detecting-email-account-compromise

通过分析收件箱规则创建、可疑登录位置、邮件转发规则和异常 API 访问模式,检测受攻陷的 O365 和 Google Workspace 邮件账号。

9 stars

Best use case

detecting-email-account-compromise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析收件箱规则创建、可疑登录位置、邮件转发规则和异常 API 访问模式,检测受攻陷的 O365 和 Google Workspace 邮件账号。

Teams using detecting-email-account-compromise should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-email-account-compromise/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-email-account-compromise/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-email-account-compromise/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-email-account-compromise Compares

Feature / Agentdetecting-email-account-compromiseStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析收件箱规则创建、可疑登录位置、邮件转发规则和异常 API 访问模式,检测受攻陷的 O365 和 Google Workspace 邮件账号。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测邮件账号攻陷(Detecting Email Account Compromise)

## 概述

邮件账号攻陷(Email Account Compromise,EAC)是一种常见攻击手法,攻击者通过未授权访问邮箱来窃取敏感数据、实施商业邮件欺诈(Business Email Compromise,BEC)或通过收件箱规则操纵建立持久化。攻击者通常会创建转发规则来截取邮件、创建删除规则以掩盖痕迹,或使用 OAuth 令牌维持持久访问。检测方法包括:分析 Microsoft 365 统一审计日志(Unified Audit Logs)、Azure AD 登录日志中的不可能旅行(Impossible Travel)或可疑位置、收件箱规则创建事件(Set-InboxRule、New-InboxRule)以及 Microsoft Graph API 访问模式。关键指标包括:转发规则指向外部地址、匹配"invoice"或"payment"等关键词的删除/移动规则,以及来自 python-requests 等异常 User-Agent 的登录行为。

## 前置条件

- Microsoft 365 并已启用统一审计日志记录(Unified Audit Logging)
- Azure AD P1/P2(用于风险检测 API)
- Python 3.9+,安装 `requests`、`msal` 库
- Microsoft Graph API 应用注册,具备 Mail.Read、AuditLog.Read.All 权限
- 了解 OAuth2 客户端凭据流程

## 步骤

1. 导出审计日志或使用 MSAL 认证连接 Microsoft Graph API
2. 通过 `/users/{id}/mailFolders/inbox/messageRules` 查询所有受监控邮箱的收件箱规则
3. 分析规则是否存在外部转发行为(ForwardTo、RedirectTo 指向外部地址)
4. 检测可疑规则模式:删除规则、针对财务关键词的过滤规则
5. 通过 `/auditLogs/signIns` 查询登录日志,检查异常位置和不可能旅行
6. 检查可疑 User-Agent 字符串(python-requests、PowerShell、curl)
7. 识别可疑第三方应用的 OAuth 应用授权同意(Consent Grant)
8. 跨用户关联发现,检测活动级别的攻陷行为
9. 生成包含严重级别评分的攻陷指标报告

## 预期输出

JSON 格式报告,列出受攻陷或可疑账号、检测到的恶意收件箱规则、不可能旅行事件、可疑 OAuth 授权,以及带严重级别评级的建议遏制措施。

Related Skills

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

performing-service-account-credential-rotation

9
from killvxk/cybersecurity-skills-zh

跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。

performing-service-account-audit

9
from killvxk/cybersecurity-skills-zh

审计企业基础设施中的服务账户,识别孤立账户、过度特权账户和不合规账户。本技能涵盖在 Active Directory、云平台中发现服务账户,评估权限级别,识别缺失负责人,以及执行生命周期策略。

performing-privileged-account-discovery

9
from killvxk/cybersecurity-skills-zh

发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-aws-account-enumeration-with-scout-suite

9
from killvxk/cybersecurity-skills-zh

使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。

performing-active-directory-compromise-investigation

9
from killvxk/cybersecurity-skills-zh

通过分析认证日志、复制元数据、组策略变更和 Kerberos 票据异常,调查 Active Directory 攻陷事件,识别攻击者持久化机制和横向移动路径。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-proofpoint-email-security-gateway

9
from killvxk/cybersecurity-skills-zh

部署和配置 Proofpoint Email Protection 作为安全邮件网关,在邮件到达用户收件箱之前检测并拦截钓鱼、恶意软件、BEC 和垃圾邮件。

implementing-email-security-with-dmarc-dkim-spf

9
from killvxk/cybersecurity-skills-zh

通过检查域名的 SPF、DKIM 和 DMARC DNS 记录,审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录,验证 SPF 语法和查询次数,核查 DKIM 选择器记录, 解析 DMARC 策略,识别可能导致电子邮件欺骗的错误配置。并生成修复建议。

implementing-email-sandboxing-with-proofpoint

9
from killvxk/cybersecurity-skills-zh

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

implementing-dmarc-dkim-spf-email-security

9
from killvxk/cybersecurity-skills-zh

SPF、DKIM 和 DMARC 是邮件认证的三大支柱,共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。