Responder a uma conta de e-mail comprometida

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Os conectores são utilizados para ativar o fluxo de correio entre o Microsoft 365 e os servidores de e-mail que tem no seu ambiente no local. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.

Um conector de entrada com o valor OnPremisesTipo é considerado comprometido quando um atacante cria um novo conector ou modifica e o conector existente para enviar spam ou e-mail de phishing.

Este artigo explica os sintomas de um conector comprometido e como recuperar o controlo do mesmo.

Sintomas de um conector comprometido

Um conector comprometido apresenta uma ou mais das seguintes características:

  • Um pico repentino no volume de correio de saída.
  • Um erro de correspondência entre o 5321.MailFrom endereço (também conhecido como endereço MAIL FROM , remetente P1 ou remetente de envelope) e o 5322.From endereço (também conhecido como endereço De ou remetente P2) no e-mail de saída. Para obter mais informações sobre estes remetentes, veja Como a EOP valida o endereço De para impedir phishing.
  • Correio de saída enviado a partir de um domínio que não está aprovisionado ou registado.
  • O conector está impedido de enviar ou reencaminhar correio.
  • A presença de um conector de entrada que não foi criado por um administrador.
  • Alterações não autorizadas na configuração de um conector existente (por exemplo, o nome, o nome de domínio e o endereço IP).
  • Uma conta de administrador recentemente comprometida. A criação ou edição de conectores requer acesso de administrador.

Se vir estes sintomas ou outros sintomas incomuns, deve investigar.

Proteger e restaurar a função de e-mail para um conector comprometido suspeito

Siga todos os passos seguintes para recuperar o controlo do conector. Siga os passos assim que suspeitar de um problema e, o mais rapidamente possível, certifique-se de que o atacante não retoma o controlo do conector. Estes passos também ajudam a remover quaisquer entradas da porta dos fundos que o atacante possa ter adicionado ao conector.

Passo 1: identificar se um conector de entrada foi comprometido

No Microsoft Defender para Office 365 Plano 2, abra o portal do Microsoft Defender em https://security.microsoft.com e aceda a Explorer. Em alternativa, para aceder diretamente à página Explorer, utilize https://security.microsoft.com/threatexplorer.

  1. Na página Explorer, verifique se o separador Todos os e-mails está selecionado e, em seguida, configure as seguintes opções:

    • Selecione o intervalo de data/hora.
    • Selecione Conector.
    • Introduza o nome do conector na caixa Procurar.
    • Selecione Atualizar.

    Vista do explorador do conector de entrada

  2. Procure picos anormais ou quedas no tráfego de e-mail.

    Número de e-mails entregues na pasta de lixo

  3. Responda às seguintes perguntas:

    • O IP do Remetente corresponde ao endereço IP no local da sua organização?
    • Foi enviado um número significativo de mensagens recentes para a pasta Email de Lixo? Este resultado indica claramente que foi utilizado um conector comprometido para enviar spam.
    • É razoável que os destinatários da mensagem recebam e-mails de remetentes na sua organização?

    IP do remetente e o endereço IP no local da sua organização

Em Microsoft Defender para Office 365 ou Proteção do Exchange Online, utilize Alertas e Rastreio de mensagens para procurar os sintomas do compromisso do conector:

  1. Abra o portal do Defender em https://security.microsoft.com e aceda a Incidentes & alertas Alertas>. Em alternativa, para aceder diretamente à página Alertas , utilizeAbrir alerta de atividade do conector suspeito no https://security.microsoft.com/alerts.

  2. Na página Alertas, utilize a atividade Filtrar>Política>Suspeita do conector para encontrar alertas relacionados com atividades suspeitas do conector.

  3. Selecione um alerta de atividade de conector suspeito ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao nome. Na página de detalhes que é aberta, selecione uma atividade em Lista de atividades e copie os valores do domínio do Conector e do endereço IP do alerta.

    Detalhes de e-mail de saída comprometidos do conector

  4. Abra o Centro de administração do Exchange em https://admin.exchange.microsoft.com e aceda a Rastreio demensagens de fluxo> de correio. Em alternativa, para aceder diretamente à página Rastreio de mensagens, utilize https://admin.exchange.microsoft.com/#/messagetrace.

    Na página Rastreio de mensagens, selecione o separador Consultas personalizadas , selecione Iniciar um rastreio e utilize os valores domínio do conector e endereço IP do passo anterior.

    Para obter mais informações sobre o rastreio de mensagens, consulte Rastreio de mensagens no centro de administração do Exchange moderno no Exchange Online.

    Nova lista de opções de rastreio de mensagens

  5. Nos resultados do rastreio de mensagens, procure as seguintes informações:

    • Um número significativo de mensagens foi recentemente marcado como FilteredAsSpam. Este resultado indica claramente que foi utilizado um conector comprometido para enviar spam.
    • Se é razoável que os destinatários da mensagem recebam e-mails de remetentes na sua organização

    Resultados da pesquisa de rastreio de novas mensagens

No Exchange Online PowerShell, substitua <StartDate> e <EndDate> pelos seus valores e, em seguida, execute o seguinte comando para localizar e validar a atividade do conector relacionado com o administrador no registo de auditoria. Para obter mais informações, veja Utilizar um script do PowerShell para procurar no registo de auditoria.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Search-UnifiedAuditLog.

Passo 2: rever e reverter alterações não autorizadas num conector

Abra o Centro de administração do Exchange em https://admin.exchange.microsoft.com e aceda aConectores de fluxo> de correio. Ou, para ir diretamente para a página, usar Conectores,https://admin.exchange.microsoft.com/#/connectors.

Na página Conectores , reveja a lista de conectores. Remova ou desative quaisquer conectores desconhecidos e marcar cada conector para alterações de configuração não autorizadas.

Passo 3: Desbloquear o conector para reativar o fluxo de correio

Depois de recuperar o controlo do conector comprometido, desbloqueie o conector na página Entidades restritas no portal do Defender. Para obter instruções, consulte Remover conectores bloqueados da página Entidades restritas.

Passo 4: Investigar e remediar contas de administrador potencialmente comprometidas

Depois de identificar a conta de administrador responsável pela atividade de configuração do conector não autorizado, investigue a conta de administrador para comprometimento. Para obter instruções, veja Responder a uma Conta de Email Comprometida.

Mais informações