In questa guida spiegherò come creare una policy di protezione per le cassette postali in caso di attacchi mediante malware allegati alle email. Per creare una policy Antimalware dovremo procedere seguendo i seguenti passaggi:
-
Andare sul portale di Defender, raggiungibile dal link: https://security.microsoft.com.
-
Cliccare sull’icona che mostra la barra di navigazione.

- Andare nella sezione “Posta Elettronica e collaborazione”.

- Andare su “Criteri e regole”.

- Selezionare “Criteri per minaccia”.

- Cliccare sulla voce “Antimalware”.

- Cliccare quindi sulla voce “Crea”.

Nota importante
Qui, come per altre sezioni, vedremo che sono presenti già alcune policy di default create da Microsoft, che non possono essere spente né cancellate. Il mio suggerimento è di creare sempre una o più nuove policy sulla base delle necessità e mantenere la default invariata. Tanto le nostre policy avranno sempre una priorità più alta di quelle create automaticamente da Microsoft.
- Inseriamo il nome della nostra policy.

- Scriviamo pure una descrizione per la nostra policy. Anche se questo passaggio non è obbligatorio, ci aiuterà a capire cosa faccia questa policy qualora nel nostro tenant ne siano presenti più di una. Una volta completata la compilazione, clicchiamo su “Avanti”.

-
Scegliamo a quali utenti applicarla. Per questa configurazione abbiamo 3 opzioni:
- applicarla a singoli utenti;
- applicarla a gruppi di utenti;
- applicarla a livello di dominio.

Nota personale
In questa sezione è possibile aggiungere più utenti, gruppi e domini in maniera granulare. Se lo facciamo, ovviamente, il portale applica le policy a questi. Il mio suggerimento è però di creare delle policy ed applicarle a livello di gruppo, quindi o solo ad utenti espliciti, o solo a gruppi espliciti, o solo a domini espliciti.
- Oltre a queste impostazioni, è possibile applicare anche esclusioni specifiche, sempre a livello di utente singolo, gruppo o dominio.

- La prima opzione che potremo impostare è la parte di Zero Hour Auto Purge (ZAP) sulle mail che contengono allegati malevoli. Questa funzionalità continua ad analizzare i messaggi già recapitati nelle cassette postali. Se un allegato viene successivamente identificato come malevolo, il sistema può intervenire automaticamente rimuovendo il messaggio dalla mailbox dell’utente.

Nota importante
Al momento della scrittura di questa guida, quando il servizio rimuove la mail, l’utente non riceve notifiche. Solo gli amministratori verranno avvisati quando le mail verranno rimosse dalle cassette postali degli utenti da questa tecnologia.
- Il passaggio successivo sarà quello di andare ad abilitare il blocco degli allegati che hanno estensioni considerate malevole e che non dovrebbero essere condivise per email. Al momento della scrittura di questa guida, Microsoft ha già inserito 53 estensioni di file potenzialmente malevole. Noi possiamo procedere ad aggiungerle o a rimuoverle sulla base delle nostre necessità.

-
Una volta che avremo scelto da quali file proteggerci, potremo scegliere come gestire il messaggio. Al momento sono disponibili 2 opzioni:
- rifiutare il messaggio senza che venga generato un NDR Report al mittente;
- mettere in quarantena il messaggio.

- A questo punto potremo scegliere quale policy di notifica agli utenti finali applicare, in modo che vengano informati che delle mail destinate a loro sono state bloccate.

Nota importante
Se selezioneremo una policy non “Attiva”, l’utente non si accorgrà e sopratutto non saprà che la mail risulerà essere stata bloccata. Solo l’amministratore vedrà quella mail bloccata sul tenant nel portale di https://security.microsoft.com.
- Una volta configurate le impostazioni di sicurezza, potremo procedere a indicare un indirizzo di un amministratore da notificare nel caso in cui un mittente interno mandi un messaggio malevolo e questo venga bloccato.

- Potremo poi procedere a indicare un indirizzo di un amministratore da notificare nel caso in cui un mittente esterno mandi un messaggio malevolo e questo venga bloccato.

- Infine, potremo procedere a personalizzare le notifiche a livello di oggetto, messaggio, ma soprattutto indirizzo del mittente e nome visualizzato.

- Una volta impostato il tutto dovremo cliccare sulla voce “Avanti”

- A questo punto, Microsoft ci mostrerà il recap di quanto configurato. Se tutto risulterà essere corretto, potremo procedere a creare la nostra policy cliccando su “Invia”.

- A questo punto la nostra policy sarà creata e, in circa 15 minuti, sarà disponibile.

Nota importante
Questa era solo una policy di configurazione del servizio di Defender for Office 365. Di seguito lascio i link alle altre guide per configurare le altre policy di protezione per le nostre mailbox:
- Anti phishing
- Filtro della posta Indesiderata (Antispam)
- Allegati Sicuri
- Collegamenti sicuri
- Policy di quarantena
Ho preferito separare le guide in modo tale che il tutto sia il più leggibile possibile. Avere un’unica guida creerebbe molta confusione, in quanto risulterebbe davvero lunga e difficilmente leggibile.
Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui