Questo articolo dettaglia come implementare la Whitelist in diverse tecnologie di sicurezza e posta per garantire la corretta consegna delle simulazioni di SMARTFENSE e ridurre l’impatto dell’analisi di sicurezza nelle campagne di Phishing e Ransomware.
Implementazione della Whitelist per Trend Micro
Whitelisting per dominio in Trend Micro
Advanced Spam Protection
- Accedere alla scheda Advanced Threat Protection > Add.
- Selezionare la politica da creare secondo il servizio: Exchange, OneDrive, SharePoint, Box, Dropbox, Google.
- A sinistra, selezionare Advanced Spam Protection.
- Selezionare Enable Advanced Spam Protection.
- Selezionare Approved/Blocked Sender List.
- Selezionare Enable the approved sender list.
- Inserire *@livefense.com e premere Add.
- Andare alla sezione di configurazione Rules.
- In Apply to: selezionare Incoming messages.
- Selezionare Medium come livello di rilevamento.
Malware Scanning
- Selezionare Malware Scanning dal menu a sinistra.
- Selezionare Rules.
- In Apply to: selezionare Incoming messages.
- In Malware Scanning, selezionare Scan all files e selezionare Scan message body e Enable IntelliTrap.
- Selezionare la sezione Action.
- In Action: selezionare Trend Micro recommend actions.
- In Notification: selezionare Notify.
Web Reputation
- Selezionare Web Reputation.
- Selezionare Enable Web Reputation.
- Selezionare Rules.
- In Apply to: selezionare All messages.
- In Security Level: selezionare Medium.
- Selezionare Approved/Blocked URL List.
- Selezionare Enable the approved URL list.
- Selezionare Add internal domains to the approved URL list.
- Inserire gli IP e i domini di SMARTFENSE come hostnames.
- Premere Add >.
Virtual Analyzer
- Selezionare Virtual Analyzer.
- Selezionare Enable Virtual Analyzer.
- In Lista de remitentes permitidos, aggiungere info@livefense.com.
- Fare clic su Save.
Nota: una volta configurati tutti i passaggi, la politica apparirà sotto la scheda Advanced Threat Protection.
Hosted Email Security (HES) – consentire campagne e non scansionare URL
Non scansionare gli URL nelle email delle campagne di Phishing
- Nella console di Hosted Email Security (HES) andare a:
- Inbound Protection -> Policy Objects -> Keyword Expressions
- Creare una nuova espressione di parola chiave per SMARTFENSE:
- Definire Match come Any Specified
- Clic su Add
- Inserire:
- SMARTFENSE
- Esta es una prueba de seguridad de phishing de SMARTFENSE que ha sido autorizada por la organización receptora.
- Clic su Save
- Andare su Inbound Protection -> Policy.
- Selezionare il dominio a cui applicare la politica e fare clic su Add.
- In Basic Information, assegnare un nome e selezionare Enable.
- In Recipients and Senders:
- Recipients: My domains, selezionare dominio e Add
- Senders: Anyone
- In Scanning Criteria:
- Clic su Advanced
- Attivare Specified header matches
- Clic su keyword expressions
- In Other, scrivere X-PHISHINGSIMULATION
- Scegliere l’espressione creata e Add
- Clic su Save
- In Actions, scegliere Deliver now.
- Verificare che la politica sia configurata correttamente.
- Spostare la politica al primo posto per darle priorità (freccia verso l’alto).
nota: quando la parola chiave corrisponde, l’email non passa attraverso il resto delle politiche e viene consegnata immediatamente all’utente finale.
Trend Micro Email Security (TMEMS) – non scansionare URL
- In Trend Micro Email Security (EMS) andare a:
- Administration -> Policy Objects -> Keyword Expressions
- Creare una nuova espressione di parola chiave per SMARTFENSE:
- Match: Any Specified
- Clic su Add
- Inserire:
- SMARTFENSE
- Esta es una prueba de seguridad de phishing de SMARTFENSE que ha sido autorizada por la organización receptora.
- Clic su Save
- Andare su Inbound Protection -> Policy.
- Scegliere il dominio, fare clic su Add.
- In Basic Information, assegnare un nome e attivare Enable.
- In Recipients and Senders:
- Recipients: My domains, selezionare dominio e Add
- Senders: Anyone
- In Scanning Criteria:
- Clic su Advanced
- Attivare Specified header matches
- Clic su keyword expressions
- In Other, scrivere X-PHISHINGSIMULATION
- Scegliere l’espressione creata, Add, e poi Save
- In Actions, scegliere Deliver now e selezionare To the default mail server.
- Verificare la politica.
- Fare clic su Submit.
- Spostare la politica al primo posto per darle priorità.
Implementazione della Whitelist per AppRiver
- Accedere a AppRiver Admin Center.
- Selezionare Filters -> IP Addresses.
- In Direcciones IP permitidas, aggiungere gli IP attuali di SMARTFENSE.
- Fare clic su Save.
| Nota: per ottenere la lista più aggiornata, consultare Configurazione > Sicurezza > Whitelist all’interno della propria istanza di SMARTFENSE. |
Implementazione della Whitelist per Cisco IronPort
Whitelist di IP
- Dalla console di Cisco IronPort, andare su Mail Policies.
- Selezionare HAT Overview e assicurarsi di scegliere InboundMail lister.
- Fare clic su WHITELIST.
- Fare clic su Add Sender e aggiungere:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
- Fare clic su Submit e poi su Commit Changes.
Skipping Outbreak Filter Scanning
- Andare su Mail Policies.
- In Message Modification, inserire gli IP in Bypass Domain Scanning:
- 160.153.250.248
- 190.210.135.44
- 52.16.33.192
- Fare clic su Submit e poi su Commit Changes.
Implementazione della Whitelist per Zoho Mail
Aggiungere l’IP alla lista di fiducia nel pannello di amministrazione:
- Accedere come amministratore in Zoho Mail.
- Andare su Control panel >> Mail Administration >> Spam control >> Whitelist >> Trusted IP list.
- Premere Add IP Address, inserire l’IP e salvare.
Configurazione della posta indesiderata dell’utente
Accedere ai link ufficiali del fornitore per configurare:
- Lista dei permessi / lista di blocco
- Lista dei mittenti sicuri / respinti
FortiGuard – annullamento o riclassificazione web dei domini
Per annullare la classificazione web degli URL che possono essere considerati dannosi da FortiGuard, consultare:
https://docs.fortinet.com/document/fortigate/latest/administration-guide/122974/web-rating-override
Sophos – come fare eccezioni
Permette di abilitare URL o domini indipendentemente dalla categoria.
Configurare un oggetto di whitelist utilizzando la corrispondenza per Dominio o per Espressione regolare secondo necessità.
HARMONY – CHECK POINT
Nella regola di trasporto all’interno del Server di Posta Microsoft (di solito “Harmony - Check Point”), aggiungere come eccezioni gli IP:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
Questo impedisce che Microsoft invii a Harmony le email di simulazione ricevute dai server di SMARTFENSE.
ESET Protect Complete / Elite / MDR
Se si utilizzano queste suite e la piattaforma antispam di ESET (compatibile con Office365 e Google Workspace), creare una politica di esclusione per permettere gli IP:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
Riferimento:
https://help.eset.com/ecos/es-CL/policy_email.html
Come aggiungere i domini di SMARTFENSE alla whitelist in Proofpoint
Questo articolo spiega come aggiungere i domini e gli URL di SMARTFENSE alla lista dei mittenti consentiti in Proofpoint, per evitare che gli utenti vengano bloccati quando fanno clic sui link delle campagne di phishing simulato o delle notifiche della piattaforma.
Perché viene bloccato l'accesso?
Proofpoint include una tecnologia chiamata URL Defense (parte di Targeted Attack Protection, o TAP) che analizza in tempo reale i link contenuti nelle email. Quando Proofpoint classifica un URL come dannoso, blocca la navigazione e mostra una schermata di avviso all'utente.
Questo blocco può verificarsi anche se il sito di destinazione è legittimo. Proofpoint indica esplicitamente che è possibile bloccare una singola pagina di un sito valido senza bloccare l'intero dominio.
Per consentire agli utenti di accedere correttamente ai link di SMARTFENSE, è necessario configurare la whitelist su due livelli: filtro email e URL Defense.
Prerequisiti
- Accesso come amministratore alla console Proofpoint (Essentials o Enterprise).
- Elenco dei domini e degli IP di SMARTFENSE. Consultare l'articolo Informazioni tecniche per la whitelist per i valori aggiornati.
Configurazione in Proofpoint Essentials
Passaggio 1 — Aggiungere SMARTFENSE alla Safe Sender List
- Accedere alla console di amministrazione di Proofpoint Essentials.
- Navigare in Security Settings > Email > Sender Lists.
- Nella sezione Safe Sender List, inserire gli IP e i domini di invio di SMARTFENSE.
- Fare clic su Save.
Passaggio 2 — Escludere gli URL di SMARTFENSE dalla riscrittura di URL Defense
- Dal menu principale, fare clic su Email Protection.
- Nel menu a discesa Targeted Attack Protection, selezionare URL Defense.
- Fare clic su URL Rewrite Policies.
- Nella sezione Exceptions, sotto Exclude URLs that contain specified domains/IP addresses, inserire i domini di SMARTFENSE.
- Fare clic su Save Changes.
Configurazione in Proofpoint Enterprise
Passaggio 1 — Aggiungere SMARTFENSE alla Organizational Safe List
- Accedere alla console di amministrazione di Proofpoint Enterprise.
- Fare clic su Email Protection.
- Nel menu a discesa Spam Detection, selezionare Organizational Safe List.
- Fare clic su Add.
- Nella finestra pop-up, compilare i seguenti campi:
- Filter Type: selezionare Sender Hostname.
- Operator: selezionare Equals.
- Value: inserire i domini di SMARTFENSE.
- Fare clic su Save Changes.
Passaggio 2 — Escludere gli URL di SMARTFENSE dalla riscrittura di URL Defense
- Dal menu principale, fare clic su Email Protection.
- Nel menu a discesa Targeted Attack Protection, selezionare URL Defense.
- Fare clic su URL Rewrite Policies.
- Nella sezione Exceptions, inserire i domini di SMARTFENSE.
- Fare clic su Save Changes.
Passaggio 3 (opzionale) — Configurare una regola in Email Firewall
Se i passaggi precedenti non sono sufficienti, è possibile creare una regola di permesso esplicita:
- Nella console di Proofpoint Enterprise, navigare in Email Firewall > Rules.
- Attivare la regola impostando Enable su On.
- Assegnare un nome descrittivo, ad esempio:
SMARTFENSE Allow List. - In Conditions, fare clic su Add Condition e selezionare Sender Domain.
- Inserire i domini di SMARTFENSE.
- Salvare le modifiche.
Se il problema persiste dopo aver applicato la whitelist in Proofpoint, verificare che non siano attive protezioni aggiuntive sul server di posta del cliente (ad esempio, Microsoft 365 Defender) che potrebbero bloccare gli stessi link in modo indipendente.
💡 Buone pratiche per Proofpoint
- Richiedere al cliente l'elenco esatto dei domini bloccati prima di iniziare la configurazione, per confermare che corrispondano agli URL di SMARTFENSE.
- Applicare prima l'eccezione in URL Defense, poiché è il livello che mostra la schermata di blocco visibile nello screenshot.
- Verificare la whitelist inviando un'email di test e confermando che il link si apra correttamente senza essere reindirizzati alla schermata di blocco di Proofpoint.
- Mantenere aggiornati i domini di SMARTFENSE nella configurazione di Proofpoint ogni volta che vengono aggiunti nuovi domini alla piattaforma.
- Documentare nel fascicolo del cliente quale console Proofpoint utilizza (Essentials o Enterprise) per facilitare eventuali modifiche future.
💡 Buone pratiche in generale
- Ottenere la lista aggiornata di IP e domini da Configurazione > Sicurezza > Whitelist prima di applicare modifiche in strumenti esterni.
- Applicare la Whitelist sia nei filtri antispam/antiphishing che nella reputazione web e nell’analisi degli URL.
- Dare priorità alle regole di Whitelist rispetto alle altre politiche per garantire la consegna.
- Validare con una campagna di prova prima di eseguire simulazioni massive.