审核 Microsoft 365 中的发送电子邮件：找出谁从哪个邮箱发送了电子邮件

Microsoft 365 管理员可以设置邮箱委派以访问其他邮箱。代表可以根据给定的权限级别查看和发送电子邮件。您可以使用 Exchange 管理中心或 PowerShell 查看委派的邮箱权限。

SendAs 与 SendOnBehalf：

在开始电子邮件跟踪之前，我想澄清一些让大多数用户感到困惑的事情。

发送为 - 允许代理人将电子邮件作为委托邮箱发送。收件人不会知道电子邮件是由代理人发送的。

代表发送 - 允许代理人代表委托邮箱发送电子邮件。收件人可以通过查看“发件人”电子邮件地址来识别谁从哪个邮箱发送了电子邮件。它看起来类似于代表 的 。

当涉及“代理发送”权限时，跟踪电子邮件的来源非常困难。通常，管理员需要查找谁从共享邮箱或任何邮箱发送了电子邮件”。此博客将帮助使用 Office 365 审核日志查找电子邮件的发件人。

识别谁从邮箱发送电子邮件：

Office 365审核日志可以通过审核日志搜索或PowerShell获取。

• 审核日志搜索：它将显示活动名称“使用代理发送权限发送消息”和发件人信息。但是，您无法一眼看到访问的邮箱。您需要单击每个审核记录才能查看“SendAsUserSmtp”。
• PowerShell：您可以使用 Search-UnifiedAuditLog cmdlet 审核使用“代理发送”权限发送的电子邮件。但它有一些局限性，可能会导致部分数据检索。

考虑到所有挑战，我们创建了一个 PowerShell 脚本来“审核发送为电子邮件”并将报告导出到 CSV 文件。

脚本下载：AuditSendAsEmails.ps1

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出至 CSV 文件。
• 帮助查明谁从共享邮箱发送了电子邮件。
• 允许您生成自定义时间段的通过电子邮件发送的审核报告。
• 在您确认后，自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

审核作为电子邮件发送的报告 - 示例输出：

导出的“发送方式”电子邮件审核报告包含以下属性：邮件发送时间、发送者、发送方式、电子邮件主题、结果和更详细的审核信息。

审核以电子邮件形式发送 - 脚本执行方法：

要运行该脚本，您可以选择以下任意一种方法。

方法1：使用MFA和非MFA帐户执行脚本

.\AuditSendAsEmails.ps1

导出的电子邮件审核报告包含过去 90 天内通过 SendAs 权限发送的所有电子邮件。

方法 2：通过显式提及凭据来执行脚本（调度程序友好）。

.\AuditSendAsEmails.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

更多用例：

通过使用我们的脚本，管理员可以生成细粒度的审核报告。我在下面列出了一些用例。

• 导出自定义期间的“发送为”活动报告。
• 查找谁从共享邮箱发送了电子邮件。
• 安排“作为审核报告发送”。
• 获取有关使用“代理发送”发送的电子邮件的月度报告。

导出自定义期间的发送活动报告：

默认情况下，该脚本将生成过去 90 天的审核报告。如果您想审核特定时间范围内的“发送为”电子邮件，可以使用 -StartDate 和 -EndDate 参数。

.\AuditSendAsEmails.ps1 -StartDate 3/10/22 -EndDate 3/24/22

上述格式检索 2022 年 3 月 10 日至 2022 年 3 月 24 日期间使用“发送方式”发送的所有电子邮件。

查找从共享邮箱发送电子邮件的人：

共享邮箱可以被许多用户访问。因此，识别谁从特定共享邮箱发送了电子邮件是一项关键任务。要查找电子邮件的发件人，请使用 Excel 打开报告，然后从“发送方式”列中筛选所需的共享邮箱。

.\AuditSendAsEmails.ps1

要审核谁从共享邮箱中删除了电子邮件，您可以下载专用脚本来导出电子邮件删除审核报告。

安排“作为审核报告发送”：

由于“Search-UnifiedAuditLog”可以将审核日志保留 90 天（对于 E3 许可证），因此您可能需要旧数据进行分析。在这种情况下，安排将帮助您将审核日志保留更长时间。

要自动执行 PowerShell 脚本，您可以在 Windows 任务计划程序中使用以下格式。

.\AuditSendAsEmails.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

获取有关发送电子邮件的月度报告：

要获取有关使用“代理发送”权限发送的电子邮件的月度报告，请运行以下脚本。

.\AuditSendAsEmails.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date) -UserName [email protected] -Password XXX

此示例将检索最近 30 天的审核数据。您还可以使用此格式自动生成月度报告。

以更有效的方式审核电子邮件：

通过使用 PowerShell，管理员可以根据自己的需要自定义脚本。但这需要大量时间和 PowerShell 知识。借助 AdminDroid Office 365 电子邮件监控工具，您只需点击几下鼠标即可获取报告。此外，您还可以使用上下文过滤器和图表对数据进行切片和切块。

例如，

• 邮件是什么时候发送的？ - 您可以选择特定日期或周或自定义时间段。
• 谁发送电子邮件？ - 您可以过滤掉特定用户或用户列表发送的电子邮件。
• 用哪个邮箱发送的？ - 您可以找到从特定共享邮箱发送电子邮件的人。
• 查看电子邮件详细信息 - 您可以了解谁从哪个邮箱发送了电子邮件以及发送的内容。

AdminDroid 提供250 多个预构建的电子邮件报告和智能仪表板，让您一目了然地了解有关组织电子邮件活动的更多信息。通过使用“视图”和“高级过滤器”选项，您可以创建自定义报告。

这些报告提供人工智能驱动的图形分析，以视觉上有吸引力的方式获得见解并更好地理解数据，

此外，AdminDroid 还提供有关各种 Office 365 服务的1500 多个报告，例如 Azure AD、Exchange Online、SharePoint Online、Microsoft Teams、OneDrive for Business、Stream、OneNote、Yammer 等。

此外，AdminDroid 免费提供100 多个报告和一些仪表板来管理您组织的用户、许可证、组、组成员资格、成员资格更改、用户登录、密码更改等。免费版本允许您也可以执行定制、调度和导出。下载 AdminDroid 提供的免费 Office 365 报告软件，看看它如何为您提供帮助。

我希望这篇博客能帮助您有效地识别谁从委托邮箱发送了电子邮件并审核电子邮件。