Freigeben über


Get-SpoofMailReport

Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.

Verwenden Sie das Cmdlet Get-SpoofMailReport, um Informationen zu gefälschten Absendern in Ihrer cloudbasierten Organisation für die letzten 90 Tage anzuzeigen. Bei Spoofing unterscheidet sich der Absender der eingehenden Nachricht von der tatsächlichen Quelle der Nachricht (z. B. ist der Absender lila@contoso.com, aber die Nachricht wurde von der E-Mail-Infrastruktur von fabrikam.com gesendet).

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Get-SpoofMailReport
   [-Action <MultiValuedProperty>]
   [-Direction <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Beschreibung

Das Cmdlet Get-SpoofMailReport gibt die folgenden Informationen zurück:

  • Date: Datum, an dem die Nachricht gesendet wurde.
  • Event Type: In der Regel lautet dieser Wert SpoofMail.
  • Direction: Dieser Wert lautet Inbound.
  • Domain: Die Absenderdomäne. Dies entspricht einer der akzeptierten Domänen Ihrer Organisation.
  • Gefälschter Benutzer: Die sendende E-Mail-Adresse, wenn die Domäne eine der Domänen Ihrer Organisation ist, oder die sendende Domäne, wenn die Domäne extern ist.
  • True Sender: Die Organisationsdomäne des PTR-Eintrags oder Zeigerdatensatzes der sendenden IP-Adresse, auch als Reverse-DNS-Adresse bezeichnet. Wenn die sendende IP-Adresse keinen PTR-Eintrag enthält, ist dieses Feld leer, und die Spalte Absender-IP wird ausgefüllt. Beide Spalten werden nicht zur gleichen Zeit ausgefüllt.
  • Sendeinfrastruktur: Die echte Sendedomäne, die sich im DNS-Eintrag des Quell-E-Mail-Servers befindet. Wenn keine Domäne gefunden wird, wird die IP-Adresse des Quell-E-Mail-Servers angezeigt.
  • Count: Die Anzahl von Spoof-Nachrichten, die während des angegebenen Zeitraums vom Quellmessagingserver an Ihre Organisation gesendet wurden.
  • Spooftyp: Die Beziehung zwischen dem Absender und der Empfängerdomäne der Spoof-E-Mail. Wenn beide zu derselben Domäne (einschließlich Unterdomänen) oder derselben Domäne gehören, die sich im Besitz derselben Organisation befindet, ist spoof Type organisationsintern oder intern. Wenn beide zu unterschiedlichen Domänen gehören, ist spoof Type organisationsübergreifend oder extern.
  • Quelle: In der Regel ist dieser Wert "Spoofintelligenz".
  • Ergebnis: CompAuthResult
  • Ergebniscode: CompAuthReason
  • SPF
  • DKIM
  • DMARC

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

Get-SpoofMailReport -StartDate 03/01/2020 -EndDate 03/11/2020

Dieses Beispiel zeigt Erkennungen von Insiderspoofing in Ihrer Organisation im März 2016.

Parameter

-Action

Der Action-Parameter filtert den Bericht nach der Aktion, die für Nachrichten ausgeführt wird. Führen Sie den Befehl aus, um die vollständige Liste der gültigen Werte für diesen Parameter anzuzeigen: Get-MailFilterListReport -SelectionTarget Actions. Die Aktion, die Sie angeben, muss dem Berichtstyp entsprechen. Beispielsweise können Sie nur Schadsoftwarefilteraktionen für Schadsoftwareberichte angeben.

Der Parameter Action filtert den Bericht nach der Aktion, die von DLP-Richtlinien, Transportregeln, Schadsoftwarefilterung oder Spamfilterung ausgeführt wird. Führen Sie zum Anzeigen der vollständigen Liste gültiger Werte für diese Parameter den Befehl Get-MailFilterListReport -SelectionTarget Actions aus. Die Aktion, die Sie angeben, muss dem Berichtstyp entsprechen. Beispielsweise können Sie nur Schadsoftwarefilteraktionen für Schadsoftwareberichte angeben.

Gängige Werte für diesen Bericht sind GoodMail und CaughtAsSpam.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Der Direction-Parameter filtert die Ergebnisse nach eingehenden Nachrichten. Der gültige Wert für diesen Parameter ist Inbound.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

Der Parameter EventType filtert den Bericht nach Ereignistyp. Der einzige gültige Wert für diesen Parameter ist SpoofMail.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Der Page-Parameter gibt die Seitenanzahl der anzuzeigenden Ergebnisse an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 1000. Der Standardwert ist 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

Der PageSize-Parameter gibt die maximale Anzahl von Einträgen pro Seite an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 5000. Der Standardwert ist 1000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection