Lỗi nhận diện sai (false positive) chặn các email quan trọng, trong khi lỗi bỏ sót sai (false negative) lại cho phép các email độc hại lọt qua. Tìm hiểu cách quản lý hiệu quả các email này trong Microsoft Defender dành cho Office 365.
Cách thức hoạt động của email đến trong Microsoft 365
Để hiểu tại sao môi trường của bạn gặp phải các trường hợp nhận diện sai và bỏ sót sai, trước tiên bạn cần hiểu cách Microsoft 365 xử lý email đến.
Microsoft 365 sử dụng xác thực email ngầm để xác định kết quả cuối cùng cho các thư đến. Phương pháp này vượt xa các kiểm tra SPF, DKIM và DMARC truyền thống bằng cách kết hợp thêm các tín hiệu để đánh giá email đến. Bằng cách tận dụng các tín hiệu bổ sung này, các email thường không vượt qua được xác thực tiêu chuẩn có thể vượt qua xác thực ngầm và được gửi thành công đến Microsoft 365.
Các tín hiệu này bao gồm:
- Uy tín người gửi
- Lịch sử người gửi
- Lịch sử người nhận
- Phân tích hành vi
- Các kỹ thuật tiên tiến khác
Kết quả của các kiểm tra xác thực ngầm định của Microsoft được kết hợp thành một giá trị duy nhất được gọi là xác thực tổng hợp ( compauth). Giá trị này được đóng dấu vào tiêu đề thông báo Authentication-Results.
Kết quả dương tính giả và kết quả âm tính giả
- Lỗi nhận diện sai (False Positive
FP) : xảy ra khi một email thực chất không phải là thư rác, nhưng hệ thống của bạn nhầm tưởng và đưa nó vào thư mục thư rác hoặc khu cách ly. - Sai sót âm tính (False Negative
FN) : xảy ra khi một email thực chất là thư rác, nhưng hệ thống của bạn lại cho phép nó đi qua một cách nhầm lẫn, cho rằng nó không phải là thư rác.
Đôi khi tín hiệu xác thực ngầm định hoạt động sai, dẫn đến một tin nhắn tốt bị đánh dấu là tin nhắn xấu (sai dương tính) và một email đáng ngờ có thể được gửi đi (sai âm tính).
LƯU Ý : Xác thực ngầm giúp ngăn chặn việc từ chối các email hợp lệ có thể, ví dụ, không vượt qua kiểm tra DMARC trong quá trình xử lý đến. Nếu bạn muốn kiểm soát chi tiết hơn cách xử lý các lỗi DMARC.
Để giúp cải thiện chất lượng tín hiệu, bạn có thể báo cáo các email tốt là “Lỗi nhận diện sai” hoặc báo cáo các email đáng ngờ là “Lỗi nhận diện sai” cho Microsoft bằng trang Gửi báo cáo.
Xử lý các trường hợp dương tính giả
Sau khi báo cáo trường hợp nhận diện sai (email hợp lệ), nếu muốn, bạn có thể tạo mục cho phép trong Danh sách cho phép/chặn của người thuê đối với các tên miền, địa chỉ email, tệp và URL.
Các mục này được lưu giữ trong 45 ngày sau khi hệ thống lọc xác định thực thể đó là an toàn, và sau đó mục cho phép sẽ bị xóa. Ví dụ: Nếu bạn tạo một mục cho phép vào ngày 1 tháng 7 với thời gian xóa được đặt là 45 ngày sau lần sử dụng cuối cùng, và thực thể đó được coi là độc hại cho đến ngày 29 tháng 7 nhưng an toàn từ ngày 30 tháng 7, thì ngày sử dụng cuối cùng sẽ được cập nhật đến ngày 29 tháng 7. Vì nó an toàn, việc cập nhật sẽ dừng lại vào ngày 30 tháng 7, và mục đó sẽ bị xóa vào ngày 12 tháng 9 (45 ngày sau lần cập nhật cuối cùng).
LƯU Ý: Bạn không thể báo cáo địa chỉ IP thông qua trang Gửi báo cáo, nhưng bạn có thể tạo thủ công một mục cho phép trong Danh sách cho phép/chặn của người thuê. Xin lưu ý rằng chỉ hỗ trợ địa chỉ IPv6 , không hỗ trợ địa chỉ IPv4.
Ngoài việc kiểm tra xác thực ngầm định, bạn cũng có thể giảm thiểu các trường hợp nhận diện sai bằng cách tắt cài đặt ASF (Bộ lọc thư rác nâng cao) trong chính sách chống thư rác đến của mình, vì việc bật một hoặc nhiều cài đặt ASF là một phương pháp lọc thư rác mạnh mẽ thường dẫn đến nhận diện sai. Ví dụ, các tin nhắn chứa một số yếu tố nhất định có thể bị đánh dấu là thư rác hoặc bị tăng điểm thư rác. Ngoài ra, các tin nhắn được lọc bởi ASF không thể được báo cáo cho Microsoft là nhận diện sai.
Xử lý các trường hợp âm tính giả
Sau khi báo cáo trường hợp âm tính giả (email đáng ngờ), nếu muốn, bạn có thể tạo mục chặn trong Danh sách cho phép/chặn của người thuê đối với các tên miền và địa chỉ email, tệp và URL.
Các mục này sẽ hết hạn sau 30 ngày, nhưng bạn cũng có thể thiết lập để chúng hết hạn sau 90 ngày hoặc vô thời hạn. Các mục chặn người gửi giả mạo và địa chỉ IP giả mạo sẽ không bao giờ hết hạn.
LƯU Ý : Bạn không thể báo cáo địa chỉ IP thông qua trang Gửi báo cáo, nhưng bạn có thể tạo thủ công mục chặn trong Danh sách Cho phép/Chặn của Người thuê. Xin lưu ý rằng chỉ hỗ trợ địa chỉ IPv6, không hỗ trợ địa chỉ IPv4.
Bên cạnh các bước kiểm tra xác thực ngầm định và các kỹ thuật chống lừa đảo và chống thư rác được MDO khuyến nghị, người dùng cuối nên luôn cảnh giác bằng cách nhận diện các dấu hiệu đáng ngờ trong email, chẳng hạn như xem xét kỹ địa chỉ người gửi, tiêu đề và nội dung email.
Để cung cấp cho người dùng cuối nhiều dấu hiệu cảnh báo hơn khi nhận được email, có thể sử dụng hoặc triển khai các phương pháp sau:
- Mẹo an toàn khi tiếp xúc lần đầu
- Gắn thẻ email bên ngoài
Bạn cũng cần cho phép người dùng báo cáo các trường hợp âm tính giả (email đáng ngờ) và dương tính giả (email hợp lệ) cho Microsoft bằng cách bật nút Báo cáo tích hợp sẵn, nếu bạn chưa làm như vậy, hoặc bằng cách sử dụng giải pháp của bên thứ ba như KnowBe4.
LƯU Ý : Nếu bạn vẫn đang sử dụng các tiện ích bổ sung Microsoft Report Message hoặc Report Phishing, hãy cân nhắc chuyển sang sử dụng nút báo cáo tích hợp sẵn. Các tiện ích bổ sung này có các lỗ hổng bảo mật khiến chúng không an toàn cho tổ chức của bạn và sẽ bị loại bỏ dần theo thời gian.
Tổng kết
Vậy là tôi vừa hướng dẫn xong cho bạn Cách Xử lý Email bị nhận diện sai và bỏ sót sai trên Microsoft Defender for Office 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
