Ottimizzare la protezione anti-phishing
Anche se Microsoft 365 include un'ampia gamma di funzionalità anti-phishing abilitate per impostazione predefinita, è possibile che alcuni messaggi di phishing possano ancora passare alle cassette postali dell'organizzazione. Questo articolo descrive cosa è possibile fare per scoprire perché è stato inviato un messaggio di phishing e cosa è possibile fare per modificare le impostazioni anti-phishing nell'organizzazione di Microsoft 365 senza peggiorare accidentalmente le cose.
Prima di tutto: gestire gli account compromessi e assicurarsi di bloccare l'esecuzione di altri messaggi di phishing
Se l'account di un destinatario è stato compromesso a causa del messaggio di phishing, seguire la procedura descritta in Risposta a un account di posta elettronica compromesso in Microsoft 365.
Se la sottoscrizione include Microsoft Defender per Office 365, è possibile usare Office 365 Threat Intelligence per identificare altri utenti che hanno ricevuto anche il messaggio di phishing. Sono disponibili opzioni aggiuntive per bloccare i messaggi di phishing:
- Collegamenti sicuri in Microsoft Defender per Office 365
- Allegati sicuri in Microsoft Defender per Office 365
- Criteri anti-phishing in Microsoft Defender per Office 365. È possibile aumentare temporaneamente le soglie di phishing avanzate nei criteri da Standard a Aggressivo, Più aggressivo o Più aggressivo.
Verificare che questi criteri funzionino. La protezione dei collegamenti sicuri e degli allegati sicuri è attivata per impostazione predefinita, grazie alla protezione predefinita nei criteri di sicurezza predefiniti. Anti-phishing ha un criterio predefinito che si applica a tutti i destinatari in cui la protezione anti-spoofing è attivata per impostazione predefinita. La protezione della rappresentazione non è attivata nei criteri e pertanto deve essere configurata. Per istruzioni, vedere Configurare i criteri anti-phishing in Microsoft Defender per Office 365.
Segnalare il messaggio di phishing a Microsoft
La segnalazione di messaggi di phishing è utile per ottimizzare i filtri usati per proteggere tutti i clienti in Microsoft 365. Per istruzioni, vedere La pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft.
Esaminare le intestazioni dei messaggi
È possibile esaminare le intestazioni del messaggio di phishing per verificare se c'è qualcosa che si può fare da soli per evitare che vengano inviati altri messaggi di phishing. In altre parole, l'esame delle intestazioni dei messaggi consente di identificare tutte le impostazioni nell'organizzazione responsabili dell'abilitazione dei messaggi di phishing.
In particolare, è consigliabile controllare il campo intestazione X-Forefront-Antispam-Report nelle intestazioni del messaggio per individuare le indicazioni di filtro ignorato per la posta indesiderata o il phishing nel valore Del verdetto filtro posta indesiderata (SFV). I messaggi che ignorano il filtro hanno una voce di SCL:-1, il che significa che una delle impostazioni ha consentito il passaggio di questo messaggio eseguendo l'override dei verdetti di posta indesiderata o phishing determinati dal servizio. Per altre informazioni su come ottenere le intestazioni dei messaggi e l'elenco completo di tutte le intestazioni dei messaggi anti-posta indesiderata e anti-phishing disponibili, vedere Intestazioni dei messaggi di protezione dalla posta indesiderata in Microsoft 365.
Consiglio
È possibile copiare e incollare il contenuto dell’intestazione di un messaggio nello strumento Analizzatore intestazione messaggio. Questo strumento consente di analizzare le intestazioni e di inserirle in un formato più leggibile.
È anche possibile usare l'analizzatore di configurazione per confrontare i criteri di sicurezza EOP e Defender per Office 365 con le raccomandazioni Standard e Strict.
Procedure consigliate per la protezione
Su base mensile, eseguire Secure Score per valutare le impostazioni di sicurezza dell'organizzazione.
Per i messaggi che finiscono in quarantena per errore (falsi positivi) o per i messaggi consentiti tramite (falsi negativi), è consigliabile cercare tali messaggi in Esplora minacce e rilevamenti in tempo reale. È possibile eseguire ricerche in base a mittente, destinatario o ID messaggio. Dopo aver individuato il messaggio, passare ai dettagli facendo clic sull'oggetto. Per un messaggio in quarantena, esaminare la "tecnologia di rilevamento" in modo da poter usare il metodo appropriato per eseguire l'override. Per un messaggio consentito, cercare i criteri consentiti per il messaggio.
Email da mittenti falsificati (l'indirizzo From del messaggio non corrisponde all'origine del messaggio) viene classificato come phishing in Defender per Office 365. A volte lo spoofing è benigno e a volte gli utenti non vogliono che i messaggi di un mittente spoofing specifico vengano messi in quarantena. Per ridurre al minimo l'impatto sugli utenti, esaminare periodicamente le informazioni dettagliate di intelligence sullo spoofing, le voci per i mittenti falsificati nell'elenco tenant consentiti/bloccati e il report Rilevamenti spoofing. Dopo aver esaminato i mittenti di spoofing consentiti e bloccati e aver eseguito le sostituzioni necessarie, è possibile configurare con sicurezza l'intelligence di spoofing nei criteri anti-phishing per mettere in quarantena i messaggi sospetti invece di recapitarli alla cartella Junk Email dell'utente.
In Defender per Office 365 è anche possibile usare la pagina Informazioni dettagliate sulla rappresentazione in https://security.microsoft.com/impersonationinsight per tenere traccia della rappresentazione utente o dei rilevamenti di rappresentazione del dominio. Per altre informazioni, vedere Informazioni dettagliate sulla rappresentazione in Defender per Office 365.
Esaminare periodicamente il report Stato di Threat Protection per i rilevamenti di phishing.
Alcuni clienti consentono inavvertitamente i messaggi di phishing inserendo i propri domini nell'elenco Consenti mittente o Consenti dominio nei criteri di protezione dalla posta indesiderata. Anche se questa configurazione consente alcuni messaggi legittimi attraverso, consente anche messaggi dannosi che normalmente sarebbero bloccati dai filtri di posta indesiderata e/o phishing. Invece di consentire il dominio, è necessario correggere il problema sottostante.
Il modo migliore per gestire i messaggi legittimi bloccati da Microsoft 365 (falsi positivi) che coinvolgono i mittenti nel dominio consiste nel configurare completamente e completamente i record SPF, DKIM e DMARC in DNS per tutti i domini di posta elettronica:
Verificare che il record SPF identifichi tutte le origini di posta elettronica per i mittenti nel dominio (non dimenticare i servizi di terze parti!).
Usare hard fail (-all) per assicurarsi che i mittenti non autorizzati vengano rifiutati dai sistemi di posta elettronica configurati per farlo. È possibile usare le informazioni dettagliate sull'intelligence per lo spoofing per identificare i mittenti che usano il dominio in modo che sia possibile includere mittenti di terze parti autorizzati nel record SPF.
Per istruzioni di configurazione, vedere:
Quando possibile, è consigliabile recapitare la posta elettronica per il dominio direttamente a Microsoft 365. In altre parole, puntare il record MX del dominio microsoft 365 a Microsoft 365. Exchange Online Protection (EOP) è in grado di fornire la migliore protezione per gli utenti cloud quando la posta viene recapitata direttamente a Microsoft 365. Se è necessario usare un sistema di igiene della posta elettronica di terze parti davanti a EOP, usare filtro avanzato per i connettori. Per istruzioni, vedere Applicazione del filtro per i connettori in Exchange Online.
Fare in modo che gli utenti usino il pulsante Report predefinito in Outlook sul web o distribuino i componenti aggiuntivi Microsoft Report Message o Report Phishing nell'organizzazione. Configurare le impostazioni segnalate dall'utente per inviare messaggi segnalati dall'utente a una cassetta postale di report, a Microsoft o a entrambi. I messaggi segnalati dall'utente sono quindi disponibili per gli amministratori nella scheda Utente segnalato nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=user. Amministrazione può segnalare messaggi segnalati dall'utente o qualsiasi messaggio a Microsoft come descritto nella pagina Usare gli invii per inviare sospetti messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft. La segnalazione di falsi positivi o falsi negativi da parte dell'utente o dell'amministratore a Microsoft è importante, perché consente di eseguire il training dei sistemi di rilevamento.
L'autenticazione a più fattori (MFA) è un buon modo per evitare account compromessi. È consigliabile abilitare MFA per tutti gli utenti. Per un approccio in più fasi, iniziare abilitando l'autenticazione a più fattori per gli utenti più sensibili (amministratori, dirigenti e così via) prima di abilitare MFA per tutti. Per istruzioni, vedere Configurare l'autenticazione a più fattori.
Le regole di inoltro a destinatari esterni vengono spesso usate dagli utenti malintenzionati per estrarre i dati. Usare le informazioni sulle regole di inoltro delle cassette postali in Microsoft Secure Score per trovare e persino impedire l'inoltro di regole a destinatari esterni. Per altre informazioni, vedere Mitigating Client External Forwarding Rules with Secure Score (Mitigating Client External Forwarding Rules with Secure Score).
Usare il report Messaggi inoltrati automaticamente per visualizzare dettagli specifici sulla posta elettronica inoltrata.