Get-SpoofMailReport

 

S’applique à :Exchange Online, Exchange Online Protection

Dernière rubrique modifiée :2016-09-27

Cette cmdlet est disponible uniquement dans le service en nuage.

Utilisez la cmdlet Get-SpoofMailReport pour afficher des informations sur l’usurpation d’identité interne dans votre organisation sur le cloud. Lorsque l’expéditeur d’un message entrant semble être de votre organisation, alors que son identité réelle est tout autre, on parle alors d’usurpation d’identité interne. L’usurpation d’identité interne est une tactique courante utilisée dans les messages de hameçonnage pour obtenir les informations d’identification de l’utilisateur ou voler de l’argent.

noteRemarque :
Cette cmdlet est disponible uniquement dans Office 365 pour entreprises E5 ou avec des licences de protection avancée contre les menaces.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

Get-SpoofMailReport [-Action <MultiValuedProperty>] [-Direction <MultiValuedProperty>] [-EndDate <DateTime>] [-EventType <MultiValuedProperty>] [-Expression <Expression>] [-Page <Int32>] [-PageSize <Int32>] [-ProbeTag <String>] [-StartDate <DateTime>]

Cet exemple montre les usurpations d’identité internes détectées au sein de votre organisation au cours du mois de mars 2016.

Get-SpoofMailReport -StartDate 03/01/2016 -EndDate 03/31/2016

Le rapport sur les courriers électroniques avec usurpation d’identité est une fonctionnalité du service Protection avancée contre les menaces qui vous permet de demander des informations sur les usurpations d’identité internes détectées au cours des 30 derniers jours. Pour la période de rapport spécifiée, la cmdlet Get-SpoofMailReport renvoie les informations suivantes :

  • Date   Date à laquelle le message a été envoyé.

  • Event Type   A généralement pour valeur SpoofMail.

  • Direction   A pour valeur Inbound.

  • Domain   Domaine de l’expéditeur. Il correspond à l’un des domaines acceptés de votre organisation.

  • Action   A généralement pour valeur GoodMail ou CaughtAsSpam.

  • Spoofed Sender   Adresse e-mail ou domaine falsifié dans votre organisation d’où les messages semblent provenir.

  • True Sender   Domaine de l’organisation de l’enregistrement PTR, ou enregistrement de pointeur, de l’adresse IP d’envoi, également appelée adresse DNS inverse. Si l’adresse IP d’envoi n’a pas d’enregistrement PTR, ce champ est vide et la colonne IP de l’expéditeur est remplie. Les deux colonnes ne sont pas remplies simultanément.

  • Sender IP   Adresse IP ou plage d’adresses du serveur de messagerie source. Si l’adresse IP d’envoi a un enregistrement PTR, ce champ est vide et la colonne de l’expéditeur True est remplie. Les deux colonnes ne sont pas remplies simultanément.

  • Count   Nombre de messages falsifiés envoyés à votre organisation à partir du serveur de messagerie source au cours de la période spécifiée.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations nécessaires pour exécuter une cmdlet ou un paramètre dans votre organisation, consultez la rubrique Rechercher les autorisations requises pour exécuter les cmdlets Exchange.

 

Paramètre Requis Type Description

Action

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Les filtres de paramètre Action permettent de filtrer un rapport, compte tenu des stratégies DLP, des règles de transport ou des courriers indésirables. Pour afficher la liste dans son intégralité, vous devez exécuter la commande Get-MailFilterListReport -SelectionTarget Actions. L'opération doit correspondre au type de rapport. Par exemple, vous ne pouvez spécifier actions de filtrage des logiciels malveillants pour les rapports de logiciels malveillants.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Les valeurs courantes pour ce rapport sont GoodMail et CaughtAsSpam.

Direction

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre Direction filtre les résultats par message entrant. La valeur valide pour ce paramètre est Inbound.

EndDate

Facultatif

System.DateTime

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

EventType

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Le paramètre EventType permet de filtrer les rapports par type d'événement. Pour afficher la liste dans son intégralité, vous devez exécuter la commande Get-MailFilterListReport -SelectionTarget EventTypes. Le type d'événement que vous spécifiez doit correspondre au rapport. Par exemple, vous ne pouvez spécifier que les logiciels malveillants pour obtenir les rapports correspondants.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

La valeur courante pour ce rapport est SpoofMail.

Expression

Facultatif

System.Linq.Expressions.Expression

Ce paramètre est réservé à l’usage interne chez Microsoft.

Page

Facultatif

System.Int32

Le paramètre Page indique le numéro de page des résultats que vous voulez afficher. L’entrée valide pour ce paramètre est un entier entre 1 et 1 000. La valeur par défaut est 1.

PageSize

Facultatif

System.Int32

Le paramètre PageSize indique le nombre maximal d’entrées par page. La valeur valide pour ce paramètre est un entier compris entre 1 et 5 000. Par défaut, la valeur 1 000 s’applique.

ProbeTag

Facultatif

System.String

Ce paramètre est réservé à l’usage interne chez Microsoft.

StartDate

Facultatif

System.DateTime

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte qui est défini dans les paramètres Options régionales de l’ordinateur sur lequel vous exécutez la commande. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte dd/mm/yyyy, entrez 01/09/2015 pour spécifier le 1er septembre 2015. Vous pouvez entrer la date uniquement, ou la date et l’heure de la journée. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets («  »), par exemple « 01/09/2015 17:00 ».

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: