MOERA SHOULD NOT be used for sent mail.
Hvorfor dette er vigtigt
Dine Microsoft Online Entra Resource (MOERA)-konti bør aldrig bruges til at sende e-mails fra din tenant. Når en MOERA-adresse optræder i sendt post, indikerer det en mulig konfigurationsfejl eller et kompromis, der kan føre til uovervåget udgående kommunikation. Administratorer skal handle hurtigt for at undersøge og blokere mailflow fra MOERA-konti for at forhindre potentielt datalæk eller misbrug.
Hvad Aether365 kontrollerer
Aether365 scanner alle sendt-post-poster i din Microsoft 365-tenant for at bekræfte, at ingen beskeder stammer fra MOERA-adresser. Denne kontrol vises i Aether365-dashboardet under microsoft-365-servicekategorien og markerer enhver hændelse, hvor en MOERA-konto detekteres som afsender.
Sådan rettes det
Følg disse trin for at afhjælpe og forhindre MOERA-konti i at sende e-mails:
- Identificer den specifikke MOERA-konto, der sendte e-mail, ved at gennemgå hændelsesdetaljerne i dit Aether365-dashboard.
- Log ind på Microsoft 365 Defender-portalen (https://security.microsoft.com) som Global Administrator eller Exchange Administrator.
- Naviger til Email & collaboration > Mail flow > Rules.
- Opret en ny transportregel for at blokere post fra enhver MOERA-adresse. Indstil regelbetingelsen til "The sender is" og angiv MOERA-domænet (for eksempel
onmicrosoft.com). Konfigurer handlingen til "Reject the message with a custom explanation." - Gennemgå den kompromitterede konto ved at tjekke logonlogs i Azure AD > Users > Sign-in logs for usædvanlig aktivitet. Nulstil kontoadgangskoden om nødvendigt.
- Aktivér overvågning for mailflow for at overvåge fremtidige overtrædelser via Compliance > Audit > Search.
Overholdelse
- Andet: Denne kontrol er ikke tilknyttet specifikke overholdelsesrammer (CIS, EIDSCA, CISA). Den håndhæver Microsofts bedste sikkerhedspraksis for tenant-hygiejne.