Le segnalazioni relative alla sicurezza di Microsoft 365 ed Exchange Online sono in costante aumento. Più in generale, il panorama della sicurezza della posta elettronica sta diventando sempre più complesso. Grazie alla nostra pluriennale esperienza nella sicurezza delle e-mail e nelle infrastrutture di comunicazione mission-critical, noi di Retarus abbiamo raccolto le informazioni più importanti sull’ultimo tema che sta suscitando preoccupazione nell’ecosistema Microsoft, fornendo una valutazione chiara della situazione.
Da alcuni giorni, le notizie riguardanti la cosiddetta problematica dei «Ghost Sender» stanno alimentando il dibattito tra i responsabili della posta elettronica. Fin dalla comparsa delle prime segnalazioni, siamo in costante contatto con i nostri clienti per affrontare questo tema.
Cosa fare adesso
Alla luce della situazione attuale, desideriamo condividere alcune raccomandazioni affinché voi o i vostri amministratori possiate verificare in modo mirato il flusso di posta elettronica e l’attuale configurazione dei Security Gateway installati a monte. Il caso dei «Ghost Sender» dimostra ancora una volta che la sicurezza delle infrastrutture e-mail non dipende esclusivamente da singoli meccanismi di protezione o da specifici modelli di implementazione, ma soprattutto da una corretta configurazione tecnica.
1. Verificare la vulnerabilità alla consegna diretta
Si consiglia di verificare quanto prima se il proprio ambiente è vulnerabile alla consegna diretta verso il tenant, bypassando il percorso previsto attraverso il Security Gateway. Un test mirato, ad esempio tramite uno strumento come ghost-sender.com, consente di ottenere rapidamente una prima valutazione. Se il test mostra che le cassette postali Exchange Online sono raggiungibili dall’esterno tramite la tecnica dei «Ghost Sender», consigliamo di seguire i passaggi indicati di seguito.
2. Definire chiaramente il percorso previsto per la consegna della posta
Un elemento fondamentale è rappresentato dal percorso di consegna stesso. Le e-mail in ingresso dovrebbero essere instradate in modo inequivocabile attraverso il Secure Email Gateway posto a monte. In pratica, ciò significa che il record MX (Mail Exchange) deve essere configurato affinché le e-mail in ingresso transitino prima attraverso il gateway e non vengano recapitate direttamente a Exchange Online. Allo stesso tempo, in Exchange Online deve essere configurato un Inbound Partner Connector che rispecchi esattamente questo percorso.
3. Configurare l’Inbound Connector in modo restrittivo
Un altro passaggio importante consiste nel configurare il connettore nel modo più restrittivo possibile. È fondamentale consentire esclusivamente gli indirizzi IP di origine autorizzati del gateway. In questo modo si evita che connessioni in ingresso al di fuori del percorso definito vengano comunque considerate legittime. Come ulteriore misura di protezione, può essere opportuno mettere in sicurezza il flusso di posta anche tramite Transport Layer Security (TLS) oppure mediante un’adeguata verifica del dominio o del certificato TLS.
4. Impedire la consegna SMTP diretta a Exchange Online
Le consegne dirette a Exchange Online al di fuori del percorso autorizzato attraverso il gateway devono essere bloccate in modo sistematico. Che ciò venga realizzato tramite regole di trasporto o altre restrizioni dipende dal singolo ambiente. L’aspetto decisivo è che, dopo le modifiche tecniche, non solo la configurazione risulti corretta, ma venga anche verificato concretamente che gli scenari di Direct-to-Tenant o di spoofing siano effettivamente bloccati.
5. Verificare regolarmente l’autenticazione dei mittenti
Questo quinto punto va oltre l’attuale situazione: è importante verificare regolarmente anche i meccanismi fondamentali di protezione, come Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting and Conformance (DMARC). Una policy DMARC implementata correttamente e resa progressivamente più restrittiva contribuisce in modo significativo a ridurre i flussi di posta indesiderati e i rischi di spoofing. In Retarus consideriamo questi meccanismi parte integrante di una solida strategia di sicurezza della posta elettronica.
Retarus: il partner per tutte le esigenze legate alla posta elettronica
Proteggere in modo sistematico il percorso delle e-mail in ingresso e impedire qualsiasi bypass diretto consente di ridurre sensibilmente il rischio di spoofing e di messaggi fraudolenti. Retarus si propone come partner in grado di affrontare proprio queste sfide, supportando le aziende nell’implementazione di una strategia completa di sicurezza della posta elettronica.
Se desiderate supporto per identificare e valutare nella pratica questo tipo di rischi legati al flusso della posta elettronica, non esitate a contattare i nostri esperti.
