Email

來自域內的 O365 欺騙性電子郵件

  • September 2, 2020

我使用 O365 在我的組織中管理我們的 IT。我們的一位使用者最近收到了一封來自地址 support@<域> 的電子郵件。我尚未在我們的域中創建此電子郵件地址。繼續使用 Microsoft 支持,他們對其進行了消息跟踪,顯示返迴路徑也是 support@<域>。他們說這表明有人能夠在域內創建電子郵件地址。我擔心這意味著什麼以及此人可能擁有什麼訪問權限。是否可以欺騙返迴路徑?

我們為所有使用者啟用了 MFA。我們啟用了 SPF,我現在正在研究 DMARC 和 DKIM。我已經重置了每個人的密碼。

我還能做些什麼來防止這種情況發生?我可以做些什麼來確保目前沒有未經授權的訪問我們的域?

非常感謝。

  1. 從安全與合規中心執行您自己的郵件跟踪,並驗證電子郵件是否來自您的 Office 365 租戶。
  2. 查看 Azure AD 中的登錄日誌以查找可疑登錄。
  3. 查看 Azure AD 中的風險使用者、風險登錄和風險檢測日誌並查找可疑活動。
  4. 在 Exchange Online 中創建顯示名稱欺騙傳輸規則,以幫助辨識未來的欺騙電子郵件。- https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/

編輯:

使用 Powershell 連接到 Exchange Online 並執行以下命令以查找您的 Office 365 租戶中的任何郵箱是否有問題的電子郵件地址。

Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:emailaddress@yourdomain.com'} |
Format-List Identity, EmailAddresses

然後執行以下命令檢查所有收件人類型的相同內容:

Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv

如果沒有具有該電子郵件地址的郵箱或其他收件人類型,則您可以放心,該電子郵件地址並非來自您的 Office 365 租戶。然後創建您的顯示名稱欺騙傳輸規則以在將來擷取此問題。

引用自:https://serverfault.com/questions/1032332