In questa guida vedremo come creare una policy di protezione per le nostre cassette postali in caso di attacchi di phishing, spoofing ed impersonation. per procedere a creare la policy dovremo seguire i seguenti passaggi:
-
Andare sul portale di Defender raggiungibile dal link: https://security.microsoft.com
-
Cliccare sull’icona che mostra la barra di navigazione.

- Andare nella sezione “Posta Elettronica e collaborazione”.

- Andare su “Criteri e regole”.

- Selezionare “Criteri per minaccia”.

- Cliccare sulla voce “Anti-phishing”.

- Cliccare quindi sulla voce “Crea”.

Nota importante
Qui, come per altre sezioni, vedremo che sono presenti già alcune policy di default create da Microsoft che non possono essere spente né cancellate. Il mio suggerimento è di creare sempre una o più nuove policy sulla base delle necessità e mantenere la default invariata. Tanto le nostre policy avranno sempre una priorità più alta di quelle create automaticamente da Microsoft.
- Inseriamo il “nome” della policy.

- Scriviamo pure una “descrizione” per la nostra policy, anche se questo passaggio non è obbligatorio, ma ci aiuterà a capire cosa faccia questa policy qualora nel nostro tenant ne siano presenti più di una. Una volta completata la compilazione, clicchiamo su “Avanti”.

-
Scegliamo a quali utenti applicarla. Per questa configurazione abbiamo 3 opzioni:
- applicarla a singoli utenti;
- applicarla a gruppi di utenti;
- applicarla a livello di dominio.

Nota personale
In questa sezione è possibile aggiungere più utenti, gruppi e domini in maniera granulare. Se lo facciamo, ovviamente, il portale applica le policy a questi. Il mio suggerimento è però di creare delle policy ed applicarle a livello di gruppo, quindi o solo ad utenti espliciti, o solo a gruppi espliciti, o solo a domini espliciti.
- Oltre a queste impostazioni, è possibile applicare anche esclusioni specifiche, sempre a livello di utente singolo, gruppo o dominio.

-
La prima cosa che possiamo configurare è il livello di qualificazione delle mail in fase di analisi. Microsoft, infatti, ha predisposto 4 livelli di classificazione:
- Standard

- Aggressivo

- Più aggressivo

- Molto aggressivo

- Sarà quindi possibile procedere a configurare la parte di impersonificazione degli utenti, in modo che, se un mittente appone un nome visualizzato uguale a quello che abbiamo nel nostro tenant, il sistema verificherà che anche l’indirizzo coincida, rimuovendo quasi totalmente la possibilità che qualcuno si finga il vostro amministratore delegato e vi chieda di fare bonifici a IBAN strani.

Nota importante
È possibile proteggere al massimo 350 utenti. Al momento non vi è modo di estendere questa numerica.
- Se avremo selezionato la voce, potremo censire gli utenti da proteggere pescandoli dal nostro tenant oppure censendoli a mano.

- Possiamo poi procedere ad abilitare la protezione dell’impersonificazione a livello di dominio.

- Abilitando questa opzione possiamo scegliere di proteggere tutti i domini registrati nel nostro tenant, oltre che proteggerne altri custom che possiamo inserire manualmente.

- Nella nostra policy avremo comunque la possibilità di andare ad impostare le nostre whitelist, in modo da definire quelli che per noi sono domini o indirizzi validi.

Nota importante
Questa impostazione è, a mio avviso, molto pericolosa, dato che un dominio messo in whitelist risulta avere meno controlli rispetto a tutti gli altri domini. Mettere in whitelist non vuol dire rendere tutto valido. Infatti, come da documentazione ufficiale di Microsoft, che riporto qui sotto, alcuni controlli non vengono disabilitati se è stato impostato l’indirizzo come valido.
- Potremo quindi abilitare le funzionalità di “Mailbox Intelligence”, basate su algoritmi di Intelligenza Artificiale che analizzano le abitudini di comunicazione degli utenti per identificare possibili tentativi di impersonificazione.

- Potremo poi abilitare la funzionalità di ItelLigenza Artificiale che in maniera generica si occuperà di analizzare qualsiasi possibile tipo di impersonificazione

- È possibile abilitare anche le funzionalità di Spoof Intelligence, che ci permetteranno di analizzare e bloccare i messaggi che provano ad impersonificare i nostri domini oppure quelli esterni.

- Prima di procedere con la guida e con la configurazione, cliccando su “Avanti”, voglio indicare che, se non verranno abilitate le voci dei punti 13, 14,15, 16, 17 e 18 e 19 non sarà possibile configurare le azioni da applicare qualora una mail venga identificata come malevola per ognuno dei controlli che abbiamo attivato. Quindi i punti successivi potrebbero essere grigiati qualora non abbiamo abilitato le funzionalità descritte sino ad ora.

-
A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come impersonato a livello di utente, svolgendo una delle seguenti azioni:
- reindirizzare il messaggio a un altro indirizzo di posta elettronica;
- recapitare il messaggio nella posta indesiderata dell’utente;
- mettere il messaggio in quarantena.
Nota importante
Qualora scegliessimo di mettere la mail in quarantena, dovremo scegliere quale policy di quarantena applicare, in modo che l’utente venga notificato in merito al blocco. Se non la selezioneremo, solo l’amministratore vedrà quella mail bloccata sul tenant nel portale di https://security.microsoft.com.
- recapitare il messaggio aggiungendo un altro indirizzo nel campo BCC;
- eliminare direttamente il messaggio, senza possibilità di recupero, nemmeno per l’amministratore;
- non applicare alcuna azione e quindi consegnare il messaggio nella posta in arrivo dell’utente.

Nota importante
Le opzioni indicate per questo punto saranno applicabili anche a tutti i punti successivi.
- A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come impersonato a livello di dominio.

- Possiamo poi procedere a definire come proteggerci qualora un messaggio venga identificato come impersonato a livello di Intelligenza Artificiale di Microsoft.

-
Sarà quindi possibile procedere a scegliere come proteggerci qualora un messaggio non rispetti il record DMARC impostato per il dominio del mittente. mediante questa impostazione le azioni configurate verranno applicate esclusivamente ai messaggi che non superano i controlli DMARC definiti dal dominio mittente.. Se spunteremo questa voce, allora compariranno 2 ulteriori opzioni per gestire:
- i messaggi che vengono identificati come malevoli ed il record DMARC è configurato con p=quarantine;
- i messaggi che vengono identificati come malevoli ed il record DMARC è configurato con p=reject.

- Potremo poi decidere come gestire quei messaggi che vengono identificati come spoof dall’Intelligenza Artificiale di Microsoft.

- Nei prossimi passaggi potremo scegliere se inserire o meno dei suggerimenti ai nostri utenti. Il primo permette di inserire un banner qualora il mittente sia alla prima comunicazione con il nostro utente.

- Potremo suggerire ai nostri utenti che il mittente è simile a quello con il quale hanno avuto contatti, ma che non è lo stesso.

- Potremo suggerire ai nostri utenti che il dominio del mittente è simile a quello con il quale hanno avuto contatti, ma che non è lo stesso.

- Potremo suggerire ai nostri utenti che l’indirizzo del mittente è simile a quello con il quale hanno avuto contatti, ma che non è lo stesso, in quanto ci sono caratteri molto simili che potrebbero trarli in inganno.

- Possiamo poi suggerire ai nostri utenti, mediante la scheda utente di Outlook, se un mittente è sospetto tramite un punto interrogativo (?).

- Per tutte quelle mail inviate per conto di altri utenti sarà possibile mostrare chi ha spedito la mail per conto dell’indirizzo dal quale l’abbiamo ricevuta.

- Una volta impostato il tutto dovremo cliccare su “Avanti”

- Microsoft ci mostrerà il riepilogo di quanto configurato.

- Se tutto risulterà essere corretto, potremo procedere a creare la nostra policy cliccando su “Invia”.

- A questo punto la nostra policy sarà creata e, in circa 15 minuti, sarà disponibile.

Nota importante
Questa era solo una policy di configurazione del servizio di Defender for Office 365. Di seguito lascio i link alle altre guide per configurare le altre policy di protezione per le nostre mailbox:
- Filtro della posta Indesiderata (Antispam)
- Antimalware
- Allegati Sicuri
- Collegamenti sicuri
- Policy di quarantena
Ho preferito separare le guide in modo tale che il tutto sia il più leggibile possibile. Avere un’unica guida creerebbe molta confusione, in quanto risulterebbe davvero lunga e difficilmente leggibile.
Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui