我使用 O365 管理組織的 IT。我們的一位使用者最近收到了一封來自 support@< 網域 > 的電子郵件。我尚未在我們的網域中建立此電子郵件地址。繼續與 Microsoft 支援聯繫,他們對其進行了訊息跟踪,顯示返迴路徑也是 support@< 網域 >。他們表示,這表明有人能夠在該網域內建立電子郵件地址。我擔心這意味著什麼以及此人可能擁有哪些存取權限。是否有可能欺騙返迴路徑?
我們為所有使用者啟用了 MFA。我們已啟用 SPF,我現在正在處理 DMARC 和 DKIM。我已經重置了每個人的密碼。
我還能做什麼來防止這種情況發生?我可以做什麼來確保目前沒有未經授權的存取我們的網域?
非常感謝。
答案1
從安全與合規中心執行您自己的訊息跟踪,並驗證電子郵件是否源自您的 Office 365 租用戶。
查看 Azure AD 中的登入日誌是否有可疑登入。
查看 Azure AD 中的有風險的使用者、有風險的登入和風險偵測日誌,並尋找可疑活動。
在 Exchange Online 中建立顯示名稱欺騙傳輸規則,以協助將來識別欺騙電子郵件。 -https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
編輯:
使用 Powershell 連線到 Exchange Online 並執行以下命令來尋找 Office 365 租用戶中的任何郵件信箱是否包含有問題的電子郵件地址。
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
然後執行以下命令來檢查所有收件者類型的相同內容:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
如果沒有包含該電子郵件地址的郵件信箱或其他收件者類型,那麼您可以放心,該電子郵件地址不是來自您的 Office 365 租用戶。然後創建您的顯示名稱欺騙傳輸規則以在將來捕獲此問題。
答案2
如果您允許從您的公司 IP 範圍將 SMTP 中繼到 O365,那麼從網路內的任何網域發送都非常容易。
這是我尋找的常見安全配置錯誤。
- 登入您的 O365 Exchange 管理中心
- 瀏覽至郵件流 > 連接器
- 檢查連接器規則設置,這將顯示允許哪些公共 IP/網絡
根據您找到的 IP,這將顯示誰可以從該 IP 向 O365 租戶中的任何人發送欺騙性電子郵件。