Gestire i criteri antimalware e antispam
Le difese antimalware e antispam sono una parte fondamentale di qualsiasi sistema di messaggistica moderno. Microsoft 365 offre strumenti altamente efficaci per ridurre al minimo il numero di messaggi indesiderati che raggiungono le cassette postali degli utenti, fornendo al tempo stesso forti difese contro software dannoso.
Exchange Online usa diverse tecnologie di protezione dalla posta indesiderata per ridurre al minimo i messaggi di posta indesiderata in arrivo. Analizza i messaggi in ingresso e archivia i risultati nelle intestazioni dei messaggi di protezione dalla posta indesiderata che fanno parte di ogni messaggio SMTP. Inoltre, salva il livello di attendibilità della posta indesiderata (SCL) come parte di questa intestazione; l’SCL include la probabilità che il messaggio sia un messaggio indesiderato.
Quando Microsoft Exchange Online Protection (EOP) analizza un messaggio in arrivo, inserisce un'intestazione X-Forefront-Antispam-Report (X-header) nell'intestazione SMTP del messaggio. I campi in questa intestazione consentono a un'organizzazione di raccogliere informazioni sul messaggio e sul modo in cui è stato elaborato. Le organizzazioni possono quindi usare uno strumento come Remote Connectivity Analyzer (RCA) per tradurre le informazioni sull'intestazione della posta elettronica. In questo modo, le organizzazioni possono risolvere i problemi relativi al flusso di posta e comprendere come Exchange Online Protection elabora i messaggi di posta elettronica.
Microsoft Exchange Online Protection offre i filtri seguenti che possono essere configurati per proteggere il sistema di messaggistica dell'organizzazione:
- Filtro malware
- Filtro connessioni
- Filtro della posta indesiderata
Lo strumento RCA è disponibile qui.
Letture aggiuntive. Vedere il sito seguente per una spiegazione approfondita dei piani di Exchange Online e delle funzionalità di protezione dalla posta indesiderata disponibili in ognuno di essi.
Configurazione del filtro malware
Exchange Online usa la protezione da malware in EOP per proteggere le cassette postali degli utenti dai messaggi infetti. EOP usa più motori di rilevamento malware leader del settore per analizzare la posta in arrivo e in uscita, con questi motori aggiornati man mano che vengono visualizzate nuove definizioni di virus.
Nell'interfaccia di amministrazione di Exchange (EAC) e nel Centro sicurezza e conformità è possibile configurare i criteri antimalware per la protezione da malware in Microsoft 365. Un criterio antimalware è una combinazione di due elementi:
- Un criterio antimalware che definisce cosa accade quando viene rilevato un malware.
- Una regola antimalware che definisce a chi si applicano i criteri.
Exchange Online viene fornito con un filtro antimalware preconfigurato che elimina semplicemente il messaggio senza fornire notifiche. Questo criterio, che si applica a tutti, può essere modificato ma non eliminato. Inoltre, non è possibile modificare a chi si applicano i criteri.
Alcune organizzazioni potrebbero aver bisogno di disposizioni di protezione diverse per gruppi interni diversi. In questa situazione, possono aggiungere uno o più criteri antimalware e quindi ottimizzare le impostazioni per soddisfare i propri requisiti.
I filtri antimalware vengono configurati tramite le impostazioni di protezione che possono essere mantenute in EAC e Windows PowerShell. Le regole e i criteri devono essere configurati separatamente quando si usa Windows PowerShell per gestire queste impostazioni.
La priorità di un criterio controlla l'ordine in cui vengono applicati i criteri. I criteri vengono applicati in ordine sequenziale dalla priorità più alta fino alla più bassa. Il criterio predefinito è sempre la priorità più bassa. Fornisce una barriera finale che elimina semplicemente i messaggi offensivi. La priorità di un criterio può essere modificata in qualsiasi momento.
Per configurare un criterio antimalware con PowerShell, usare il comando New-MalwareFilterPolicy. Per configurare una regola malware che applica criteri a utenti, gruppi o domini, usare il comando New-MalwareFilterRule.
Configurazione del filtro delle connessioni
Sia Exchange Online che il Centro sicurezza e conformità forniscono un filtro di connessione che consente alle organizzazioni di configurare il filtro in base agli indirizzi IP, con elenchi di "IP consentiti" e "IP bloccati" separati. A differenza dei filtri antimalware, esiste un solo filtro di connessione predefinito, ma le relative impostazioni possono essere personalizzate.
Un elenco di indirizzi IP consentiti contiene singoli indirizzi o intervalli di indirizzi considerati attendibili da un'organizzazione. Un elenco di IP bloccati contiene indirizzi o persino subnet di spammer noti da cui un'organizzazione non vuole ricevere messaggi. È anche possibile abilitare un elenco sicuro. Questa opzione consente l'accettazione dei messaggi provenienti da mittenti noti. Microsoft usa origini di terze parti per fornire l'elenco dei mittenti sicuri.
Le impostazioni che un'organizzazione può modificare includono:
- Indirizzi IP consentiti
- Indirizzi IP bloccati
- Abilitazione dell'elenco di indirizzi attendibili
In un elenco di indirizzi IP consentiti e di indirizzi IP bloccati, un'organizzazione può specificare singoli indirizzi o intervalli di rete usando Il CIDR (Classless Inter-Domain Routing). Il CIDR è un metodo di allocazione degli indirizzi IP. È più flessibile rispetto al sistema originale delle classi di indirizzi IP (Internet Protocol) perché rimuove le subnet mask A, B e C.
L'impostazione Consenti sostituisce in genere l'impostazione Blocca. Di conseguenza, se un'organizzazione aggiunge un indirizzo a entrambi gli elenchi, i messaggi e-mail da tale indirizzo IP sono consentiti. L'SCL viene impostato automaticamente su -1 per gli indirizzi IP nell'elenco di indirizzi IP consentiti. Questa impostazione indica che il messaggio ignora tutte le ulteriori elaborazioni. I filtri di connessione possono essere aggiunti o modificati sia in EAC che in Windows PowerShell.
Per configurare i filtri di connessione usando Windows PowerShell, è necessario usare il cmdlet Set-HostedConnectionFilterPolicy. Si supponga, ad esempio, che un'organizzazione voglia apportare le modifiche seguenti all'elenco di autorizzazioni:
- aggiungere l'indirizzo IP 192.168.1.100.
- aggiungere l'intervallo di indirizzi IP da 192.169.3.1 a 192.169.3.199
- rimuovere l'indirizzo IP 192.168.99.22
Per aggiornare l'elenco di elementi consentiti con queste modifiche, un'organizzazione deve eseguire il comando di PowerShell seguente:
Set-HostedConnectionFilterPolicy "Default" -IPAllowList @{Add="192.168.1.100","192.169.3.1-192.169.3.99";Remove="192.168.99.22"}
Nota
Il filtro delle connessioni è efficace per l’intercettazione di tutto il traffico dagli indirizzi IP presenti nell'elenco degli indirizzi bloccati. Tuttavia, potrebbe non essere il modo più efficace per un'organizzazione per proteggere l'ambiente in base ai requisiti aziendali. Per altre informazioni, vedere l'articolo seguente sulla Configurazione delle procedure consigliate di EOP.
Configurazione del filtro della posta indesiderata
I filtri di posta indesiderata sono il componente principale contro i malware o altri allegati di posta elettronica dannosi che vogliono acquisire informazioni personali dal computer di un utente. Filtri di posta indesiderata:
- offrono una gamma di opzioni di filtro di base e avanzate;
- aggiungono automaticamente intestazioni di elaborazione della posta indesiderata.;
- assegnano un livello di attendibilità della posta indesiderata ai messaggi prima del recapito alle cassette postali degli utenti.
Le impostazioni di configurazione per i filtri di posta indesiderata rientrano nelle categorie seguenti:
- Generale (nome, descrizione)
- Azioni per posta indesiderata e inviata in blocco
- Elenco indirizzi IP consentiti
- Elenco indirizzi IP bloccati
- Pota indesiderata internazionale
- Opzioni avanzate
- Applicato a
I criteri di filtro della posta indesiderata predefiniti si applicano a tutti i messaggi e a tutte le cassette postali. È quindi possibile aggiungere altri criteri di filtro della posta indesiderata che applicano impostazioni diverse a gruppi separati. È possibile anche impostare l'ordine di applicazione di tali criteri.
Esercizio - Dimostrazione interattiva
Selezionare i collegamenti seguenti per completare queste dimostrazioni interattive:
La prima simulazione illustra i passaggi per creare un gruppo di Microsoft 365 e un gruppo di sicurezza per la Adatum Corporation fittizia. Nella seconda simulazione si apprenderà come configurare i criteri antimalware predefiniti di Microsoft 365.