TwitterLinkedInEmail
formats

Seguimiento de correos en Exchange

Buenos dias Monsters

Como siempre recordar de no hacer copia y pega de los comandos directos del blog, pasarlos por un TXT ya que las (“Comillas”) pueden daros problemas.

 

En ciertas ocasiones es de utilidad examinar los mails que se mueven en nuestro exchange. Para ello tenemos el comando Get-MessageTrackingLog con el podemos ver envíos / recepciones de un origen a un destino, fechas, encabezados etc.

Ejemplo de utilidad:

Caso real:

Uno de nuestros clientes empezó a recibir mails con suplantación de identidad corporativa (pepe@mitrabajo.com) sin embargo el reply del correo apuntaba a una cuenta de gmail (ladron@gmail.com)

de modo que mi usuario veía los mails de su compañero “pepe@mitrabajo.com” y cuando contestaba a ladron@gmail.com.

Una de las dudas que me salieron fue ¿ladron@gmail.com ha contactado con mas usuarios de mitrabajo.com?

para ello lance el siguiente comando en la powersehell de exchange.

Get-MessageTrackingLog -resultsize unlimited | Where-Object {$_.recipients -like "*@gmail.com"} | select-object sender, recipients, Message, Subject, eventid,Timestamp | fl   > info.txt

-Resultsize unlimited (si no lo colocamos la información que aparece esta muy acotada)

Buscamos en el Messagetraking log en el objeto recipients *gmail.com (todas las direcciones de gmail o acotamos a la especifica ladron@gmail.com

en mi caso la información que veo mas útil es ver el sender (usuario que lo ha enviado) recipients (donde lo envia) message ( evidente ) y el Timestamp (las fechas y horas de envio ) para poder hablar con el usuario Estafado y examinar con el el contenido del mail.

en un caso tan “Francotirador” como este no hace falta pero si sacamos el listado de los Gmails en general es bueno redirigirlo a un txt (| > Nombre.txt ) |clip (luego pegas y punto) o un cvs…

Ejemplo de resultado paralelo:

Enviado desde la dirección del trabajo jcm@….es a un mail temporal “@mailbox80.biz”.

Resultado:

web

 

Falsificar email no es difícil.. tenéis webs como https://emkei.cz/ con la que reconozco haber pasado momentos divertidos y grandes bromas.

en el que tu colocas el email a falsificar y en reply donde quieres que te contesten este método seria el realizado por nuestro atacante ) y sumamente sencillo

Captura

Como vemos en google me entra la dirección falsa del papa

Captura.2JPG

Pero si quiero contestar a su santidad me envía a mi dirección de martinezmartinez.eu

Captura3

 

Gmail bueno.. pero que empresa menos seria sin filtrado de spam, el mail de mi cliente entro en el servicio de antispam y le llego un correo informando de que tenia una cuenta suplantada en spam pero ya conocemos a los usuarios y al verlo lo paso a lista blanca y como diría Chema Alonso “La oveja es tuya” cuidado con los usurios!

Ensalada_monstruo

 

 

 

saludos

CyberChimps