering som slipper gjennom langt mer godkjent e-post enn dét tradisjonell DMARC legger opp til. Filteret lærer også underveis hva som er gyldig e-post. Sånn vil innledende utfordringer med falske positiver gå seg til. I korthet bidrar forfalskningsvernet til å oppdage og blokkere e-post fra denne type eksterne domener:

  • Domenet er ikke satt opp med ordentlig autentifisering.
  • E-posten kommer fra en kilde med en ukjent historie.
  • Kilden er unormal i forhold til tidligere avsendermønstre fra domenet.

Hva bør jeg gjøre som sluttbruker?

Beskyttelse2

Som sluttbruker bør du forholde deg til forfalskningsvernet på denne måten:

  • Følg godt med på innholdet i søppelpostmappen (Junk Email). Slett meldinger og rydd opp mest mulig, så den blir oversiktlig. Du kan dra gyldige meldinger over i innboksen.
  • Kommuniser med vedkommende, noe som gir en indikasjon på at avsenderen skal godkjennes. Forfalskningsvernet er lærenemt.
  • Ta kontakt med avsender, systemansvarlig eller IT-partner. Be dem gi beskjed videre til avsendende e-post-organisasjon, så de retter mulige feil der.
  • Om du er en avansert bruker, hent frem opplysningene fra meldingshodet som er markert blått i skjermbildet ovenfor. Åpne meldingen, klikk på pilen til høyre for Merker. Bla deg et lite stykke ned til Authentication-Results. Marker området, kopier det (Ctrl+C) og send det videre.

Beskyttelse3

Det kan være fristende å høyreklikke på meldinger i søppelpostmappen, velge Søppelpost og Aldri blokker avsender. Dette fungerer for spam, men ikke for meldinger som feiler på den implisitte autentiseringen. Det er heller ikke vanskelig å forstå hvorfor: Kollegaer på tvers av organisasjoner har det med å legge hverandre inn i listen over sikre avsendere. Dette er også noe nettfiskere og spammere er klar over. Sånn hadde man åpnet for et gedigent sikkerhetshull. Office 365 tar for øvrig aldri hensyn til å oppheve blokkeringen av avsenderdomenet.

Hva kan jeg gjøre som administrator?

Beskyttelse4

Det første du bør foreta deg som systemansvarlig, er å gå inn i administrasjonssentret for sikkerhet og samsvar. Velg Policy under Trusselhåndtering. Om du ikke har installert Office 365 Advanced Threat Protection (ATP), er det lagt til en ny modul: Beskyttelse mot phishing. Dessverre er dette en nedskalert versjon av ATP. Du kan slå av forfalskningsvernet eller aktivere det for bare utvalgte brukere. Ikke noe av dette anbefales. Det er ikke mer enn som kortsiktig løsning på et langsiktig problem.

Vær oppmerksom på at det i enkelte tilfeller, som ved spesialiserte delte postbokser, kan være nødvendig å deaktivere forfalskningsvernet.

Standardinnstillingen er å flytte meldingene til mottakernes søppelpostmapper. Alternativt kan du sette e-posten i karantene inntil du kan gå gjennom den og bestemme om den skal frigis. Ulempen er at det krever administratorrettigheter og påfører deg ekstra arbeid. Vår anbefaling er at du i første omgang holder deg til de forslåtte innstillingene og lar brukerne kontrollere søppelposten.

Det henvises til en funksjon som ikke er implementert i gratisutgaven av forfalskningsvernet: innstillingene for forfalskingsanalyse på antisøppelpostsiden. Her kan du i den fulle versjonen av Office 365 ATP filtrere e-post fra avsendere som forfalsker domener, og kontrollere hvem som skal ha tillatelse til å gjøre det. For øyeblikket ser det ut til at den beste måten å sette opp unntaksregler på, er å legge til IP-adresser du godtar meldinger fra, i tilkoblingsfilteret i Exchange Online Protection. For å gjøre livet lettere for brukerne dine bør du:

  • Plassere søppelpost med høy visshet i karantene, sånn at du holder den atskilt fra meldinger med lavere klarering. Dermed fylles søppelpostmappen mindre opp og blir lettere å håndtere.
  • Konfigurere søppelpostvarsler for sluttbrukere, så de selv kan holde styr på meldinger i karantene.

Om du har egendefinerte innstillinger for søppelpost, bør du kontrollere at disse to alternativene er slått av:

  • SPF-post: kritisk feil – som er ment å hindre phishing-meldinger.
  • Betinget filtrering av avsender-ID – ment som ytterligere beskyttelse mot nettfiske.

Forfalskningsvernet tar seg av dette. De to punktene ovenfor kan føre til flere falske positiver.

Sammensatt autentisering

Den implisitte godkjenningen av avsenderdomener som foretas av forfalskningsvernet, omtales også som sammensatt autentisering eller composite authentication, forkortet med CompAuth. Den viktigste oppgaven du kan gjøre som administrator i denne sammenheng, er å se på meldingshodene for gyldig e-post som ender opp som søppelpost.

Beskyttelse5

Til venstre vises en melding fra Gmail.com, som naturligvis har alle godkjenningsmekanismer på det tørre. Meldingen til høyre er fra Cet.com, som allerede feiler på kontrollen av SPF-oppføringen. Der er det verken satt opp DKIM eller DMARC. E-posten havnet i søppelpostmappen hos undertegnede. Meldingen i seg selv er legitim – begge stammer i skrivende stund fra en lang diskusjon om en kommende klassetur for ungene. Min naturlige reaksjon var å gjøre vedkommende oppmerksom på at hun fremover kan ha problemer med å sende til Office 365, og at hun bør henvende seg til Cet.com. Etter hvert vil det bli mange henvendelser av denne typen, som vil føre til at e-post-organisasjoner setter opp det nødvendige minstemål for autentisering. Sånn vil gyldige meldinger markert som søppelpost utvikle seg til et forbigående fenomen.

Forfalskningsvernet og Office 365 ATP

Beskyttelse6

Opprinnelig var forfalskningsvernet bare tilgjengelig for brukere av Office 365 E5 og Office 365 Advanced Threat Protection (ATP). Nå da det er rullet ut til alle i Office 365, kan det også smitte over på Outlook.com, noe som skyldes måten filtrene i Microsoft-skyene opererer sammen på. Gratisversjonen av vernet gir samme beskyttelse som i Office 365 ATP, men har langt færre konfigurasjonsmuligheter og dårligere rapporteringsmuligheter. Skjermbildet ovenfor er hentet fra ATP. Her får du:

  • Terskler for avansert phishing, som lar deg kontrollere hvor aggressiv Office 365 skal være i håndteringen av meldinger som kan være phishing-angrep.
  • Forfalskningsanalyse, der du kan blokkere eller tillate at avsenderne forfalsker domenet ditt – i klartekst, legge til unntaksregler.
  • Du beskyttes mot etterligning – eller impersonation. I det ligger at du skjermes mot avsendere som til forveksling likner på adresser du stoler på: en svak skråstrek over en S, en krøll under en C. Dette er også en teknikk nettfiskere benytter seg av.

I tillegg får du alt som gjør Office 365 ATP til et uunnværlig tillegg: beskyttelse mot ukjent skadevare og skadelige koblinger i sanntid idet du klikker på dem. For mer informasjon om ATP og phishing se Beskyttelse mot phishing-e-post i Office 365. Flere opplysninger om Office 365 ATP generelt finner du i Skadevare og avanserte trusler i Office 365.

Autentisering av e-post og veien videre

Microsoft har lenge gått i bresjen for sikker overføring av e-post. Innenfor Microsoft-skyen er man garantert at alle meldinger sendes med Transport Layer Security (TLS) 1.2, en kryptografisk protokoll som tilbyr sikker kommunikasjon. Mot eksterne e-post-organisasjoner brukes opportunistisk TLS, og det er en smal sak å sette opp tvungen TLS mot partnere.To generasjoner Office 365-meldingskryptering sørger for kryptert ende-til-ende-overføring.

Beskyttelse7

Med forfalskningsvernet som er rullet ut til alle i Office 365, slår Microsoft et slag for at all e-post må autentiseres. I det lange løp vil det bidra til at andre store aktører som Google og Yahoo følger etter. Stadig flere e-post-organisasjoner vil sørge for å få de tre autentiseringsprotokollene SPF, DKIM og DMARC på plass. Alt dette vil bidra til en tryggere e-post-hverdag. Spammer og nettfiskere kan ikke lenger ture frem som nå. Brukere kan igjen stole på meldinger som ber dem om å klikke på koblinger.

Plansjen ovenfor er fra mars 2018 og viser at det bare var ni prosent av de største foretakene i USA som hadde tatt autentiseringsprotokollene i bruk med sterk autentisering. For små og mellomstore bedrifter var andelen enda lavere. Dette har gode sjanser til å endre seg nå. De ulempene man måtte oppleve med e-post som avvises og ender opp som søppelpost i en overgangsperiode, må tilordnes kategorien «Man må knuse noen egg for å lage omelett». Risikoen for å bli offer for et phishing-angrep er langt mer alvorlig enn faren for å miste et fåtall meldinger.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!