检测/防止恶意Outlook规则

攻击者喜欢为各种目的滥用Outlook。 例如,攻击者可以通过创build客户端规则,在用户收到电子邮件时执行恶意程序/脚本,自动将电子邮件转发到远程地址或保留在networking内部。 有没有办法查询存储在Exchange中的Outlook规则,以检测潜在的恶意规则? 是否有可能阻止一些Outlook规则types(例如执行程序/脚本)?

作为交换

在PowerShell(当然!)中,有一些方便的Get-InboxRule Technet链接 。 我说有点方便,因为它只能查询单个邮箱。

  • 这可以用来对单个邮箱进行抽查(财务用户,pipe理人员,具有特权访问的用户等)
  • 也可以使用循环和pipe道遍历数组,例如从CSV中读取数据。

由于您正在尝试检测特定types的规则(泄露组织外的信息),因此我build议您查找一些特定的规则属性。

  • DeleteMessage = True
  • ForwardAsAttachmentTo =(not null)
  • ForwardTo =(不为空)

可能有其他与你有关的东西。 使用Get-InboxRule -Mailbox alias@domain.com | FL Get-InboxRule -Mailbox alias@domain.com | FL列出所有的属性,或引用Technet的文章链接。

并非所有规则都在Exchange中。 🙁

这是真的! 某些规则types仅在Outlook客户端中。 这个链接提供了更难追查的规则types的指导。