Durante un recente Proof of Concept (PoC), abbiamo identificato una vulnerabilità significativa che potrebbe esporre le aziende a rischi di sicurezza nella gestione della posta elettronica con Office 365. Questo problema riguarda la configurazione dei connettori di posta e può permettere a un attaccante di bypassare completamente i controlli antispam, consegnando le email direttamente nella posta in arrivo dei destinatari.
Il contesto
Quando un’azienda utilizza un sistema antispam esterno a monte di Office 365, è fondamentale configurare correttamente i connettori di posta su Office 365. Questi connettori devono essere impostati per accettare le email solo dal server antispam designato. Questo passaggio è cruciale per garantire che tutte le email in arrivo siano filtrate, analizzate e verificate prima di raggiungere la casella di posta dell’utente finale.
Il problema
Se questi connettori non sono configurati correttamente, un potenziale attaccante può sfruttare la situazione. Modificando manualmente i propri DNS, l’attaccante può far puntare direttamente le sue email all’MX di Office 365, bypassando completamente il sistema antispam dell’azienda. In questo scenario, le email inviate dall’attaccante non vengono sottoposte ad alcun controllo antispam o di sicurezza e finiscono direttamente nella posta in arrivo del destinatario.
Ma c’è di più: oltre al fatto che l’email bypassa l’antispam, c’è un ulteriore rischio legato al meccanismo “Honor DMARC“. Quando l’MX punta direttamente a Office 365 e il filtro avanzato per connettori non è configurato, il protocollo DMARC (Domain-based Message Authentication, Reporting & Conformance), che serve a verificare l’autenticità del mittente e a prevenire lo spoofing, non viene applicato. Questo significa che le email ricevute da Office 365 non vengono nemmeno analizzate sotto questo profilo di sicurezza, rendendo ancora più facile per un attaccante inviare email fraudolente che sembrano provenire da fonti legittime.
Questa situazione rappresenta un rischio elevato, poiché consente a qualsiasi email di raggiungere l’utente finale senza essere filtrata. Inclusi i tentativi di phishing, spam e potenziali malware
L’importanza della configurazione dei connettori
Microsoft stessa ha riconosciuto l’importanza di una corretta configurazione dei connettori in Office 365. Senza questa configurazione, il meccanismo di sicurezza “Honor DMARC” (che protegge dalle email contraffatte) potrebbe non essere applicato correttamente, soprattutto se il flusso della posta è influenzato da un routing complesso.
Quando i connettori sono configurati correttamente, Office 365 accetta la posta solo dal server antispam designato. Questo garantisce che tutte le email vengano analizzate prima di essere consegnate, riducendo significativamente il rischio di attacchi.
Come proteggersi
Per evitare che la tua azienda sia esposta a questa vulnerabilità, è essenziale:
- Verificare la configurazione dei connettori: Assicurati che Office 365 sia configurato per accettare email solo dal server antispam dell’azienda.
- Controllare i record MX: Anche se il record MX punta al server antispam, è fondamentale verificare che i connettori impediscano l’accettazione della posta direttamente da altre fonti.
- Monitorare regolarmente: Effettua controlli periodici sulla configurazione di Office 365 e sul flusso di posta per garantire che tutto funzioni come previsto.
La sicurezza della posta elettronica è fondamentale per proteggere la tua azienda dalle minacce. Una configurazione errata dei connettori di Office 365 può esporre la tua casella di posta ad attacchi evitabili.
Prenditi il tempo necessario per verificare e correggere queste impostazioni, e assicurati che le tue email siano sempre al sicuro.