# AN0380 — Analytic 0380 ## Descrição Detecta transmissão de e-mail não interativa ou dirigida por scripts usando ferramentas como `sendmail`, `mailx` ou scripts SMTP customizados executados por processos em background, especialmente quando há envio de anexos ou payloads de grande porte. A telemetria inclui auditoria de execução de comandos de e-mail via auditd, análise de processos com conexões de saída em portas SMTP e monitoramento de volume de dados transmitidos por processos não-clientes. Essa analítica é importante para detectar exfiltração via e-mail em servidores Linux, onde ferramentas de envio de e-mail por linha de comando podem ser abusadas para transferir dados coletados de forma silenciosa. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0380](https://attack.mitre.org/detectionstrategies/DET0135#AN0380)*