Create elenchi di mittenti sicuri in EOP

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Se si è un cliente di Microsoft 365 con cassette postali in Exchange Online o un cliente autonomo Exchange Online Protection (EOP) senza cassette postali Exchange Online, EOP offre diversi modi per garantire che gli utenti ricevano messaggi di posta elettronica da mittenti attendibili. Collettivamente, è possibile considerare queste opzioni come elenchi di mittenti sicuri.

Gli elenchi di mittenti attendibili disponibili sono descritti nell'elenco seguente in ordine da quello più consigliato a quello meno consigliato:

1. Consenti voci per domini e indirizzi di posta elettronica (inclusi i mittenti spoofing) nell'elenco tenant consentiti/bloccati.
2. Regole del flusso di posta (note anche come regole di trasporto).
3. Mittenti attendibili di Outlook (elenco Mittenti attendibili archiviato in ogni cassetta postale che interessa solo tale cassetta postale).
4. Elenco indirizzi IP consentiti (filtro delle connessioni)
5. Elenchi di mittenti consentiti o elenchi di domini consentiti (criteri di protezione dalla posta indesiderata)

Il resto di questo articolo contiene informazioni specifiche su ogni metodo.

Importante

I messaggi identificati come malware^* o phishing ad alta attendibilità vengono sempre messi in quarantena, indipendentemente dall'opzione elenco di mittenti sicuri usata. Per altre informazioni, vedere Proteggere per impostazione predefinita in Office 365.

^* Il filtro malware viene ignorato nelle cassette postali SecOps identificate nei criteri di recapito avanzati. Per altre informazioni, vedere Configurare i criteri di recapito avanzati per simulazioni di phishing di terze parti e recapito di posta elettronica alle cassette postali SecOps.

Prestare attenzione a monitorare attentamente eventuali eccezioni apportate al filtro della posta indesiderata usando elenchi di mittenti sicuri.

Inviare sempre messaggi negli elenchi di mittenti sicuri a Microsoft per l'analisi. Per istruzioni, vedere Segnalare un messaggio di posta elettronica valido a Microsoft. Se i messaggi o le origini messaggio sono considerati non validi, Microsoft può consentire automaticamente i messaggi e non sarà necessario mantenere manualmente la voce negli elenchi di mittenti attendibili.

Invece di consentire la posta elettronica, sono disponibili anche diverse opzioni per bloccare la posta elettronica da origini specifiche usando elenchi di mittenti bloccati. Per altre informazioni, vedere Creare elenchi di mittenti bloccati in EOP.

Usare le voci consenti nell'elenco tenant consentiti/bloccati

L'opzione consigliata numero uno per consentire la posta da mittenti o domini è l'elenco tenant consentiti/bloccati. Per istruzioni, vedere Create consentire le voci per domini e indirizzi di posta elettronica e Create consentire le voci per i mittenti contraffatti.

Solo se non è possibile usare l'elenco tenant consentiti/bloccati per qualche motivo, è consigliabile usare un metodo diverso per consentire i mittenti.

Usare le regole del flusso di posta

Nota

Non è possibile usare le intestazioni dei messaggi e le regole del flusso di posta per designare un mittente interno come mittente sicuro. Le procedure in questa sezione funzionano solo per i mittenti esterni.

Le regole del flusso di posta in Exchange Online ed EOP autonomo usano le condizioni e le eccezioni per identificare i messaggi e le azioni per specificare cosa eseguire a tali messaggi. Per ulteriori informazioni, vedere Mail flow rules (transport rules) in Exchange Online.

Nell'esempio seguente si presuppone che sia necessario inviare messaggi di posta elettronica da contoso.com per ignorare il filtro della posta indesiderata. A tale scopo, configurare le impostazioni seguenti:

1. Condizione: il dominio del mittente>è> contoso.com.

2. Configurare una delle impostazioni seguenti:

   • Condizione della regola del flusso di posta: le intestazioni>dei messaggi includono una delle parole seguenti:

     • Nome intestazione: Authentication-Results
     • Valore dell'intestazione: dmarc=pass o dmarc=bestguesspass (aggiungere entrambi i valori).

     Questa condizione controlla lo stato di autenticazione della posta elettronica del dominio di posta elettronica di invio per assicurarsi che il dominio di invio non venga falsificato. Per altre informazioni sull'autenticazione tramite posta elettronica, vedere SPF, DKIM e DMARC.

   • Elenco indirizzi IP consentiti: specificare l'indirizzo IP di origine o l'intervallo di indirizzi nei criteri del filtro di connessione. Per istruzioni, vedere Configurare il filtro delle connessioni.

     Usare questa impostazione se il dominio di invio non usa l'autenticazione tramite posta elettronica. Essere il più restrittivo possibile quando si tratta degli indirizzi IP di origine nell'elenco indirizzi IP consentiti. È consigliabile un intervallo di indirizzi IP di /24 o inferiore (meno è meglio). Non usare intervalli di indirizzi IP appartenenti a servizi consumer (ad esempio, outlook.com) o infrastrutture condivise.

   Importante

   • Non configurare mai le regole del flusso di posta con solo il dominio del mittente come condizione per ignorare il filtro della posta indesiderata. In questo modo si aumenterà significativamente la probabilità che gli utenti malintenzionati possano falsifiare il dominio di invio (o rappresentare l'indirizzo di posta elettronica completo), ignorare tutti i filtri di posta indesiderata e ignorare i controlli di autenticazione del mittente in modo che il messaggio arrivi nella posta in arrivo del destinatario.

   • Non usare i domini di cui si è proprietari (noti anche come domini accettati) o i domini più diffusi (ad esempio, microsoft.com) come condizioni nelle regole del flusso di posta. Questa operazione è considerata ad alto rischio perché crea opportunità per gli utenti malintenzionati di inviare messaggi di posta elettronica che altrimenti verrebbero filtrati.

   • Se si consente un indirizzo IP dietro un gateway NAT (Network Address Translation), è necessario conoscere i server coinvolti nel pool NAT per conoscere l'ambito dell'elenco indirizzi IP consentiti. Gli indirizzi IP e i partecipanti NAT possono cambiare. È necessario controllare periodicamente le voci dell'elenco indirizzi IP consentiti nell'ambito delle procedure di manutenzione standard.

3. Condizioni facoltative:

   • Il mittente>è interno/esterno>All'esterno dell'organizzazione: questa condizione è implicita, ma è consigliabile usarla per tenere conto dei server di posta elettronica locali che potrebbero non essere configurati correttamente.
   • Oggetto o corpo>soggetto o corpo include una qualsiasi di queste parole><parole chiave>: se è possibile limitare ulteriormente i messaggi in base a parole chiave o frasi nella riga dell'oggetto o nel corpo del messaggio, è possibile usare tali parole come condizione.

4. Azione: configurare entrambe le azioni seguenti nella regola:

   1. Modificare le proprietà> del messaggioImpostare il livello di attendibilità della posta indesiderata (SCL)>Ignorare il filtro della posta indesiderata.

   2. Modificare le proprietà> del messaggioimpostare un'intestazione del messaggio:

      • Nome intestazione: ad esempio, X-ETR.
      • Valore dell'intestazione: ad esempio, Bypass spam filtering for authenticated sender 'contoso.com'.

      Se nella regola sono presenti più domini, è possibile personalizzare il testo dell'intestazione in base alle esigenze.

Quando un messaggio ignora il filtro della posta indesiderata a causa di una regola del flusso di posta, il valore SFV:SKN viene contrassegnato nell'intestazione X-Forefront-Antispam-Report . Se il messaggio proviene da un'origine presente nell'elenco indirizzi IP consentiti, viene aggiunto anche il valore IPV:CAL . Questi valori consentono di risolvere i problemi.

Usare Mittenti attendibili di Outlook

Attenzione

Questo metodo crea un rischio elevato che gli utenti malintenzionati distribuissero correttamente messaggi di posta elettronica nella posta in arrivo che altrimenti verrebbero filtrati; tuttavia, se un messaggio proveniente da una voce negli elenchi Mittenti attendibili o Domini sicuri dell'utente è determinato come malware o phishing ad alta attendibilità, il messaggio verrà filtrato.

Anziché un'impostazione organizzativa, gli utenti o gli amministratori possono aggiungere gli indirizzi di posta elettronica del mittente all'elenco Mittenti attendibili nella cassetta postale. Per istruzioni, vedere Configurare le impostazioni della posta indesiderata nelle cassette postali Exchange Online in Office 365. Le voci dell'elenco Mittenti attendibili nella cassetta postale influiscono solo su tale cassetta postale.

Questo metodo non è consigliabile nella maggior parte delle situazioni perché i mittenti ignorano parti dello stack di filtro. Anche se si considera attendibile il mittente, il mittente può comunque essere compromesso e inviare contenuto dannoso. È consigliabile consentire ai filtri di controllare ogni messaggio e quindi segnalare i falsi positivi/negativi a Microsoft se si è verificato un errore. Ignorare lo stack di filtro interferisce anche con l'eliminazione automatica a zero ore (ZAP).

Quando i messaggi ignorano il filtro della posta indesiderata a causa di voci nell'elenco Mittenti attendibili di un utente, il campo dell'intestazione X-Forefront-Antispam-Report conterrà il valore SFV:SFE, che indica che è stato ignorato il filtro per posta indesiderata, spoofing e phishing (non phishing con attendibilità elevata).

Note:

• In Exchange Online, se le voci nell'elenco Mittenti attendibili funzionano o meno dipende dal verdetto e dall'azione nei criteri che hanno identificato il messaggio:
  • Spostare i messaggi nella cartella Posta indesiderata Email: le voci di dominio e gli indirizzi di posta elettronica del mittente vengono rispettati. I messaggi provenienti da tali mittenti non vengono spostati nella cartella Posta indesiderata Email.
  • Quarantena: le voci di dominio non vengono rispettate (i messaggi di tali mittenti vengono messi in quarantena). Email voci di indirizzo vengono rispettate (i messaggi di tali mittenti non sono messi in quarantena) se una delle istruzioni seguenti è vera:
    • Il messaggio non è identificato come malware o phishing ad alta attendibilità (i messaggi di phishing con attendibilità elevata e malware vengono messi in quarantena).
    • L'indirizzo di posta elettronica non è incluso anche in una voce di blocco nell'elenco tenant consentiti/bloccati.
• Le voci per i mittenti bloccati e i domini bloccati vengono rispettate (i messaggi di tali mittenti vengono spostati nella cartella Posta indesiderata Email). Le impostazioni della lista di indirizzi sicuri vengono ignorate.

Usare l'elenco indirizzi IP consentiti

Attenzione

Senza ulteriori verifiche, come le regole del flusso di posta, la posta elettronica proveniente da origini nell'elenco indirizzi IP consentiti ignora il filtro della posta indesiderata e i controlli di autenticazione del mittente (SPF, DKIM, DMARC). Questo risultato crea un rischio elevato che gli utenti malintenzionati distribuissero correttamente messaggi di posta elettronica nella posta in arrivo che altrimenti verrebbero filtrati; tuttavia, se un messaggio da una voce nell'elenco indirizzi IP consentiti è determinato come malware o phishing ad alta attendibilità, il messaggio verrà filtrato.

L'opzione migliore successiva consiste nell'aggiungere il server o i server di posta elettronica di origine all'elenco indirizzi IP consentiti nei criteri del filtro di connessione. Per informazioni dettagliate, vedere Configurare il filtro delle connessioni in EOP.

Note:

• È importante mantenere al minimo il numero di indirizzi IP consentiti, quindi evitare di usare interi intervalli di indirizzi IP quando possibile.
• Non usare intervalli di indirizzi IP appartenenti a servizi consumer (ad esempio, outlook.com) o infrastrutture condivise.
• Esaminare regolarmente le voci nell'elenco indirizzi IP consentiti e rimuovere le voci che non sono più necessarie.

Usare elenchi di mittenti consentiti o elenchi di domini consentiti

Attenzione

Questo metodo crea un rischio elevato che gli utenti malintenzionati distribuissero correttamente messaggi di posta elettronica nella posta in arrivo che altrimenti verrebbero filtrati; tuttavia, se un messaggio proveniente da una voce negli elenchi di mittenti consentiti o domini consentiti è determinato come malware o phishing ad alta attendibilità, il messaggio verrà filtrato.

Non usare domini comuni (ad esempio, microsoft.com) negli elenchi di domini consentiti.

L'opzione meno consigliata consiste nell'usare gli elenchi di mittenti consentiti o gli elenchi di dominio consentiti nei criteri di protezione dalla posta indesiderata. È consigliabile evitare questa opzione , se possibile , perché i mittenti ignorano tutta la posta indesiderata, lo spoofing, la protezione dal phishing (ad eccezione del phishing ad alta attendibilità) e l'autenticazione del mittente (SPF, DKIM, DMARC). È consigliabile usare questo metodo solo per test temporanei. I passaggi dettagliati sono disponibili nell'argomento Configurare i criteri di protezione dalla posta indesiderata in EOP .

Il limite massimo per questi elenchi è di circa 1000 voci; anche se sarà possibile immettere solo 30 voci nel portale. È necessario usare PowerShell per aggiungere più di 30 voci.

Nota

A partire da settembre 2022, se un mittente, un dominio o un sottodominio consentito si trova in un dominio accettato nell'organizzazione, tale mittente, dominio o sottodominio deve superare i controlli di autenticazione tramite posta elettronica per ignorare il filtro della posta indesiderata.

Considerazioni sulla posta elettronica in blocco

Un messaggio di posta elettronica SMTP standard è costituito da una busta del messaggio e dal contenuto del messaggio. La busta del messaggio contiene informazioni necessarie per trasmettere e recapitare il messaggio tra server SMTP. Il contenuto del messaggio include i campi di intestazione del messaggio (denominati collettivamente intestazione del messaggio) e il corpo del messaggio. La busta del messaggio è descritta in RFC 5321 e l'intestazione del messaggio è descritta in RFC 5322. I destinatari non vedono mai la busta del messaggio effettiva perché è generata dal processo di trasmissione del messaggio e non fa effettivamente parte del messaggio.

• L'indirizzo 5321.MailFrom (noto anche come indirizzo MAIL FROM , mittente P1 o mittente della busta) è l'indirizzo di posta elettronica usato nella trasmissione SMTP del messaggio. Questo indirizzo di posta elettronica viene in genere registrato nel campo intestazione Return-Path nell'intestazione del messaggio (anche se è possibile che il mittente designi un indirizzo di posta elettronica Return-Path diverso). Se il messaggio non può essere recapitato, è il destinatario del report di mancato recapito (noto anche come NDR o messaggio di mancato recapito).
• L'indirizzo 5322.From (noto anche come mittente da o mittente P2) è l'indirizzo di posta elettronica nel campo Intestazione Da ed è l'indirizzo di posta elettronica del mittente visualizzato nei client di posta elettronica.

Spesso, gli 5321.MailFrom indirizzi e 5322.From sono gli stessi (comunicazione da persona a persona). Tuttavia, quando viene inviato un messaggio di posta elettronica per conto di un altro utente, gli indirizzi possono essere diversi. Questo accade più spesso per i messaggi di posta elettronica in blocco.

Si supponga, ad esempio, che Blue Yonder Airlines abbia assunto Margie's Travel per inviare messaggi di posta elettronica pubblicitari. Il messaggio ricevuto nella posta in arrivo ha le proprietà seguenti:

• L'indirizzo 5321.MailFrom è blueyonder.airlines@margiestravel.com.
• L'indirizzo 5322.From è blueyonder@news.blueyonderairlines.com, ovvero quello visualizzato in Outlook.

Gli elenchi di mittenti sicuri e gli elenchi di domini sicuri nei criteri di protezione dalla posta indesiderata in EOP esaminano solo gli 5322.From indirizzi. Questo comportamento è simile ai mittenti attendibili di Outlook che usano l'indirizzo 5322.From .

Per evitare che il messaggio venga filtrato, è possibile seguire questa procedura:

• Aggiungere blueyonder@news.blueyonderairlines.com (l'indirizzo 5322.From ) come mittente sicuro di Outlook.
• Usare una regola del flusso di posta con una condizione che cerca i messaggi da blueyonder@news.blueyonderairlines.com (l'indirizzo 5322.From ), blueyonder.airlines@margiestravel.com (l'indirizzo 5321.MailFrom ) o entrambi.