Administro nuestra TI en mi organización usando O365. Uno de nuestros usuarios recibió recientemente un correo electrónico de la dirección support@<dominio>. No he creado esta dirección de correo electrónico en nuestro dominio. Continué con el soporte de Microsoft e hicieron un seguimiento de mensajes que mostraba que la ruta de retorno también era soporte@<dominio>. Dijeron que esto demostraba que alguien podía crear una dirección de correo electrónico dentro del dominio. Me preocupa lo que esto significa y qué acceso podría tener esta persona. ¿Es posible falsificar un camino de regreso?
Tenemos MFA habilitado para todos los usuarios. Tenemos SPF habilitado y ahora estoy trabajando en DMARC y DKIM. Restablecí las contraseñas de todos.
¿Qué más puedo hacer para protegerme contra esto? ¿Qué puedo hacer para garantizar que no exista ningún acceso no autorizado a nuestro dominio?
Muchas gracias.
Respuesta1
Realice su propio seguimiento de mensajes desde el centro de seguridad y cumplimiento y verifique que el correo electrónico se haya originado en su inquilino de Office 365.
Mire los registros de inicios de sesión en Azure AD para detectar inicios de sesión sospechosos.
Mire los registros de usuarios riesgosos, inicios de sesión riesgosos y detección de riesgos en Azure AD y busque actividad sospechosa.
Cree una regla de transporte de suplantación de nombre para mostrar en Exchange Online para ayudar a identificar correos electrónicos falsificados en el futuro. -https://jaapwesselius.com/2020/03/27/remitentes-externos-con-nombres-de-visualización-coincidentes/
EDITAR:
Conéctese a Exchange Online con Powershell y ejecute lo siguiente para encontrar si algún buzón de su inquilino de Office 365 tiene la dirección de correo electrónico en cuestión.
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
Luego ejecute lo siguiente para verificar lo mismo para todos los tipos de destinatarios:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
Si no hay buzones de correo u otros tipos de destinatarios con esa dirección de correo electrónico, puede estar seguro de que la dirección de correo electrónico no se originó en su inquilino de Office 365. Luego cree su regla de transporte de suplantación de nombre para mostrar para detectar esto en el futuro.
Respuesta2
Es muy fácil enviar desde cualquier dominio dentro de su red si permite la retransmisión SMTP a O365 desde el rango de IP de su empresa.
Lo que busco es un error de configuración de seguridad común.
- inicie sesión en su centro de administración de O365 Exchange
- Vaya a Flujo de correo > Conectores
- Verifique las reglas del conector configuradas, esto mostrará qué IP/redes públicas están permitidas
Según las IP que encuentre, esto mostrará quién puede enviar correos electrónicos falsificados desde esas IP a cualquier persona en su inquilino de O365.