In questa guida analizzeremo tutti i passaggi necessari per creare una policy di protezione per le nostre cassette postali in caso di attacchi di SPAM. Per procedere con la configurazione dovremo seguire i passaggi riportati di seguito:
-
Andare sul portale di Defender raggiungibile dal link: https://security.microsoft.com
-
Cliccare sull’icona che mostra la barra di navigazione.

- Andare nella sezione “Posta Elettronica e collaborazione”.

- Andare su “Criteri e regole”.

- Selezionare “Criteri per minaccia”.

- Cliccare sulla voce “filtro della posta indesiderata”.

- Cliccare quindi sulla voce “Crea criterio”.

Nota importante
Qui, come per altre sezioni, vedremo che sono presenti già alcune policy di default create da Microsoft che non possono essere spente né cancellate. Il mio suggerimento è di creare sempre una o più nuove policy sulla base delle necessità e mantenere la default invariata. Tanto le nostre policy avranno sempre una priorità più alta di quelle create automaticamente da Microsoft.
- A questo punto, a differenza delle altre policy di Defender for Office 365, dovremo scegliere che tipo di policy creare, in quanto per la parte di antispam possiamo:
- Controllare le mail di spam in entrata nelle nostre mailbox.
- Controllare le mail di spam in uscita dalle nostre mailbox.

- In questa guida approfondiremo solo come si configurano le policy antispam per le mail in ingresso nel nostro tenant, quindi selezioniamo la voce Inbound.

Nota importante
È possibile creare anche le policy che controllano le mail in uscita dal nostro tenant, ma per ora quelle di default di Microsoft sono molto efficaci nel riconoscimento e, a mio avviso, possono essere utilizzate senza particolari problemi.
- Selezioniamo il nome della policy.

- Scriviamo pure una descrizione per la nostra policy. Anche se questo passaggio non è obbligatorio, ci aiuterà a capire cosa faccia questa policy qualora nel nostro tenant ne siano presenti più di una. Una volta completata la compilazione, clicchiamo su “Avanti”.

-
Scegliamo a quali utenti applicarla. Per questa configurazione abbiamo 3 opzioni:
- applicarla a singoli utenti;
- applicarla a gruppi di utenti;
- applicarla a livello di dominio.

Nota personale
In questa sezione è possibile aggiungere più utenti, gruppi e domini in maniera granulare. Se lo facciamo, ovviamente, il portale applica le policy a questi. Il mio suggerimento è però di creare delle policy ed applicarle a livello di gruppo, quindi o solo ad utenti espliciti, o solo a gruppi espliciti, o solo a domini espliciti.
- Oltre a queste impostazioni, è possibile applicare anche esclusioni specifiche, sempre a livello di utente singolo, gruppo o dominio.

- La prima cosa che potremo andare a configurare nella nostra policy di antispam sarà il livello per il quale vogliamo che le mail, una volta valutate ed ottenuto un punteggio dal sistema, passino o vengano bloccate. Più il livello sarà alto, più mail passeranno.

- A questo punto potremo scegliere tutte quelle configurazioni che normalmente sono considerate malevole all’interno di una mail, per definire se il punteggio di rischio della mail debba aumentare.
Il primo controllo che possiamo applicare è in merito al fatto che siano presenti immagini che rimandano a siti remoti.

Nota importante
Questa configurazione serve per identificare l’attacco più usato in assoluto, dove il mittente malintenzionato manda una mail con scritto che è possibile scaricare un documento cliccando sull’immagine di un pulsante con scritto “Scarica”, come nell’esempio seguente.
- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che mostrano per esteso un indirizzo IP, invece che un nome di dominio.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che presentano alla loro fine una redirezione su una porta specifica che non risulta essere quella di default.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che presentano alla fine del loro dominio il .biz o il .info.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora la mail risulti essere vuota.

Nota importante
Questo controllo è molto utile per bloccare quegli attaccanti che provano a mandare delle mail di ping per verificare se determinati indirizzi esistono ancora oppure non sono più validi.
- Possiamo aumentare il punteggio di spam per i messaggi che contengono particolari tag HTML, frequentemente utilizzati nelle campagne di spam.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora la mail contenga nel testo e nella formattazione JavaScript o VBScript.

Nota importante
Questo controllo non va a lavorare sulla parte di allegati; questi vengono gestiti dalla policy degli allegati.
Qualora vogliate configurare questa policy, ho preparato una guida che spiega in dettaglio la sua configurazione.
Guarda la guida qui
- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti moduli HTML (form) all’interno della mail, utilizzati spesso per raccogliere credenziali o dati sensibili.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti Frame o IFrame, utilizzati per incorporare contenuti esterni all’interno del messaggio.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti Web Bug, quindi piccoli elementi invisibili utilizzati per tracciare l’apertura delle email.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti tag oggetto di HTML, solitamente utilizzati per incorporare contenuti esterni quali elementi interattivi all’interno del messaggio.

- Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti “parole sensibili”.

Nota importante
Questa opzione suggerisco sempre di non attivarla. Questo in quanto la lista delle parole sensibili è gestita da Microsoft e non abbiamo possibilità di modificarla. Questa lista contiene parole sensibili per 8 lingue e, qualora ci sia un aggiornamento errato da parte di Microsoft e noi avessimo una parola che usiamo frequentemente, questa potrebbe bloccarci le email.
- Possiamo impostare un blocco per la ricezione delle mail che provengono da host che non sono compresi nel record SPF del mittente.

- Possiamo configurare il controllo per cui il punteggio di rischio della mail aumenti qualora il controllo Sender ID restituisca un errore bloccante.

- Possiamo anche configurare il nostro servizio di antispam in modo che utilizzi “Backscatterer”. Questo è un servizio che mantiene una lista di sistemi che generano traffico di backscatter, quindi notifiche e risposte automatiche derivanti da messaggi spam o spoofing.

- Abbiamo poi la possibilità di aumentare il punteggio di spam per le email aventi lingue specifiche.

- Abilitando il precedente controllo potremo selezionare le lingue che, una volta identificate nel testo della mail, ne faranno aumentare il punteggio

- Abbiamo poi la possibilità di aumentare il punteggio di spam per le email provenienti da paesi specifici.

- Abilitando il precedente controllo potremo selezionare i paesi che, una volta identificati come mittenti delle email, ne faranno aumentare il punteggio

- Per tutte le configurazioni descritte dal punto 13 ad ora è possibile attivare il controllo in test mode. Questa configurazione ci permette di controllare le mail senza bloccarle per un periodo di tempo, in modo da analizzarle e capire se alcune configurazioni possano essere troppo restrittive o troppo aperte.
Per la parte di test possiamo procedere a:
- Non fare nulla (soluzione altamente sconsigliata perché non abbiamo troppi mezzi per svolgere i controlli).
- Applicare un pezzo nell’header predefinito da Microsoft.
- Inviare il messaggio ad un indirizzo che verrà inserito in Ccn alla mail.

Nota importante
La configurazione del campo di test viene applicata nello stesso modo per tutte le configurazioni che la richiamano nella policy antispam. Non è possibile segmentare in maniera granulare i controlli di test per ogni singolo controllo che abbiamo abilitato.
- A questo punto possiamo procedere a cliccare “Avanti” per continuare la configurazione

-
A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “posta indesiderata” (SPAM), svolgendo una delle seguenti azioni:
- Recapitare il messaggio nella posta indesiderata dell’utente
- Aggiungere un X-Header a quella mail
Nota importante
La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un header aggiuntivo per ogni singolo controllo.
- Aggiungere del testo come prefisso all’oggetto
Nota importante
La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un prefisso all’oggetto aggiuntivo per ogni singolo controllo.
- Indirizzare il messaggio ad un altro indirizzo di posta
Nota importante
La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.
- Eliminare direttamente il messaggio, senza possibilità di recupero, nemmeno per l’amministratore
- Mettere il messaggio in quarantena
Nota importante
Qualora scegliessimo di mettere la mail in quarantena dovremo scegliere quale policy di quarantena applicare, in modo che l’utente venga notificato in merito al blocco. Se non la selezioneremo, solo l’amministratore vedrà quella mail bloccata sul tenant nel portale di https://security.microsoft.com.
- Non applicare alcuna azione e quindi consegnare il messaggio nella posta in arrivo dell’utente.

Nota importante
Le opzioni indicate per questo punto saranno applicabili anche a tutti i punti successivi.
- A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “posta indesiderata ad alta confidenza” (SPAM).
Attenzione
La traduzione in italiano non facilita la comprensione di cosa sia questo punto.

- A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato Phishing.

- A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “messaggio phishing ad alta confidenza” (High Confidence Phishing).
Attenzione
La traduzione in italiano non facilita la comprensione di cosa sia questo punto.

- A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come provenienete da campagne di invio massivo, come newsletter, comunicazioni commerciali o messaggi di marketing (Bulk).

-
Abbiamo poi la possibilità di decidere come agire con i controlli in merito alle mail scambiate all’interno della nostra organizzazione, infatti Microsoft ci da a disposizione le seguenti tipologie di controlli da svolgere sulla base del livello di spam dell’email:
- Predefinito
Nota importante
Questa configurazione risulta essere quella meno parlante di tutte, infatti con l’abilitazione di questo stato si controlleranno i messaggi scambiati internamente ritenuti Messaggi di Phishing ad alta affidabilità
- Nessuno
- Messaggi di Phishing ad alta affidabilità
- Phishing e messaggi di phishing ad alta affidabilità
- Tutti i messaggi di phishing di spam ad alta affidabilità
- Tutti i messaggi di phishing spam

- All’interno di questo punto possiamo configurare il periodo per il quale le mail resteranno nella “quarantena”.
Nota importante
Questa configurazione vale per tutte le policy di Office 365 che mettono le mail in quarantena. Quindi da questa impostazione noi gestiamo in totalità il mantenimento delle mail per il rilascio. Non è possibile avere una quarantena specifica per ogni singola configurazione o controllo.

- Qualora avessimo abilitato il campo “Aggiungere un X-Header a quella mail” allora potremo inserire l’header da aggiungere alla nostra mail

Nota importante
Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.
- Qualora avessimo abilitato il campo “Aggiungere del testo come prefisso all’oggetto” allora potremo inserire un prefisso all’oggetto da aggiungere alla nostra mail

Nota importante
Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.
- Qualora avessimo abilitato il campo “Indirizzare il messaggio ad un altro indirizzo di posta” allora potremo inserire un indirizzo email al quale inoltrare le mail

Nota importante
Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.
- Sarà inoltre possibile procedere ad abilitare i “suggerimenti di sicurezza” per gli utenti per le mail di spam

- L’ultima configurazione a livello di protezione che possiamo abilitare è lo “Zero Hour Auto Purge (ZAP)”, che si occupa di monitorare le cassette postali degli utenti e le loro mail anche dopo che queste sono state recapitate. Con questa tecnologia possiamo quindi monitorare tutte quelle mail che diventano malevole dopo la consegna, perché magari il link allegato viene identificato come malevolo solo nel corso del tempo.

Quando abilitata, questa tecnologia ci permette di rimuovere le mail considerate malevole per:
- Phishing.
- Posta indesiderata.

Nota importante
Al momento della scrittura di questa guida, quando il servizio rimuove la mail l’utente non riceve notifiche. Solo gli amministratori verranno avvisati quando le mail verranno rimosse dalle cassette postali degli utenti da questa tecnologia.
- terminata la configurazione potremo procedere a cliccare su “Avanti”

- Come ultimo punto possiamo configurare gli “elenchi consentiti” e gli “elenchi bloccati” a livello di dominio o di indirizzo, in modo che ci siano più o meno blocchi per specifici mittenti.

Nota importante
Qualora volessimo aggiungere negli elenchi consentiti e negli elenchi bloccati basterà cliccare su ciò che vogliamo aggiungere e poi cliccare su aggiungi nella schermata seguente

- terminata la configurazione potremo procedere a cliccare su “Avanti”

- Una volta impostato il tutto, Microsoft ci mostrerà il recap di quanto configurato.

- Se tutto risulterà essere corretto, potremo procedere a creare la nostra policy cliccando su “Crea”.

- A questo punto la nostra policy sarà creata e, in circa 15 minuti, sarà disponibile.

Nota importante
Questa era solo una policy di configurazione del servizio di Defender for Office 365. Di seguito lascio i link alle altre guide per configurare le altre policy di protezione per le nostre cassette postali:
- Anti phishing
- Antimalware
- Allegati Sicuri
- Collegamenti sicuri
- Policy di quarantena
Ho preferito separare le guide in modo tale che il tutto sia il più leggibile possibile. Avere un’unica guida creerebbe molta confusione, in quanto risulterebbe davvero lunga e difficilmente leggibile.
Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui
