使用 PowerShell 查找从 Office 365 中的共享邮箱发送电子邮件的人

共享邮箱代理可以根据“代理发送”和“代表发送”等权限从共享邮箱发送电子邮件。

发送为 - 收件人不会收到有关电子邮件发送者的任何提示。看来是从共享邮箱发送的。

代表发送 - 收件人可以通过查看“发件人”电子邮件地址来识别实际的发件人。例如，代表。

但在这两种方法中，默认情况下，已发送的电子邮件不会保存在共享邮箱的已发送邮件文件夹中。相反，它将存储在发件人的邮箱中。如果共享邮箱被多个用户访问，则很难识别谁从共享邮箱发送了哪些电子邮件。

如何跟踪谁从共享邮箱发送电子邮件

监控从共享邮箱发送的电子邮件是一项重要的业务需求。要查找电子邮件的发件人，管理员可以在 Office 365 审核日志搜索中搜索“SendAs”和“SendOnBehalf”活动。可以通过 Microsoft 365 合规中心或Search-UnifiedAuditLogPowerShell cmdlet 来完成。它将列出所有“SendAs”和“SendOnBehalf”活动。但我们无法过滤掉从共享邮箱发送的电子邮件。

要跟踪从共享邮箱发送的电子邮件，我们需要在 PowerShell 中使用多个过滤器。为了简化管理员的任务，我们编写了一个 PowerShell 脚本来识别电子邮件的发件人。

脚本下载：FindWhoSentEmailFromSharedMailbox.ps1

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出到 CSV 文件。
• 帮助生成自定义期间的审核报告。
• 跟踪从特定共享邮箱发送的电子邮件活动。
• 允许单独审核作为发送活动。
• 允许单独跟踪代表发送活动。
• 在您确认后自动安装 EXO V2（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递。

示例输出：

导出的输出文件包含以下属性：邮件发送时间、发送者、从共享邮箱发送、电子邮件主题、操作、结果和更详细的审核信息。

审核谁从共享邮箱发送电子邮件 - 脚本执行步骤：

您可以根据需要选择以下任意一种方法。

方法 1： 使用 MFA 或非 MFA 帐户执行脚本。

.\FindWhoSentEmailFromSharedMailbox.ps1

方法 2：通过明确提及凭据来执行脚本（适合调度程序）。

.\FindWhoSentEmailFromSharedMailbox.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，您需要使用条件访问策略禁用 MFA 才能使此方法发挥作用。

谁发送了什么电子邮件？ - 释放脚本的全部潜力：

我们的脚本支持高级过滤参数，可以快速获得所需的结果。下面列出了支持的参数，

• SharedMBIdentity - 识别从特定共享邮箱发送电子邮件的用户。
• 开始日期和结束日期 - 帮助生成自定义期间的审核报告
• SendAsOnly - 标识使用“SendAs”委托从共享邮箱发送电子邮件的电子邮件发件人
• SendOnBehalfOnly - 跟踪谁使用“SendOnBehalf”权限从共享邮箱发送了电子邮件。
• 用户名和密码 - 安排 PowerShell 脚本，无需交互式登录。

跟踪谁从共享邮箱发送电子邮件：

您可以审核过去 90 天内通过 SendAs 和 SendOnBehalf 权限从共享邮箱发送的所有电子邮件。要获取详细报告，请按如下方式运行脚本。

.\FindWhoSentEmailFromSharedMailbox.ps1

检测谁访问了特定共享邮箱并发送了电子邮件：

要了解谁访问了特定共享邮箱来发送电子邮件，您可以使用 -SharedMBIdentity 参数执行脚本。

.\FindWhoSentEmailFromSharedMailbox.ps1 -SharedMBIdentity [email protected]

此示例将检索过去 90 天内从 [email protected] 发送的所有电子邮件及其发件人详细信息。

生成自定义期间的审核报告：

默认情况下，该脚本将检索过去 90 天的电子邮件审核数据。如果您希望审核特定日期范围内共享邮箱的电子邮件发件人，可以使用 -StartDate 和 -EndDate 参数。

.\FindWhoSentEmailFromSharedMailbox.ps1 -StartDate 04/25/22 -EndDate 05/10/22

该报告将包含 4 月 25 日至 5 月 10 日期间从共享邮箱发送的所有电子邮件。

您还可以结合 -SharedMBIdentity 参数来跟踪特定的共享邮箱。例如，

.\FindWhoSentEmailFromSharedMailbox.ps1 -StartDate 04/25/22 -EndDate 05/10/22 -SharedMBIdentity [email protected]

查找共享邮箱的 SendAs 审核记录：

要审核使用 SendAs 权限从共享邮箱发送的所有电子邮件，请使用 -SendAsOnly运行脚本> 参数

.\FindWhoSentEmailFromSharedMailbox.ps1 -SendAsOnly

通过组合StartDate、EndDate和SharedMBIdentity等多个参数，您可以生成更精细的共享邮箱电子邮件审核报告。

审核通过代表发送权限发送的所有电子邮件：

要检索使用 SendOnBehalf 权限发送的所有共享邮箱电子邮件，请使用 -SendOnBehalfOnly 参数执行脚本。

.\FindWhoSentEmailFromSharedMailbox.ps1 -SendOnBehalfOnly

它将导出过去 90 天内使用 SendOnBehalf 权限发送的所有共享邮箱电子邮件。

安排“查找从共享邮箱发送电子邮件的人”脚本：

由于Search-UnifiedAuditLog可以检索过去 90 天内共享邮箱的 SendAs 和 SendOnBehalf 活动，因此您可能需要旧数据进行分析。通过自动执行脚本，您可以将审核日志保留所需的时间。

要在任务计划程序中安排 PowerShell 脚本，您可以遵循以下格式。

.\FindWhoSentEmailFromSharedMailbox.ps1 -UserName [email protected] -Password XXX

您还可以使用任何支持的参数来获取详细报告。如果管理员帐户具有MFA，则无法直接使用它进行调度。您需要通过条件访问策略禁用 MFA 才能使其正常工作。

利用 AdminDroid 共享邮箱电子邮件分析的强大功能：

手动分析电子邮件流量和解释数据可能既耗时又具有挑战性。这就是 AdminDroid 的用武之地 - 一种先进的 Microsoft 365 电子邮件报告和分析工具，可简化电子邮件分析并提供有关电子邮件使用和管理的宝贵见解。

让我们探讨 AdminDroid 如何通过提供直观、用户友好的界面来帮助组织更好地利用共享邮箱管理和电子邮件分析，从而简化数据分析、简化报告并提供可操作的见解。报告包括，

• 共享邮箱电子邮件报告：它提供有关从共享邮箱发送的所有电子邮件、发送到外部域和从外部域接收的电子邮件的报告。
• 共享邮箱电子邮件流量统计数据：这些报告提供每小时/每天/每月的电子邮件流量数据。
• 共享邮箱电子邮件摘要：提供按天、按天、按天等发送和接收的电子邮件计数
• 电子邮件高峰和淡季分析：提供有关共享邮箱的高峰/淡季时间和日期的电子邮件流量报告。
• 共享邮箱活跃时长分析：根据发送和接收的电子邮件、发送和接收的内部电子邮件以及发送和接收的外部电子邮件，提供共享邮箱的活动和非活动分析报告。
• 共享邮箱报告：这些报告提供有关共享邮箱权限、大小、邮箱转发配置和保留详细信息的详细信息。

除了共享邮箱电子邮件报告之外，AdminDroid Microsoft 365 电子邮件分析工具还提供 440+ 电子邮件报告，帮助管理员跟踪可疑电子邮件（如垃圾邮件、恶意软件和欺骗邮件）、识别潜在安全威胁并监控电子邮件用法和配置。

下载 AdminDroid Microsoft 365 报告工具，探索 1800 多个预构建报告和 30 多个仪表板，以最大限度地提高安全性并有效管理 Microsoft 365 环境。

我希望这篇博客能帮助您识别从中发送电子邮件的共享邮箱成员。