La funzionalità “Direct Send” di Exchange Online è nota da tempo. Negli ultimi tempi, tuttavia, osserviamo nuovamente, nei progetti dei nostri clienti, configurazioni che consentono flussi di posta indesiderati o non intenzionali.
La causa è semplice: configurazioni storiche spesso rimangono invariate per lunghi periodi e possono quindi comportare rischi in termini di sicurezza, conformità e controllo. Per le aziende che utilizzano Exchange Online come parte della propria infrastruttura di posta elettronica, vale quindi la pena verificare attentamente la configurazione in uso.
Che cos’è Direct Send?
Con Direct Send, i sistemi all’interno di un ambiente Microsoft 365 possono inviare e-mail direttamente tramite Exchange Online senza richiedere l’autenticazione SMTP. In origine, questa funzionalità era destinata a dispositivi multifunzione, applicazioni o altri sistemi interni.
A seconda dell’architettura e della configurazione specifica di Microsoft 365, Direct Send può tuttavia consentire ai messaggi di aggirare il flusso di posta previsto. In questo caso si perde il controllo sul traffico e-mail.
Come ridurre il rischio
In base alla nostra esperienza, le seguenti misure si sono dimostrate particolarmente efficaci:
1. Verificare e limitare Direct Send
Per prima cosa, verificate se Direct Send è realmente necessario nel vostro ambiente. In molte organizzazioni la funzionalità è stata attivata in passato, ma non viene più utilizzata attivamente. Se possibile, è consigliabile limitarla o disattivarla completamente.
2. Contrassegnare chiaramente i messaggi
Una soluzione efficace consiste nel contrassegnare i messaggi legittimi all’interno di Exchange Online con un’intestazione (header) personalizzata e verificarne la presenza prima dell’invio.
A tal fine, una regola di trasporto può aggiungere un header contenente un valore “segreto”. Una regola di policy successiva verifica quindi la presenza di tale header. I messaggi privi dell’header modificato possono inizialmente essere monitorati e, successivamente, se necessario, bloccati o inoltrati separatamente tramite regole.
3. In alternativa, verificare il Tenant ID di Microsoft
In alternativa al controllo dell’header, è possibile utilizzare anche il Microsoft Tenant ID presente negli header di Exchange come elemento di autenticazione.
In questo caso viene verificato che i messaggi in uscita contengano l’identificatore del tenant previsto. Anche in questo scenario, i messaggi che non superano il controllo possono essere monitorati, bloccati o inoltrati in base ai requisiti di sicurezza.
4. Creare innanzitutto trasparenza
Prima di adottare misure così drastiche, è consigliabile monitorare inizialmente i messaggi potenzialmente interessati.
Ad esempio, una regola di policy può inoltrare inizialmente i messaggi sospetti tramite copia conoscenza nascosta (BCC) a una casella di posta dedicata. In questo modo è possibile verificare se e con quale frequenza si verificano messaggi inviati tramite Direct Send, senza compromettere l’operatività.
Una volta raccolte informazioni sufficienti attraverso il monitoraggio, è possibile attivare le regole descritte in precedenza.
La sicurezza della posta elettronica enterprise non si ferma al gateway
La questione di Direct Send dimostra ancora una volta che una infrastruttura e-mail sicura va ben oltre i tradizionali filtri antispam e antimalware. Soprattutto negli ambienti enterprise ibridi e basati sul cloud, un flusso di posta continuo e controllato è fondamentale.
Oltre a verificare regolarmente Direct Send, le aziende dovrebbero quindi valutare costantemente l’intera configurazione di Exchange Online e assicurarsi che solo i messaggi autorizzati utilizzino i percorsi di comunicazione previsti.
Argomento correlato: Ghost Sender in Exchange Online
La problematica di Direct Send si inserisce in una serie di discussioni attuali riguardanti Exchange Online. Un altro esempio è la cosiddetta problematica dei Ghost Sender, nella quale, in determinate condizioni, possono verificarsi flussi di posta indesiderati.
Supporto per scenari complessi di mail flow
Un’analisi professionale dell’architettura e-mail esistente, ad esempio nell’ambito delle offerte Professional Services, consente di individuare tempestivamente eventuali vulnerabilità e di risolverle mediante adeguate misure tecniche.



