我使用 O365 在我的组织中管理我们的 IT。我们的一位用户最近收到了一封来自地址 support@<域> 的电子邮件。我尚未在我们的域中创建此电子邮件地址。继续使用 Microsoft 支持,他们对其进行了消息跟踪,显示返回路径也是 support@<域>。他们说这表明有人能够在域内创建电子邮件地址。我担心这意味着什么以及此人可能拥有什么访问权限。是否可以欺骗返回路径?
我们为所有用户启用了 MFA。我们启用了 SPF,我现在正在研究 DMARC 和 DKIM。我已经重置了每个人的密码。
我还能做些什么来防止这种情况发生?我可以做些什么来确保当前没有未经授权的访问我们的域?
非常感谢。
从安全与合规中心执行您自己的邮件跟踪,并验证电子邮件是否来自您的 Office 365 租户。
查看 Azure AD 中的登录日志以查找可疑登录。
查看 Azure AD 中的风险用户、风险登录和风险检测日志并查找可疑活动。
在 Exchange Online 中创建显示名称欺骗传输规则,以帮助识别未来的欺骗电子邮件。- https://jaapwesselius.com/2020/03/27/external-senders-with-matching-display-names/
编辑:
使用 Powershell 连接到 Exchange Online 并运行以下命令以查找您的 Office 365 租户中的任何邮箱是否有问题的电子邮件地址。
然后运行以下命令检查所有收件人类型的相同内容:
如果该电子邮件地址没有邮箱或其他收件人类型,则您可以放心,该电子邮件地址并非来自您的 Office 365 租户。然后创建您的显示名称欺骗传输规则以在将来捕获此问题。
如果您允许 SMTP 从您的公司 IP 范围中继到 O365,那么从您网络中的任何域发送都非常容易。
这是我寻找的常见安全错误配置。
根据您找到的 IP,这将显示谁可以从该 IP 向您的 O365 租户中的任何人发送欺骗性电子邮件。