# AN0473 — Analytic 0473 ## Descrição Detecta adversários instalando ou modificando filtros de conteúdo de e-mail ou scripts de transporte (como Postfix milter, Sendmail milter ou filtros Exim) usando acesso shell ou manipulação de configuração em servidores de e-mail Linux. A telemetria necessária inclui auditd para monitorar modificações em arquivos de configuração de MTA (`/etc/postfix/`, `/etc/sendmail.cf`, `/etc/exim4/`), logs do sistema para instalação de novos serviços ou módulos milter e monitoramento de integridade de arquivos de configuração de servidores de e-mail. Essa detecção é relevante em servidores de e-mail Linux corporativos, onde adversários podem implantar filtros de transporte maliciosos para interceptar todos os e-mails em trânsito — técnica utilizada em operações de espionagem corporativa e governamental para coleta massiva de comúnicações. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1505-002-server-software-component-transport-agent|T1505.002 — Transport Agent]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0473](https://attack.mitre.org/detectionstrategies/DET0166#AN0473)*