Eine der Mail Account Phishing Methoden zielt darauf ab BenutzerInnen auf einen Link zu leiten, in welchem der OWA Server des eigenen Servers vorgegauckelt wird -> s.a. #182.

Serverbetreiber erkennen kompromittierte Konten dann evtl. auf reinen Eingangsservern relativ einfach. Ständig finden sich die Brute Force Attacken in den Logs, wenn immer wieder Kennworte mit dem gleichen Benutzername in einer gewissen Abfolge probiert werden.
Interessant wird es wenn nur ein einziger Versuch unternommen wird. Im Versuch konnte ich feststellen, es handelt sich um die (nicht existierenden) Email Adressen, die den Angreifern über eine OWA Phishing Attacke "gemeldet" wurden. Hier bekommt man dann auch die IP derer, die dieses Phishing mutmaßlich verursacht haben. Was uns leider aber nicht weiterhilft, denn der Angreifer (GeoIP) sitzt natürlich nicht im D Umfeld. Hier ist aber ein "Flag" um BenutzerInnen gezielt über einen Kennwort Änderungswunsch zu informieren.