Обнаружение / предотвращение вредоносных правил Outlook

В Exchange

В PowerShell (конечно!) Есть несколько удобная Get-InboxRule Technet Link . Я говорю несколько удобно, потому что он может запрашивать только один почтовый ящик.

• Это можно использовать для выборочной проверки отдельного почтового ящика (финансовые пользователи, руководители, пользователи с привилегированным доступом и т. Д.).
• Также можно использовать циклы и каналы для итерации по массиву, например, один из CSV.

Поскольку вы пытаетесь обнаружить определенные типы правил (утечка информации за пределы организации), я бы посоветовал вам поискать некоторые конкретные свойства правила.

• DeleteMessage = True
• ForwardAsAttachmentTo = (не null)
• ForwardTo = (not null)

Могут быть и другие, которые имеют отношение к вам. Используйте Get-InboxRule -Mailbox (скрыто) | FL , чтобы перечислить все свойства, или сослаться на ссылку на статью Technet.

Не все правила находятся в Exchange. : (

Это правда! Некоторые типы правил есть только в клиенте Outlook. Эта ссылка предоставляет руководство по типам правил, которые будет труднее отследить.

Лучшее решение, о котором я знаю прямо сейчас, - это использовать инструмент NotRuler . Кроме того, наполовину готовое решение состоит в том, чтобы извлечь двоичный BLOB-объект, в котором хранится двоичный BLOB-объект действия правила (один пример можно найти здесь с использованием управляемого API веб-служб Exchange) и запустить строки для действия правила. двоичный BLOB-объект и ищите любые подозрительные строки (бегущие строки - это хитрый способ проанализировать двоичный блок, поскольку структура большого двоичного объекта не задокументирована).