电子邮件收集: 邮件自动转发规则隐蔽植入

邮件自动转发规则隐蔽植入（Stealthy Email Forwarding Rule Implantation）是通过篡改邮件系统配置实现持久化数据收集的技术。攻击者利用OAuth令牌窃取或API漏洞，在目标邮箱中创建隐藏转发规则（如Exchange的Inbox规则或Gmail过滤器），将特定条件邮件自动转发至攻击者控制的外部账户。该技术通过滥用邮件系统合法功能，使数据外流过程完全遵循平台业务流程，规避基于异常外联的检测。

匿迹机制建立在平台功能滥用与规则隐藏技术的结合。攻击者首先通过钓鱼攻击或令牌劫持获取邮箱高级权限，使用Microsoft Graph API或Gmail API创建服务器端转发规则。规则配置采用平台原生语法，设置基于敏感关键词、发件人域名的触发条件，并启用"跳过收件箱"、"标记为已读"等参数消除用户端痕迹。转发目标采用与业务相关的伪装域名（如*@support-legit-domain.com），外传流量通过合法邮件中继服务路由。由于整个数据收集过程由邮件服务商基础设施自动完成，防御方难以通过常规日志分析发现异常，实现"零接触"式持续数据泄露。