Configurazione di una policy di antispam in Defender For office 365

In questa guida analizzeremo tutti i passaggi necessari per creare una policy di protezione per le nostre cassette postali in caso di attacchi di SPAM. Per procedere con la configurazione dovremo seguire i passaggi riportati di seguito:

  1. Andare sul portale di Defender raggiungibile dal link: https://security.microsoft.com

  2. Cliccare sull’icona che mostra la barra di navigazione.

barra

  1. Andare nella sezione “Posta Elettronica e collaborazione”.

email

  1. Andare su “Criteri e regole”.

policy

  1. Selezionare “Criteri per minaccia”.

policy

  1. Cliccare sulla voce “filtro della posta indesiderata”.

antispam

  1. Cliccare quindi sulla voce “Crea criterio”.

crea

Nota importante

Qui, come per altre sezioni, vedremo che sono presenti già alcune policy di default create da Microsoft che non possono essere spente né cancellate. Il mio suggerimento è di creare sempre una o più nuove policy sulla base delle necessità e mantenere la default invariata. Tanto le nostre policy avranno sempre una priorità più alta di quelle create automaticamente da Microsoft.

  1. A questo punto, a differenza delle altre policy di Defender for Office 365, dovremo scegliere che tipo di policy creare, in quanto per la parte di antispam possiamo:

type

  1. In questa guida approfondiremo solo come si configurano le policy antispam per le mail in ingresso nel nostro tenant, quindi selezioniamo la voce Inbound.

Inbound

Nota importante

È possibile creare anche le policy che controllano le mail in uscita dal nostro tenant, ma per ora quelle di default di Microsoft sono molto efficaci nel riconoscimento e, a mio avviso, possono essere utilizzate senza particolari problemi.

  1. Selezioniamo il nome della policy.

Nome

  1. Scriviamo pure una descrizione per la nostra policy. Anche se questo passaggio non è obbligatorio, ci aiuterà a capire cosa faccia questa policy qualora nel nostro tenant ne siano presenti più di una. Una volta completata la compilazione, clicchiamo su “Avanti”.

Descrizione

  1. Scegliamo a quali utenti applicarla. Per questa configurazione abbiamo 3 opzioni:

    • applicarla a singoli utenti;
    • applicarla a gruppi di utenti;
    • applicarla a livello di dominio.

scope

Nota personale

In questa sezione è possibile aggiungere più utenti, gruppi e domini in maniera granulare. Se lo facciamo, ovviamente, il portale applica le policy a questi. Il mio suggerimento è però di creare delle policy ed applicarle a livello di gruppo, quindi o solo ad utenti espliciti, o solo a gruppi espliciti, o solo a domini espliciti.

  1. Oltre a queste impostazioni, è possibile applicare anche esclusioni specifiche, sempre a livello di utente singolo, gruppo o dominio.

exclusions

  1. La prima cosa che potremo andare a configurare nella nostra policy di antispam sarà il livello per il quale vogliamo che le mail, una volta valutate ed ottenuto un punteggio dal sistema, passino o vengano bloccate. Più il livello sarà alto, più mail passeranno.

livello

  1. A questo punto potremo scegliere tutte quelle configurazioni che normalmente sono considerate malevole all’interno di una mail, per definire se il punteggio di rischio della mail debba aumentare.

Il primo controllo che possiamo applicare è in merito al fatto che siano presenti immagini che rimandano a siti remoti.

immagini

Nota importante

Questa configurazione serve per identificare l’attacco più usato in assoluto, dove il mittente malintenzionato manda una mail con scritto che è possibile scaricare un documento cliccando sull’immagine di un pulsante con scritto “Scarica”, come nell’esempio seguente.

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che mostrano per esteso un indirizzo IP, invece che un nome di dominio.

ip

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che presentano alla loro fine una redirezione su una porta specifica che non risulta essere quella di default.

porta

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora siano presenti link che presentano alla fine del loro dominio il .biz o il .info.

info

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora la mail risulti essere vuota.

empty

Nota importante

Questo controllo è molto utile per bloccare quegli attaccanti che provano a mandare delle mail di ping per verificare se determinati indirizzi esistono ancora oppure non sono più validi.

  1. Possiamo aumentare il punteggio di spam per i messaggi che contengono particolari tag HTML, frequentemente utilizzati nelle campagne di spam.

tag

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenta qualora la mail contenga nel testo e nella formattazione JavaScript o VBScript.

java

Nota importante

Questo controllo non va a lavorare sulla parte di allegati; questi vengono gestiti dalla policy degli allegati.

Qualora vogliate configurare questa policy, ho preparato una guida che spiega in dettaglio la sua configurazione.

Guarda la guida qui

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti moduli HTML (form) all’interno della mail, utilizzati spesso per raccogliere credenziali o dati sensibili.

tag2

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti Frame o IFrame, utilizzati per incorporare contenuti esterni all’interno del messaggio.

iframe

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti Web Bug, quindi piccoli elementi invisibili utilizzati per tracciare l’apertura delle email.

bug

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti tag oggetto di HTML, solitamente utilizzati per incorporare contenuti esterni quali elementi interattivi all’interno del messaggio.

tag3

  1. Possiamo abilitare il controllo per cui il punteggio di rischio della mail aumenti qualora siano presenti “parole sensibili”.

word

Nota importante

Questa opzione suggerisco sempre di non attivarla. Questo in quanto la lista delle parole sensibili è gestita da Microsoft e non abbiamo possibilità di modificarla. Questa lista contiene parole sensibili per 8 lingue e, qualora ci sia un aggiornamento errato da parte di Microsoft e noi avessimo una parola che usiamo frequentemente, questa potrebbe bloccarci le email.

  1. Possiamo impostare un blocco per la ricezione delle mail che provengono da host che non sono compresi nel record SPF del mittente.

spf

  1. Possiamo configurare il controllo per cui il punteggio di rischio della mail aumenti qualora il controllo Sender ID restituisca un errore bloccante.

filtro id

  1. Possiamo anche configurare il nostro servizio di antispam in modo che utilizzi “Backscatterer”. Questo è un servizio che mantiene una lista di sistemi che generano traffico di backscatter, quindi notifiche e risposte automatiche derivanti da messaggi spam o spoofing.

back

  1. Abbiamo poi la possibilità di aumentare il punteggio di spam per le email aventi lingue specifiche.

lingua

  1. Abilitando il precedente controllo potremo selezionare le lingue che, una volta identificate nel testo della mail, ne faranno aumentare il punteggio

add

  1. Abbiamo poi la possibilità di aumentare il punteggio di spam per le email provenienti da paesi specifici.

paese

  1. Abilitando il precedente controllo potremo selezionare i paesi che, una volta identificati come mittenti delle email, ne faranno aumentare il punteggio

add

  1. Per tutte le configurazioni descritte dal punto 13 ad ora è possibile attivare il controllo in test mode. Questa configurazione ci permette di controllare le mail senza bloccarle per un periodo di tempo, in modo da analizzarle e capire se alcune configurazioni possano essere troppo restrittive o troppo aperte.

Per la parte di test possiamo procedere a:

conferma

Nota importante

La configurazione del campo di test viene applicata nello stesso modo per tutte le configurazioni che la richiamano nella policy antispam. Non è possibile segmentare in maniera granulare i controlli di test per ogni singolo controllo che abbiamo abilitato.

  1. A questo punto possiamo procedere a cliccare “Avanti” per continuare la configurazione

Avanti

  1. A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “posta indesiderata” (SPAM), svolgendo una delle seguenti azioni:

    • Recapitare il messaggio nella posta indesiderata dell’utente
    • Aggiungere un X-Header a quella mail

Nota importante

La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un header aggiuntivo per ogni singolo controllo.

Nota importante

La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un prefisso all’oggetto aggiuntivo per ogni singolo controllo.

Nota importante

La configurazione di questo campo viene svolta sempre nella stessa pagina di configurazione, verso il fondo e, una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.

Nota importante

Qualora scegliessimo di mettere la mail in quarantena dovremo scegliere quale policy di quarantena applicare, in modo che l’utente venga notificato in merito al blocco. Se non la selezioneremo, solo l’amministratore vedrà quella mail bloccata sul tenant nel portale di https://security.microsoft.com.

protection

protection

Nota importante

Le opzioni indicate per questo punto saranno applicabili anche a tutti i punti successivi.

  1. A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “posta indesiderata ad alta confidenza” (SPAM).

Attenzione

La traduzione in italiano non facilita la comprensione di cosa sia questo punto.

altaconf

  1. A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato Phishing.

reserved

  1. A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come “messaggio phishing ad alta confidenza” (High Confidence Phishing).

Attenzione

La traduzione in italiano non facilita la comprensione di cosa sia questo punto.

highphis

  1. A questo punto possiamo procedere a definire come proteggerci qualora un messaggio venga identificato come provenienete da campagne di invio massivo, come newsletter, comunicazioni commerciali o messaggi di marketing (Bulk).

Level

  1. Abbiamo poi la possibilità di decidere come agire con i controlli in merito alle mail scambiate all’interno della nostra organizzazione, infatti Microsoft ci da a disposizione le seguenti tipologie di controlli da svolgere sulla base del livello di spam dell’email:

    • Predefinito

Nota importante

Questa configurazione risulta essere quella meno parlante di tutte, infatti con l’abilitazione di questo stato si controlleranno i messaggi scambiati internamente ritenuti Messaggi di Phishing ad alta affidabilità

intra

  1. All’interno di questo punto possiamo configurare il periodo per il quale le mail resteranno nella “quarantena”.

Nota importante

Questa configurazione vale per tutte le policy di Office 365 che mettono le mail in quarantena. Quindi da questa impostazione noi gestiamo in totalità il mantenimento delle mail per il rilascio. Non è possibile avere una quarantena specifica per ogni singola configurazione o controllo.

quarantena

  1. Qualora avessimo abilitato il campo “Aggiungere un X-Header a quella mail” allora potremo inserire l’header da aggiungere alla nostra mail

header custom

Nota importante

Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.

  1. Qualora avessimo abilitato il campo “Aggiungere del testo come prefisso all’oggetto” allora potremo inserire un prefisso all’oggetto da aggiungere alla nostra mail

object custom

Nota importante

Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.

  1. Qualora avessimo abilitato il campo “Indirizzare il messaggio ad un altro indirizzo di posta” allora potremo inserire un indirizzo email al quale inoltrare le mail

email custom

Nota importante

Una volta scelto, risulta essere uguale per tutti gli altri punti. Non è possibile mettere un indirizzo per il recapito aggiuntivo per ogni singolo controllo.

  1. Sarà inoltre possibile procedere ad abilitare i “suggerimenti di sicurezza” per gli utenti per le mail di spam

suggestions

  1. L’ultima configurazione a livello di protezione che possiamo abilitare è lo “Zero Hour Auto Purge (ZAP)”, che si occupa di monitorare le cassette postali degli utenti e le loro mail anche dopo che queste sono state recapitate. Con questa tecnologia possiamo quindi monitorare tutte quelle mail che diventano malevole dopo la consegna, perché magari il link allegato viene identificato come malevolo solo nel corso del tempo.

zap

Quando abilitata, questa tecnologia ci permette di rimuovere le mail considerate malevole per:

zap2

Nota importante

Al momento della scrittura di questa guida, quando il servizio rimuove la mail l’utente non riceve notifiche. Solo gli amministratori verranno avvisati quando le mail verranno rimosse dalle cassette postali degli utenti da questa tecnologia.

  1. terminata la configurazione potremo procedere a cliccare su “Avanti”

avanti

  1. Come ultimo punto possiamo configurare gli “elenchi consentiti” e gli “elenchi bloccati” a livello di dominio o di indirizzo, in modo che ci siano più o meno blocchi per specifici mittenti.

whiteblack

Nota importante

Qualora volessimo aggiungere negli elenchi consentiti e negli elenchi bloccati basterà cliccare su ciò che vogliamo aggiungere e poi cliccare su aggiungi nella schermata seguente

add

  1. terminata la configurazione potremo procedere a cliccare su “Avanti”

avanti

  1. Una volta impostato il tutto, Microsoft ci mostrerà il recap di quanto configurato.

recap

  1. Se tutto risulterà essere corretto, potremo procedere a creare la nostra policy cliccando su “Crea”.

crea

  1. A questo punto la nostra policy sarà creata e, in circa 15 minuti, sarà disponibile.

ok

Nota importante

Questa era solo una policy di configurazione del servizio di Defender for Office 365. Di seguito lascio i link alle altre guide per configurare le altre policy di protezione per le nostre cassette postali:

  • Anti phishing
  • Antimalware
  • Allegati Sicuri
  • Collegamenti sicuri
  • Policy di quarantena

Ho preferito separare le guide in modo tale che il tutto sia il più leggibile possibile. Avere un’unica guida creerebbe molta confusione, in quanto risulterebbe davvero lunga e difficilmente leggibile.


Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.

Guarda il video qui