O365 Shared Mailbox Auditing – Melhores Praticas

By: Caio Ribeiro Cesar, Rodolfo Lima

Quando as empresas precisam compartilhar recursos com diversos usuários para que eles possam ler e enviar mensagens de email em uma única caixa de correio, utilizamos caixas de correio compartilhadas (Shared Mailboxes).

Com a caixa de correio compartilhada, um grupo de usuários podem acessar dados e enviar email de um acesso único. A caixa de correio compartilhada possui facilidades como a utilização de um SMTP genérico para envio e recebimento de mensagens (por exemplo faleconosco@contoso.com), serviços centralizados a funcionários (por exemplo helpdesk@contoso.com).

Quando criamos uma shared mailbox no ambiente O365, não precisamos atribuir uma licença – porém cada usuário que efetua o acesso à esta caixa de correio compartilhada precisa ter uma licença atribuida.

Os administradores geralmente criam uma mailbox compartilhada pelo processo comum:

A) Criação da mailbox de type Shared pelo cmdlet new-mailbox:

New-Mailbox -Name "Fale Conosco" -Alias faleconosco –Shared

B) A configuração de quota nesta Shared mailbox:

Set-Mailbox faleconosco -ProhibitSendReceiveQuota 5GB -ProhibitSendQuota 4.75GB -IssueWarningQuota 4.5GB

C) A criação de um grupo de segurança para que os usuários possam acessar esta Shared Mailbox:

Minha Organização > Usuários e Grupos > Grupos de Distribuição > Novo > Tornar este grupo um grupo de segurança

D) Atribuindo FullAccess ao grupo de segurança para acessar a caixa de correio compartilhada:

Add-MailboxPermission "Fale Conosco" -User FaleConoscoDG -AccessRights FullAccess

E) Concedendo a permissão de SendAs para que o grupo FaleConoscoDG possa enviar emails como a caixa de correio compartilhada “Faleconosco”:

Add-RecipientPermission "Fale Conosco" -Trustee faleconoscodg -AccessRights SendAs

Após aproximadamente uma hora os acessos estarão “ok”.

A maioria dos administradores cria este último acesso e já permite que os usuários acessem a caixa de correio sem problemas. Qual seria a maior preocupação de uma empresa que se preocupa com o que é acessado, compartilhado e removido de uma caixa de correio que é acessada simultaneamente por diversos usuários?

Em 2000, a Microsoft teve um artigo publicado por Scott Gulp – uma versão focada no administrador para o “Ten Immutable Laws of Security”. Neste artigo, temos a lei #5 que se aplica ao que iremos discutir neste post:

- Law #5 Eternal vigilance is the price of security: Basicamente o que é discutido na Lei#5 é que mesmo aplicando patches de segurançã, efetuando hardening de sistemas e outros métodos de proteção um atacante pode utilizar métodos aonde ele terá acesso aos dados da empresa. O log de evento é uma arma de defesa do administrador, sabendo o que ocorre na organização e o que fazer para manter os dados seguros.

Fonte: https://technet.microsoft.com/en-us/library/cc722488#EGAA (Ten Immutable Laws of Security Administration).

A maior preocupação de uma empresa que possui diversos usuários acessando uma caixa de correio compartilhada é ter dados históricos do que ocorreu de acesso nesta shared mailbox, e é por isto que devemos, como uma melhor prática, habilitar auditing para qualquer mailbox de type shared.

Auditing mailbox, ao contrário de Auditing Admin, não é habilitado por deafult em um ambiente O365. O primeiro passo então é habiltiar audit na shared mailbox:

Set-Mailbox faleconosco -AuditEnabled $true

Desta maneira, habilitamos auditing para a shared mailbox. Acessando o portal, posso validar que o auditing está funcionando:

Minha Organização > Funções de Auditoria > Executar um relatório de acesso à caixa de correio não proprietária

image

Quando habilitamos o audit para delegates, por default, estas são as propriedades que serão auditadas:

Get-Mailbox Faleconosco | Select-Object -ExpandProperty AuditDelegate

Update

SoftDelete

HardDelete

SendAs

Create

Ou seja, os acessos que serão auditados serão somente os de alteração de mensagem, delete, enviar como e criação de uma nova mensagem.

A tabela abaixo ilustra as ações que podem ser auditadas:

Action

Description

Administrators

Delegated Users

Update

Change a message

Yes

Yes

Copy

Copy message to a folder

No

No

Move

Move message to a folder

Yes

No

MoveToDeletedItems

Move message to Deleted Items folder

Yes

No

SoftDelete

Delete message from the Deleted Items folder

Yes

Yes

HardDelete

Purge message from Recoverable Items folder

Yes

Yes

FolderBind

Access a folder

Yes

No

SendAs

Send message using SendAs permission (really looks like the mailbox owner sent it)

Yes

Yes

SendOnBehalf

Send message using SendOnBehalf permission (identifies the message as being sent by someone other than mailbox owner)

Yes

No

MessageBind

View message in preview pane or open message

No

No

Desta maneira, podemos validar que o acesso as pastas da caixa de correio não são auditados. Habilite esta feature seguindo o modelo do comando abaixo:

Set-mailbox faleconosco –auditdelegate,update,softdelete,harddelete,sendas,create,folderbind

Confirmando que o FolderBind foi adicionado:

Get-Mailbox Faleconosco | Select-Object -ExpandProperty AuditDelegate

Update

SoftDelete

HardDelete

FolderBind

SendAs

Create

Desta maneira o acesso aos diretórios da caixa de correio compartilhada serão auditados:

image