I log di audit della casella di posta sono registrazioni delle azioni eseguite in una casella di posta email e dei relativi eventi di accesso. Possono mostrare quando un utente ha aperto un messaggio, modificato le impostazioni della casella di posta, creato regole di inoltro o della posta in arrivo, acceduto alla posta da un nuovo dispositivo o da una nuova posizione, oppure eseguito altre azioni amministrative. In pratica, aiutano gli investigatori a ricostruire cosa è successo dopo che un'email sospetta è arrivata in una casella di posta.
Questi log sono importanti perché il phishing spesso si trasforma in un problema di abuso dell'account dopo il primo clic. I tracciamenti dei messaggi possono mostrare la consegna, ma i log di audit della casella di posta rivelano il comportamento successivo alla consegna che può confermare una compromissione, come inoltri nascosti, eliminazione di prove o schemi di accesso insoliti. I team di sicurezza li usano per delimitare l'esposizione, preservare le prove e decidere se l'incidente è rimasto nella posta in arrivo o si è esteso all'account. Sono una parte fondamentale della risposta agli incidenti di posta elettronica, insieme alla telemetria degli accessi e all'analisi dei messaggi.