我使用 O365 管理我所在组织的 IT。我们的一位用户最近收到了一封来自 support@< domain > 地址的电子邮件。我还没有在我们的域中创建此电子邮件地址。我联系了 Microsoft 支持,他们对其进行了消息跟踪,结果显示返回路径也是 support@< domain >。他们说这表明有人能够在域内创建电子邮件地址。我担心这意味着什么以及这个人可能拥有什么访问权限。是否有可能伪造返回路径?
我们已为所有用户启用 MFA。我们已启用 SPF,我现在正在研究 DMARC 和 DKIM。我已重置所有人的密码。
我还能做些什么来防止这种情况发生?我能做些什么来确保当前没有未经授权的访问我们的域?
非常感谢。
答案1
从安全和合规中心执行您自己的消息跟踪,并验证电子邮件是否来自您的 Office 365 租户。
查看 Azure AD 中的登录日志,查找可疑登录。
查看 Azure AD 中的“有风险用户”、“有风险登录”和“风险检测”日志并查找可疑活动。
在 Exchange Online 中创建显示名称欺骗传输规则,以帮助将来识别欺骗性的电子邮件。 -https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
编辑:
使用 Powershell 连接到 Exchange Online 并运行以下命令来查找 Office 365 租户中是否有任何邮箱具有相关的电子邮件地址。
Get-Mailbox -Identity * |
Where-Object {$_.EmailAddresses -like 'SMTP:[email protected]'} |
Format-List Identity, EmailAddresses
然后运行以下命令对所有收件人类型检查相同的内容:
Get-Recipient | Select DisplayName, RecipientType, EmailAddresses | Export-CSV c:\temp\recpients.csv
如果没有包含该电子邮件地址的邮箱或其他收件人类型,那么您可以放心,该电子邮件地址不是来自您的 Office 365 租户。然后创建显示名称欺骗传输规则,以便在将来捕获此信息。
答案2
如果您允许 SMTP 从您的公司 IP 范围中继到 O365,则可以非常轻松地从您网络中的任何域发送。
这是我所寻找的常见安全配置错误。
- 登录您的 O365 Exchange 管理中心
- 浏览至邮件流 > 连接器
- 检查连接器规则设置,这将显示允许哪些公共 IP/网络
根据您找到的 IP,这将显示谁可以从该 IP 向您的 O365 租户中的任何人发送欺骗电子邮件。