Politica anti-phishing di Office 365: come configurarla

Microsoft 365 (Office 365) include una protezione anti-phishing integrata, ma affidarsi alle impostazioni predefinite comporta notevoli lacune di sicurezza. La realtà è che la maggior parte delle organizzazioni utilizza configurazioni predefinite che lasciano aperte importanti falle di sicurezza, pronte per essere sfruttate dagli hacker. Se vuoi proteggere efficacemente il tuo tenant, devi capire esattamente cosa copre la politica di Microsoft, dove presenta delle lacune e come ottimizzare le impostazioni per tenere a bada le minacce.

In cosa consiste la politica anti-phishing di Office 365?

La politica anti-phishing di Office 365 è un controllo di sicurezza fondamentale all'interno di Exchange Online Protection (EOP) e Microsoft Defender, progettato per rilevare e bloccare le e-mail di phishing in entrata. In ogni tenant di Microsoft 365 è presente una politica anti-phishing predefinita di base che si applica automaticamente a tutti i destinatari. Fin da subito, si dispone di un livello minimo di sicurezza senza dover attivare manualmente la protezione.

Questa politica predefinita copre le funzionalità essenziali, tra cui:

• Intelligenza anti-spoofing: individuazione e analisi dei domini dei mittenti falsificati per verificare se provengono da infrastrutture autorizzate.
• Consigli di sicurezza per il primo contatto: avvisare gli utenti finali quando ricevono un messaggio da un mittente con cui non comunicano abitualmente.
• Indicatori di mittente non autenticato: visualizzazione di un simbolo di interrogativo (l'icona "?") in Outlook accanto alla foto o alle iniziali del mittente, qualora il sistema non riesca a verificare l'identità dell'utente.

Tuttavia, i meccanismi di rilevamento avanzati richiedono livelli di licenza superiori. Funzionalità quali la protezione dall'usurpazione dell'identità dell'utente, la protezione dall'usurpazione dell'identità del dominio, l'analisi delle caselle di posta e le soglie di phishing personalizzabili sono disponibili solo con i piani avanzati.

Panoramica sulle licenze di sicurezza di Microsoft 365

Per evitare confusione e capire quali strumenti sono disponibili nel tuo tenant specifico, consulta questa breve sintesi sulle licenze:

Da cosa protegge la politica anti-phishing?

A seconda del livello di abbonamento, la politica di Microsoft mira a bloccare quattro tipi principali di frodi relative all'identità tramite e-mail.

1. Protezione anti-spoofing (tutti i piani)

Questa protezione rileva i casi in cui il nome di dominio indicato nell'indirizzo del mittente è stato esplicitamente falsificato. Il motore di analisi dello spoofing di Microsoft verifica se l'indirizzo IP del server di posta mittente è effettivamente autorizzato a inviare messaggi per conto di quel dominio specifico. I messaggi in arrivo che non superano questa fase di verifica tecnica vengono contrassegnati o spostati automaticamente nella cartella "Posta indesiderata" dell'utente.

2. Protezione dall'usurpazione dell'identità dell'utente (Piano Defender 1+)

Gli hacker prendono spesso di mira i dipendenti comuni fingendo di essere dirigenti dell'azienda o personaggi pubblici di spicco: si tratta di una delle tattiche principali utilizzate nelle campagne di Business Email Compromise (BEC). Questa funzione protegge account individuali specifici e identificati per nome (come quelli del CEO, del CFO o degli amministratori IT principali). Blocca i nomi visualizzati simili e le sottili variazioni negli indirizzi e-mail esterni alternativi che gli strumenti di autenticazione standard non sono in grado di rilevare.

3. Protezione contro l'usurpazione di identità del dominio (Piano Defender 1+)

Oltre che a singoli individui, gli autori di attacchi malintenzionati imitano interi domini. Questa funzionalità impedisce che determinati domini vengano utilizzati in modo fraudolento nel campo "Da" dell'intestazione. Questo strumento si rivela incredibilmente utile per proteggere sia i nomi di dominio della propria azienda sia quelli di fornitori esterni o partner commerciali chiave.

4. Mailbox Intelligence (Piano Defender 1+)

La funzione "Mailbox Intelligence" sfrutta tecniche avanzate di apprendimento automatico per creare un grafico delle comunicazioni interne tra mittenti e destinatari per ciascun dipendente. Comprendendo i modelli di comunicazione abituali, l'intelligenza artificiale è in grado di individuare e segnalare facilmente i messaggi provenienti da mittenti esterni non verificati che presentano una forte somiglianza con il comportamento o il nome di un contatto esistente.

Soglia regolabile per le e-mail di phishing (Piano Defender 1+)

Microsoft utilizza una scala standard da 1 a 4 per determinare con quale grado di severità i propri algoritmi di apprendimento automatico classificano un'e-mail come potenziale tentativo di phishing.

• Livello 1 (Standard): la configurazione predefinita. Offre un rilevamento bilanciato con bassi tassi di falsi positivi.
• Livello 2 (Aggressivo): l'impostazione predefinita raccomandata da Microsoft e dai team di sicurezza del settore per la maggior parte degli ambienti aziendali.
• Livello 3 (più aggressivo): ideale per obiettivi ad alto rischio o organizzazioni soggette ad attacchi digitali frequenti e altamente specializzati.
• Livello 4 (il più aggressivo): ottimizza il rilevamento, ma comporta un rischio significativo di intercettare comunicazioni legittime.

Come configurare la politica anti-phishing in Office 365

Prima di iniziare, assicurati di avere uno dei seguenti ruoli:

• Microsoft Defender XDR RBAC unificato: Impostazioni di sicurezza di base (gestione) o Impostazioni di sicurezza di base (lettura).
• Autorizzazioni di Exchange Online: Amministratore dell'organizzazione o Amministratore della sicurezza (per la gestione completa); Lettore globale, Lettore della sicurezza o Amministratore dell'organizzazione in sola lettura (per l'accesso in sola lettura).
• Autorizzazioni di Microsoft Entra: Amministratore globale (da utilizzare secondo il principio del privilegio minimo), Amministratore della sicurezza, Lettore globale o Lettore della sicurezza.

Nota: l'applicazione di una politica nuova o aggiornata all'intero tenant può richiedere fino a 30 minuti.

Passaggio 1: Accedere alla pagina anti-phishing

Fonte

1. Apri il browser e vai al portale di Microsoft Defender
2. Nel menu di navigazione a sinistra, vai su Posta elettronica e collaborazione > Criteri e regole > Criteri relativi alle minacce.

Fonte

Nella sezione "Politiche", clicca su " Anti-phishing".

• Scorciatoia: puoi saltare i menu e andare direttamente su https://security.microsoft.com/antiphishing.

Passaggio 2: Avviare la procedura guidata per la creazione dei criteri

1. Nella pagina Anti-phishing, seleziona + Crea per aprire la procedura guidata per la creazione di una nuova politica anti-phishing.

2. Nella pagina " Nome della politica ", configurare quanto segue:

• Nome: inserisci un nome univoco e descrittivo.
• Descrizione: inserisci una descrizione facoltativa.

3. Selezionare Avanti.

Fonte

Passaggio 3: Identificare i destinatari (utenti, gruppi e domini)

Nella pagina " Utenti, gruppi e domini", definire i destinatari interni a cui si applica la politica:

• Utenti: specificare le caselle di posta o gli utenti di posta.
• Gruppi: selezionare gruppi di distribuzione, gruppi di sicurezza con funzionalità di posta o gruppi di Microsoft 365 (i gruppi di distribuzione dinamici o i gruppi Microsoft Entra ID dinamici non sono supportati).
• Domini: selezionare i domini ammessi. Verranno inclusi tutti i destinatari con un indirizzo e-mail principale appartenente a questi domini (i sottodomini vengono inclusi automaticamente, a meno che non siano stati espressamente esclusi).
• Escludi questi utenti, gruppi e domini: aggiungi delle eccezioni se desideri che determinati destinatari interni non siano soggetti a questa politica.

Suggerimento logico: quando nella stessa condizione sono presenti più valori, si applica la logica OR. Quando si tratta di condizioni di tipo diverso, si applica la logica AND (ad esempio, una politica applicata a un utente specifico e a un gruppo specifico sarà valida solo se l'utente appartiene a quel gruppo).

Al termine, seleziona Avanti.

Passaggio 4: Configurare la soglia di phishing e le impostazioni di protezione

Nella pagina " Soglia e protezione dal phishing ", modifica i parametri di rilevamento delle minacce:

Soglia per le e-mail di phishing

Utilizza il cursore per selezionare uno dei seguenti valori:

• 1 – Standard (Predefinito)
• 2 – Aggressivo
• 3 – Più aggressivo
• 4 – Il più aggressivo

Fonte

Impostazioni relative all'uso di identità false

• Consentire agli utenti di proteggere: Seleziona la casella per attivare l'impersonificazione dell'utente. Seleziona Gestisci i mittenti ammontare a 350 utenti interni o esterni specifici in base al loro indirizzo e-mail.
  • Nota: Questa protezione non si attiverà se il mittente e il destinatario hanno già comunicato via e-mail in precedenza.
• Abilita i domini da proteggere: Seleziona la casella e scegli di Includere i domini di mia proprietà e/o Includere domini personalizzati (selezionando Gestisci domini personalizzati).
• Aggiungi mittenti e domini attendibili: Seleziona Gestisci mittenti e domini attendibili per specificare le eccezioni (fino a un totale di 1.024 voci).

Analisi delle caselle di posta

• Abilita le funzionalità intelligenti della casella di posta: Lascia selezionato (Impostazione predefinita e consigliata).
• Abilita la funzione di protezione contro l'usurpazione d'identità: Seleziona questa casella per consentire a Mailbox Intelligence di intervenire in caso di tentativi rilevati.
  • Nota: Questa funzione non verrà attivata se il mittente e il destinatario hanno già comunicato via e-mail in precedenza.

Sezione "Scherzi"

• Abilita il rilevamento dello spoofing: lasciare selezionata questa opzione (impostazione predefinita e consigliata) per monitorare lo spoofing in entrata.

Al termine, seleziona Avanti.

Fase 5: Definizione delle azioni previste dalla politica

Fonte

Nella pagina "Azioni ", configura il comportamento di Microsoft 365 in caso di rilevamento di una minaccia:

Azioni sul messaggio

• Se viene rilevato un messaggio che simula l'identità di un utente: Selezionare un'azione dal menu a tendina (Impostazione predefinita: non applicare alcuna azione). Le opzioni includono: Non applicare alcuna azione, Reindirizza, Sposta nella Posta indesiderata, Metti in quarantena il messaggio, Consegna e Ccn, oppure Elimina prima della consegna.
• Se il messaggio viene identificato come proveniente da un dominio contraffatto: Selezionare un'azione dal menu a tendina (Impostazione predefinita: non applicare alcuna azione).
• Se il sistema di monitoraggio delle caselle di posta rileva un utente che sta agendo sotto falsa identità: Selezionare un'azione dal menu a tendina (Impostazione predefinita: non applicare alcuna azione).
• Rispettare la politica relativa ai record DMARC quando il messaggio viene rilevato come contraffatto: (Selezionato per impostazione predefinita) Modifica le regole di allineamento:
  • Se DMARC è impostato su p=quarantine: Scegli Metti in quarantena il messaggio (Impostazione predefinita) oppure Sposta il messaggio nella cartella Posta indesiderata.
  • Se DMARC è impostato su p=reject: Scegli Rifiuta il messaggio (Impostazione predefinita) oppure Metti in quarantena il messaggio.
• Se il messaggio viene identificato come contraffatto dal sistema di rilevamento delle contraffazioni: Selezionare un'azione dal menu a tendina (Impostazione predefinita: sposta il messaggio nella cartella Posta indesiderata dei destinatari).

Consigli e indicatori di sicurezza

Seleziona o deseleziona le caselle di controllo per attivare o disattivare questi indicatori visivi della casella di posta:

• Mostra i consigli di sicurezza per il primo contatto
• Mostra i consigli di sicurezza sull'impersonificazione dell'utente
• Mostra consiglio di sicurezza sull'impersonificazione del dominio
• Visualizza il consiglio di sicurezza sui caratteri insoliti nell'impersonificazione dell'utente
• Mostra (?) per i mittenti non autenticati in caso di spoofing (Selezionato per impostazione predefinita)
• Mostra il tag "via" (Selezionato per impostazione predefinita)

Al termine, seleziona Avanti.

Passaggio 6: Controlla e invia

1. Nella pagina "Rivedi ", ricontrolla le tue impostazioni personalizzate. Puoi selezionare "Modifica" in qualsiasi sezione per apportare modifiche.
2. Una volta completato, seleziona Invia.
3. Nella pagina di conferma, seleziona " Fatto".

Modifica delle politiche esistenti

Se in seguito dovessi voler modificare le impostazioni invece di creare un nuovo criterio:

1. Vai alla pagina del pannello di controllo anti-phishing.
2. Fare clic in un punto qualsiasi della riga del criterio di destinazione (ad esempio il criterio "Office 365 AntiPhish Default (Default)") che non sia la casella di controllo accanto al nome.
3. Nel pannello a comparsa che si apre sulla destra, fare clic su Modifica nella sezione che si desidera modificare. Da questa schermata è anche possibile abilitare, disabilitare, eliminare o assegnare una priorità ai criteri personalizzati.

Cosa non è contemplato dalla politica anti-phishing di Office 365?

L'idea che DMARC non sia più necessario è solo un mito sulla sicurezza di Office 365. Sebbene Microsoft Defender offra solide difese per il monitoraggio del traffico in entrata, affidarsi esclusivamente a esso crea un pericoloso punto cieco. Esistono infatti vie di attacco alla comunicazione critiche contro le quali la politica di sicurezza in entrata, per sua stessa natura, non è in grado di proteggere.

Falsificazione del dominio di origine verso il pubblico

La politica anti-phishing di Microsoft valuta la sicurezza della posta in arrivo nel proprio tenant. Tuttavia, non impedisce ai criminali informatici di avviare server di posta elettronica al di fuori di Microsoft 365 e di inviare a destinatari esterni milioni di e-mail dannose che sembrano provenire proprio dal proprio dominio.

Per impedire agli hacker di sfruttare il tuo nome a danno dei destinatari esterni, devi implementare una tecnologia di autenticazione in uscita come il Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Dai un'occhiata alla nostra guida completa sul motivo per cui gli utenti di Microsoft 365 hanno ancora bisogno di DMARC.

Sfruttamento esterno della reputazione del vostro marchio

Se un ladro di identità via e-mail falsifica il nome di dominio esatto della tua azienda per ingannare i tuoi clienti, partner commerciali o consumatori, la politica anti-phishing del tuo tenant non ne viene affatto a conoscenza. Il server di posta indipendente del destinatario deve rilevare un record pubblicato e applicare una regola DMARC in uscita per bloccare e eliminare in modo sicuro quei messaggi fraudolenti. Affidarsi esclusivamente ai filtri in entrata lascia il marchio della tua azienda completamente indifeso all'esterno.

Nomi di dominio simili e omografi

Né una strategia anti-phishing in entrata né il protocollo DMARC possono impedire di per sé a un malintenzionato di acquistare domini simili che creano confusione visiva (ad esempio, registrando micros0ft.com con uno zero al posto della "o"). Poiché il dominio stesso è tecnicamente una risorsa registrata separata e unica, bloccarlo richiede un monitoraggio proattivo e strutturato del marchio, azioni legali volte alla rimozione dei contenuti illeciti e pratiche difensive di registrazione dei domini.

Falsificazione del nome visualizzato tramite provider pubblici

Un malintenzionato può creare un account valido e completamente gratuito su Gmail o Outlook.com e modificare la stringa di testo del nome visualizzato in modo che corrisponda a quella dei membri del vostro team dirigenziale. Sebbene le impostazioni di Microsoft relative all'usurpazione dell'identità degli utenti riescano a intercettare internamente alcune varianti, le varianti più diffuse di spoofing del nome visualizzato provenienti da provider di posta esterni validi rimangono incredibilmente difficili da mitigare in modo sicuro ricorrendo esclusivamente alle politiche sulla posta in entrata, senza compromettere le normali comunicazioni aziendali.

Per proteggere al meglio il tuo marchio, consulta le spiegazioni tecniche contenute nell'articolo "Che cos'è un attacco di impersonificazione?".

In che modo la politica anti-phishing e il DMARC interagiscono tra loro?

Per comprendere appieno la protezione della posta elettronica è necessario capire come si integrano le politiche di controllo in entrata e l'autenticazione in uscita. Si tratta di meccanismi complementari, non di alternative in competizione tra loro.

• Politica anti-phishing di Microsoft (Inbound Defense): questo sistema analizza il traffico di posta in arrivo che raggiunge le caselle di posta dei dipendenti. In base ai profili comportamentali locali, stabilisce se un messaggio debba essere autorizzato a superare il firewall, indirizzato direttamente nella cartella dello spam o bloccato del tutto.
• DMARC per Office 365 (Outbound and Brand Defense): il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance) è uno standard di autenticazione delle e-mail che si basa su SPF e DKIM per prevenire lo spoofing dei domini. Implementato come record DNS pubblicato a livello globale, DMARC fornisce istruzioni esplicite a Exchange Online Protection (EOP) e ai server di ricezione esterni in tutto il mondo su come gestire le e-mail che dichiarano di provenire dal tuo dominio. Se un'e-mail non supera i controlli di allineamento dell'autenticazione di base, la tua politica DMARC fornisce istruzioni di applicazione esplicite (come p=quarantine o p=reject), che aiutano a proteggere la reputazione del marchio della tua organizzazione dall'essere sfruttata in campagne di phishing.

Un'organizzazione efficiente richiede entrambi questi elementi. La politica anti-phishing protegge il personale interno, mentre DMARC tutela la reputazione del dominio aziendale a livello globale, impedendo che venga strumentalizzata a danno della vostra clientela.

Inoltre, DMARC invia attivamente informazioni al tuo tenant Microsoft. Quando l'opzione "Rispetta la politica dei record DMARC quando il messaggio viene rilevato come contraffatto" è abilitata nella tua politica anti-phishing, Microsoft applicherà automaticamente la tua regola globale pubblicata a qualsiasi e-mail contraffatta in entrata non autorizzata che tenti di raggiungere il tuo personale.

Quali sono le migliori pratiche anti-phishing per Office 365?

Per ottimizzare la sicurezza della posta elettronica e garantire una maggiore conformità ai requisiti di Microsoft per i mittenti, si consiglia di implementare le seguenti configurazioni:

• Applicazione di criteri predefiniti: è consigliabile utilizzare criteri di sicurezza predefiniti standard o rigorosi, anziché modificare manualmente e all'infinito le singole impostazioni. Microsoft aggiorna automaticamente tali criteri per contrastare l'evoluzione delle minacce a livello globale.
• Isolare le identità VIP: inserite nell'engine di difesa contro l'impersonificazione degli utenti i soggetti di alto profilo. Assicuratevi che tutti i dirigenti, i responsabili del reparto finanziario e gli amministratori principali dell'infrastruttura siano inclusi nell'elenco per contrastare le minacce BEC.
• Livelli di classificazione Harden: impostare il valore predefinito del parametro di soglia avanzato per il phishing al livello 2 (Aggressivo). Portare il sistema al livello 3 negli ambienti in cui si verificano campagne di spear-phishing frequenti e altamente mirate.
• Applicare i controlli di conformità DMARC in entrata: assicurati che il sistema sia configurato per rispettare la politica dei record DMARC da te pubblicata. Questa impostazione garantisce che il tuo tenant blocchi la posta in entrata contraffatta che non soddisfa le tue regole di autenticazione.
• Pubblica una politica DMARC rigorosa per i messaggi in uscita: crea e ospita un record DMARC esplicito per i tuoi domini. Impegnati ad aggiornare la tua regola a livelli di applicazione (p=quarantine o p=reject), in modo che i provider esterni blocchino i messaggi contraffatti che fingono di provenire dal tuo dominio.
• Verifica dei dati di telemetria aggregati DMARC: monitora e analizza costantemente i report aggregati XML in entrata. Questi report evidenziano gli errori DMARC e le risorse esterne che inviano e-mail utilizzando l'identità del tuo dominio, mettendo in luce il "shadow IT" e gli attori malintenzionati.

Proteggi il tuo intero ecosistema di posta elettronica

Le misure anti-phishing di Microsoft contribuiscono a proteggere la tua casella di posta. DMARC protegge il tuo dominio. Per colmare le lacune nella visibilità e garantire una protezione completa del marchio, è necessario utilizzare entrambi i livelli in combinazione.

PowerDMARC semplifica l'implementazione, il monitoraggio e l'applicazione dell'autenticazione DMARC insieme alle impostazioni anti-phishing di Office 365 su un'unica piattaforma centralizzata.

Non lasciare che gli hacker sfruttino la reputazione del tuo dominio. Assumi il pieno controllo della tua visibilità in uscita ed elimina subito i rischi di spoofing. Inizia subito la tua prova gratuita di 15 giorni di PowerDMARC!

Domande frequenti

Qual è la politica anti-phishing di Office 365?

Si tratta di un controllo di sicurezza integrato in Exchange Online Protection (EOP) e Microsoft Defender per Office 365 che aiuta a identificare, segnalare e mitigare i tentativi di phishing in entrata, lo spoofing di domini e i tentativi di usurpazione di identità rivolti alle vostre caselle di posta.

La protezione anti-phishing è abilitata di default in Microsoft 365?

Sì, ogni tenant include una politica anti-phishing predefinita che si applica a tutti gli utenti immediatamente dopo la configurazione. Tuttavia, questa politica di base offre solo funzionalità essenziali di tracciamento degli attacchi di spoofing e di notifica agli utenti; le funzionalità di protezione avanzate richiedono una configurazione amministrativa specifica e una licenza di livello superiore.

Qual è la differenza tra EOP e la protezione anti-phishing di Microsoft Defender per Office 365?

Il programma EOP è incluso in tutti i modelli di abbonamento e offre funzionalità di base contro lo spoofing e consigli fondamentali sulla sicurezza. Microsoft Defender per Office 365 aggiunge funzionalità di rilevamento avanzate, quali protezioni contro l'usurpazione di identità di utenti e domini, grafici comportamentali basati sull'analisi delle caselle di posta e cursori regolabili per le soglie di rilevamento.

La politica anti-phishing di Office 365 offre protezione contro lo spoofing dei domini?

Protegge il personale interno dai tentativi di spoofing del dominio in entrata. Tuttavia, non impedisce ai malintenzionati esterni di falsificare l'identità del dominio aziendale quando inviano e-mail a soggetti esterni, clienti o partner.

Come si configurano le politiche anti-phishing in Microsoft Defender per Office 365?

Accedi al portale di Microsoft Defender (security.microsoft.com) e vai su Posta elettronica e collaborazione → Criteri e regole → Criteri relativi alle minacce → Anti-phishing. Da lì, puoi modificare il criterio predefinito o creare regole di protezione personalizzate.

Ho bisogno di DMARC se ho attivato la protezione anti-phishing di Office 365?

Sì. La configurazione predefinita di Microsoft è incentrata sul filtraggio del traffico e-mail in entrata per proteggere gli utenti interni. DMARC garantisce la convalida del dominio in uscita, impedendo ai malintenzionati di abusare del nome del vostro marchio per ingannare soggetti esterni.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Sicurezza delle e-mail e delle buste paga delle risorse umane: migliori pratiche per i team globali - 22 giugno 2026
• Come bloccare gli agenti IA ad alto rischio in Microsoft Entra - 15 giugno 2026
• Politica anti-phishing di Office 365: come configurarla - 3 giugno 2026