Responder a uma conta de e-mail comprometida
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Os conectores são usados para habilitar o fluxo de email entre o Microsoft 365 e os servidores de email que você tem em seu ambiente local. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.
Um conector de entrada com o valor OnPremises
Type é considerado comprometido quando um invasor cria um novo conector ou modifica e conector existente para enviar spam ou email de phishing.
Este artigo explica os sintomas de um conector comprometido e como recuperar o controle dele.
Sintomas de um conector comprometido
Um conector comprometido exibe uma ou mais das seguintes características:
- Um aumento repentino no volume de emails de saída.
- Uma incompatibilidade entre o
5321.MailFrom
endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) e o5322.From
endereço (também conhecido como o remetente From ou P2) no email de saída. Para obter mais informações sobre esses remetentes, consulte Como o EOP valida o endereço De para evitar phishing. - Emails de saída enviados de um domínio que não está provisionado ou registrado.
- O conector está impedido de enviar ou retransmitir emails.
- A presença de um conector de entrada que não foi criado por um administrador.
- Alterações não autorizadas na configuração de um conector existente (por exemplo, o nome, o nome do domínio e o endereço IP).
- Uma conta de administrador comprometida recentemente. Criar ou editar conectores requer acesso de administrador.
Se você vir esses sintomas ou outros sintomas incomuns, você deve investigar.
Proteger e restaurar a função de email para um conector comprometido suspeito
Faça todas as etapas a seguir para recuperar o controle do conector. Siga as etapas assim que você suspeitar de um problema e o mais rápido possível para garantir que o invasor não retome o controle do conector. Essas etapas também ajudam você a remover todas as entradas de porta traseira que o invasor pode ter adicionado ao conector.
Etapa 1: identificar se um conector de entrada foi comprometido
Examinar o tráfego suspeito recente ou mensagens relacionadas
Em Microsoft Defender para Office 365 Plano 2, abra o portal de Microsoft Defender em https://security.microsoft.com e vá para Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorer.
Na página Explorer, verifique se a guia Todos os emails está selecionada e configure as seguintes opções:
- Selecione o intervalo de data/hora.
- Selecione Conector.
- Insira o nome do conector na caixa Pesquisa.
- Selecione Atualizar.
Procure picos anormais ou quedas no tráfego de email.
Responda às seguintes perguntas:
- O IP do Remetente corresponde ao endereço IP local da sua organização?
- Houve um número significativo de mensagens recentes enviadas para a pasta Junk Email? Esse resultado indica claramente que um conector comprometido foi usado para enviar spam.
- É razoável que os destinatários de mensagens recebam emails de remetentes em sua organização?
Em Microsoft Defender para Office 365 ou Proteção do Exchange Online, use alertas e rastreamento de mensagens para procurar os sintomas de comprometimento do conector:
Abra o portal https://security.microsoft.com do Defender e acesse Alertas de alertas de & incidentes>. Ou, para ir diretamente para a página Alertas, use Alertas de atividade do conector suspeito em https://security.microsoft.com/alerts.
Na página Alertas, use aatividade de conector Suspeito da Política> de Filtro> para localizar quaisquer alertas relacionados à atividade suspeita do conector.
Selecione um alerta de atividade do conector suspeito clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. Na página de detalhes que é aberta, selecione uma atividade em Lista de atividades e copie os valores de domínio do Conector e endereço IP do alerta.
Abra o centro https://admin.exchange.microsoft.com de administração do Exchange e vá para orastreamento de mensagensde fluxo> de email. Ou, para ir diretamente para a página de rastreamento de mensagens , use https://admin.exchange.microsoft.com/#/messagetrace.
Na página Rastreamento de mensagens, selecione a guia Consultas personalizadas, selecione Iniciar um rastreamento e use os valores de endereço IP e domínio do Conector na etapa anterior.
Para obter mais informações sobre o rastreamento de mensagens, consulte Rastreamento de mensagens no centro de administração do Exchange moderno em Exchange Online.
Nos resultados do rastreamento de mensagens, procure as seguintes informações:
- Um número significativo de mensagens foi recentemente marcado como FilteredAsSpam. Esse resultado indica claramente que um conector comprometido foi usado para enviar spam.
- Se é razoável que os destinatários de mensagens recebam emails de remetentes em sua organização
Investigar e validar atividade relacionada ao conector
Em Exchange Online PowerShell, substitua <StartDate> e <EndDate> por seus valores e execute o comando a seguir para localizar e validar a atividade do conector relacionada ao administrador no log de auditoria. Para obter mais informações, consulte Usar um script do PowerShell para pesquisar o log de auditoria.
Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Pesquisa-UnifiedAuditLog.
Etapa 2: examinar e reverter alterações não autorizadas em um conector
Abra o centro de administração do Exchange e https://admin.exchange.microsoft.com vá paraConectores de fluxo> de email. Ou, para ir diretamente para a página, usar Conectores,https://admin.exchange.microsoft.com/#/connectors.
Na página Conectores , examine a lista de conectores. Remova ou desative todos os conectores desconhecidos e marcar cada conector para alterações de configuração não autorizadas.
Etapa 3: desbloquear o conector para habilitar novamente o fluxo de email
Depois de recuperar o controle do conector comprometido, desbloqueie o conector na página Entidades restritas no portal do Defender. Para obter instruções, consulte Remover conectores bloqueados da página Entidades restritas.
Etapa 4: Investigar e corrigir contas de administrador potencialmente comprometidas
Depois de identificar a conta de administrador responsável pela atividade de configuração do conector não autorizado, investigue a conta de administrador para obter comprometimento. Para obter instruções, consulte Respondendo a uma conta de Email comprometida.
Mais informações
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de