Я управляю ИТ в своей организации с помощью O365. Недавно один из наших пользователей получил электронное письмо с адреса support@< domain >. Я не создавал этот адрес электронной почты в нашем домене. Обратился в службу поддержки Microsoft, и они провели трассировку сообщения, которая показала, что обратный путь также был support@< domain >. Они сказали, что это показывает, что кто-то смог создать адрес электронной почты в домене. Меня беспокоит, что это значит и какой доступ может иметь этот человек. Можно ли подделать обратный путь?
У нас включен MFA для всех пользователей. У нас включен SPF, и я сейчас работаю над DMARC и DKIM. Я сбросил пароли всех.
Что еще я могу сделать, чтобы защититься от этого? Что я могу сделать, чтобы гарантировать, что в настоящее время нет несанкционированного доступа к нашему домену?
Большое спасибо.
решение1
Выполните собственную трассировку сообщений из Центра безопасности и соответствия требованиям и убедитесь, что электронное письмо отправлено вашим клиентом Office 365.
Проверьте журналы входов в Azure AD на предмет подозрительных входов.
Просмотрите журналы «Рискованные пользователи», «Рискованные входы» и «Обнаружение рисков» в Azure AD и найдите подозрительную активность.
Создайте транспортное правило подмены отображаемого имени в Exchange Online, чтобы в будущем было легче выявлять поддельные электронные письма.https://jaapwesselius.com/2020/03/27/внешние-отправители-с-соответствующими-именами-дисплея/
РЕДАКТИРОВАТЬ:
Подключитесь к Exchange Online с помощью Powershell и выполните следующую команду, чтобы узнать, есть ли в каком-либо почтовом ящике вашего клиента Office 365 указанный адрес электронной почты.
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
Затем выполните следующую команду, чтобы проверить то же самое для всех типов получателей:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
Если почтовых ящиков или других типов получателей с таким адресом электронной почты нет, то вы можете быть уверены, что адрес электронной почты не принадлежит вашему клиенту Office 365. Затем создайте транспортное правило подмены отображаемого имени, чтобы отслеживать это в будущем.
решение2
Очень просто отправлять сообщения с любого домена в вашей сети, если вы разрешите ретрансляцию SMTP на O365 из диапазона ваших корпоративных IP-адресов.
Это распространенная ошибка в настройке безопасности, на которую я обращаю внимание.
- войдите в свой центр администрирования O365 Exchange
- Перейдите в раздел Почтовый поток > Коннекторы
- Проверьте настройки правил коннектора, они покажут, какие публичные IP-адреса/сети разрешены.
На основе найденных вами IP-адресов будет показано, кто может отправлять поддельные электронные письма с этих IP-адресов любому пользователю вашего клиента O365.