In che modo Microsoft 365 gestisce le e-mail in entrata che non superano il DMARC?

Le e-mail in entrata di Microsoft 365 che non superano il DMARC non vengono rifiutate anche con un criterio DMARC impostato su "p=rifiuto". Questo per evitare di bloccare i messaggi di posta elettronica legittimi che potrebbero andare persi durante la trasmissione a causa dei criteri di sicurezza della posta elettronica del mittente.

Perché Microsoft 365 non rifiuta le e-mail con errore DMARC?

Microsoft 365 non rifiuta le e-mail che non superano il controllo DMARC per:

• Evitare i falsi negativi che possono derivare da scenari di inoltro di e-mail e dall'utilizzo di mailing list.
• Evitare che le e-mail legittime vengano rifiutate a causa di problemi di configurazione da parte del mittente.

Per questo motivo, la sicurezza della posta elettronica di Microsoft 365 ritiene che sia meglio contrassegnare i messaggi come spam invece di rifiutarli del tutto. Gli utenti possono comunque sfruttare Microsoft per ricevere queste e-mail nella propria casella di posta elettronica: 

1. Creare un elenco di "mittenti sicuri 
2. Creazione di una regola di trasporto, nota anche come regola di flusso della posta di Exchange.

Sebbene le vostre e-mail legittime che non superano il DMARC possano essere preoccupanti, questa tattica può far sì che le e-mail dannose eludano i controlli DMARC e si facciano strada nelle caselle di posta degli utenti. 

È possibile consultare questo documento da Microsoft 365 per la configurazione del DMARC in entrata nella piattaforma Exchange Online.

Come creare una regola di trasporto di Microsoft 365 per mettere in quarantena le e-mail in entrata non autorizzate?

Per risolvere questi problemi relativi all'implementazione del DMARC di Office 365, è possibile creare una regola del flusso/trasporto di posta elettronica di Exchange utilizzando l'intestazione del messaggio del mittente. 

Caso 1: Impostazione di una regola di trasporto per mettere in quarantena le e-mail in entrata da domini interni

Se la posta viene ricevuta da domini interni nell'indirizzo "Da", è possibile impostare una regola di trasporto per mettere in quarantena le e-mail. In questo modo, l'e-mail verrà archiviata nella cartella di quarantena dell'utente invece che nella sua casella di posta. 

La regola verifica: 

• Se il campo Da corrisponde al proprio dominio 
• Se il DMARC non funziona per il messaggio

Questo determinerà le azioni da intraprendere.

Nota: Prima di configurare questa regola, si consiglia di implementarla su una base di utenti ristretta per testare il terreno prima di procedere a un'implementazione su larga scala. Assicuratevi che i mittenti autorizzati passino il DMARC, il cui mancato superamento indicherebbe una configurazione errata e potrebbe portare alla perdita di e-mail legittime.

Per impostare la regola, procedere come segue: 

1. Accedere al centro di amministrazione di Exchange Online 
2. Andare a Flusso di posta > Regole
3. Creare una nuova regola selezionando l'icona Aggiungi > Crea una nuova regola
4. Impostare "Corrisponde all'indirizzo del mittente nel messaggio" su "Intestazione".
5. In Applica questa regola se..., è possibile selezionare la condizione a cui applicare la regola dal menu a discesa. In questo caso, vogliamo configurare la regola se il risultato dell'autenticazione DMARC è "fallito" e se il dominio "Da" corrisponde al proprio nome di dominio.
6. In Esegui le seguenti operazioni..., è ora possibile selezionare l'azione e impostarla su "Consegna il messaggio alla quarantena ospitata". 
7. Fare clic su Salva

Caso 2: Impostazione della regola di trasporto per mettere in quarantena le e-mail in entrata da domini esterni

Se si ricevono e-mail da domini che non rientrano nell'ambito della propria organizzazione (domini esterni) che non superano il DMARC, è possibile impostare un disclaimer che avverta gli utenti di un possibile tentativo di phishing o di un intento malevolo. 

Nota: L'aggiunta di una clausola di esclusione della responsabilità per i domini esterni che non superano il DMARC può essere utile se non si vuole limitare del tutto le e-mail. Spesso i protocolli non configurati correttamente dal lato del mittente possono contribuire al fallimento dei controlli di autenticazione.

Per impostare la regola, procedere come segue: 

1. Accedere al centro di amministrazione di Exchange Online 
2. Andare a Flusso di posta > Regole
3. Creare una nuova regola selezionando l'icona Aggiungi > Crea una nuova regola
4. Impostare "Corrisponde all'indirizzo del mittente nel messaggio" su "Intestazione".
5. In Applica questa regola se..., è possibile selezionare la condizione a cui applicare la regola dal menu a discesa. Qui si vuole configurare la regola se il risultato dell'autenticazione DMARC è "fallito". 
6. In Esegui quanto segue..., è ora possibile selezionare l'azione e impostarla su "Prepara la clausola di esclusione della responsabilità..." e aggiungere la clausola di esclusione della responsabilità desiderata.
7. Ora è possibile aggiungere un'eccezione a questa regola, come nel caso in cui l'intestazione "Da" corrisponda al nome del proprio dominio
8. Fare clic su Salva

Come creare una regola di trasporto di Microsoft 365 per rifiutare le e-mail in entrata non autorizzate?

• Accedere al centro di amministrazione di Exchange Online

• Andare a Flusso di posta > Regole

• Selezionare + Aggiungi una regola

• Fare clic su Crea una nuova regola dal menu a discesa

• Assegnare un nome alla regola del flusso di posta. Ad esempio: Sovrascrittura del criterio DMARC 
• Sotto "Applica questa regola se" selezionare "le intestazioni del messaggio includono una qualsiasi delle seguenti parole"

• Ora cliccate su "Inserisci testo" nel testo evidenziato in blu e selezionare "Risultati dell'autenticazione"

• Allo stesso modo. Cliccate su "Inserisci parole" nel testo evidenziato in blu e selezionare l'opzione desiderata o tutte le opzioni.

• Sotto "Effettuare le seguenti operazioni", selezionare "Blocca il messaggio"

• Scegliere inoltre "rifiuta il messaggio e include una spiegazione"

Salvare la regola del flusso di posta. Potrebbero essere necessari alcuni minuti per elaborare le modifiche e il gioco è fatto!

Alcuni punti importanti da ricordare

1. Il DMARC non protegge contro lo spoofing di domini lookalike ed è efficace solo contro lo spoofing di domini diretti e gli attacchi di phishing.
2. Un criterio DMARC impostato su "nessuno" non mette in quarantena o rifiuta le e-mail che non superano il DMARC; solo p=rifiuto/quarantena può proteggere dallo spoofing.
3. Il rifiuto del DMARC non deve essere preso alla leggera, poiché può portare alla perdita di e-mail legittime. 
4. Per una distribuzione più sicura, configurare un analizzatore di rapporti DMARC per monitorare i canali e-mail e i risultati dell'autenticazione su base giornaliera.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Proxy per data center: Svelato il cavallo di battaglia del mondo dei proxy - 7 maggio 2024
• Kimsuky sfrutta i criteri DMARC "Nessuno" nei recenti attacchi di phishing - 6 maggio 2024
• Aumento delle truffe fiscali e degli attacchi di imitazione dell'e-mail del fisco durante la stagione fiscale - 2 maggio 2024