Get-SpoofMailReport
Cette cmdlet est disponible uniquement dans le service cloud.
Utilisez l’applet de commande Get-SpoofMailReport pour afficher des informations sur les expéditeurs usurpés dans votre organisation cloud au cours des 90 derniers jours. L’usurpation d’identité est l’endroit où l’expéditeur du message entrant est différent de la source réelle du message (par exemple, l’expéditeur est lila@contoso.com, mais le message a été envoyé à partir de l’infrastructure de messagerie de fabrikam.com).
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
Get-SpoofMailReport
[-Action <MultiValuedProperty>]
[-Direction <MultiValuedProperty>]
[-EndDate <DateTime>]
[-EventType <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-ProbeTag <String>]
[-StartDate <DateTime>]
[<CommonParameters>] Description
L’applet de commande Get-SpoofMailReport retourne les informations suivantes :
- Date : date d’envoi du message.
- Type d’événement : en règle générale, cette valeur est SpoofMail.
- Direction : cette valeur est Entrante.
- Domaine : domaine de l’expéditeur. Cela correspond à l’un des domaines acceptés de votre organisation.
- Utilisateur usurpé : adresse e-mail d’envoi si le domaine est l’un des domaines de votre organisation, ou domaine d’envoi si le domaine est externe.
- Vrai expéditeur : domaine organisationnel de l’enregistrement PTR, ou enregistrement de pointeur, de l’adresse IP d’envoi, également appelé adresse DNS inverse. Si l’adresse IP d’envoi n’a pas d’enregistrement PTR, ce champ est vide et la colonne IP de l’expéditeur est remplie. Les deux colonnes ne sont pas remplies simultanément.
- Infrastructure d’envoi : véritable domaine d’envoi qui se trouve dans l’enregistrement DNS du serveur de messagerie source. Si aucun domaine n’est trouvé, l’adresse IP du serveur de messagerie source s’affiche.
- Nombre : nombre de messages usurpés qui ont été envoyés à votre organisation à partir du serveur de messagerie source au cours de la période spécifiée.
- Type d’usurpation d’identité : relation entre l’expéditeur et le domaine du destinataire du courrier usurpé. Si les deux appartiennent au même domaine (y compris les sous-domaines) ou au même domaine appartenant à la même organisation, le type d’usurpation d’identité est intra-organisation ou interne. Si les deux appartiennent à des domaines différents, le type d’usurpation d’identité est inter-organisation ou externe.
- Source : En règle générale, cette valeur est « Intelligence contre l’usurpation d’identité ».
- Résultat : CompAuthResult
- Code de résultat : CompAuthReason
- SPF
- DKIM
- DMARC
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.
Exemples
Exemple 1
Get-SpoofMailReport -StartDate 03/01/2020 -EndDate 03/11/2020Cet exemple montre les usurpations d’identité internes détectées au sein de votre organisation au cours du mois de mars 2016.
Paramètres
-Action
Le paramètre Action filtre le rapport en fonction de l’action effectuée sur les messages. Pour afficher la liste complète des valeurs valides pour ce paramètre, exécutez la commande : Get-MailFilterListReport -SelectionTarget Actions. L'opération doit correspondre au type de rapport. Par exemple, vous ne pouvez spécifier actions de filtrage des logiciels malveillants pour les rapports de logiciels malveillants.
Les filtres de paramètre Action permettent de filtrer un rapport, compte tenu des stratégies DLP, des règles de transport ou des courriers indésirables. Pour afficher la liste dans son intégralité, vous devez exécuter la commande Get-MailFilterListReport -SelectionTarget Actions. L'opération doit correspondre au type de rapport. Par exemple, vous ne pouvez spécifier actions de filtrage des logiciels malveillants pour les rapports de logiciels malveillants.
Les valeurs courantes pour ce rapport sont GoodMail et CaughtAsSpam.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Direction
Le paramètre Direction filtre les résultats par message entrant. La valeur valide pour ce paramètre est Inbound.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EndDate
Le paramètre EndDate indique la fin de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EventType
Le paramètre EventType filtre le rapport en fonction du type d’événement. La seule valeur valide pour ce paramètre est SpoofMail.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Page
Le paramètre Page indique le numéro de page des résultats que vous voulez afficher. L’entrée valide pour ce paramètre est un entier entre 1 et 1 000. La valeur par défaut est 1.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-PageSize
Le paramètre PageSize indique le nombre maximal d’entrées par page. La valeur valide pour ce paramètre est un entier compris entre 1 et 5 000. Par défaut, la valeur 1 000 s’applique.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-ProbeTag
Ce paramètre est réservé à l’usage interne chez Microsoft.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-StartDate
Le paramètre StartDate indique le début de la plage de dates définies.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |