Microsoft - Come configurare le regole di Whitelist in Office 365 quando le simulazioni arrivano da altre IP (tramite Header)

Questo articolo descrive come creare le quattro regole di trasporto in Office 365 utilizzando un Header personalizzato, invece degli IP di SMARTFENSE. Utilizzare questo metodo quando le simulazioni arrivano alla vostra organizzazione da IP diversi da quelli di SMARTFENSE, tipicamente perché c'è un antispam intermedio o un'altra tecnologia che riscrive l'IP di origine.

Se le simulazioni arrivano con gli IP propri di SMARTFENSE, configurate la Whitelist per IP invece che per Header. Consultate l'articolo Microsoft - Come configurare le regole di Whitelist in Office 365 quando le simulazioni arrivano con gli IP di SMARTFENSE.

Limitazione di Office 365: ogni regola di Header supporta circa 100 caratteri. L'header predefinito di SMARTFENSE supera questo limite, quindi deve essere accorciato prima di configurare le regole.

Verificare se le simulazioni arrivano o meno con gli IP di SMARTFENSE

Prima di scegliere tra il metodo per IP e il metodo per Header, verificate con quale IP stanno arrivando le email.

1. Accedete al Centro di amministrazione di Exchange su https://admin.exchange.microsoft.com/#/.
2. Andate su Flusso di posta > Tracciamenti messaggi > Avvia un tracciamento.
3. Definite destinatario, mittente e intervallo di tempo.
4. Selezionate l'email nell'elenco.
5. Nella finestra laterale dei dettagli, cercate il campo Ulteriori informazioni in fondo e verificate l'IP di origine.
6. Confrontate quell'IP con quelli pubblicati nella vostra istanza di SMARTFENSE, in Configurazione > Sicurezza > Whitelist.

Se l'IP non corrisponde a nessuno di quelli di SMARTFENSE, proseguite con la configurazione tramite Header descritta in questo articolo.

Accorciare l'Header in SMARTFENSE

1. Accedete alla piattaforma SMARTFENSE.
2. Andate su Configurazione > Sicurezza > Whitelist.
3. Individuate la sezione Header delle email di Phishing e Ransomware.
4. Premete il pulsante Personalizza Header.
5. Incollate l'header in un editor di testo semplice (ad esempio Blocco note) ed eliminate caratteri dalla fine fino a lasciarlo in circa 100 caratteri.
6. Incollate l'header accorciato in SMARTFENSE.
7. Premete Salva.

Conservate l'header accorciato, poiché lo utilizzerete nelle quattro regole di Office 365.

Riepilogo delle regole da creare

Le quattro regole utilizzano esattamente la stessa condizione sull'header X-PHISHINGSIMULATION con il valore dell'header personalizzato di SMARTFENSE.

Accesso

1. Accedete al Centro di amministrazione di Exchange su https://admin.exchange.microsoft.com/#/.
2. Andate su Flusso di posta > Regole.
3. Premete (+) Aggiungi una regola > Crea una nuova regola.

Ripetete la procedura di creazione per ciascuna delle quattro regole elencate.

Regola 1 — Omettere Clutter e il filtraggio della posta indesiderata

1. Assegnate il nome Omettere Clutter e il filtraggio della posta indesiderata tramite Intestazione.
2. In Applica questa regola se…, selezionate Gli header del messaggio > includono una di queste parole.
3. In Inserisci testo, scrivete X-PHISHINGSIMULATION.
4. In Inserisci parole, incollate l'header personalizzato della piattaforma SMARTFENSE.
5. In Fai quanto segue…, selezionate Imposta il livello di fiducia della posta indesiderata (SCL) > Ometti il filtraggio della posta indesiderata (Bypass spam filtering).
6. Aggiungete una seconda azione: Modifica proprietà del messaggio > imposta un'intestazione del messaggio.
7. Configurate l'intestazione X-MS-Exchange-Organization-BypassClutter con valore true.
8. Premete Avanti, mantenete i valori predefiniti e premete Fine.

Regola 2 — Omettere la cartella della posta indesiderata

1. Assegnate il nome SMARTFENSE - Omettere il filtraggio della posta spazzatura.
2. Usate la stessa condizione di header.
3. Nell'azione, configurate l'intestazione X-Forefront-Antispam-Report con valore SFV:SKI;.
4. Premete Avanti e Fine.

Regole per omettere la protezione di Advanced Threat Protection

Vi consigliamo di attendere almeno due ore affinché le regole si propaghino a tutti i vostri utenti. Testate l'efficacia con un gruppo ridotto prima di lanciare campagne di massa.

Regola 3 — Omettere ATP Links

1. Assegnate il nome Omettere ATP Links.
2. Usate la stessa condizione di header.
3. Configurate l'intestazione X-MS-Exchange-Organization-SkipSafeLinksProcessing con valore 1.
4. Premete Avanti e Fine.

Regola 4 — Omettere ATP Attachments

1. Assegnate il nome Omettere ATP Attachments.
2. Usate la stessa condizione di header.
3. Configurate l'intestazione X-MS-Exchange-Organization-SkipSafeAttachmentProcessing con valore 1.
4. Premete Avanti e Fine.

Abilitare le regole e assegnare priorità

1. Nell'elenco delle regole, aprite ciascuna in Modifica impostazioni regola.
2. Selezionate l'opzione per abilitare la regola.
3. Assegnate le priorità 0, 1, 2 e 3 nell'ordine indicato nella tabella riepilogativa.
4. Selezionate Interrompi l'elaborazione di ulteriori regole solo nell'ultima regola (Omettere ATP Attachments).

💡 Best practice

• Accorciate l'header in SMARTFENSE prima di creare le regole in Office 365 per evitare errori silenziosi dovuti a eccesso di caratteri.
• Verificate sempre con un tracciamento messaggi se le simulazioni arrivano o meno con gli IP di SMARTFENSE prima di scegliere il metodo tramite Header.
• Attendete almeno due ore dopo aver creato le regole prima di testare le simulazioni.
• Lanciate una campagna di prova con un gruppo piccolo che includa voi come amministratore.
• Mantenete i valori predefiniti per il resto delle opzioni di ogni regola, salvo indicazione esplicita.
• Documentate l'header personalizzato configurato in SMARTFENSE per poterlo replicare in caso di rotazione.