Exchange donne la possibilité aux utilisateurs autorisés d'envoyer des courriels en se faisant passer pour quelqu'un d'autre. Cette fonctionnalité, « Envoyer en tant que », peut être utilisée dans le cas d’hameçonnage ou d’abus à l’interne.
Attention à ne pas la confondre avec « Envoyer de la part de », fonction qui est beaucoup plus transparente. Les boîtes courriel partagées ne sont pas concernées par cet événement Office Protect.
Remédiation
Cette alerte ne devrait pas être ignorée. Il est recommandé d’encourager les utilisateurs à envoyer des courriels en utilisant la fonction « Envoyer de la part de » plutôt que « Envoyer en tant que » lorsque possible pour assurer la transparence et réduire les risques, qu’il s’agisse d’hameçonnage ou de risques internes.
Lorsque l’événement « Envoyer en tant que » est généré par un utilisateur important, une vérification devrait systématiquement être faite pour confirmer l’absence d’abus de permission ou d’hameçonnage.
Si l’événement est considéré comme inhabituel, il est recommandé de vérifier si l’utilisateur concerné par l’alerte « Envoyer en tant que » a généré d’autres activités suspectes.
Recherchez des événements Office Protect tels que :
- Sign-in from an Unauthorized Country
- Admin Role Change
- Account Created, etc.
Vous trouverez tous les événements reliés à un utilisateur dans la section Report d’Office Protect.
Aperçu des différentes autorisations de boîte aux lettres dans Exchange : https://docs.microsoft.com/fr-fr/microsoft-365/admin/add-users/give-mailbox-permissions-to-another-user?view=o365-worldwide