Responder a uma conta de e-mail comprometida

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Os conectores são usados para habilitar o fluxo de email entre o Microsoft 365 e os servidores de email que você tem em seu ambiente local. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.

Um conector de entrada com o valor OnPremisesType é considerado comprometido quando um invasor cria um novo conector ou modifica e conector existente para enviar spam ou email de phishing.

Este artigo explica os sintomas de um conector comprometido e como recuperar o controle dele.

Sintomas de um conector comprometido

Um conector comprometido exibe uma ou mais das seguintes características:

  • Um aumento repentino no volume de emails de saída.
  • Uma incompatibilidade entre o 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) e o 5322.From endereço (também conhecido como o remetente From ou P2) no email de saída. Para obter mais informações sobre esses remetentes, consulte Como o EOP valida o endereço De para evitar phishing.
  • Emails de saída enviados de um domínio que não está provisionado ou registrado.
  • O conector está impedido de enviar ou retransmitir emails.
  • A presença de um conector de entrada que não foi criado por um administrador.
  • Alterações não autorizadas na configuração de um conector existente (por exemplo, o nome, o nome do domínio e o endereço IP).
  • Uma conta de administrador comprometida recentemente. Criar ou editar conectores requer acesso de administrador.

Se você vir esses sintomas ou outros sintomas incomuns, você deve investigar.

Proteger e restaurar a função de email para um conector comprometido suspeito

Faça todas as etapas a seguir para recuperar o controle do conector. Siga as etapas assim que você suspeitar de um problema e o mais rápido possível para garantir que o invasor não retome o controle do conector. Essas etapas também ajudam você a remover todas as entradas de porta traseira que o invasor pode ter adicionado ao conector.

Etapa 1: identificar se um conector de entrada foi comprometido

Em Microsoft Defender para Office 365 Plano 2, abra o portal de Microsoft Defender em https://security.microsoft.com e vá para Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorer.

  1. Na página Explorer, verifique se a guia Todos os emails está selecionada e configure as seguintes opções:

    • Selecione o intervalo de data/hora.
    • Selecione Conector.
    • Insira o nome do conector na caixa Pesquisa.
    • Selecione Atualizar.

    Exibição do gerenciador de conectores de entrada

  2. Procure picos anormais ou quedas no tráfego de email.

    Número de emails entregues à pasta lixo eletrônico

  3. Responda às seguintes perguntas:

    • O IP do Remetente corresponde ao endereço IP local da sua organização?
    • Houve um número significativo de mensagens recentes enviadas para a pasta Junk Email? Esse resultado indica claramente que um conector comprometido foi usado para enviar spam.
    • É razoável que os destinatários de mensagens recebam emails de remetentes em sua organização?

    IP do remetente e o endereço IP no local da sua organização

Em Microsoft Defender para Office 365 ou Proteção do Exchange Online, use alertas e rastreamento de mensagens para procurar os sintomas de comprometimento do conector:

  1. Abra o portal https://security.microsoft.com do Defender e acesse Alertas de alertas de & incidentes>. Ou, para ir diretamente para a página Alertas, use Alertas de atividade do conector suspeito em https://security.microsoft.com/alerts.

  2. Na página Alertas, use aatividade de conector Suspeito da Política> de Filtro> para localizar quaisquer alertas relacionados à atividade suspeita do conector.

  3. Selecione um alerta de atividade do conector suspeito clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. Na página de detalhes que é aberta, selecione uma atividade em Lista de atividades e copie os valores de domínio do Conector e endereço IP do alerta.

    Detalhes do email de saída de compromisso do conector

  4. Abra o centro https://admin.exchange.microsoft.com de administração do Exchange e vá para orastreamento de mensagensde fluxo> de email. Ou, para ir diretamente para a página de rastreamento de mensagens , use https://admin.exchange.microsoft.com/#/messagetrace.

    Na página Rastreamento de mensagens, selecione a guia Consultas personalizadas, selecione Iniciar um rastreamento e use os valores de endereço IP e domínio do Conector na etapa anterior.

    Para obter mais informações sobre o rastreamento de mensagens, consulte Rastreamento de mensagens no centro de administração do Exchange moderno em Exchange Online.

    Novo sobrevoo de rastreamento de mensagens

  5. Nos resultados do rastreamento de mensagens, procure as seguintes informações:

    • Um número significativo de mensagens foi recentemente marcado como FilteredAsSpam. Esse resultado indica claramente que um conector comprometido foi usado para enviar spam.
    • Se é razoável que os destinatários de mensagens recebam emails de remetentes em sua organização

    Novos resultados da pesquisa de rastreamento de mensagens

Em Exchange Online PowerShell, substitua <StartDate> e <EndDate> por seus valores e execute o comando a seguir para localizar e validar a atividade do conector relacionada ao administrador no log de auditoria. Para obter mais informações, consulte Usar um script do PowerShell para pesquisar o log de auditoria.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Pesquisa-UnifiedAuditLog.

Etapa 2: examinar e reverter alterações não autorizadas em um conector

Abra o centro de administração do Exchange e https://admin.exchange.microsoft.com vá paraConectores de fluxo> de email. Ou, para ir diretamente para a página, usar Conectores,https://admin.exchange.microsoft.com/#/connectors.

Na página Conectores , examine a lista de conectores. Remova ou desative todos os conectores desconhecidos e marcar cada conector para alterações de configuração não autorizadas.

Etapa 3: desbloquear o conector para habilitar novamente o fluxo de email

Depois de recuperar o controle do conector comprometido, desbloqueie o conector na página Entidades restritas no portal do Defender. Para obter instruções, consulte Remover conectores bloqueados da página Entidades restritas.

Etapa 4: Investigar e corrigir contas de administrador potencialmente comprometidas

Depois de identificar a conta de administrador responsável pela atividade de configuração do conector não autorizado, investigue a conta de administrador para obter comprometimento. Para obter instruções, consulte Respondendo a uma conta de Email comprometida.

Mais informações