Le e-mail in entrata di Microsoft 365 che non superano il DMARC non vengono rifiutate anche con un criterio DMARC impostato su "p=rifiuto". Questo per evitare di bloccare i messaggi di posta elettronica legittimi che potrebbero andare persi durante la trasmissione a causa dei criteri di sicurezza della posta elettronica del mittente.
Perché Microsoft 365 non rifiuta le e-mail con errore DMARC?
Microsoft 365 non rifiuta le e-mail che non superano il controllo DMARC per:
- Evitare i falsi negativi che possono derivare da scenari di inoltro di e-mail e dall'utilizzo di mailing list.
- Evitare che le e-mail legittime vengano rifiutate a causa di problemi di configurazione da parte del mittente.
Per questo motivo, la sicurezza della posta elettronica di Microsoft 365 ritiene che sia meglio contrassegnare i messaggi come spam invece di rifiutarli del tutto. Gli utenti possono comunque sfruttare Microsoft per ricevere queste e-mail nella propria casella di posta elettronica:
- Creare un elenco di "mittenti sicuri
- Creazione di una regola di trasporto, nota anche come regola di flusso della posta di Exchange.
Sebbene le vostre e-mail legittime che non superano il DMARC possano essere preoccupanti, questa tattica può far sì che le e-mail dannose eludano i controlli DMARC e si facciano strada nelle caselle di posta degli utenti.
È possibile consultare questo documento da Microsoft 365 per la configurazione del DMARC in entrata nella piattaforma Exchange Online.
Come creare una regola di trasporto di Microsoft 365 per mettere in quarantena le e-mail in entrata non autorizzate?
Per risolvere questi problemi relativi all'implementazione del DMARC di Office 365, è possibile creare una regola del flusso/trasporto di posta elettronica di Exchange utilizzando l'intestazione del messaggio del mittente.
Caso 1: Impostazione di una regola di trasporto per mettere in quarantena le e-mail in entrata da domini interni
Se la posta viene ricevuta da domini interni nell'indirizzo "Da", è possibile impostare una regola di trasporto per mettere in quarantena le e-mail. In questo modo, l'e-mail verrà archiviata nella cartella di quarantena dell'utente invece che nella sua casella di posta.
La regola verifica:
- Se il campo Da corrisponde al proprio dominio
- Se il DMARC non funziona per il messaggio
Questo determinerà le azioni da intraprendere.
Nota: Prima di configurare questa regola, si consiglia di implementarla su una base di utenti ristretta per testare il terreno prima di procedere a un'implementazione su larga scala. Assicuratevi che i mittenti autorizzati passino il DMARC, il cui mancato superamento indicherebbe una configurazione errata e potrebbe portare alla perdita di e-mail legittime.
Per impostare la regola, procedere come segue:
- Accedere al centro di amministrazione di Exchange Online
- Andare a Flusso di posta > Regole
- Creare una nuova regola selezionando l'icona Aggiungi > Crea una nuova regola
- Impostare "Corrisponde all'indirizzo del mittente nel messaggio" su "Intestazione".
- In Applica questa regola se..., è possibile selezionare la condizione a cui applicare la regola dal menu a discesa. In questo caso, vogliamo configurare la regola se il risultato dell'autenticazione DMARC è "fallito" e se il dominio "Da" corrisponde al proprio nome di dominio.
- In Esegui le seguenti operazioni..., è ora possibile selezionare l'azione e impostarla su "Consegna il messaggio alla quarantena ospitata".
- Fare clic su Salva
Caso 2: Impostazione della regola di trasporto per mettere in quarantena le e-mail in entrata da domini esterni
Se si ricevono e-mail da domini che non rientrano nell'ambito della propria organizzazione (domini esterni) che non superano il DMARC, è possibile impostare un disclaimer che avverta gli utenti di un possibile tentativo di phishing o di un intento malevolo.
Nota: L'aggiunta di una clausola di esclusione della responsabilità per i domini esterni che non superano il DMARC può essere utile se non si vuole limitare del tutto le e-mail. Spesso i protocolli non configurati correttamente dal lato del mittente possono contribuire al fallimento dei controlli di autenticazione.
Per impostare la regola, procedere come segue:
- Accedere al centro di amministrazione di Exchange Online
- Andare a Flusso di posta > Regole
- Creare una nuova regola selezionando l'icona Aggiungi > Crea una nuova regola
- Impostare "Corrisponde all'indirizzo del mittente nel messaggio" su "Intestazione".
- In Applica questa regola se..., è possibile selezionare la condizione a cui applicare la regola dal menu a discesa. Qui si vuole configurare la regola se il risultato dell'autenticazione DMARC è "fallito".
- In Esegui quanto segue..., è ora possibile selezionare l'azione e impostarla su "Prepara la clausola di esclusione della responsabilità..." e aggiungere la clausola di esclusione della responsabilità desiderata.
- Ora è possibile aggiungere un'eccezione a questa regola, come nel caso in cui l'intestazione "Da" corrisponda al nome del proprio dominio
- Fare clic su Salva
Come creare una regola di trasporto di Microsoft 365 per rifiutare le e-mail in entrata non autorizzate?
- Accedere al centro di amministrazione di Exchange Online
- Andare a Flusso di posta > Regole
- Selezionare + Aggiungi una regola
- Fare clic su Crea una nuova regola dal menu a discesa
- Assegnare un nome alla regola del flusso di posta. Ad esempio: Sovrascrittura del criterio DMARC
- Sotto "Applica questa regola se" selezionare "le intestazioni del messaggio includono una qualsiasi delle seguenti parole"
- Ora cliccate su "Inserisci testo" nel testo evidenziato in blu e selezionare "Risultati dell'autenticazione"
- Allo stesso modo. Cliccate su "Inserisci parole" nel testo evidenziato in blu e selezionare l'opzione desiderata o tutte le opzioni.
- Sotto "Effettuare le seguenti operazioni", selezionare "Blocca il messaggio"
- Scegliere inoltre "rifiuta il messaggio e include una spiegazione"
Salvare la regola del flusso di posta. Potrebbero essere necessari alcuni minuti per elaborare le modifiche e il gioco è fatto!
Alcuni punti importanti da ricordare
- Il DMARC non protegge contro lo spoofing di domini lookalike ed è efficace solo contro lo spoofing di domini diretti e gli attacchi di phishing.
- Un criterio DMARC impostato su "nessuno" non mette in quarantena o rifiuta le e-mail che non superano il DMARC; solo p=rifiuto/quarantena può proteggere dallo spoofing.
- Il rifiuto del DMARC non deve essere preso alla leggera, poiché può portare alla perdita di e-mail legittime.
- Per una distribuzione più sicura, configurare uno strumento di reporting DMARC per monitorare i canali e-mail e i risultati dell'autenticazione su base giornaliera.
- Studio di caso DMARC MSP: CloudTech24 semplifica la gestione della sicurezza del dominio per i clienti con PowerDMARC - 24 ottobre 2024
- I rischi per la sicurezza dell'invio di informazioni sensibili via e-mail - 23 ottobre 2024
- 5 tipi di truffe via e-mail per la sicurezza sociale e come prevenirle - 3 ottobre 2024