Get-SpoofMailReport

Questo cmdlet è disponibile solamente nel servizio basato sul cloud.

Usare il cmdlet Get-SpoofMailReport per visualizzare le informazioni sui mittenti contraffatti nell'organizzazione basata sul cloud negli ultimi 90 giorni. Lo spoofing è la posizione in cui il mittente del messaggio in ingresso è diverso dall'origine effettiva del messaggio( ad esempio, il mittente è , ma il messaggio è lila@contoso.comstato inviato dall'infrastruttura di posta elettronica di fabrikam.com).

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

Get-SpoofMailReport
   [-Action <MultiValuedProperty>]
   [-Direction <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Descrizione

Il cmdlet Get-SpoofMailReport restituisce le informazioni seguenti:

  • Data: data di invio del messaggio.
  • Tipo di evento: in genere, questo valore è SpoofMail.
  • Direzione: questo valore è Inbound.
  • Dominio: dominio del mittente. Corrisponde a uno dei domini accettati dell'organizzazione.
  • Utente con spoofing: indirizzo di posta elettronica di invio se il dominio è uno dei domini dell'organizzazione o dominio di invio se il dominio è esterno.
  • True Sender: dominio dell'organizzazione del record PTR, o record puntatore, dell'indirizzo IP di invio, noto anche come indirizzo DNS inverso. Se l'indirizzo IP del mittente non dispone di un record PTR, questo campo verrà lasciato vuoto e la colonna IP mittente verrà compilata. Entrambe le colonne non verranno compilate contemporaneamente.
  • Infrastruttura di invio: il vero dominio di invio presente nel record DNS del server di posta elettronica di origine. Se non viene trovato alcun dominio, viene visualizzato l'indirizzo IP del server di posta elettronica di origine.
  • Conteggio: numero di messaggi spoofing inviati all'organizzazione dal server di messaggistica di origine durante il periodo di tempo specificato.
  • Tipo spoof: relazione tra il mittente e il dominio del destinatario del messaggio di spoofing. Se entrambi appartengono allo stesso dominio (inclusi i sottodomini) o al dominio di proprietà della stessa organizzazione, il tipo spoof è all'interno dell'organizzazione o interno. Se entrambi appartengono a domini diversi, spoof Type è cross-org o External.
  • Origine: in genere, questo valore è "Spoof intelligence".
  • Risultato: CompAuthResult
  • Codice risultato: CompAuthReason
  • SPF
  • DKIM
  • DMARC

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

Esempio

Esempio 1

Get-SpoofMailReport -StartDate 03/01/2020 -EndDate 03/11/2020

In questo esempio vengono mostrati dei rilevamenti di insider spoofing nell'organizzazione relativi al mese di marzo 2016.

Parametri

-Action

Il parametro Action filtra il report in base all'azione eseguita sui messaggi. Per visualizzare l'elenco completo dei valori validi per questo parametro, eseguire il comando : Get-MailFilterListReport -SelectionTarget Actions. L'azione specificata deve corrispondere al tipo di rapporto. Ad esempio, è possibile specificare le azioni del filtro antimalware solo per i rapporti di malware.

È possibile specificare più valori separati da virgole.

I valori comuni per questo report sono GoodMail e CaughtAsSpam.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Il parametro Direction consente di filtrare i risultati in base ai messaggi in entrata. Il valore valido per questo parametro è Inbound.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

Il parametro EventType consente di filtrare il rapporto in base al tipo di evento. L'unico valore valido per questo parametro è SpoofMail.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Il parametro Page consente di specificare il numero della pagina dei risultati da visualizzare. I valori validi per questo parametro sono i numeri interi compresi tra 1 e 1000. Il valore predefinito è 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

Il parametro PageSize consente di specificare il numero massimo di voci per pagina. I valori validi per questo parametro sono i numeri interi compresi tra 1 e 5000. Il valore predefinito è 1000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Questo parametro è riservato all'uso interno da parte di Microsoft.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection