有几位用户报告收到了钓鱼邮件,至少有一位用户承认点击了链接。调查发现,他们的 Microsoft 365 帐户已被盗用(尽管启用了 MFA,但似乎不需要),我发现他们的 Outlook 邮箱规则将某些邮件移动到 RSS 源文件夹(为什么默认情况下仍是这样做),这样就不会找到它们了。
我怀疑其他用户可能也受到了类似的攻击,但可能不知道或不愿承认。除了我正在调查的其他事情之外,我想知道是否有可能识别所有在过去 14 天内创建了规则的邮箱,或包含非空 RSS 源文件夹的邮箱。
我需要安装在我的 Windows Server 2016 上的 Office 2019 通过 Windows Update 进行更新,我似乎已经尝试了所有方法来让它工作,删除注册表项添加注册表项,将本地组策略设置为启用并检查其他更新选项,将其设置为未配置,然后重试
有人对此有任何帮助吗
我正在尝试让 DMARC 处理我通过 Office 365 和 Amazon SES 发送的电子邮件。它适用于 Office 365,因为我在 DNS 中设置了 SPF 和 DKIM 记录,但由于域对齐错误 (amazonses.com != mydomain.com),我通过 Amazon SES 发送的电子邮件失败。我知道我需要创建自定义 MAIL FROM 域,但在将 TXT 和 MX 记录添加到 Route 53 上的 DNS 时遇到问题。
问题是我使用 Office 365 处理所有电子邮件,并且我已经有mydomain-com.mail.protection.outlook.com. 在亚马逊创建自定义 MAIL FROM 域的说明中,它给出了以下警告:
要使用 Amazon SES 成功设置自定义 MAIL FROM 域,您必须将一条 MX 记录发布到 MAIL FROM 域的 DNS 服务器。如果 MAIL FROM 域具有多个 MX 记录,则使用 Amazon SES 的自定义 MAIL FROM 设置将会失败。
如果我已有 MX 记录以允许 Office 365 处理我的电子邮件,我应该如何为自定义 MAIL FROM 域添加新的 TXT 和 MX 记录?
我不想要求在 Exchange online/O365 中使用 TLS 1.2,因为它可能会导致一些重要的商业电子邮件无法发送/接收。
因此,如果不使用 TLS,是否有人找到了一种方法来使用 Office 365 消息加密 (OME) 等实际加密所有进/出电子邮件以确保其已加密。
截至 2023 年 2 月左右,仅当启用我们的转发 Web 代理解决方案时,登录 Microsoft 帐户(个人/消费者)通常可以正常工作(例如,在https://login.live.com/),Microsoft Learn 除外和 Enterprise Skills Initiative (ESI) 无法识别该帐户已登录,并且尝试在该页面上登录似乎可以通过并有效但实际上没有,并且在后台某处记录了以下错误消息:
{"error":"invalid_grant","error_description":"AADSTS500021:拒绝访问“Microsoft 帐户”租户。
我正在尝试通过 O365 上的 Exchange 进行内容搜索,以返回[email protected]和outsidedomain.com中的任何人之间的邮件
我认为这应该适用于 KQL:
(ParticipantDomains:outsidedomain.com) AND ((Sender:[email protected]) OR (Recipients:[email protected]))
但是,这似乎包括所有发往/发自 [email protected] 的邮件
- 无论它是从谁发送/发送给谁
- 此外,如果 [email protected] 在发送给它的组中。
我需要输入什么才能只找到 [email protected] 和 outsidedomain.com 上的任何人之间的直接电子邮件对话?
谢谢
这是一个纯 M365 环境。没有混合,6 个用户中有 5 个按预期工作。
6 人中有 1 人无法通过 Windows 桌面版 Outlook 登录。MS Mail/Andoird Outlook/Outlook for Web 都正常并且按预期工作。
在 Windows 桌面 Outlook 365(最新版)中,我们正常设置邮件配置文件并弹出登录框,我们输入用户并通过……什么都没有。只是循环回到要求用户/通行证。我们被困在这一点上。
发生了什么,这是跨多个机器/版本的 Outlook/网络,身份验证请求甚至似乎没有到达 Exchange Online。
如果我查看 AzureAD 登录日志,就会发现没有任何尝试使用此帐户登录 Outlook 的条目。
为了证明这一点,我尝试从具有唯一 IP 的移动热点登录。在半小时左右的零星登录尝试后,AzureAD 登录页面显示没有对此 IP 的尝试。当我尝试登录 Outlook for Web 时,该 IP 会出现一个条目(并且登录 OfW 成功)。我在不同的租户上用不同的账户测试了这个,它立即在这个热点上工作。
我已经尝试从用户系统、我自己的系统、几个网络和一个已知工作版本的 Outlook 中的新配置文件。同一租户中的所有其他用户都很好。
因此,此用户配置中的某些内容阻止 Outlook 甚至尝试连接到 Exchange Online。这个用户有一堆历史,我也不是私人的,无法找到,在某些时候有应用程序密码和 MFA,但这些已被删除/禁用。直到最近,这一直有效,然后他们的 Windows 桌面被重新安装,现在我们遇到了这个问题。我怀疑可能有人试图解决一个没有被转发的问题,但我不明白是什么。
Microsoft Connectivity Analyzer 顺利通过,正如我所说,同一租户的其他用户工作正常。
关于为什么该用户可能无法进行身份验证的任何想法?
问题:
- 我有一个分配给 office 365 组 A 的内部用户列表。我们现在想要创建其他 office 365 组(B、C、...),这些组将继承/同步组 A 中的所有用户并允许额外的外部或要添加/删除的内部用户(每个团队唯一)。实现这一结果的最佳架构是什么?
我试过的:
- 在 Azure AD 中,您可以将办公室组成员身份类型从Assigned更改为Dynamic user。例如,这允许我将每个用户的部门属性设置为“组 A”,然后为每个组创建动态成员资格规则,以检查这些部门属性以分配用户。
- 问题在于我们有 30 多个组和 100 多个用户。这成为为每个用户分配适当的属性和为每个组分配规则的大量工作。
如果有更好的架构实现,我将不胜感激。提前致谢!
我们通过 Lucy Security 向用户发起网络钓鱼活动。这些电子邮件包含指向登录页面的链接。点击后,统计信息将发送到我们的网络钓鱼平台,包括点击的用户、时间和来自哪个 IP。
我们在反垃圾邮件 (Defender 365) 中将 Lucy Security 的服务器 IP 列入白名单,以便将垃圾邮件置信度设置为 -1,不检查附件和链接等。到目前为止,我们没有从 Microsoft IP 获得太多点击。
问题是我们从属于 Google Fiber、Amazon、Verizon 和我从未听说过的美国其他一些电信公司(我们在加拿大)的 IP 获得点击。所有这些IP都在美国。这怎么可能?
我觉得应该发生的是:
- Lucy 将电子邮件从其内部服务器发送到我们的 Exchange 邮箱(由 Microsoft 365 托管)
- 这些电子邮件在 Microsoft 内部进行了几次跳跃
- 跳过我们列入白名单的所有反垃圾邮件措施
- 电子邮件在我们的邮箱中发送
在查看我收到的 Lucy 电子邮件的标题时,这似乎正是发生的事情,但我们却从美国的一些本地 ISP 那里获得了点击。
几点注意事项:
- 我在制作这些网络钓鱼电子邮件时会欺骗地址。欺骗地址被放入 From 标头以及 Return-Path 标头中。当欺骗来自知名域(例如 protonmail.com)的地址时,我确实得到了比随机地址更多的不需要的点击。
- 我们没有异地工作人员,即我们所有的用户都在我们的一个公共 IP 后面。
我没有得到什么?这些电子邮件是如何在美国某处被点击的(似乎是反垃圾邮件)?有人知道从哪里开始解决这个问题吗?如果您需要更多信息,请告诉我。