Eu gerencio nossa TI na minha organização usando o O365. Um de nossos usuários recebeu recentemente um e-mail do endereço support@< domínio >. Não criei este endereço de e-mail em nosso domínio. Entrei em contato com o suporte da Microsoft e eles rastrearam uma mensagem que mostrava que o caminho de retorno também era support@<domain>. Eles disseram que isso mostrou que alguém conseguiu criar um endereço de e-mail dentro do domínio. Estou preocupado com o que isso significa e com que acesso essa pessoa pode ter. É possível falsificar um caminho de retorno?
Temos MFA habilitado para todos os usuários. Temos o SPF habilitado e agora estou trabalhando no DMARC e no DKIM. Redefini as senhas de todos.
O que mais posso fazer para me proteger contra isso? O que posso fazer para garantir que não haja acesso não autorizado ao nosso domínio?
Muito obrigado.
Responder1
Execute seu próprio rastreamento de mensagens no Centro de Segurança e Conformidade e verifique se o email foi originado do seu locatário do Office 365.
Veja os registos de entradas no Azure AD para entradas suspeitas.
Observe os utilizadores arriscados, as entradas arriscadas e os registos de deteção de riscos no Azure AD e procure atividades suspeitas.
Crie uma regra de transporte de falsificação de nome de exibição no Exchange Online para ajudar a identificar emails falsificados no futuro. -https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
EDITAR:
Conecte-se ao Exchange Online com Powershell e execute o seguinte para descobrir se alguma caixa de correio em seu locatário do Office 365 tem o endereço de email em questão.
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
Em seguida, execute o seguinte para verificar a mesma coisa para todos os tipos de destinatários:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
Se não houver caixas de correio ou outros tipos de destinatários com esse endereço de email, você poderá ter certeza de que o endereço de email não foi originado do seu locatário do Office 365. Em seguida, crie sua regra de transporte Display Name Spoofing para capturar isso no futuro.
Responder2
É muito fácil enviar de qualquer domínio da sua rede se você permitir a retransmissão SMTP para o O365 a partir do seu intervalo de IP Corp.
É uma configuração incorreta de segurança comum que procuro.
- faça login no seu centro de administração do O365 Exchange
- Navegue até Fluxo de emails > Conectores
- Verifique as regras do conector configuradas, isso mostrará quais IPs/redes públicas são permitidas
Com base nos IP(s) que você encontrar, isso mostrará quem pode enviar e-mails falsificados desses IP(s) para qualquer pessoa em seu locatário do O365.