저는 O365를 사용하여 조직의 IT를 관리합니다. 최근 사용자 중 한 명이 support@< domain > 주소로부터 이메일을 받았습니다. 나는 우리 도메인에 이 이메일 주소를 만들지 않았습니다. Microsoft 지원을 받고 반환 경로도 support@< domain >임을 보여주는 메시지 추적을 수행했습니다. 그들은 이것이 누군가가 도메인 내에서 이메일 주소를 만들 수 있다는 것을 보여준다고 말했습니다. 이것이 무엇을 의미하는지, 이 사람이 어떤 접근 권한을 가질 수 있는지 걱정됩니다. 반환 경로를 스푸핑하는 것이 가능합니까?
모든 사용자에 대해 MFA가 활성화되었습니다. SPF를 활성화했으며 현재 DMARC 및 DKIM에서 작업 중입니다. 모든 사람의 비밀번호를 재설정했습니다.
이를 방지하기 위해 또 무엇을 할 수 있나요? 현재 우리 도메인에 대한 무단 액세스가 없도록 하려면 어떻게 해야 합니까?
매우 감사합니다.
답변1
보안 및 규정 준수 센터에서 자체 메시지 추적을 수행하고 이메일이 Office 365 테넌트에서 전송되었는지 확인하세요.
의심스러운 로그인이 있는지 Azure AD의 로그인 로그를 살펴보세요.
Azure AD에서 위험한 사용자, 위험한 로그인 및 위험 감지 로그를 살펴보고 의심스러운 활동을 찾습니다.
나중에 스푸핑된 전자 메일을 식별하는 데 도움이 되도록 Exchange Online에서 표시 이름 스푸핑 전송 규칙을 만듭니다. -https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
편집하다:
Powershell을 사용하여 Exchange Online에 연결하고 다음을 실행하여 Office 365 테넌트의 사서함에 문제의 전자 메일 주소가 있는지 확인하세요.
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
그런 다음 다음을 실행하여 모든 수신자 유형에 대해 동일한 내용을 확인합니다.
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
해당 전자 메일 주소를 사용하는 사서함이나 다른 수신자 유형이 없으면 해당 전자 메일 주소가 Office 365 테넌트에서 나온 것이 아니라는 점을 확신할 수 있습니다. 그런 다음 표시 이름 스푸핑 전송 규칙을 만들어 나중에 이를 포착하세요.
답변2
회사 IP 범위에서 O365로 SMTP 릴레이를 허용하면 네트워크 내의 모든 도메인에서 보내는 것이 매우 쉽습니다.
내가 찾는 것은 일반적인 보안 구성 오류입니다.
- O365 Exchange 관리 센터에 로그인하세요.
- 메일 흐름 > 커넥터로 이동합니다.
- 설정된 커넥터 규칙을 확인하면 어떤 공용 IP/네트워크가 허용되는지 표시됩니다.
찾은 IP를 기반으로 해당 IP에서 O365 테넌트의 누구에게나 스푸핑된 이메일을 보낼 수 있는 사람이 누구인지 표시됩니다.