• Livello di affidabilità dello spam (SCL) -1 Bypass: cosa significa e come gestirlo

Livello di affidabilità dello spam (SCL) -1 Bypass: cosa significa e come gestirlo

Blog, DMARC

Hai ricevuto e-mail con livello di affidabilità spam (SCL) pari a -1? Scopri cosa significa bypassare SCL -1 in Microsoft 365, perché si verifica e quando rappresenta un rischio per la sicurezza.

di YunesTarada

Ultimo aggiornamento:
7 Tempo di lettura: 7 minuti
Livello di affidabilità dello spam (SCL) -1 Bypass: cosa significa e come gestirlo
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • SCL -1 significa che il filtro antispam è stato completamente bypassato, non che l'e-mail sia sicura.
  • Microsoft 365 assegna punteggi SCL da -1 a 9 per determinare le azioni di gestione delle e-mail.
  • Le e-mail autenticate internamente ricevono automaticamente SCL -1 all'interno dello stesso tenant.
  • Le regole di flusso della posta che impostano "Ignora filtro antispam" sono la causa più comune di SCL -1.
  • Gli elenchi dei mittenti sicuri in Outlook possono attivare SCL -1 per indirizzi specifici.
  • L'ampia whitelist IP e le regole di bypass basate sui connettori aumentano il rischio di phishing.
  • DMARC Pass non giustifica l'impostazione di SCL su -1 perché gli aggressori possono autenticare i propri domini.

Quando un'esca di phishing sofisticata arriva nella casella di posta elettronica del tuo amministratore delegato, spesso è perché era contrassegnata da un tag SCL -1. Questo tag è l'equivalente digitale di un pass VIP che consente al mittente di superare tutti i controlli di sicurezza. In Microsoft 365, un SCL di -1 non è un marchio di sicurezza, ma un bypass totale del filtro antispam. Sebbene siano destinate al traffico affidabile, regole o connettori configurati in modo errato possono inavvertitamente stendere il tappeto rosso agli aggressori, consegnando contenuti dannosi direttamente agli utenti più sensibili.

Che cos'è il livello di affidabilità dello spam (SCL)?

Il livello di affidabilità dello spam è un valore assegnato a un messaggio dopo che è stato elaborato dai livelli di filtraggio di Microsoft (Exchange Online Protection o Microsoft Defender per Office 365) che indica la probabilità che il messaggio sia spam.

Come vengono utilizzati i punteggi SCL

Il servizio utilizza vari segnali, come la reputazione del mittente, l'analisi dei contenuti e lo stato di autenticazione, per assegnare un punteggio a un'e-mail. Il punteggio determina quindi cosa succede a quel messaggio in base alle politiche antispam della tua organizzazione.

Intervalli tipici dei punteggi SCL

Punteggio SCLSignificatoAzioni intraprese (standard)
-1BypassFiltro ignorato; messaggio consegnato nella Posta in arrivo.
0, 1Non è spamMessaggio consegnato nella Posta in arrivo.
5, 6SpamMessaggio inviato alla cartella Spam.
9Spam ad alta affidabilitàMessaggio inviato alla cartella Posta indesiderata o messo in quarantena.

Cosa significa SCL -1?

SCL -1 come indicatore di bypass

Un SCL pari a -1 è unico perché non è un "punteggio" basato sull'analisi dei contenuti. Si tratta invece di uno stato determinato dalle politiche. Indica che il messaggio è stato esentato dal filtro antispam prima ancora che lo scanner dei contenuti potesse valutarlo.

SCL -1 è positivo o negativo?

  • Il lato positivo: garantisce che le comunicazioni interne critiche o gli avvisi automatici noti come sicuri (come le notifiche del server) non vengano mai accidentalmente eliminati.
  • Il lato negativo: crea un enorme punto cieco nella sicurezza. Se un aggressore riesce a innescare un bypass SCL -1, tramite spoofing o sfruttando un elenco "Consenti" configurato in modo errato, il suo payload dannoso arriverà direttamente nella Posta in arrivo dell'utente senza alcun controllo.

Perché è importante ora: gli hacker moderni utilizzano sempre più spesso tecniche di phishing generate dall'intelligenza artificiale e spam autenticato proveniente da domini partner compromessi per sembrare "legittimi". Quando queste sofisticate esche raggiungono un bypass SCL -1, eludono l'analisi comportamentale necessaria per bloccare il Business Email Compromise (BEC). Quando una persona si rende conto che l'e-mail è falsa, il bypass "affidabile" ha già aperto la strada a una violazione.

Puoi verificare se il tuo dominio presenta attualmente queste vulnerabilità con una scansione gratuita dello stato di salute del dominio.

Perché le e-mail ottengono un bypass SCL -1

Diverse configurazioni amministrative attivano un valore SCL -1:

Mittenti affidabili o inseriti nella lista bianca

  • Elenchi di mittenti sicuri: se un singolo utente aggiunge un indirizzo al proprio elenco di "Mittenti sicuri" in Outlook, ciò potrebbe attivare un SCL -1.
  • Regole di trasporto (regole di flusso della posta): la causa più comune. Un amministratore crea una regola che stabilisce: "Se il mittente è X, imposta l'SCL su -1".

Autenticazione e bypass basati su criteri

  • Posta interna autenticata: le e-mail inviate da una casella di posta interna a un'altra all'interno dello stesso tenant vengono automaticamente considerate affidabili e assegnate a SCL -1.
  • DMARC/SPF/DKIM: anche se il superamento di questi test non garantisce automaticamente un SCL -1, molti amministratori configurano in modo errato le regole per bypassare il filtraggio per qualsiasi dominio che supera semplicemente il DMARC. Per evitare errori di configurazione, utilizza un generatore automatico di record SPF e un generatore DKIM per assicurarti che i tuoi record siano validi.

Scenari basati su terze parti e connettori

  • Connettori partner: se disponi di un connettore sicuro configurato con un'organizzazione partner, la posta inviata tramite tale percorso potrebbe bypassare il filtro.
  • Gateway e-mail: se utilizzi un gateway di sicurezza di terze parti prima che la posta raggiunga Microsoft 365, probabilmente hai una regola per bypassare il filtro EOP per l'indirizzo IP di quel gateway, al fine di evitare problemi di "doppio filtraggio".

SCL -1 rappresenta un rischio per la sicurezza?

SCL -1 può rappresentare o meno un rischio per la sicurezza.

Quando è previsto SCL -1

È perfettamente normale vedere SCL -1 per:

  • Annunci interni delle risorse umane.
  • Avvisi di sistema provenienti dai server interni (utilizzando SMTP autenticato).
  • Messaggi provenienti da connettori partner verificati e ad alta sicurezza.

Quando SCL -1 è pericoloso

Diventa un rischio quando le e-mail esterne riportano questo punteggio. Gli aggressori utilizzano spesso lo spoofing del nome visualizzato o domini simili. Se le regole del flusso di posta sono troppo generiche (ad esempio, inserendo nella whitelist un intero dominio di primo livello), un aggressore può aggirare facilmente le difese.

  • Attenzione: un "bypass" significa che l'e-mail salta il filtro antispam, ma potrebbe comunque essere scansionata dai motori Zero-hour Auto Purge (ZAP) o Anti-Malware, a seconda delle impostazioni specifiche di Defender. Tuttavia, non dovresti mai fare affidamento su questi come seconda linea di difesa per la posta bypassata.

In che modo DMARC e l'autenticazione delle e-mail influiscono sull'SCL

Come DMARC e l'autenticazione e-mail influenzano SCL

Segnali di autenticazione forte come SPF, DKIM e DMARC sono alla base della fiducia.

  • Allineamento DMARC: quando un'e-mail è "DMARC Pass", dimostra che il mittente è chi dice di essere.
  • La trappola: gli amministratori spesso commettono l'errore di impostare una regola del tipo: "Se DMARC = Pass, imposta SCL = -1". Questo è pericoloso perché uno spammer può possedere un dominio legittimo, configurare DMARC alla perfezione e inviare spam "autenticato". Impedisci allo spam "autenticato" di abusare della tua reputazione monitorando i tuoi rapporti aggregati DMARC in tempo reale.

Nota: è importante comprendere che DMARC e i protocolli di autenticazione delle e-mail non sostituiscono i filtri antispam. DMARC impedisce lo spoofing dei domini, ma non può proteggere dai contenuti dannosi.

L'utilizzo di una soluzione come PowerDMARC ti aiuta a raggiungere una politica di "rifiuto", garantendo che solo i mittenti autorizzati possano utilizzare il tuo dominio. Sebbene PowerDMARC garantisca che il tuo dominio non venga falsificato, agisce come un controllo preventivo e non sostituisce la necessità del filtro antispam di Microsoft per l'analisi dei contenuti in entrata.

Come indagare su un'e-mail SCL -1

Controllo delle intestazioni dei messaggi

Per capire perché un messaggio è stato ignorato, è necessario visualizzare le intestazioni dei messaggi (utilizzando Microsoft Message Header Analyzer). Cercare:

  • X-MS-Exchange-Organization-SCL: -1
  • X-Forefront-Antispam-Report: cercare i tag SFV:SKN (Spam Filtering Verdict: Skip) o SFV:SKI (Skip Internal).

La buona notizia è che puoi analizzare le tue intestazioni all'istante. Utilizza l'analizzatore di intestazioni e-mail PowerDMARC per decodificare i punteggi SCL e i verdetti di sicurezza in pochi secondi.

Revisione delle regole di flusso della posta

Accedere al Centro di amministrazione di Exchange (EAC) > Flusso di posta > Regole. Cercare qualsiasi regola che abbia l'azione "Imposta il livello di affidabilità dello spam (SCL) su... Ignora il filtro antispam".

Come prevenire l'abuso del bypass SCL -1

Come-prevenire-l'abuso-di-SCL--1-Bypass-

Un valore SCL -1 dovrebbe essere un'eccezione rara, non la regola. Se le intestazioni del flusso di posta mostrano frequentemente questo bypass per i mittenti esterni, la tua "porta d'ingresso" è effettivamente aperta. Per rafforzare la sicurezza senza bloccare la posta legittima, segui queste best practice:

1. Evitare l'inserimento di indirizzi IP e domini generici nella whitelist

Uno degli errori più comuni commessi dagli amministratori è quello di inserire nella whitelist un intero intervallo di indirizzi IP o un dominio di primo livello per risolvere un problema di consegna occasionale. Questo è un vero e proprio tesoro per gli hacker. Se un hacker invia un'e-mail da una piattaforma che avete inserito nella whitelist (come un ESP condiviso o un server partner compromesso), il bypass SCL -1 consentirà al suo tentativo di phishing di superare i filtri di Microsoft.

  • Soluzione: utilizzare l'elenco di autorizzazioni/blocchi dei tenant nel portale Microsoft Defender per mittenti specifici anziché regole di trasporto generiche.

2. Abilita "Filtraggio avanzato per connettori"

Se utilizzi un gateway di sicurezza e-mail di terze parti prima che la posta raggiunga Microsoft 365, probabilmente disponi di una regola di bypass, in modo che Microsoft non blocchi l'IP del gateway. Tuttavia, questo spesso nasconde il vero IP del mittente originale.

  • La soluzione: abilitare il filtro avanzato per i connettori (noto anche come Skip Listing). Ciò consente a Microsoft di "vedere attraverso" il gateway fino all'IP di origine originale, garantendo che i controlli di reputazione continuino a funzionare anche se tecnicamente è presente un bypass.

3. Implementare una politica DMARC rigorosa con PowerDMARC

Gli aggressori spesso falsificano il tuo dominio interno per ingannare il sistema facendogli credere che un messaggio sia "interno", il che attiva automaticamente un SCL -1. Senza una politica DMARC rigorosa, Microsoft potrebbe non essere in grado di distinguere tra il tuo amministratore delegato e un hacker.

  • La soluzione: utilizza PowerDMARC per impostare una politica p=reject per il tuo dominio. In questo modo, qualsiasi email che dichiara di provenire dal tuo dominio ma che non supera l'autenticazione verrà bloccata immediatamente. Proteggendo il tuo dominio, impedirai abusi di fiducia "interni" che portano a pericolosi bypass SCL -1.

4. Utilizzare configurazioni "Least-Trust"

Invece di un bypass totale, utilizza controlli più granulari. Se le e-mail di un partner specifico vengono bloccate nello spam, non limitarti a impostare il loro SCL su -1.

  • La soluzione: creare una regola di flusso della posta che contrassegni il mittente come "sicuro" ma consenta comunque l'esecuzione della funzione Zero-hour Auto Purge (ZAP) di Microsoft e della scansione antimalware. In alternativa, regolare la soglia delle e-mail di massa (BCL) specificamente per quel mittente in modo che non vengano contrassegnate come spam, ma il loro contenuto venga comunque ispezionato alla ricerca di minacce.

Riassunto

Vedere un SCL -1 nelle intestazioni è come dare a qualcuno un "pass VIP per il backstage" della tua casella di posta. Sebbene sia ottimo per assicurarsi che le comunicazioni interne del tuo amministratore delegato non finiscano nella cartella della posta indesiderata, rappresenta una grave falla nella sicurezza se viene attivato dalla posta esterna.

Se disponi di regole di "Consenti" generiche o whitelist obsolete, stai essenzialmente dicendo a Microsoft 365 di chiudere gli occhi e sperare per il meglio. Gli aggressori adorano trovare queste scappatoie perché significa che i loro link di phishing ottengono un pass gratuito direttamente agli occhi dei tuoi utenti.

Il modo migliore per impedire agli hacker di falsificare il tuo dominio per attivare questi bypass "affidabili" è quello di avere una politica DMARC DMARC.

PowerDMARC ti aiuta ad abbandonare le rischiose liste "Consenti" e ad adottare una politica di "Rifiuta" che funziona davvero. Automatizzando la gestione di DMARC, SPF e DKIM, ti assicuri che solo il vero "tu" riceva un trattamento VIP, mentre gli impostori vengono bloccati all'ingresso prima ancora di raggiungere lo scanner SCL.

Sei pronto a smettere di chiederti chi sta inviando messaggi alla tua casella di posta? Inizia oggi stesso la tua prova gratuita di PowerDMARC e trasforma l'autenticazione delle tue e-mail da un "forse" a un "sicuramente".

Domande frequenti

SCL -1 significa che l'e-mail è sicura?

No. Significa solo che il filtro antispam è stato bypassato. L'e-mail potrebbe comunque contenere link di phishing o allegati dannosi.

Gli aggressori possono sfruttare il bypass SCL -1?

Sì, soprattutto se si dispone di regole di "Consentito" generiche basate sui nomi di dominio o di connettori configurati in modo inadeguato.

Come posso rimuovere SCL -1 per un mittente?

Individuare la regola di flusso della posta o la voce nell'elenco "Elenco di autorizzazioni/blocchi tenant" nel centro Sicurezza e conformità ed eliminarla o modificarla.

Le e-mail esterne dovrebbero mai avere SCL -1?

Raramente. Solo in casi specifici, come ad esempio un revisore di sicurezza di terze parti di fiducia o un partner SaaS strettamente integrato.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Attacchi di ingegneria sociale basati sul principio del "do ut des": come funzionano e come prevenirliAttacchi di ingegneria sociale basati sul principio del "do ut des"Identità del mittente dell'e-mail: cos'è e perché è importanteIdentità del mittente dell'e-mail: cos'è e perché è importante