MENU
  1. Início
  2. MS Office
  3. Outlook
  4. Como interromper a exportação da caixa de correio do Outlook após invasão: passos imediatos e prevenção

Como interromper a exportação da caixa de correio do Outlook após invasão: passos imediatos e prevenção

Outlook

Se o seu Outlook foi comprometido e suspeita que alguém esteja a exportar a sua caixa de correio, há uma sequência de ações que corta o acesso de imediato, reduz o impacto e evita novas exportações. Este guia prático explica o que fazer — passo a passo — para contas pessoais e empresariais.

Índice

Visão geral da pergunta

Um utilizador reportou que o computador foi invadido e teme que toda a caixa de correio do Outlook esteja a ser exportada (por exemplo, para um ficheiro PST, via sincronização IMAP/POP, por regras de encaminhamento ou por aplicações conectadas). A dúvida central é: “Há como travar essa exportação agora e impedir novas tentativas?”

Resposta curta

Não existe um único botão universal de “parar exportação” do Outlook já iniciada no dispositivo do invasor. Porém, é possível cortar o acesso e interromper o escoamento de dados ao:

  • Trocar a palavra‑passe e ativar 2FA (revoga credenciais comprometidas);
  • Encerrar sessões e remover dispositivos confiáveis e tokens de apps;
  • Eliminar regras de encaminhamento e respostas automáticas maliciosas;
  • Desativar protocolos legados (POP/IMAP/SMTP Auth) e rever integrações;
  • Executar antivírus/antimalware em profundidade e atualizar o sistema;
  • Acionar procedimentos de conformidade e suporte, se aplicável.

Tabela de medidas imediatas

MedidaPorquêComo fazer
Mudar a palavra‑passe imediatamenteRevoga o acesso do invasorInicie sessão num dispositivo limpo → Definições da Conta Microsoft → Segurança → Alterar palavra‑passe
Ativar a autenticação de dois fatores (2FA)Acrescenta uma barreira extra, mesmo que a palavra‑passe já tenha sido comprometidaDefinições da Conta Microsoft → Segurança avançada → Ativar verificação em dois passos
Analisar e remover regras de encaminhamento ou respostas automáticas suspeitasInvasores costumam criar regras que copiam/encaminham e‑mails para siOutlook (Web ou Desktop) → Definições → Regras/Encaminhamento → Eliminar tudo o que não reconhece
Monitorizar atividade recente da contaIdentifica sessões ou dispositivos estranhosPainel de Segurança da Conta Microsoft → “Atividade recente” → Terminar sessões desconhecidas
Rever dispositivos confiáveis e remover tokens de appsRevoga sessões persistentes (telefone, Outlook desktop, apps IMAP/POP)Definições de Segurança → Dispositivos/Aplicações → Terminar sessão em todos
Executar antivírus/antimalware em profundidadeGarante que não há keyloggers ou trojans que voltem a capturar credenciaisAtualize o antivírus → Análise completa do sistema
Atualizar SO e aplicaçõesCorrige vulnerabilidades exploradas no ataqueWindows Update + atualizações do Office/Outlook
Considerar a recuperação de dados e a denúnciaAjuda na mitigação legal e técnica se dados sensíveis foram exfiltradosContacte o Suporte Microsoft, o provedor de e‑mail corporativo ou autoridades competentes

Dica oficial: o guia de segurança da Microsoft para contas pessoais reúne estes passos num único roteiro. Siga-o junto com as ações abaixo para obter a máxima proteção.

O que é “exportação” e como ela acontece

Há quatro caminhos comuns de saída de dados de uma caixa de correio:

  1. Exportação PST no Outlook: alguém com sessão iniciada no Outlook pode usar Ficheiro → Abrir e Exportar → Importar/Exportar para criar um .pst com mensagens, calendário e contactos.
  2. Sincronização por protocolos: IMAP, POP e apps que usam EWS/Graph podem copiar mensagens para outro cliente ou servidor.
  3. Encaminhamento automático: uma regra invisível (ou uma regra no servidor) envia cópias de cada e‑mail para outra caixa.
  4. Exportações administrativas (empresas): admins com permissões de eDiscovery podem exportar conteúdos de caixas. Se comprometidos, podem abusar deste acesso.

Em todos os cenários, revogar credenciais e sessões reduz imediatamente o fluxo de dados. Se o invasor já extraiu parte do correio, trata-se de exfiltração concluída; foque-se em limitar danos e prevenir novas perdas.

Passo a passo detalhado (conta pessoal)

Corte o acesso e restabeleça o controlo

  • Troque a palavra‑passe a partir de um dispositivo limpo. Evite fazê‑lo no PC possivelmente comprometido.
  • Ative 2FA com aplicação autenticadora. Priorize códigos de uso único gerados localmente em vez de SMS.
  • No painel de segurança da conta, encerre todas as sessões, remova dispositivos confiáveis e revogue permissões de aplicações de terceiros que acedem ao e‑mail.

Elimine mecanismos de exfiltração

  • Regras: no Outlook Web ou no cliente desktop, verifique e apague regras de caixa de correio e encaminhamentos globais. Preste atenção a regras com nomes genéricos (por exemplo, “Sistema”, “0”, “.”) e critérios como “aplicar a todas as mensagens”.
  • Respostas automáticas: desative mensagens de ausência ou encaminhamentos automáticos não autorizados.
  • Protocolos legados: desative POP/IMAP e “SMTP Auth” se não usa clientes antigos. Isso evita cópias silenciosas via aplicações externas.

Limpeza do equipamento

  • Atualize o Windows e o Office. Em seguida, faça uma análise completa com o seu antivírus/antimalware.
  • Se houver indícios de rootkit ou persistência avançada, reinstale o sistema com formatação e recupere dados de backups confiáveis.

Passo a passo detalhado (empresas – Microsoft 365/Exchange Online)

Se a conta é corporativa, envolva imediatamente TI/Segurança. Além do bloco anterior, realize:

  • Bloqueio temporário de início de sessão do utilizador comprometido e redefinição forçada de palavra‑passe.
  • Revogação de tokens e sessões persistentes.
  • Desativação de protocolos POP/IMAP/SMTP Auth para o utilizador; restrição de EWS/Graph se necessário.
  • Revisão de delegações (Send As, Send on Behalf, Full Access) e remoção de permissões não reconhecidas.
  • Auditoria de regras de transporte e encaminhamentos no servidor.
  • Políticas DLP/MCAS/Defender: bloquear downloads não geridos, impor MFA e acesso condicional, alertas para criação de regras de encaminhamento.
  • eDiscovery: conferir se houve exportações de casos ou atribuição de funções de exportação inesperadas.

Controles preventivos para Outlook e PST

Para ambientes geridos, é recomendável bloquear a criação/crescimento de PST via Política de Grupo ou definições equivalentes:

  • Impedir novos PST e bloquear crescimento de PST existentes com políticas de Outlook (versões 2016/2019/2021/Microsoft 365). Estas políticas também reduzem o risco de fuga por exportação manual.
  • Desativar o comando “Importar/Exportar” no Outlook através de políticas administrativas.

Nota: aplicar estas restrições exige planeamento (impacto em backups pessoais de e‑mail e fluxos de trabalho legítimos). Teste num grupo piloto antes de alargar a toda a organização.

Como saber se houve exportação

Indícios no dispositivo

  • Criação recente de .pst volumosos em Documentos → Ficheiros do Outlook.
  • Histórico do Outlook com ações de Importar/Exportar.
  • Clientes de e‑mail adicionais instalados (ex.: Thunderbird) com pastas sincronizadas recentemente.

Indícios na conta

  • Atividade de início de sessão de locais e dispositivos que não reconhece.
  • Criação súbita de regras de caixa, especialmente encaminhamentos externos.
  • Alertas de segurança por acesso “impossível” (mudanças de localização em curto espaço de tempo).

Para administradores

  • Recolha de logs de auditoria do Microsoft 365: inícios de sessão, alterações de regras, mudanças de permissões, possíveis exportações de eDiscovery.
  • Verificação de perfis de risco no sistema de identidade (riscos de utilizador/sessão/dispositivo).
  • Revisão de políticas de transporte e alertas DLP para auto-forwarding e anexos volumosos.

O que fazer se a exportação já começou

Se o invasor iniciou a exportação no próprio dispositivo (por exemplo, a partir de um ficheiro .ost já sincronizado), não há como “remotamente parar” o processo local. O essencial é:

  1. Revogar o acesso (senha + 2FA + encerrar sessões) para impedir cópias adicionais e sincronizações futuras.
  2. Isolar o equipamento comprometido e recolher evidências (hora, atividade, ficheiros criados) para a equipa de segurança.
  3. Inventariar a exposição: que pastas/anos foram potencialmente exportados? Havia dados pessoais/sensíveis?
  4. Acionar conformidade (LGPD/GDPR, políticas internas), se aplicável.

Reforços de prevenção

  • 2FA obrigatória (aplicação autenticadora) e bloqueio de palavras‑passe reutilizadas.
  • Desativar IMAP/POP e SMTP Auth em todas as contas que não necessitem destes protocolos.
  • Alertas para criação de regras de encaminhamento e ligação de apps de terceiros.
  • Gestão de dispositivos: exigir dispositivos conformes (antivírus, encriptação, ecrã bloqueado) para aceder ao e‑mail.
  • Educação sobre phishing e engenharia social.

Complementos úteis

  • Atualize perguntas de segurança e o e‑mail/telefone de recuperação.
  • Se a conta for corporativa, avalie riscos de conformidade (LGPD/GDPR) e notifique o encarregado de dados.
  • Se houve acesso físico prolongado ao PC, considere redefinir chaves de encriptação (por exemplo, do cofre pessoal de ficheiros) e trocar certificados.
  • Higienize credenciais em outros serviços onde usava a mesma palavra‑passe (mesmo com pequenas variações).

Guia prático por interface

Outlook na Web (Outlook.com e Microsoft 365)

  1. Abra Definições (ícone de roda dentada) → CorreioRegras. Apague regras que não reconhece.
  2. Em Correio → Encaminhamento, confirme que não há endereço externo definido.
  3. Em Correio → Respostas automáticas, desative qualquer mensagem não autorizada.
  4. Verifique Segurança & Privacidade da sua conta para encerrar sessões e remover dispositivos/aplicações.

Outlook para Windows/Mac

  1. Menu FicheiroGerir Regras e Alertas → apague qualquer regra estranha.
  2. Menu FicheiroInformaçõesDefinições de Conta → verifique Contas Ligadas e Ficheiros de Dados. Remova PSTs que não reconhece.
  3. No Windows, procure por .pst e .ost criados recentemente para identificar possíveis exportações.

Admin (Microsoft 365)

  • Bloqueie o início de sessão do utilizador, redefina a palavra‑passe e exija registo de 2FA no próximo acesso.
  • Desative POP/IMAP/SMTP Auth para a conta; avalie suspender temporariamente EWS e acesso MAPI/Outlook se o risco for crítico.
  • Audite regras de caixa no servidor e remova encaminhamentos externos; crie alertas para novas regras.
  • Revogue permissões de apps Oauth e delegações “Send As/Full Access”.
  • Implemente políticas para bloquear PST e a opção “Importar/Exportar” no Outlook nos dispositivos geridos.

Políticas e registo (avançado – empresas)

  • Acesso Condicional: exigir dispositivos conformes, localização confiável e MFA; bloquear download em dispositivos não geridos.
  • DLP para e‑mail: impedir envio de dados sensíveis para domínios externos; alertar e bloquear encaminhamentos massivos.
  • Defender for Cloud Apps e alertas: detetar anomalias (picos de download, ligações de apps novas) e impor políticas de sessão.
  • Auditoria unificada: monitorizar criação de regras, alterações de permissões e exportações de eDiscovery.

FAQ – Perguntas frequentes

Consigo parar uma exportação já a correr no PC do invasor?
Não diretamente. Se já existe um .ost local com e‑mails sincronizados, o invasor pode convertê‑lo em .pst mesmo sem acesso online. O que pode fazer é revogar o acesso para impedir novas sincronizações, isolar o equipamento e tratar o caso como incidente de segurança.

Trocar a palavra‑passe e ativar 2FA impedem exportações?
Sim, para novas exportações e sincronizações online. No entanto, conteúdo já descarregado no dispositivo comprometido pode continuar a ser copiado localmente.

Como verifico regras de encaminhamento ocultas?
No Outlook Web, abra as Regras e Encaminhamento. Em ambientes corporativos, peça ao administrador para rever as regras no servidor e aplicar alertas para criação de novas regras.

Devo desativar IMAP/POP?
Se não os utiliza, sim. Protocolos legados são uma das formas mais comuns de exfiltração silenciosa.

Perdi o telemóvel com 2FA. E agora?
Use códigos de recuperação guardados previamente ou o método alternativo configurado (e‑mail/telefone de recuperação). Em contexto empresarial, abra um chamado com TI para repor o MFA.

Qual a diferença entre exportar para PST e sincronizar via IMAP?
O PST é um ficheiro estático exportado pelo Outlook. Já a sincronização IMAP/POP copia as mensagens para outro cliente de e‑mail, contínua e automaticamente.

Checklist final (passos críticos)

  • Troque a palavra‑passe num dispositivo limpo.
  • Ative 2FA (aplicação autenticadora).
  • Encerre sessões, remova dispositivos confiáveis e tokens de apps.
  • Elimine regras de encaminhamento e respostas automáticas suspeitas.
  • Desative IMAP/POP e SMTP Auth se não usados.
  • Faça análise antivírus completa e atualize o sistema.
  • Reveja delegações e permissões.
  • Se for conta empresarial: acione TI/Segurança, audite, aplique DLP e políticas de bloqueio de PST.

Conclusão

Embora não exista um botão mágico para parar uma exportação local que já foi iniciada, há controlo total sobre o que acontece a partir de agora: revogar credenciais, encerrar sessões, eliminar regras, desativar protocolos legados e reforçar políticas evita novas perdas e reduz a superfície de ataque. Com as medidas acima, o utilizador corta o acesso do invasor, impede novas exportações e fortalece a sua postura de segurança para o futuro.

Modelo de comunicação (empresas)

Se gere um incidente numa organização, comunique com clareza e foco:

  • O que aconteceu: caixa de correio potencialmente exportada por credenciais comprometidas.
  • O que foi feito: redefinição de palavra‑passe, MFA, encerramento de sessões, remoção de regras, desativação de protocolos, auditoria em curso.
  • Impacto: dados potencialmente expostos, abrangência em avaliação.
  • Próximos passos: monitorização reforçada, políticas DLP, educação ao utilizador, relatório de incidente conforme LGPD/GDPR (se aplicável).

Anexo técnico: endurecimento do Outlook (PST)

Para administradores — opções comuns de endurecimento no Outlook (versões 2016/2019/2021/Microsoft 365):

  • Bloquear criação de PST: impedir adicionar novos PSTs nos perfis dos utilizadores.
  • Impedir crescimento de PST existentes: permitir leitura, mas bloquear gravações.
  • Remover o comando “Importar/Exportar” da faixa de opções/menu por políticas.
  • Desativar Modo de Cache em perfis de alto risco (trade‑off: impacto de desempenho).

Implemente de forma controlada, com testes e comunicação prévia aos utilizadores.

Depois da crise: boas práticas permanentes

  • Gestão de palavras‑passe: únicas, longas e guardadas num gestor confiável.
  • MFA em tudo: e verificação regular dos métodos de recuperação.
  • Higiene de aplicações: rever periodicamente apps conectadas e suas permissões.
  • Segmentação de dados: reduzir o que fica sincronizado em dispositivos não geridos.
  • Backups e testes de restauro para minimizar impacto de incidentes.

Em suma: aja rápido para cortar o acesso, limpe e fortaleça. Quanto mais cedo aplicar estes passos, menor a probabilidade de perdas adicionais e de reincidência.

Outlook
Microsoft 365 outlook Segurança
Índice