# AN0553 — Analytic 0553 ## Descrição Este analítico detecta manipulação de regras por clientes de email locais no Linux (como Evolution ou Thunderbird) ou scripts de filtragem server-side (como sieve) criando condições para mover ou descartar emails com palavras-chave relacionadas à segurança. A telemetria inclui logs de processo para clientes de email e scripts sieve, auditd para modificações em arquivos de configuração de filtragem em `~/.thunderbird/` ou `/etc/dovecot/sieve/`, e análise de conteúdo de regras de filtro para palavras-chave suspeitas. Filtragem de email server-side via sieve é um vetor persistente de interceptação que sobrevive a reinstalações de cliente de email. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0553](https://attack.mitre.org/detectionstrategies/DET0192#AN0553)*