Exchange Online, soluzione di posta elettronica in cloud di Microsoft 365, fornisce di default diversi report per monitorare le attività di posta elettronica e controllare lo stato dei messaggi al fine di rispettare i diversi requisiti di conformità. In qualità di amministratore di Exchange Server è necessario monitorare tipicamente diversi aspetti, tra cui i più significativi ad esempio possono essere:
– Il numero delle email inviate dei dipendenti
– Il traffico email in ingresso e in uscita
– Email assoggettate a policy varie di compliance e conformità
– Numero di messaggi di posta contrassegnati come spam
– Mailbox di dimensione elevata e che potrebbero presto arrivare a saturazione
Questi report sono disponibili graficamente all’interno dell’interfaccia di amministrazione di Microsoft 365, ma possono essere generati tramite Powershell e relativi cmdlet specifici, in modo da andare oltre le esigenze di base ed ottenere delle viste più approfondite rispetto al funzionamento del sistema di posta elettronica.
Report Email in Microsoft 365 su Exchange Admin Center
Per poter accedere in maniera grafica e visuale a tutta una serie di report in ambito Exchange Online è necessario essere in possesso di una serie di prerequisiti a livello di permessi sul tenant 365. In particolar modo questi sono i privilegi/ruoli che hanno accesso in generale ai report (sia da interfaccia Web che da riga da comando):
- Organization Management
- Security Administrator
- Security Reader
- View-Only Organization Management
- View-Only Recipients
Attualmente sono disponibili (ad oggi) 9 report all’interno del Menu: Exchange Admin Center > Reports > Mail Flow
Report Inbound & Outbound
Il report Inbound mostra il numero di messaggi di posta elettronica ricevuti dal tenant. Divide le email in base a come sono state ricevute: da internet o dai server on-premise (nello scenario di Exchange Hybrid); oltre a questa prima suddivisione vengono ulteriormente classificati in base alla versione TLS utilizzata. Quindi, quindi in ottica di security potrà essere utile in quanto primo strumento di identificazione di workload in formato TLS 1.0 o 1.1, oramai deprecati.
Il report in Outbound in maniera opposta al precedente permette invece di ottenere una vista delle email in uscita dal tenant con una indicazione del protocollo TLS utilizzato.
Report inoltri posta elettronica
L’inoltro automatico delle e-mail dal tenant 365 a domini esterni può rappresentare una minaccia per la sicurezza. Se questa funzionalità è abilitata all’interno dell’organizzazione, sarà necessario analizzare questo report regolarmente.
L’inoltro può essere impostato anche tramite le regole lato server direttamente sulla cassetta postale di ogni singolo utente. Il report mostrerà anche quale metodo è stato utilizzato. Permette quindi anche di verificare se questi inoltri e-mail sono validi, oppure è necessario intervenire per bloccare l’utente in quanto potenzialmente compromesso.
Se il report appare vuoto come nell’immagine sottostante…molto bene 🙂 significa che non è attivo il forward esterno delle email.
Non-delivery report
I rapporti di mancato recapito (NDR) sono eventi comuni in Exchange. Microsoft 365 raccoglie i diversi NDR in modo da poter tenere traccia di questi errori. Nel report NDR sarà anche possibile vedere il grafico con i codici DSN. Questi sono i rapporti di mancato recapito che i mittenti ricevono quando tentano di inviare un’e-mail agli utenti del tenant. Per analizzare i motivi del fail sarà necessario scaricare il report in formato Excel dove verranno date le evidenze degli errori NDR.
Reporting Emails in Office 365 con PowerShell
Torniamo ora ai “famosi” 10 cmdlet di Exchange Online PowerShell, utili a monitorare e segnalare l’attività di posta elettronica dei dipendenti delle organizzazioni che usano Microsoft 365. Con questi cmdlet è possibile generare i seguenti report di posta elettronica di Office 365:
Email traffic report
Inbound and Outbound email traffic report
Mail flow status report
Sent and received email count by users
Office 365 spam reports
Office 365 malware reports
Identify which transport rule was applied on a mail
Identify emails that were redirected to another email address
Emails detected by DLP policy
Top senders and recipient report
Email traffic Report
Per generare via powershell un report del traffico email
Get-MailTrafficReport
Per impostazione predefinita, il cmdlet recupera il traffico di posta elettronica degli ultimi 7 giorni. Usando gli attributi –StartDate e -EndDate, sarà possibile recuperare al massimo statistiche email degli ultimi 90 giorni. (ad eccezione dei piani Microsoft 365 E5 che recentemente concedono anche una maggiore profondità nella reportistica).
Per personalizzare il cmdlet è possibile aggiungere anche la direzione del traffico e il filtro per data (ricordatevi di inserire il formato Mese/Giorno/Anno)
Report email Inviate e Ricevute
Spesso gli amministratori vogliono sapere quante email sono state inviate e ricevute dagli utenti. Per visualizzare queste statistiche e-mail, è possibile utilizzare il cmdlet Get-MailTrafficTopReport.
Esempio: Get-MailTrafficTopReport -EventType TopMailUser -Direction Inbound -StartDate 9/20/21 -EndDate 9/30/21
Risultato:
Report Flusso di posta 365
Il rapporto sullo stato del flusso di posta mostra le informazioni sulle e-mail in entrata e in uscita insieme alle e-mail bloccate dalla protezione edge.
Esempio: Get-MailFlowStatusReport | ft Date,EventType,MessageCount
Office 365 Spam Reports
Per analizzare il comportamento dei filtri antispam e le diverse configurazioni:
Get-MailDetailsSpamReport –Direction Inbound
Office 365 Antimalware Reports
Per analizzare il comportamento dei filtri antimalware e le diverse configurazioni:
Get-MailDetailMalwareReport –Direction Inbound
Report regole di trasporto applicate alle Email
Per estrarre un report di regole di trasporto applicate alle email, questo un cmdlet powershell utile per ottenere info filtrate per utente e data del tipo:
Top Sender e Receiver
A livello statistico per estrarre i top sender (coloro che inviano il numero più elevato di email)
Get-MailTrafficSummaryReport –Category TopMailSender | Select C1,C2
Top Receiver
Exchange Online mette a disposizione una serie di informazioni anche esportabili in CSV per successive analisi; mentre l’interfaccia web risulta sicuramente più agevole per chi meno confidente, tramite la powershell di Exchange Online le possibilità di filtro e interrogazione risultano sicuramente notevoli. Buona powershell a tutti 🙂