Seguimiento de correos en Exchange

Buenos dias Monsters
Como siempre recordar de no hacer copia y pega de los comandos directos del blog, pasarlos por un TXT ya que las (“Comillas”) pueden daros problemas.
 
En ciertas ocasiones es de utilidad examinar los mails que se mueven en nuestro exchange. Para ello tenemos el comando Get-MessageTrackingLog con el podemos ver envíos / recepciones de un origen a un destino, fechas, encabezados etc.
Ejemplo de utilidad:
Caso real:
Uno de nuestros clientes empezó a recibir mails con suplantación de identidad corporativa (pepe@mitrabajo.com) sin embargo el reply del correo apuntaba a una cuenta de gmail (ladron@gmail.com)
de modo que mi usuario veía los mails de su compañero “pepe@mitrabajo.com” y cuando contestaba a ladron@gmail.com.
Una de las dudas que me salieron fue ¿ladron@gmail.com ha contactado con mas usuarios de mitrabajo.com?
para ello lance el siguiente comando en la powersehell de exchange.

Get-MessageTrackingLog -resultsize unlimited | Where-Object {$_.recipients -like "*@gmail.com"} | select-object sender, recipients, Message, Subject, eventid,Timestamp | fl   > info.txt

-Resultsize unlimited (si no lo colocamos la información que aparece esta muy acotada)
Buscamos en el Messagetraking log en el objeto recipients *gmail.com (todas las direcciones de gmail o acotamos a la especifica ladron@gmail.com
en mi caso la información que veo mas útil es ver el sender (usuario que lo ha enviado) recipients (donde lo envia) message ( evidente ) y el Timestamp (las fechas y horas de envio ) para poder hablar con el usuario Estafado y examinar con el el contenido del mail.
en un caso tan “Francotirador” como este no hace falta pero si sacamos el listado de los Gmails en general es bueno redirigirlo a un txt (| > Nombre.txt ) |clip (luego pegas y punto) o un cvs…
Ejemplo de resultado paralelo:
Enviado desde la dirección del trabajo jcm@….es a un mail temporal “@mailbox80.biz”.
Resultado:
web
 
Falsificar email no es difícil.. tenéis webs como https://emkei.cz/ con la que reconozco haber pasado momentos divertidos y grandes bromas.
en el que tu colocas el email a falsificar y en reply donde quieres que te contesten este método seria el realizado por nuestro atacante ) y sumamente sencillo
Captura
Como vemos en google me entra la dirección falsa del papa
Captura.2JPG
Pero si quiero contestar a su santidad me envía a mi dirección de martinezmartinez.eu
Captura3
 
Gmail bueno.. pero que empresa menos seria sin filtrado de spam, el mail de mi cliente entro en el servicio de antispam y le llego un correo informando de que tenia una cuenta suplantada en spam pero ya conocemos a los usuarios y al verlo lo paso a lista blanca y como diría Chema Alonso “La oveja es tuya” cuidado con los usurios!
Ensalada_monstruo
 
 
 
saludos