# AN0793 — Analytic 0793 ## Descrição Esta analítica monitora logs de servidores de e-mail Linux (Postfix, Sendmail, Exim) para cabeçalhos From anômalos que não correspondem às identidades SMTP autenticadas, detectando tentativas de relay anormal, valores envelope-from falsificados ou campanhas de saída em larga escala visando usuários internos. A telemetria inclui logs de MTA (mail.log, maillog), registros de autenticação SMTP e análise de cabeçalhos de e-mail via ferramentas de monitoramento como rsyslog ou ELK com parsers de e-mail. A detecção é importante para servidores de e-mail Linux corporativos, pois o spoofing via abuso de relay ou configuração inadequada de SPF/DKIM permite campanhas de phishing interno que contornam filtros de e-mail externo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1585-establish-accounts|T1585 — Establish Accounts]] --- *Fonte: [MITRE ATT&CK — AN0793](https://attack.mitre.org/detectionstrategies/DET0286#AN0793)*