私は O365 を使用して組織の IT を管理しています。最近、ユーザーの 1 人が support@< ドメイン > というアドレスからメールを受信しました。このメール アドレスは、私たちのドメインでは作成していません。Microsoft サポートに問い合わせたところ、メッセージ トレースが実行され、返信パスも support@< ドメイン > であることが示されました。これは、誰かがドメイン内にメール アドレスを作成できたことを示しているとのことでした。これが何を意味するのか、この人物がどのようなアクセス権を持っているのかが心配です。返信パスを偽装することは可能ですか?
すべてのユーザーに対して MFA を有効にしています。SPF も有効になっており、現在は DMARC と DKIM に取り組んでいます。全員のパスワードをリセットしました。
これを防ぐために他に何ができるでしょうか? 現在、ドメインへの不正アクセスがないことを確認するにはどうすればよいでしょうか?
どうもありがとう。
答え1
セキュリティおよびコンプライアンス センターから独自のメッセージ追跡を実行し、電子メールが Office 365 テナントから発信されたことを確認します。
疑わしいサインインがないか、Azure AD のサインイン ログを確認します。
Azure AD の危険なユーザー、危険なサインイン、リスク検出ログを確認し、疑わしいアクティビティを探します。
将来なりすましメールを識別できるように、Exchange Online で表示名のなりすましトランスポート ルールを作成します。 -https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
編集:
Powershell を使用して Exchange Online に接続し、次のコマンドを実行して、Office 365 テナント内のメールボックスに問題の電子メール アドレスがあるかどうかを確認します。
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
次に、以下を実行して、すべての受信者タイプに対して同じことを確認します。
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
そのメール アドレスを持つメールボックスやその他の受信者の種類がない場合、そのメール アドレスは Office 365 テナントから発信されたものではないと確信できます。その後、表示名のなりすましのトランスポート ルールを作成して、今後これを検出します。
答え2
企業の IP 範囲から O365 への SMTP リレーを許可すると、ネットワーク内の任意のドメインから簡単に送信できます。
これは私が探している一般的なセキュリティ構成ミスです。
- O365 Exchange管理センターにログイン
- メールフロー > コネクタを参照します
- コネクタルールの設定を確認すると、どのパブリックIP/ネットワークが許可されているかが表示されます。
見つかった IP に基づいて、その IP から O365 テナント内の誰にでもなりすましメールを送信できるユーザーが表示されます。