# AN0382 — Analytic 0382 ## Descrição Detecta hosts transmitindo grandes volumes de tráfego SMTP, IMAP ou POP3 para IPs externos ou relays não associados à infraestrutura de e-mail corporativa. A telemetria inclui análise de fluxos de rede (NetFlow/IPFIX), logs de dispositivos de borda e correlação de volume de tráfego em portas de e-mail com baselines históricos de comportamento. Essa analítica é importante para identificar exfiltração via e-mail não autorizado em escala, padrão observado em operações de exfiltração em massa e campanhas de spam usadas como canal de exfiltração de dados corporativos. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0382](https://attack.mitre.org/detectionstrategies/DET0135#AN0382)*