Filtro antispam di Office 365: configurazione e impostazioni

Almeno, le email di spam sono un fastidio. Tuttavia, questi messaggi non richiesti sono anche una vera minaccia quando contengono allegati dannosi o malware. Fortunatamente, le organizzazioni che utilizzano Microsoft 365 possono proteggere le proprie caselle di posta separando automaticamente le email indesiderate dalla comunicazione legittima.

Exchange Online Protection (EOP) è lo strumento di sicurezza principale per le sottoscrizioni di Microsoft 365. Gli amministratori della sicurezza utilizzano EOP per creare politiche e filtri contro malware, spam e altre minacce via email. Si noti che in precedenza gli amministratori potevano accedere a EOP dal centro di amministrazione di Exchange. Oggi, EOP fa parte del portale Microsoft 365 Defender per protezione avanzata e controllo, e è possibile ottenere EOP come parte di Exchange Online o come servizio autonomo.

Questo blog spiega come funziona il filtraggio delle email di Office 365 e dettaglia le tecnologie incluse in EOP. Continua a leggere per imparare come configurare correttamente le politiche del filtro antispam in entrata e in uscita in EOP.

Come Funziona il Filtro Antispam?

Il filtraggio dello spam di Microsoft con Exchange Online Protection (EOP) si basa su minacce di spam e phishing identificate in precedenza, così come sui feedback degli utenti raccolti da Outlook.com per rilevare le email indesiderate. Le email di spam identificate vengono automaticamente classificate e separate dai messaggi in entrata legittimi. Il filtro antispam di O365 impedisce che le caselle di posta vengano riempite da email inutili e garantisce una comunicazione fluida all’interno e al di là della rete di un’organizzazione.

Le seguenti tecnologie compongono le impostazioni antispam in EOP:

• Filtro antispam (contenuto): È possibile configurare le politiche antispam in EOP in modo che i messaggi in ingresso vengano classificati in base ai seguenti verdetti:
  • Spam
  • Spam ad alta fiducia
  • E-mail di massa
  • E-mail phishing
  • E-mail phishing ad alta fiducia

La politica antispam consente di definire le azioni per ciascun verdetto e configurare le impostazioni di notifica corrispondenti.

• Filtro antispam in uscita: È inoltre possibile configurare il filtro antispam in uscita in EOP per impedire che gli utenti della tua organizzazione inviino spam intenzionalmente o involontariamente limitando i messaggi in uscita e monitorando lo spam all’interno del contenuto.
• Filtro di connessione: È possibile configurare il filtraggio in base agli indirizzi IP per identificare le fonti di posta elettronica buone e cattive in una connessione di posta in ingresso. Specifica indirizzi IP o intervalli per la lista IP consentita e la lista IP bloccata e beneficia del elenco sicuro gestito da Microsoft.
• Intelligenza contraffazione: Per la protezione anti-contraffazione, configurare le politiche anti-phishing in EOP. Altri metodi anti-contraffazione in EOP includono l’autenticazione e-mail e le informazioni di intelligenza di contraffazione.

Come Configurare la Politica di Filtro Anti-spam di Office 365

Nei sistemi Microsoft 365, una politica anti-spam include due elementi da configurare:

• Politica di filtro anti-spam: Definisce le azioni e le opzioni di notifica relative ai verdetti di filtraggio anti-spam.
• Regola di filtro anti-spam: Si riferisce alla priorità della politica di filtro anti-spam oltre ai destinatari a cui si applica la politica.

Nota: Quando crei una nuova politica anti-spam, stai creando una regola di filtro anti-spam e la relativa politica di filtro anti-spam. Se elimini una politica, entrambi gli elementi vengono eliminati.

Le organizzazioni che utilizzano Microsoft 365 hanno una politica anti-spam predefinita Predefinita che può essere visualizzata e modificata dal portale Microsoft 365 Defender. Questa politica ha il valore di priorità più basso e non fornisce protezione efficace contro lo spam.

Per questo motivo, Microsoft consiglia agli amministratori di sicurezza di configurare le proprie impostazioni di filtro anti-spam personalizzate in base alle esigenze del loro ambiente. Per semplificare la configurazione, Microsoft 365 Defender fornisce due livelli di sicurezza predefiniti, Standard e Severo, ciascuno con le proprie impostazioni predefinite dettagliate di seguito.

Creare la policy antispam in ingresso in Microsoft 365 Defender

È possibile creare una policy antispam in ingresso personalizzata e la relativa regola antispam seguendo i passaggi indicati di seguito:

1. Accedere alla pagina Anti-spam policies inserendo https://security.microsoft.com/antispam nel browser.

Nota: È inoltre possibile accedere alla pagina delle policy antispam utilizzando https://security.microsoft.com, quindi facendo clic su Email & Collaboration > Policies & Rules > Threat policies > Anti-spam sotto Policies.

2. Fare clic su + Create policy e selezionare Inbound dall’elenco a discesa.

3. La prima pagina del wizard di creazione della policy è la Name your policy page. Definire le seguenti impostazioni:

• Name: Aggiungere un nome descrittivo e univoco per la policy.
  • Description: Inserire una descrizione appropriata (facoltativa).

Fare clic su Next per continuare.

4. Nella pagina Users, groups, and domains, aggiungere i destinatari interni interessati dalla policy antispam:

• Users: utenti di posta, contatti o caselle di posta all’interno dell’organizzazione
• Gruppi: Gruppi Microsoft 365, gruppi di sicurezza abilitati per la posta o gruppi di distribuzione
• Domini: destinatari nei domini accettati nella tua azienda

Inserisci un valore in ogni casella e seleziona quello che ti serve dai risultati visualizzati. Puoi rimuovere un valore cliccando sul x accanto ad esso. Puoi anche selezionare la casella accanto a Escludi questi utenti, gruppi e domini per aggiungere destinatari da escludere dalla policy che stai creando.

Nota: Aggiungi un asterisco (*) in qualsiasi casella per visualizzare tutti i valori disponibili.

Clicca su Avanti per continuare.

5. La terza pagina è Soglia email di massa & proprietà spam. Configura i seguenti settaggi:

• Soglia email di massa: Imposta il Livello di denuncia di massa (BCL) dei messaggi che possono innescare un’azione per il verdetto antispam Bulk. Più alto è il numero, più email di massa arriveranno nella tua inbox e viceversa. Puoi configurare questo valore come ritieni opportuno; tuttavia, Microsoft ha i seguenti valori predefiniti:

• Aumenta punteggio spam e Marca come spam: Parte delle impostazioni del filtro antispam avanzato (ASF), questa opzione è disattivata per impostazione predefinita.
• Contiene lingue specifiche: Questa è disattivata per impostazione predefinita. Quando si seleziona Attivo dall’elenco a discesa, compare una casella e si può aggiungere la lingua della posta che si considera spam.
• Da questi paesi: Anche questa è disattivata per impostazione predefinita. Se si desidera impostare le email come spam da specifici paesi, basta scegliere Attivo dall’elenco a discesa e aggiungere i paesi.
• Modalità di test: Anche questa opzione fa parte delle impostazioni ASF e viene disattivata per impostazione predefinita.

Nota: ASF è un metodo più aggressivo per filtrare le email spam. Microsoft consiglia di mantenere i valori predefiniti Spento, poiché si potrebbero ottenere un gran numero di falsi positivi, che non possono essere segnalati come tali con l’impostazione ASF attivata.

Fare clic su Avanti per continuare con il passo successivo.

6. La pagina Azioni è dove si sceglie cosa accade alle email in base ai verdetti di filtraggio antispam che ricevono. Prima di configurare le impostazioni qui, è importante comprendere cosa significa ogni azione:

• Sposta messaggio nella cartella Posta indesiderata: L’email viene consegnata alla casella di posta e poi spostata nella cartella spam.
• Aggiungi intestazione X: Questo aggiunge un’intestazione X al messaggio prima che venga consegnato alla casella di posta. Puoi scegliere il nome dell’intestazione X nella casella Aggiungi questo testo dell’intestazione X.
• Anteponi testo alla linea del soggetto: L’email viene consegnata alla casella di posta e poi spostata nella cartella Posta indesiderata, ma puoi aggiungere un testo all’inizio della linea del soggetto. Inserisci il testo nella casella Anteponi a questo testo la linea del soggetto.
• Reindirizza messaggio a un indirizzo email: Questo inoltra l’email ad altri destinatari invece dell’utente previsto. Puoi specificare il nuovo destinatario(i) nella casella Reindirizza a questo indirizzo email.
• Elimina messaggio: L’email e tutti i suoi allegati vengono eliminati automaticamente.
• Metti in quarantena messaggio: Il messaggio viene inviato in quarantena. Puoi scegliere per quanto tempo l’email dovrebbe rimanere lì utilizzando la casella Mantieni lo spam in quarantena per questo numero di giorni. Quando selezioni questa azione, dovresti anche impostare la politica di quarantena nella casella Seleziona politica di quarantena che appare.
• Nessuna azione: Come suggerisce il nome, non viene intrapresa alcuna azione e il messaggio viene consegnato normalmente.

• Suggerimenti di sicurezza: I suggerimenti sono abilitati per impostazione predefinita. Puoi disabilitarli deselezionando la casella di controllo.
• Pulizia automatica all’ora zero (ZAP): ZAP individua e agisce sulle email inviate alle cassette postali di Exchange Online. Questa funzione e le relative impostazioni sono attivate per impostazione predefinita.

Fai clic su Avanti per continuare.

7. La pagina Lista di autorizzazione e blocco ti consente di specificare quali indirizzi email o domini possono bypassare il filtro antispam. Inoltre, puoi aggiungere mittenti e domini bloccati. Configura le liste qui seguendo i passaggi indicati di seguito:

• Autorizzati:
  • Per gestire i mittenti, fai clic su Gestisci (n) mittente(i). Seleziona +Aggiungi mittenti nel riquadro che appare e aggiungi l’indirizzo email del mittente. Infine, fai clic su Aggiungi mittenti.
  • Fai clic su Autorizza domini per personalizzare i domini. Nella nuova scheda, scegli +Aggiungi domini quindi inserisci il dominio. Una volta fatto, fai clic su Aggiungi domini.

• Bloccati: Il processo di aggiunta di mittenti e/o domini bloccati è fondamentalmente lo stesso di quello descritto sopra.

Clicca Avanti per continuare.

8. Sulla pagina Revisione, puoi rivedere tutte le impostazioni che hai scelto. Puoi Modificare una sezione specifica oppure semplicemente cliccare su Indietro per tornare alle pagine precedenti. Infine, seleziona Crea e poi clicca su Fatto sulla pagina di conferma.

Creazione della politica anti-spam in uscita in Microsoft 365 Defender

Che un utente nella tua organizzazione stia inviando email di spam deliberatamente o accidentalmente, EOP ha controlli in atto per lo spam in uscita per proteggere i destinatari:

• Separazione del traffico email in uscita: EOP analizza ogni messaggio in uscita. Quando un’email viene identificata come spam, viene inviata da un pool di indirizzi IP di minor reputazione noto come pool di consegna ad alto rischio.
• Disabilitazione degli account che inviano troppo spam o troppe email in breve tempo: Tutti gli account vengono monitorati in modo che non superino un limite specifico di email. Quando tale soglia viene raggiunta, l’account viene disabilitato.
• Monitoraggio della reputazione dell’indirizzo IP di origine: Microsoft 365 analizza numerose liste di blocchi IP di terze parti e genera un avviso se la tua organizzazione sta utilizzando un indirizzo IP trovato in una qualsiasi di quelle liste.

Ora che sai come EOP controlla lo spam in uscita, puoi creare politiche anti-spam personalizzate in uscita:

1. Accedi alla pagina delle Politiche anti-spam inserendo https://security.microsoft.com/antispam nel tuo browser.

Nota: Puoi anche andare alla pagina delle politiche anti-spam utilizzando https://security.microsoft.com, quindi cliccando Email & Collaboration > Policies & Rules > Threat policies > Anti-spam sotto Policies.

2. Clicca + Crea policy e scegli Outbound dall’elenco a discesa.

3. La prima pagina del wizard di creazione della policy è la Name your policy page. Definisci le seguenti impostazioni:

• Nome: Aggiungi un nome descrittivo e unico per la tua policy.
• Descrizione: Inserisci una descrizione appropriata (facoltativa).

Clicca Avanti una volta che hai finito.

4. Questa è la Users, groups, and domains pagina in cui devi aggiungere i destinatari interni interessati dalla policy di filtro anti-spam in uscita:

• Users: Questi sono gli utenti di posta, i contatti o le caselle di posta all’interno della tua organizzazione.
• Groups: Gruppi Microsoft 365, gruppi di sicurezza abilitati per la posta o gruppi di distribuzione.
• Domains: Questo includerà tutti i destinatari sotto i domini accettati nella tua azienda.

Inserisci un valore in ciascuna casella e seleziona quello di cui hai bisogno dai risultati visualizzati. Puoi rimuovere un valore facendo clic su X accanto ad esso. Puoi anche selezionare la casella accanto a Escludi questi utenti, gruppi e domini per aggiungere destinatari che sono eccezioni alla politica che stai creando.

Nota: Inserisci un asterisco (*) in qualsiasi casella per visualizzare tutti i valori disponibili.

Fai clic su Avanti per continuare.

5. Nella pagina Impostazioni di protezione, configura le seguenti impostazioni:

• Limiti messaggi: Personalizza i limiti dei messaggi in uscita nelle caselle di posta Exchange Online. Inserisci il valore o utilizza le frecce in ciascuna delle caselle descritte di seguito. Il valore può variare da 0 (impostazione predefinita) a 10.000.
  • Imposta un limite messaggi esterni si riferisce al numero massimo di destinatari esterni in un’ora.
  • Imposta un limite messaggi interni è il numero massimo di destinatari interni in un’ora.
  • Imposta un limite messaggi giornaliero è il numero massimo di tutti i destinatari (esterni e interni) al giorno.
• Restrizione posta agli utenti che raggiungono il limite di messaggi: Definire l’azione se un utente supera i limiti di messaggi precedentemente impostati.
  • Limitare l’utente dall’invio di posta fino al giorno successivo: Gli utenti saranno vietati dall’inviare ulteriori messaggi per 24 ore. Gli amministratori di sicurezza non possono rimuovere questa restrizione. Le notifiche vengono inviate all’utente bloccato e agli amministratori.
  • Limitare l’utente dall’invio di posta: Con questa opzione, gli utenti verranno aggiunti alla lista Utenti restritti. Non potranno inviare alcun messaggio fino a quando un amministratore li rimuove manualmente dalla lista.
  • Nessuna azione, solo avviso: Gli utenti non sono limitati ma vengono inviate notifiche.
• Regole di inoltro: Gestire l’inoltro automatico delle email scegliendo una delle opzioni dal menu a discesa:
• Automatico – Controllato dal sistema: Per impostazione predefinita, lo spam in uscita viene filtrato per controllare l’inoltro esterno delle email.
• Disattivo – L’inoltro è disabilitato: L’inoltro automatico delle email esterne è disabilitato.
  • Attivo – L’inoltro è abilitato: L’inoltro automatico delle email esterne è abilitato.
• Notifiche: Specificare ulteriori utenti che riceveranno notifiche riguardanti le email di spam in uscita:
  • Invia una copia di email sospette in uscita che superano questi limiti a questi utenti e gruppi: Abilita questa impostazione selezionando la casella di controllo accanto ad essa. Una volta fatto, comparirà una casella di testo in cui è possibile aggiungere gli indirizzi email dei destinatari da includere nel campo Bcc delle email sospette.
  • Avvisa questi utenti e gruppi se un mittente viene bloccato a causa dell’invio di spam in uscita: Quando selezioni questa casella di controllo, puoi aggiungere gli indirizzi email dei destinatari che desideri notificare nel caso in cui un utente venga bloccato per l’invio di messaggi di spam.

Fare clic su Avanti per continuare.

6. Sulla pagina di Revisione, puoi esaminare tutte le impostazioni che hai scelto. Puoi Modificare una sezione specifica o semplicemente fare clic su Indietro per tornare alle pagine precedenti. Infine, seleziona Crea e fai clic su Fatto sulla pagina di conferma.

Come Configurare il Filtraggio delle Connessioni

Il filtraggio delle connessioni in EOP viene utilizzato per identificare quali server di posta elettronica sono buoni e cattivi tramite i loro indirizzi IP. In Microsoft 365 Defender, le policy anti-spam includono una policy predefinita di filtraggio delle connessioni che aiuta a ridurre il numero di messaggi di spam che finiscono nella tua casella di posta bloccandoli alla fonte.

La policy predefinita di filtraggio delle connessioni ha tre componenti principali:

• Elenco di Indirizzi IP Consentiti: Aggiungendo i server di posta elettronica di origine a questa lista, tutti i messaggi in arrivo da questi server non passano attraverso il filtro dello spam e vengono consegnati direttamente alla casella di posta. Puoi specificare i server utilizzando gli indirizzi IP o intervalli di indirizzi IP.
• Elenco di Indirizzi IP Bloccati: Aggiungendo i server di posta elettronica di origine a questa lista, tutti i messaggi in arrivo da questi server vengono automaticamente bloccati e respinti. Puoi aggiungere server utilizzando indirizzi IP o intervalli di indirizzi IP.
• Elenco Sicuro: Questo è un “elenco di consentiti” gestito da Microsoft e non è possibile modificarlo autonomamente. Tutti i messaggi in arrivo da server di posta elettronica di origine presenti qui saltano il filtro dello spam. È importante notare che è possibile disabilitare questo elenco se necessario.

Modificare la policy predefinita di filtraggio delle connessioni in Microsoft 365 Defender

Mentre non è possibile creare una nuova policy di filtro della connessione, è possibile configurare quella predefinita seguendo i passaggi indicati di seguito:

1. Accedere alla pagina Policy antispam inserendo https://security.microsoft.com/antispam nel browser.

Nota: È inoltre possibile accedere alla pagina delle policy antispam utilizzando https://security.microsoft.com, quindi cliccando su Posta elettronica & Collaborazione > Policy & Regole > Policy sulle minacce > Antispam sotto Policy.

2. Clicca su Policy di filtro della connessione (Predefinita).

3. In questa flyout, è possibile configurare le seguenti impostazioni per bloccare i mittenti in Office 365:

• Descrizione: Clicca su Modifica descrizione per aggiungere un testo descrittivo facoltativo per la policy. Premi Salva una volta terminato.

• Filtro delle connessioni: Fai clic su Modifica la politica del filtro delle connessioni per personalizzare le seguenti impostazioni:
  • Sempre consentire messaggi da queste IP address o intervallo di indirizzi: Qui è possibile aggiungere un singolo IP, un intervallo di IP o un IP CIDR alla lista IP consentiti.
  • Sempre bloccare messaggi da queste IP address o intervallo di indirizzi: Qui è possibile aggiungere un singolo IP, un intervallo di IP o un IP CIDR alla lista IP bloccati.
  • Attiva la lista sicura: Abilita la lista sicura selezionando la casella di controllo o mantienila disabilitata (impostazione predefinita).

Fai clic su Salva una volta terminato.

Come Rimuovere le Politiche Anti-Spam Personalizzate

Mentre non è possibile eliminare una politica predefinita, è possibile facilmente rimuovere una politica anti-spam personalizzata seguendo questi passaggi:

1. Accedi alla pagina Politiche anti-spam inserendo https://security.microsoft.com/antispam nel tuo browser.

Nota: Puoi anche andare alla pagina delle politiche anti-spam utilizzando https://security.microsoft.com, quindi facendo clic su Email & Collaborazione > Politiche & Regole > Politiche di minaccia > Anti-spam sotto Politiche.

2. Fai clic sulla politica che desideri rimuovere.
3. Nella flyout, seleziona Elimina politica, quindi fai clic su Sì nella finestra di conferma che appare.

Nota: Quando elimini una politica anti-spam personalizzata, anche la relativa regola anti-spam viene rimossa.

Gestione degli errori nella filtratura spam

Poiché nessun sistema è perfetto, buone email possono talvolta essere definite spam (falso positivo) e allo stesso tempo, alcune email spam possono passare attraverso la politica di filtraggio e raggiungere la tua casella di posta (falso negativo). Puoi implementare le migliori pratiche per il filtro spam di Office 365 per ridurre al minimo questi eventi il più possibile:

• Assicurati di avere le impostazioni corrette per le email di massa: Verifica che il livello di lamentele di massa (BCL) che hai precedentemente impostato nelle tue politiche anti-spam personalizzate sia adatto per la tua organizzazione. Puoi regolare il BCL in base al numero di email di massa che invii e ricevi.
• Rivedi gli header delle email anti-spam: Questi possono aiutarti a capire perché un’email è stata erroneamente contrassegnata come spam o è passata attraverso il filtraggio senza essere notata.
• Implementare l’autenticazione tramite email: Se possedete un dominio email personale, potete configurare il vostro DNS per aiutare a prevenire lo spam e il spoofing. Provate a utilizzare tutti i metodi di autenticazione disponibili (SPF, DKIM e DMARC) per ottenere i migliori risultati.
• Indirizzare il vostro record MX verso Microsoft 365: Microsoft consiglia di far arrivare i messaggi a Microsoft 365 per primi per garantire la protezione ottimale con EOP.

Conclusione

Se lasciato incontrollato, lo spam può facilmente diventare una minaccia per la continuità aziendale. Questo è il motivo per cui Microsoft ha assicurato di fornire ai propri utenti strumenti avanzati per la filtratura dello spam attraverso Exchange Online Protection (EOP). Ora sapete come creare e configurare le politiche anti-spam per la vostra organizzazione e limitare la quantità di spam che raggiunge le vostre caselle di posta.

Mentre la filtratura dello spam svolge un ottimo lavoro nel proteggere le caselle di posta dalle email spam, attacchi sofisticati come phishing e ransomware richiedono misure di sicurezza aggiuntive. Potete garantire una protezione ottimale per tutto l’ambiente Office 365 disponendo di una soluzione di backup completa. NAKIVO Backup & Replication fornisce backup per Exchange Online oltre a recupero dei dati istantaneo e protezione dai ransomware.

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!