Procedure consigliate per la configurazione di FOPE

  • Articolo

 

Si applica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Data ultima modifica dell'argomento: 2013-05-17

Secondo i clienti Microsoft, le informazioni fornite di seguito sul servizio Forefront Online Protection for Exchange (FOPE) sono utili per sfruttare al meglio il servizio e garantirne il funzionamento efficiente e privo di problemi. Per informazioni relative alla modalità di configurazione delle opzioni descritte in questo argomento, vedere il video relativo alle Procedure consigliate per la configurazione di Forefront Online Protection for Exchange (disponibile solo in inglese).

Strumento di sincronizzazione della directory

Lo Strumento di sincronizzazione della directory gratuito consente di sincronizzare in modo sicuro e automatico gli indirizzi proxy validi degli utenti finali e i corrispondenti mittenti attendibili, se disponibili, tra il servizio Active Directory locale e i servizi FOPE ed Exchange Hosted Archive. Lo Strumento di sincronizzazione della directory è disponibile all'indirizzo https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en (in lingua inglese).

Dopo il download dello Strumento di sincronizzazione della directory, sarà possibile caricare un elenco di utenti e i relativi indirizzi di posta elettronica tramite tale strumenti nella rete di Hosted Services. Sarà quindi possibile utilizzare l'elenco di utenti caricato per il blocco Edge basato su directory, impostando tale blocco del dominio sulla modalità Rifiuto, per l'accesso alla quarantena o per i servizi di archivio.

Se una società non dispone di un ambiente Active Directory di Microsoft Windows, è possibile impostare l'origine dell'elenco utenti su Administration Center o FTP sicuro (opzioni alternative per caricare gli elenchi utenti).

Per ulteriori informazioni quali una panoramica concettuale, istruzioni sull'installazione e informazioni di supporto sullo Strumento di sincronizzazione della directory di FOPE, vedere Strumento di sincronizzazione della directory.

Impostazioni del record SPF

SPF consente di impedire l'utilizzo non autorizzato di un nome di dominio durante l'invio di comunicazioni tramite posta elettronica, una tecnica nota anche come spoofing, rendendo disponibile un meccanismo per la convalida degli host che inviano i messaggi. Per configurare le impostazioni del record SPF, utilizzare i suggerimenti seguenti come guida:

  1. Per i domini che inviano la posta in uscita attraverso la rete di filtraggio, è possibile includere "spf.messaging.microsoft.com" nel record SPF insieme agli indirizzi IP del server della posta in uscita. SPF consente di impedire l'utilizzo non autorizzato di un nome di dominio durante l'invio di comunicazioni tramite posta elettronica, una tecnica nota anche come spoofing, rendendo disponibile un meccanismo per la convalida degli host che inviano i messaggi.

    Importante

    Queste istruzioni sono valide solo per i domini che inviano messaggi di posta elettronica in uscita tramite la rete di filtri.

  2. Poiché SPF viene utilizzato per convalidare l'autorizzazione di un determinato indirizzo IP all'invio di posta per uno specifico dominio, sarà necessario includere gli indirizzi IP in uscita per la rete di filtri anche nel record SPF. Il metodo più semplice per aggiungere l'intero set di indirizzi IP consiste nell'utilizzare l'istruzione "include: spf.messaging.microsoft.com" nel record SPF.

  3. Inoltre, è possibile elencare tutti gli indirizzi IP del server della posta in uscita. Tali indirizzi sono richiesti per assicurare il recapito della posta ad altri client di FOPE. Ogni indirizzo IP deve essere aggiunto con un'istruzione . Ad esempio, per includere "127.0.0.1" come IP accettato per l'invio di messaggi in uscita, aggiungere "ip4:127.0.0.1" al record SPF. Se si conoscono tutti gli IP autorizzati, aggiungerli utilizzando il qualificatore -all (Fail). Se non si è sicuri di disporre dell'elenco completo di indirizzi IP, è opportuno utilizzare il qualificatore ~all (SoftFail).

    Ad esempio:

    Contoso.com ha tre server della posta in uscita:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    Il record SPF originale di Contoso ha un formato analogo al seguente:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Dopo l'instradamento della posta tramite FOPE, il record SPF di Contoso ha un formato analogo al seguente:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

Impostazioni della connessione di rete

I suggerimenti riportati di seguito consentono un trasferimento di dati continuo e privo di problemi al servizio Hosted Filtering.

  • Configurare le impostazioni nel server SMTP con un timeout di connessione di 60 secondi.

  • Dopo aver impostato le regole del firewall in modo da consentire connessioni SMTP in ingresso solo dagli indirizzi IP utilizzati dal servizio Hosted Filtering, si consiglia di configurare il server SMTP in modo che accetti il numero più elevato possibile di connessioni in ingresso simultanee dal servizio.

  • Se il server invia messaggi di posta in uscita tramite il servizio Hosted Filtering, si consiglia inoltre di configurarlo in modo che non possa inviare più di 50 messaggi per connessione e che utilizzi meno di 50 connessioni simultanee. In circostanze normali, queste impostazioni consentono un trasferimento di dati continuo e privo di problemi tra il server e il servizio.

Protezione

restrizioni IP

L'accesso ai servizi sottoscritti può essere limitato agli utenti che si connettono ai siti Web da indirizzi IP specificati. Con questa configurazione potrebbe non essere consentito l'accesso da altri indirizzi IP, il che riduce le probabilità di accessi non autorizzati. Le impostazioni per le restrizioni IP sono disponibili a livello di società, di dominio e di utente.

criteri password

È necessario utilizzare password complesse sempre e per tutti gli account, in particolare gli account amministratore. Le seguenti linee guida possono aiutare a creare password complesse:

  • Devono includere lettere maiuscole e minuscole, numeri e caratteri speciali (?, !, @, $)

  • Le password devono essere impostate con una scadenza frequente, ad esempio ogni 3, 4 o 6 mesi.

Opzioni ASF (Filtro posta indesiderata aggiuntivo)

Sono disponibili anche opzioni ASF (Filtro posta indesiderata aggiuntivo). Per impostazione predefinita, è consigliabile disattivare tutte le opzioni ASF, con eventualmente le seguenti eccezioni:

  • Collegamenti immagini a siti remoti—Questa impostazione è consigliata per gli utenti che ricevono molti messaggi di marketing, pubblicità e newsletter i cui contenuti hanno delle caratteristiche simili a quelle della posta indesiderata.

  • Record SPF non riuscito—Questa impostazione è consigliata per le organizzazioni che temono i messaggi di phishing.

  • Autenticazione indirizzo Da—L'attivazione di questa impostazione è consigliata per le organizzazioni che temono il phishing, soprattutto nel caso i loro utenti siano oggetto di spoofing. Tuttavia, generalmente è consigliabile che gli utenti attivino questa opzione in caso di effettiva necessità e non la tengano attivata per impostazione predefinita.

Per ulteriori informazioni su queste e altre opzioni ASF, vedere Configurazione delle opzioni ASF (Additional Spam Filtering).

Suggerimento

Valutare la possibilità di abilitare queste opzioni in modalità Test per individuare ulteriori opzioni necessarie al fine di ottimizzare il blocco della posta indesiderata in base al proprio ambiente. Agli utenti con un'alta percentuale di posta indesiderata si consiglia di provare queste opzioni prima di implementarle nell'ambiente di produzione.

È opportuno che i clienti inviino la posta indesiderata che arriva al proprio desktop al team della posta indesiderata del servizio Hosted Filtering, all'indirizzo abuse@messaging.microsoft.com, per l'analisi.

È inoltre possibile consentire agli utenti finali di installare lo Strumento per la segnalazione della posta indesiderata. Da utilizzare con Microsoft® Office Outlook®, lo Strumento per la segnalazione della posta indesiderata consente all'utente finale di inviare rapidamente i messaggi indesiderati all'indirizzo abuse@messaging.microsoft.com affinché siano analizzati, allo scopo di migliorare l'efficacia del filtro della posta indesiderata.

Lo Strumento per la segnalazione della posta indesiderata è disponibile per il download al seguente indirizzo: https://go.microsoft.com/fwlink/?LinkID=147248

È inoltre possibile configurare il dominio in modo che venga visualizzato il collegamento per il download dello Strumento per la segnalazione della posta indesiderata agli utenti finali quando accedono al sito Web Quarantena.

Per ulteriori informazioni sullo Strumento per la segnalazione della posta indesiderata, vedere Componente aggiuntivo Rapporto posta indesiderata per Microsoft Office Outlook.

Invio di falsi positivi

La grande maggioranza dei messaggi inviati come falsi positivi è in effetti costituita da messaggi di posta indesiderata accuratamente filtrati, ma comunque desiderati dai destinatari.

Per ottenere informazioni relative al tipo e al numero di messaggi riportati al servizio Hosted Filtering come falsi positivi, gli amministratori dovrebbero configurare la funzionalità Ricezione falsi positivi in copia del filtro posta indesiderata in modo che fornisca loro una copia dei messaggi per l'analisi.

Importante

Prima di inviare una ricezione di falso positivo, gli utenti finali devono accedere al sito Web Quarantena per visualizzare il messaggio oppure recuperare il messaggio per visualizzarlo e quindi inoltrarlo all'indirizzo false_positive@messaging.microsoft.com.

I messaggi falso positivo devono essere inviati inoltrando l'intero messaggio e tutte le intestazioni Internet alla cassetta postale false_positive.

Filtri criteri

Regole criteri

Oltre ai filtri antivirus e di protezione da posta indesiderata, le regole criteri dell'interfaccia di amministrazione di FOPE consentono di applicare criteri specifici della società configurando regole di filtro personalizzabili. È possibile creare un set specifico di regole da utilizzare per identificare i messaggi e gestirli in modo specifico mentre vengono elaborati dal servizio Hosted Filtering. Ad esempio, è possibile creare una regola criteri che rifiuti qualsiasi messaggio di posta elettronica in ingresso con una determinata parola o frase nel campo Oggetto. Inoltre, i filtri regole criteri consentono di aggiungere e gestire elenchi di valori di grandi dimensioni, quali indirizzi di posta elettronica, domini e parole chiave, per più regole criteri caricando un file (Dizionario).

È possibile configurare le regole criteri per diversi criteri di corrispondenza per la posta elettronica:

  • Nomi e valori dei campi di intestazione

  • Indirizzi IP, domini e indirizzi di posta elettronica

  • Indirizzi di posta elettronica e domini dei destinatari

  • Nomi ed estensioni file degli allegati

  • Oggetto, corpo e altre proprietà dei messaggi di posta elettronica (dimensione, numero di destinatari)

Per ulteriori informazioni sulle regole criteri, vedere Regole criteri.

prevenzione di phishing e spoofing

Il filtro criteri può essere utilizzato per agevolare la difesa delle reti aziendali dagli attacchi effettuati tramite posta elettronica e per proteggere le informazioni riservate degli utenti finali.

È possibile ottenere un'ulteriore protezione anti-phishing tramite il rilevamento di informazioni personali nei messaggi di posta elettronica inviati dall'organizzazione. Ad esempio, è possibile utilizzare le seguenti espressioni regolari per rilevare la trasmissione di informazioni o dati finanziari personali che potrebbero compromettere la privacy:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (qualsiasi numero a 16 cifre)

  • \d\d\d\-\d\d\-\d\d\d\d (Numero Previdenza Sociale statunitense)

È possibile prevenire posta indesiderata e phishing bloccando i messaggi di posta elettronica in ingresso che sembrano essere stati inviati dal proprio dominio. Creare una regola di rifiuto per i messaggi provenienti dal dominio della propria società inviati al dominio della stessa società dominio.com per bloccare questo tipo di contraffazione del mittente.

Importante

Creare questa regola solo nel caso in cui si abbia la certezza che nessun messaggio di posta elettronica legittimo proveniente dal proprio dominio viene inviato da Internet al proprio server di posta.

blocco delle estensioni

Il filtro criteri può essere utilizzato in diversi modi per difendere le reti aziendali dagli attacchi effettuati tramite posta elettronica e per proteggere le informazioni riservate degli utenti finali.

La prevenzione dei rischi tramite il blocco delle estensioni dei file deve bloccare almeno i file con le seguenti estensioni: EXE, PIF, SCR, VBS

Per una maggiore protezione, si consiglia di bloccare tutte o alcune delle seguenti estensioni: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

Vedere anche

Concetti

Primo accesso all'interfaccia di amministrazione di FOPE

Altre risorse

Video - Procedure consigliate per la configurazione di Forefront Online Protection for Exchange