攻击者喜欢为各种目的滥用Outlook。 例如,攻击者可以通过创build客户端规则,在用户收到电子邮件时执行恶意程序/脚本,自动将电子邮件转发到远程地址或保留在networking内部。 有没有办法查询存储在Exchange中的Outlook规则,以检测潜在的恶意规则? 是否有可能阻止一些Outlook规则types(例如执行程序/脚本)?
在PowerShell(当然!)中,有一些方便的Get-InboxRule Technet链接 。 我说有点方便,因为它只能查询单个邮箱。
由于您正在尝试检测特定types的规则(泄露组织外的信息),因此我build议您查找一些特定的规则属性。
DeleteMessage = True ForwardAsAttachmentTo =(not null) ForwardTo =(不为空) 可能有其他与你有关的东西。 使用Get-InboxRule -Mailbox [email protected] | FL Get-InboxRule -Mailbox [email protected] | FL列出所有的属性,或引用Technet的文章链接。
这是真的! 某些规则types仅在Outlook客户端中。 这个链接提供了更难追查的规则types的指导。