Responder a uma conta de e-mail comprometida
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Os conectores são utilizados para ativar o fluxo de correio entre o Microsoft 365 e os servidores de e-mail que tem no seu ambiente no local. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.
Um conector de entrada com o valor OnPremises
Tipo é considerado comprometido quando um atacante cria um novo conector ou modifica e o conector existente para enviar spam ou e-mail de phishing.
Este artigo explica os sintomas de um conector comprometido e como recuperar o controlo do mesmo.
Sintomas de um conector comprometido
Um conector comprometido apresenta uma ou mais das seguintes características:
- Um pico repentino no volume de correio de saída.
- Um erro de correspondência entre o
5321.MailFrom
endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) e o5322.From
endereço (também conhecido como endereço De ou remetente P2) no e-mail de saída. Para obter mais informações sobre estes remetentes, veja Como a EOP valida o endereço De para impedir phishing. - Correio de saída enviado a partir de um domínio que não está aprovisionado ou registado.
- O conector está impedido de enviar ou reencaminhar correio.
- A presença de um conector de entrada que não foi criado por um administrador.
- Alterações não autorizadas na configuração de um conector existente (por exemplo, o nome, o nome de domínio e o endereço IP).
- Uma conta de administrador recentemente comprometida. A criação ou edição de conectores requer acesso de administrador.
Se vir estes sintomas ou outros sintomas incomuns, deve investigar.
Proteger e restaurar a função de e-mail para um conector comprometido suspeito
Siga todos os passos seguintes para recuperar o controlo do conector. Siga os passos assim que suspeitar de um problema e, o mais rapidamente possível, certifique-se de que o atacante não retoma o controlo do conector. Estes passos também ajudam a remover quaisquer entradas da porta dos fundos que o atacante possa ter adicionado ao conector.
Passo 1: identificar se um conector de entrada foi comprometido
Rever o tráfego de conector suspeito recente ou mensagens relacionadas
No Microsoft Defender para Office 365 Plano 2, abra o portal do Microsoft Defender em https://security.microsoft.com e aceda a Explorer. Em alternativa, para aceder diretamente à página Explorer, utilize https://security.microsoft.com/threatexplorer.
Na página Explorer, verifique se o separador Todos os e-mails está selecionado e, em seguida, configure as seguintes opções:
- Selecione o intervalo de data/hora.
- Selecione Conector.
- Introduza o nome do conector na caixa Procurar.
- Selecione Atualizar.
Procure picos anormais ou quedas no tráfego de e-mail.
Responda às seguintes perguntas:
- O IP do Remetente corresponde ao endereço IP no local da sua organização?
- Foi enviado um número significativo de mensagens recentes para a pasta Email de Lixo? Este resultado indica claramente que foi utilizado um conector comprometido para enviar spam.
- É razoável que os destinatários da mensagem recebam e-mails de remetentes na sua organização?
Em Microsoft Defender para Office 365 ou Proteção do Exchange Online, utilize Alertas e Rastreio de mensagens para procurar os sintomas do compromisso do conector:
Abra o portal do Defender em https://security.microsoft.com e aceda a Incidentes & alertas Alertas>. Em alternativa, para aceder diretamente à página Alertas , utilizeAbrir alerta de atividade do conector suspeito no https://security.microsoft.com/alerts.
Na página Alertas, utilize a atividade Filtrar>Política>Suspeita do conector para encontrar alertas relacionados com atividades suspeitas do conector.
Selecione um alerta de atividade de conector suspeito ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao nome. Na página de detalhes que é aberta, selecione uma atividade em Lista de atividades e copie os valores do domínio do Conector e do endereço IP do alerta.
Abra o Centro de administração do Exchange em https://admin.exchange.microsoft.com e aceda a Rastreio demensagens de fluxo> de correio. Em alternativa, para aceder diretamente à página Rastreio de mensagens, utilize https://admin.exchange.microsoft.com/#/messagetrace.
Na página Rastreio de mensagens, selecione o separador Consultas personalizadas , selecione Iniciar um rastreio e utilize os valores domínio do conector e endereço IP do passo anterior.
Para obter mais informações sobre o rastreio de mensagens, consulte Rastreio de mensagens no centro de administração do Exchange moderno no Exchange Online.
Nos resultados do rastreio de mensagens, procure as seguintes informações:
- Um número significativo de mensagens foi recentemente marcado como FilteredAsSpam. Este resultado indica claramente que foi utilizado um conector comprometido para enviar spam.
- Se é razoável que os destinatários da mensagem recebam e-mails de remetentes na sua organização
Investigar e validar a atividade relacionada com o conector
No Exchange Online PowerShell, substitua <StartDate> e <EndDate> pelos seus valores e, em seguida, execute o seguinte comando para localizar e validar a atividade do conector relacionado com o administrador no registo de auditoria. Para obter mais informações, veja Utilizar um script do PowerShell para procurar no registo de auditoria.
Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Search-UnifiedAuditLog.
Passo 2: rever e reverter alterações não autorizadas num conector
Abra o Centro de administração do Exchange em https://admin.exchange.microsoft.com e aceda aConectores de fluxo> de correio. Ou, para ir diretamente para a página, usar Conectores,https://admin.exchange.microsoft.com/#/connectors.
Na página Conectores , reveja a lista de conectores. Remova ou desative quaisquer conectores desconhecidos e marcar cada conector para alterações de configuração não autorizadas.
Passo 3: Desbloquear o conector para reativar o fluxo de correio
Depois de recuperar o controlo do conector comprometido, desbloqueie o conector na página Entidades restritas no portal do Defender. Para obter instruções, consulte Remover conectores bloqueados da página Entidades restritas.
Passo 4: Investigar e remediar contas de administrador potencialmente comprometidas
Depois de identificar a conta de administrador responsável pela atividade de configuração do conector não autorizado, investigue a conta de administrador para comprometimento. Para obter instruções, veja Responder a uma Conta de Email Comprometida.