Ich verwalte die IT in meiner Organisation mit O365. Einer unserer Benutzer hat kürzlich eine E-Mail von der Adresse support@<Domäne> erhalten. Ich habe diese E-Mail-Adresse nicht in unserer Domäne erstellt. Ich habe mich an den Microsoft-Support gewandt und dort wurde eine Nachrichtenverfolgung durchgeführt, die zeigte, dass der Rückpfad ebenfalls support@<Domäne> war. Sie sagten, dies zeige, dass jemand in der Lage war, eine E-Mail-Adresse innerhalb der Domäne zu erstellen. Ich bin besorgt darüber, was das bedeutet und welchen Zugriff diese Person haben könnte. Ist es möglich, einen Rückpfad zu fälschen?
Wir haben MFA für alle Benutzer aktiviert. Wir haben SPF aktiviert und ich arbeite jetzt an DMARC und DKIM. Ich habe alle Passwörter zurückgesetzt.
Was kann ich sonst noch tun, um mich davor zu schützen? Was kann ich tun, um sicherzustellen, dass es aktuell keinen unberechtigten Zugriff auf unsere Domain gibt?
Vielen Dank.
Antwort1
Führen Sie Ihre eigene Nachrichtenverfolgung vom Sicherheits- und Compliance Center aus durch und überprüfen Sie, ob die E-Mail von Ihrem Office 365-Mandanten stammt.
Suchen Sie in den Anmeldeprotokollen in Azure AD nach verdächtigen Anmeldungen.
Sehen Sie sich die Protokolle „Riskante Benutzer“, „Riskante Anmeldungen“ und „Risikoerkennung“ in Azure AD an und suchen Sie nach verdächtigen Aktivitäten.
Erstellen Sie in Exchange Online eine Transportregel zum Spoofing von Anzeigenamen, um gefälschte E-Mails in Zukunft leichter identifizieren zu können. -https://jaapwesselius.com/2020/03/27/externe-sender-mit-übereinstimmenden-anzeigenamen/
BEARBEITEN:
Stellen Sie mit Powershell eine Verbindung zu Exchange Online her und führen Sie Folgendes aus, um herauszufinden, ob ein Postfach in Ihrem Office 365-Mandanten die fragliche E-Mail-Adresse enthält.
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
Führen Sie dann Folgendes aus, um dasselbe für alle Empfängertypen zu überprüfen:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
Wenn es keine Postfächer oder andere Empfängertypen mit dieser E-Mail-Adresse gibt, können Sie sicher sein, dass die E-Mail-Adresse nicht von Ihrem Office 365-Mandanten stammt. Erstellen Sie dann Ihre Transportregel zum Spoofing des Anzeigenamens, um dies in Zukunft zu erkennen.
Antwort2
Das Senden von jeder beliebigen Domäne innerhalb Ihres Netzwerks ist sehr einfach, wenn Sie SMTP-Relay von Ihrem Firmen-IP-Bereich an O365 zulassen.
Ich suche nach einer häufigen Sicherheitsfehlkonfiguration.
- Melden Sie sich bei Ihrem O365 Exchange-Verwaltungscenter an
- Navigieren Sie zu Nachrichtenfluss > Konnektoren.
- Überprüfen Sie die eingerichteten Connector-Regeln. Diese zeigen an, welche öffentlichen IPs/Netzwerke zulässig sind
Auf Grundlage der gefundenen IP(s) wird angezeigt, wer von diesen IP(s) aus gefälschte E-Mails an beliebige Personen in Ihrem O365-Mandanten senden kann.