Ottimizzare la protezione anti-phishing

Anche se Microsoft 365 include un'ampia gamma di funzionalità anti-phishing abilitate per impostazione predefinita, è possibile che alcuni messaggi di phishing possano ancora passare alle cassette postali dell'organizzazione. Questo articolo descrive cosa è possibile fare per scoprire perché è stato inviato un messaggio di phishing e cosa è possibile fare per modificare le impostazioni anti-phishing nell'organizzazione di Microsoft 365 senza peggiorare accidentalmente le cose.

Prima di tutto: gestire gli account compromessi e assicurarsi di bloccare l'esecuzione di altri messaggi di phishing

Se l'account di un destinatario è stato compromesso a causa del messaggio di phishing, seguire la procedura descritta in Risposta a un account di posta elettronica compromesso in Microsoft 365.

Se la sottoscrizione include Microsoft Defender per Office 365, è possibile usare Office 365 Threat Intelligence per identificare altri utenti che hanno ricevuto anche il messaggio di phishing. Sono disponibili opzioni aggiuntive per bloccare i messaggi di phishing:

Verificare che questi criteri funzionino. La protezione dei collegamenti sicuri e degli allegati sicuri è attivata per impostazione predefinita, grazie alla protezione predefinita nei criteri di sicurezza predefiniti. Anti-phishing ha un criterio predefinito che si applica a tutti i destinatari in cui la protezione anti-spoofing è attivata per impostazione predefinita. La protezione della rappresentazione non è attivata nei criteri e pertanto deve essere configurata. Per istruzioni, vedere Configurare i criteri anti-phishing in Microsoft Defender per Office 365.

Segnalare il messaggio di phishing a Microsoft

La segnalazione di messaggi di phishing è utile per ottimizzare i filtri usati per proteggere tutti i clienti in Microsoft 365. Per istruzioni, vedere La pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft.

Esaminare le intestazioni dei messaggi

È possibile esaminare le intestazioni del messaggio di phishing per verificare se c'è qualcosa che si può fare da soli per evitare che vengano inviati altri messaggi di phishing. In altre parole, l'esame delle intestazioni dei messaggi consente di identificare tutte le impostazioni nell'organizzazione responsabili dell'abilitazione dei messaggi di phishing.

In particolare, è consigliabile controllare il campo intestazione X-Forefront-Antispam-Report nelle intestazioni del messaggio per individuare le indicazioni di filtro ignorato per la posta indesiderata o il phishing nel valore Del verdetto filtro posta indesiderata (SFV). I messaggi che ignorano il filtro hanno una voce di SCL:-1, il che significa che una delle impostazioni ha consentito il passaggio di questo messaggio eseguendo l'override dei verdetti di posta indesiderata o phishing determinati dal servizio. Per altre informazioni su come ottenere le intestazioni dei messaggi e l'elenco completo di tutte le intestazioni dei messaggi anti-posta indesiderata e anti-phishing disponibili, vedere Intestazioni dei messaggi di protezione dalla posta indesiderata in Microsoft 365.

Consiglio

È possibile copiare e incollare il contenuto dell’intestazione di un messaggio nello strumento Analizzatore intestazione messaggio. Questo strumento consente di analizzare le intestazioni e di inserirle in un formato più leggibile.

È anche possibile usare l'analizzatore di configurazione per confrontare i criteri di sicurezza EOP e Defender per Office 365 con le raccomandazioni Standard e Strict.

Procedure consigliate per la protezione