Get-SpoofMailReport

Cette cmdlet est disponible uniquement dans le service cloud.

Utilisez l’applet de commande Get-SpoofMailReport pour afficher des informations sur les expéditeurs usurpés dans votre organisation cloud au cours des 90 derniers jours. L’usurpation d’identité est l’endroit où l’expéditeur du message entrant est différent de la source réelle du message (par exemple, l’expéditeur est lila@contoso.com, mais le message a été envoyé à partir de l’infrastructure de messagerie de fabrikam.com).

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Get-SpoofMailReport
   [-Action <MultiValuedProperty>]
   [-Direction <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Description

L’applet de commande Get-SpoofMailReport retourne les informations suivantes :

  • Date : date d’envoi du message.
  • Type d’événement : en règle générale, cette valeur est SpoofMail.
  • Direction : cette valeur est Entrante.
  • Domaine : domaine de l’expéditeur. Cela correspond à l’un des domaines acceptés de votre organisation.
  • Utilisateur usurpé : adresse e-mail d’envoi si le domaine est l’un des domaines de votre organisation, ou domaine d’envoi si le domaine est externe.
  • Vrai expéditeur : domaine organisationnel de l’enregistrement PTR, ou enregistrement de pointeur, de l’adresse IP d’envoi, également appelé adresse DNS inverse. Si l’adresse IP d’envoi n’a pas d’enregistrement PTR, ce champ est vide et la colonne IP de l’expéditeur est remplie. Les deux colonnes ne sont pas remplies simultanément.
  • Infrastructure d’envoi : véritable domaine d’envoi qui se trouve dans l’enregistrement DNS du serveur de messagerie source. Si aucun domaine n’est trouvé, l’adresse IP du serveur de messagerie source s’affiche.
  • Nombre : nombre de messages usurpés qui ont été envoyés à votre organisation à partir du serveur de messagerie source au cours de la période spécifiée.
  • Type d’usurpation d’identité : relation entre l’expéditeur et le domaine du destinataire du courrier usurpé. Si les deux appartiennent au même domaine (y compris les sous-domaines) ou au même domaine appartenant à la même organisation, le type d’usurpation d’identité est intra-organisation ou interne. Si les deux appartiennent à des domaines différents, le type d’usurpation d’identité est inter-organisation ou externe.
  • Source : En règle générale, cette valeur est « Intelligence contre l’usurpation d’identité ».
  • Résultat : CompAuthResult
  • Code de résultat : CompAuthReason
  • SPF
  • DKIM
  • DMARC

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

Get-SpoofMailReport -StartDate 03/01/2020 -EndDate 03/11/2020

Cet exemple montre les usurpations d’identité internes détectées au sein de votre organisation au cours du mois de mars 2016.

Paramètres

-Action

Le paramètre Action filtre le rapport en fonction de l’action effectuée sur les messages. Pour afficher la liste complète des valeurs valides pour ce paramètre, exécutez la commande : Get-MailFilterListReport -SelectionTarget Actions. L'opération doit correspondre au type de rapport. Par exemple, vous ne pouvez spécifier actions de filtrage des logiciels malveillants pour les rapports de logiciels malveillants.

Les filtres de paramètre Action permettent de filtrer un rapport, compte tenu des stratégies DLP, des règles de transport ou des courriers indésirables. Pour afficher la liste dans son intégralité, vous devez exécuter la commande Get-MailFilterListReport -SelectionTarget Actions. L'opération doit correspondre au type de rapport. Par exemple, vous ne pouvez spécifier actions de filtrage des logiciels malveillants pour les rapports de logiciels malveillants.

Les valeurs courantes pour ce rapport sont GoodMail et CaughtAsSpam.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Le paramètre Direction filtre les résultats par message entrant. La valeur valide pour ce paramètre est Inbound.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

Le paramètre EventType filtre le rapport en fonction du type d’événement. La seule valeur valide pour ce paramètre est SpoofMail.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Le paramètre Page indique le numéro de page des résultats que vous voulez afficher. L’entrée valide pour ce paramètre est un entier entre 1 et 1 000. La valeur par défaut est 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

Le paramètre PageSize indique le nombre maximal d’entrées par page. La valeur valide pour ce paramètre est un entier compris entre 1 et 5 000. Par défaut, la valeur 1 000 s’applique.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Ce paramètre est réservé à l’usage interne chez Microsoft.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection