电子邮件转发规则

对手可能会设置电子邮件转发规则以收集敏感信息。对手可能会滥用电子邮件转发规则来监视受害者的活动、窃取信息，并进一步获取有关受害者或受害者组织的情报，以用于进一步的攻击或操作。(引用: US-CERT TA18-068A 2018) 此外，即使管理员重置了被破坏的凭据，电子邮件转发规则也可以让对手保持对受害者电子邮件的持续访问。(引用: Pfammatter - Hidden Inbox Rules) 大多数电子邮件客户端允许用户创建收件箱规则以执行各种电子邮件功能，包括转发到不同的收件人。这些规则可以通过本地电子邮件应用程序、Web 界面或命令行界面创建。消息可以转发给内部或外部收件人，并且没有限制此规则的范围。管理员也可以为用户帐户创建转发规则，具有相同的考虑和结果。(引用: Microsoft Tim McMichael Exchange Mail Forwarding 2)(引用: Mac Forwarding Rules) 组织内的任何用户或管理员（或具有有效凭据的对手）都可以创建规则以自动将所有接收的消息转发给另一个收件人、根据发件人将电子邮件转发到不同的位置等。对手还可以利用 Microsoft Messaging API (MAPI) 修改规则属性，使其隐藏且在 Outlook、OWA 或大多数 Exchange 管理工具中不可见。(引用: Pfammatter - Hidden Inbox Rules) 在某些环境中，管理员可能能够启用组织范围内而不是单个收件箱上的电子邮件转发规则。例如，Microsoft Exchange 支持传输规则，这些规则根据用户指定的条件评估组织接收的所有邮件，然后对符合这些条件的邮件执行用户指定的操作。(引用: Microsoft Mail Flow Rules 2023) 滥用此类功能的对手可能能够启用对组织接收的所有或特定邮件的转发。