Get-SpoofMailReport
Этот командлет доступен только в облачной службе.
Используйте командлет Get-SpoofMailReport для просмотра сведений о подделанных отправителях в облачной организации за последние 90 дней. Спуфингов — это то, что отправитель входящего сообщения отличается от фактического источника сообщения (например, отправитель — lila@contoso.com, но сообщение было отправлено из инфраструктуры электронной почты fabrikam.com).
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Get-SpoofMailReport
[-Action <MultiValuedProperty>]
[-Direction <MultiValuedProperty>]
[-EndDate <DateTime>]
[-EventType <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-ProbeTag <String>]
[-StartDate <DateTime>]
[<CommonParameters>] Описание
Командлет Get-SpoofMailReport возвращает следующие сведения:
- Дата: дата отправки сообщения.
- Тип события: как правило, это значение SpoofMail.
- Направление: это значение входящее.
- Домен: домен отправителя. Это соответствует одному из принятых доменов вашей организации.
- Подделанный пользователь. Адрес электронной почты отправки, если домен является одним из доменов вашей организации, или отправляющего домена, если домен является внешним.
- Истинный отправитель: домен организации записи PTR или записи указателя отправляющего IP-адреса, также известного как обратный DNS-адрес. Если для IP-адреса отправителя нет записи типа PTR, это поле останется пустым, а столбец "IP отправителя" будет заполнен. Два столбца не могут быть заполнены одновременно.
- Инфраструктура отправки. Истинный домен отправки, который находится в записи DNS исходного почтового сервера. Если домен не найден, отображается IP-адрес исходного почтового сервера.
- Количество подделанных сообщений, отправленных в организацию с исходного сервера обмена сообщениями в течение указанного периода времени.
- Тип спуфа: связь между доменом отправителя и получателя подделаной почты. Если оба домена принадлежат к одному домену (включая поддомены) или домену, принадлежащей одной организации, тип поддела относится к внутренней организации или внутреннему. Если оба относятся к разным доменам, тип поддела относится к разным организациям или внешнему.
- Источник. Как правило, это значение — "S поддельный интеллект".
- Результат: CompAuthResult
- Код результата: CompAuthReason
- SPF
- DKIM
- DMARC
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Get-SpoofMailReport -StartDate 03/01/2020 -EndDate 03/11/2020В этом примере показаны случаи обнаружения внутреннего спуфинга в вашей организации за март 2016 года.
Параметры
-Action
Параметр Action фильтрует отчет по действиям, выполненным с сообщениями. Чтобы просмотреть полный список допустимых значений для этого параметра, выполните команду : Get-MailFilterListReport -SelectionTarget Actions. Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.
Параметр Action фильтрует отчет по действиям политик DLP, транспортными правилами, фильтрами вредоносных программ и фильтрами нежелательной почты. Чтобы просмотреть полный список допустимых значений данного параметра, выполните команду Get-MailFilterListReport -SelectionTarget Actions. Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.
Обычные значения для этого отчета — GoodMail и CaughtAsSpam.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Direction
Параметр Direction фильтрует результаты по входящим сообщениям. Допустимое значение для этого параметра — Inbound.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EndDate
Параметр EndDate указывает дату окончания из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EventType
Параметр EventType фильтрует отчет по типу события. Единственное допустимое значение для этого параметра — SpoofMail.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Page
Параметр Page указывает номер страницы результатов, которую необходимо просмотреть. Допустимое значение для этого параметра — целое число от 1 до 1000. Значение по умолчанию равно 1.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-PageSize
Параметр PageSize указывает максимальное число записей на странице. Допустимое значение для этого параметра — целое число от 1 до 5000. Значение параметра по умолчанию — 1000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-ProbeTag
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-StartDate
Параметр StartDate указывает дату начала из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |