# AN1310 — Analytic 1310 ## Descrição Detecta acesso a arquivos mbox/maildir em conjunto com execução de `curl`, `wget` ou `postfix`, ou scripts shell anômalos que percorrem diretórios de email de usuários. A telemetria inclui eventos de auditd para acesso a caminhos de email (`/var/mail/`, `/home/*/Maildir/`), correlação com execução de ferramentas de transferência de rede e monitoramento de processos que acessam dados de email fora de clientes de email legítimos. Esta detecção visa identificar coleta e exfiltração de email em servidores Linux, frequentemente utilizada por adversários com acesso a servidores de email para coletar comúnicações sensíveis em lote sem interação com clientes de email convencionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1114-001-local-email-collection|T1114.001 — Local Email Collection]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1310](https://attack.mitre.org/detectionstrategies/DET0476#AN1310)*