Większość firm korzystających z Microsoft 365 nie wie, jak naprawdę wygląda konfiguracja bezpieczeństwa ich poczty. Domyślne ustawienia Exchange Online nie zapewniają ochrony na poziomie, którego wymaga firmowa korespondencja. Dlatego przeprowadzamy kompleksowe audyty bezpieczeństwa Exchange Online — nie ręcznie przez portal, ale za pomocą własnych skryptów PowerShell, które automatycznie zbierają i analizują dziesiątki parametrów konfiguracji.
Nasz audyt to nie jest lista kontrolna odhaczana ręcznie w panelu administracyjnym. Opracowaliśmy własny zestaw skryptów PowerShell, które łączą się z tenantem Microsoft 365 klienta i w sposób automatyczny, powtarzalny i przejrzysty zbierają pełny obraz konfiguracji bezpieczeństwa. Klient na życzenie może zobaczyć każdy skrypt — nie ma czarnych skrzynek. Wiemy dokładnie, co sprawdzamy i dlaczego, a klient ma pełną kontrolę nad tym, co się dzieje na jego tenancie.
Automatyzacja ma tu kluczowe znaczenie — ręczne przeszukiwanie portalu administracyjnego jest podatne na przeoczenia i niepowtarzalne. Nasze skrypty sprawdzają te same dziesiątki parametrów dla każdego tenanta, więc nic nie umknie, a wyniki są porównywalne między audytami. Gdy robimy audyt ponownie za 6 miesięcy, widzimy dokładnie co się zmieniło.
Weryfikujemy konfigurację SPF, DKIM i DMARC. To trzy mechanizmy, które chronią domenę przed spoofingiem — sytuacją, w której ktoś wysyła maile podszywając się pod adres Twojej firmy. Zaskakująco wiele firm ma te rekordy skonfigurowane nieprawidłowo lub nie ma ich wcale. Sprawdzamy nie tylko czy rekordy istnieją, ale czy ich zawartość jest poprawna — błędny SPF potrafi wpuścić nieautoryzowane serwery, a DMARC ustawiony na „none" nie chroni przed niczym.
Analizujemy, jakie polityki są aktywne, do kogo są przypisane, jakie akcje podejmują wobec wykrytych zagrożeń. Sprawdzamy, czy domyślna polityka Microsoft nie została przypadkowo nadpisana słabszą konfiguracją. Weryfikujemy ustawienia Mailbox Intelligence, impersonation protection dla kluczowych osób (zarząd, księgowość) i próg phishingowy — PhishThresholdLevel, który określa jak agresywnie Microsoft filtruje podejrzane wiadomości.
Badamy logi kwarantanny: ile wiadomości zostało zatrzymanych, z jakich domen, jakie typy zagrożeń dominują (phishing, malware, spoofing, spam, high confidence phishing). To daje obraz realnego poziomu zagrożeń dla konkretnej firmy — nie teoretycznego, ale opartego na danych z jej własnej skrzynki. Widzimy dokładnie, ile ataków firma otrzymuje dziennie i jakiego rodzaju — to jest konkretna liczba, którą można pokazać zarządowi.
Wykrywamy reguły transportu (transport rules), które mogą nieświadomie osłabiać bezpieczeństwo — na przykład reguły omijające filtrowanie spamu dla określonych nadawców. Sprawdzamy też, czy nie ma skonfigurowanych przekierowań poczty (auto-forwarding) na zewnętrzne adresy. Przekierowania to jeden z najczęstszych sygnałów, że konto mogło zostać przejęte — atakujący ustawia ciche przekierowanie i przez tygodnie czyta całą korespondencję.
Audytujemy, kto ma dostęp do skrzynek shared mailbox, kto może wysyłać jako (Send As) i w imieniu (Send on Behalf), czy uprawnienia są aktualne, czy nie ma dostępu dla byłych pracowników. Weryfikujemy też delegacje na skrzynkach indywidualnych — FullAccess, który daje pełny wgląd w czyjąś pocztę.
Weryfikujemy, czy wszyscy użytkownicy mają włączone uwierzytelnianie wieloskładnikowe (MFA) — konto bez MFA to otwarte drzwi dla atakującego. Sprawdzamy też, czy licencje Microsoft Defender for Office 365 (Safe Links, Safe Attachments) są aktywne i przypisane — firmy często kupują je, ale nie konfigurują.
Sprawdzamy konfigurację polityk kwarantanny, częstotliwość powiadomień dla użytkowników i administratorów, kto ma dostęp do przeglądu wiadomości kwarantannowych. Źle skonfigurowana kwarantanna potrafi albo przepuszczać zagrożenia, albo blokować ważną korespondencję bez powiadomienia.
Microsoft udostępnia Secure Score i zestaw rekomendacji w portalu security.microsoft.com. To dobry punkt wyjścia, ale nie wystarczający. Na podstawie lat doświadczenia w administracji dziesiątek tenantów Microsoft 365 opracowaliśmy dodatkowe sprawdzenia, które wynikają z realnych incydentów, jakie widzieliśmy u klientów. Sprawdzamy konfiguracje, o których Microsoft Secure Score nie wspomina — bo dotyczą one specyficznych scenariuszy zagrożeń, które spotykamy w polskich firmach: konta bez MFA z pełnymi uprawnieniami do skrzynek współdzielonych, reguły Inbox Rules tworzące ciche przekierowania, polityki kwarantanny skonfigurowane tak, że użytkownicy sami zwalniają phishing.
Wynikiem audytu jest komplet dokumentów — raport z przejrzystą oceną KPI dla każdego obszaru (status: OK / wymaga poprawy / krytyczne), listą wykrytych problemów posortowanych według priorytetu i konkretnymi rekomendacjami naprawczymi. Nie ogólnikami typu „popraw bezpieczeństwo", tylko precyzyjnymi instrukcjami: co zmienić, gdzie i dlaczego. Do tego czyste logi, statystyki kwarantanny z podziałem na typy zagrożeń i domeny źródłowe, oraz wizualizacje graficzne — wykresy prób ataków, mapy domen atakujących. Po akceptacji rekomendacji wdrażamy zmiany — albo w ramach jednorazowego projektu, albo jako element stałej obsługi IT.
Audyt bezpieczeństwa Exchange Online to usługa dla każdej firmy korzystającej z Microsoft 365, która chce mieć pewność, że jej poczta jest skonfigurowana bezpiecznie. Szczególnie polecamy go firmom, które: niedawno migrowały do Microsoft 365 i nie są pewne konfiguracji, nigdy nie robiły przeglądu ustawień bezpieczeństwa, miały incydent (przejęte konto, phishing, spam wysyłany z firmowej domeny), obsługują dane wrażliwe (biura rachunkowe, kancelarie prawne, firmy medyczne), chcą wdrożyć Microsoft Defender for Office 365 i potrzebują baseline'u przed konfiguracją.
1–2 dni robocze. Zbieranie danych jest zautomatyzowane (skrypty PowerShell), analiza i raport przygotowujemy po zebraniu danych.
Tak — na czas audytu potrzebujemy konta z uprawnieniami Global Reader lub dedykowanego konta administracyjnego. Po audycie konto można zablokować lub usunąć.
Nie — audyt jest operacją tylko do odczytu. Zbieramy dane i analizujemy, ale nie zmieniamy żadnych ustawień bez wcześniejszej zgody klienta.
Co 6–12 miesięcy lub po każdej większej zmianie (nowi użytkownicy, zmiana licencji, incydent bezpieczeństwa). Konfiguracja M365 zmienia się — ludzie dodają reguły, Microsoft zmienia domyślne ustawienia.
Od 1 500 zł netto za jeden tenant. Dokładna wycena po konsultacji — zależy od liczby użytkowników i domen. Kontakt: office@itexperts.com.pl.
Bezpłatna konsultacja — omówimy zakres audytu.