BẢO MẬT EMAIL VỚI MICROSOFT 365: CHỐNG EMAIL SPAM VÀ LỪA ĐẢO

Microsoft 365 cung cấp cho người dùng nhiều tính năng bảo mật quan trọng để bảo vệ hệ thống email của họ khỏi bị tấn công bởi các tác nhân bên ngoài. Một trong số đó là tấn công bằng email spam và email lừa đảo.

Bài viết dưới đây, SOFT365 sẽ cùng các bạn tìm hiểu các cách thức bảo vệ hệ thống email của mình chống lại các email spam, lừa đảo bằng các công cụ bảo mật tích hợp sẵn trong các gói bản quyền Microsoft 365.

Bảo mật email, chống email spam, lừa đảo với Microsoft 365

Khác với các email quảng cáo, gửi hàng loạt, đôi khi người nhận vẫn có thể muốn nhận các thông tin từ các email đó. Còn với các email lừa đảo và spam này, chúng nguy hại với người dùng bởi mục đích của chúng là hướng tới việc đánh cắp thông tin người dùng hoặc lây nhiễm các phần mềm độc hại, nguy hiểm.

Để an toàn, hãy luôn tránh mở các tệp đính kèm hoặc URL (liên kết) trong các email không được yêu cầu, ngay cả khi các email đến từ một nguồn được công nhận. Nếu email không mong muốn, hãy thận trọng trước khi tương tác với nội dung của nó.

Tính năng Safe Link trong Microsoft Defender for Office 365 là một lớp bảo vệ khác chống lại các liên kết độc hại, quét và viết lại các liên kết trong quá trình chuyển thư. Nó cũng xác minh các liên kết tại thời điểm nhấp chuột, điều này đặc biệt quan trọng, vì một số liên kết thoạt đầu có vẻ lành tính, có thể bị vũ khí hóa và chuyển hướng đến các trang web độc hại với độ trễ.

Điều tra và ứng phó với các email lừa đảo, spam trong Microsoft 365

Với khả năng điều tra và ứng phó mối đe dọa trong Microsoft Defender cho Office 365, bạn có thể sử dụng đào tạo mô phỏng tấn công để chạy các tình huống tấn công thực tế trong tổ chức của mình. Các cuộc tấn công mô phỏng này có thể giúp bạn tìm thấy những người dùng dễ bị tấn công trước khi một cuộc tấn công lừa đảo thực sự hoặc ransomware ảnh hưởng đến tổ chức của bạn.

Các chính sách và cài đặt bảo mật có thể áp đảo đối với một số người dùng. Điều này đặc biệt đúng đối với các công ty nhỏ hơn, những công ty không có đội ngũ Hoạt động bảo mật (SecOps) chuyên nghiệp. Đó là lý do tại sao Microsoft thực sự khuyên bạn nên chọn tham gia vào các chính sách bảo vệ mối đe dọa đặt trước— Tiêu chuẩn hoặc Nghiêm ngặt . Các chính sách mới này được tối ưu hóa để mang lại trải nghiệm cấu hình đơn giản và an toàn . Bạn luôn có thể thêm và sử dụng các chính sách tùy chỉnh sau này.

Cách xác định và xử lý các email spam, email lừa đảo trong Microsoft 365

Trong quá trình kiểm tra chống thư rác, chúng ta nên kiểm tra nội dung thư, danh tiếng của người gửi và các mẫu gửi, tương quan chúng với hàng nghìn tỷ tín hiệu bằng cách sử dụng phân nhóm theo phương pháp heuristic, áp dụng trí tuệ nhân tạo và con người với máy học, đánh giá các chính sách của bạn và ghi đè tùy chỉnh, xác thực xác thực email (SPF, DKIM, DMARC, ARC), v.v. Kết quả lọc thư rác (SFV) là sự kết hợp của tất cả các lần kiểm tra này. Quản trị viên của công ty xem xét SFV và các chi tiết khác để xác định điều gì đã xảy ra với thư trong hoặc sau khi gửi và hành động nếu cần. Hãy thử các phương pháp sau để tìm tin nhắn và xác minh lý do tại sao chúng lại ở một vị trí không mong muốn:

• Mục Submissions trong Microsoft 365 Defender à cách được khuyến nghị nhất để quét mẫu thư (hoặc tệp hoặc URL) của bạn và biết liệu chính sách mà bạn kiểm soát có cho phép hay chặn thư hoặc các phán quyết của Microsoft hay không. Ví dụ: bạn có thể phát hiện ra rằng một chính sách hạn chế đã chuyển một email đến vùng cách ly.
• Mục Anti-Spam Message Headers chứa Microsoft Spam Filtering Verdicts (SFV) và các kết quả xác thực. Để ý các nghi phạm thông thường— SFV: SFE (người nhận đã cho phép địa chỉ người gửi trong Outlook) và SFV: BLK và SCL: 6 (người nhận đã chặn địa chỉ người gửi trong Outlook), CAT: SPOOF (người gửi đã không thể kiểm tra chống giả mạo ), hoặc CAT: UIMP / DIMP (người gửi không thành công trong việc kiểm tra chống mạo danh).
• Mục Message Trace trong Exchange Admin Center đã cập nhật hiển thị các sự kiện tin nhắn bao gồm nơi nó kết thúc (được gửi đến hộp thư đến, hoặc bị cách ly, hoặc trong một thư mục khác trong hộp thư của người nhận hoặc trong thư mục các mục đã xóa) và lý do nó kết thúc ở đó (thư quy tắc vận chuyển luồng hoặc quy tắc Outlook hoặc chính sách quản trị viên, v.v.). Xem lại các quy tắc hoặc chính sách và nếu việc chặn là không chủ ý, hãy thay đổi chúng cho phù hợp.
• Mục Quarantine trong Microsoft 365 Defender hiển thị các thư bị chặn do phán quyết của Microsoft hoặc cấu hình của tổ chức bạn. Sau khi bạn xác định vị trí thư trong vùng cách ly và xem lại lý do tại sao thư bị chặn, hãy chọn xem bạn muốn phát hành, tạm thời cho phép các thư tương tự hay báo cáo cho Microsoft để phân tích.

Đánh giá các mức độ nguy hại của email spam trong Microsoft 365

Khi Microsoft nhận thấy thư sạch, tiêu đề X-Forefront-Antispam-Report sẽ bao gồm giá trị Mức độ tin cậy thư rác (SCL ) là “ 1”. Bạn có nhiều khả năng tìm thấy những thư như vậy trong hộp thư đến của mình. SCL: 5 thường có nghĩa là thư đã được lọc là thư rác hoặc phish, và bạn sẽ tìm thấy danh mục CAT: SP M / CAT: PHIS H trong tiêu đề thư. Bạn thường định vị những loại thư này trong thư mục rác hoặc trong vùng cách ly, tùy thuộc vào cài đặt chính sách thư đến mặc định hoặc tùy chỉnh của bạn .

Nếu xác định một thư là spam hoặc phish với mức độ tin cậy cao, Microsoft 365 sẽ đánh dấu thư đó là CAT: HSPM (Thư rác có độ tin cậy cao) hoặc CAT: HPHSH (Phish có độ tin cậy cao) và gán SCL: 9 , mức spam cao nhất có thể mức độ tin cậy. Theo mặc định và trong các chính sách đặt trước, những chính sách này luôn được cách ly.

Exchange Online Protection và Microsoft Defender for Office 365 hiện được bảo mật theo mặc định và giữ cho các thư lừa đảo có độ tin cậy cao ra khỏi hộp thư đến của bạn. Những thư như vậy luôn bị cách ly, giống như phần mềm độc hại.

Tùy chỉnh chính sách bảo mật

Cổng Microsoft 365 Defender cung cấp rất nhiều tùy chỉnh. Điều này đặc biệt hữu ích khi bạn cần áp dụng các nhóm hành động khác nhau cho một số nhóm hoặc người dùng nhất định, chẳng hạn như c-suite của bạn . Trong phần 1 của loạt bài blog, chúng ta đã đề cập đến cách các chính sách chống thư rác kiểm soát các hành động được áp dụng cho email hàng loạt từ cổng Microsoft 365 Defender và các hành động spam và phish cũng tuân theo nguyên tắc tương tự. Chọn một hành động từ danh sách và đối với Vùng cách ly, hãy quyết định xem có thông báo cho người dùng của bạn về các tin nhắn đã bị cách ly của họ hay không và lưu giữ chúng trong bao lâu. Làm theo hướng dẫn từng bước này để được trợ giúp về các chính sách và thông báo cách ly.

Bộ lọc thư rác nâng cao

Các biện pháp kiểm soát bộ lọc thư rác nâng cao (ASF) linh hoạt hơn và cho phép bạn chỉ định Mức độ tin cậy thư rác cao hơn nếu thư có chứa các phần tử nhất định, chẳng hạn như thẻ HTML. Tương tự như các ghi đè người dùng và quản trị viên khác, chúng tôi thực sự khuyên bạn không nên sử dụng chúng vì ngăn xếp bảo vệ của Microsoft lọc các thông báo như vậy mà không cần bất kỳ tùy chỉnh bổ sung nào từ phía bạn. Nếu được định cấu hình không chính xác, chúng có thể dẫn đến nhiều email bị đánh dấu là spam hơn bạn dự định.

Nếu bạn chọn bật cài đặt ASF, hãy nhớ rằng bạn có thể áp dụng chính sách gửi đến chống spam tùy chỉnh và kiểm tra các cài đặt này trên một nhóm người dùng hoặc nhóm hạn chế trước khi bạn bật chúng trong toàn công ty. Ngoài ra, chúng cũng dễ theo dõi: nếu quy tắc ASF đánh dấu thư là spam, X-CustomSpam sẽ được đưa vào tiêu đề thư.

Ví dụ: bạn sẽ thấy X-CustomSpam: Empty Message khi bạn bật tính năng lọc các thư không có chủ đề, không có nội dung trong nội dung thư và không có tệp đính kèm. Đây là một cách tuyệt vời để xác định và ngăn chặn ASF dương tính giả và nó hoàn toàn nằm trong tầm kiểm soát của bạn để khắc phục, trong trường hợp có khối bất ngờ.

Báo cáo dương tính giả hoặc âm tính giả cho Microsoft

Mặc dù Microsoft 365 đi kèm với nhiều tính năng chống thư rác và chống lừa đảo được bật theo mặc định, nhưng có thể một số thư rác hoặc thư lừa đảo vẫn có thể đi qua hộp thư của bạn.

Khi các email tốt bị đánh dấu là xấu và bị cách ly hoặc nằm trong thư mục rác của bạn do nhầm lẫn, chúng được gọi là xác thực sai . Khi một biến thể email mới và độc hại nhắm mục tiêu đến hộp thư của bạn, bộ lọc chống thư rác và chống thư rác sẽ bắt đầu hoạt động, nhưng một số thư có thể kết thúc trong hộp thư đến. Những email này được gọi là âm bản giả. Để biết thêm thông tin, hãy xem Báo cáo dương tính giả và âm tính giả trong Outlook .

Sử dụng Đệ trình trong Microsoft 365 Defender để báo cáo email, tệp và URL cho Microsoft để phân tích. Trang gửi cho biết liệu một thư bị chặn hoặc được gửi do các phán quyết lọc của Microsoft hoặc vì các lý do khác, chẳng hạn như quy tắc người dùng cuối hoặc chính sách tổ chức của bạn. Nếu đây không phải là chính sách mà bạn kiểm soát và bạn không đồng ý với một phán quyết hạn chế, hãy báo cáo đó là khẳng định sai và tạm thời cho phép các email có thuộc tính tương tự. Điều này sẽ tạo ra ghi đè tạm thời và an toàn trong Danh sách cho phép / chặn người thuê chỉ đối với thuộc tính tương ứng đã được phát hiện là độc hại — người gửi hoặc miền gửi, tệp đính kèm hoặc URL.