Il filtraggio avanzato per connettori (EFC) migliora l’identificazione degli attacchi di spoofing, riducendo i falsi positivi. Scopriamo come funziona e quali sono i benefici per la sicurezza delle email.
Il Filtraggio Avanzato per Connettori (EFC) è una funzionalità di Microsoft che permette di migliorare la sicurezza delle email, mantenendo inalterate le informazioni originali dell’indirizzo IP e del mittente durante il passaggio attraverso vari servizi, prima di essere instradate a Exchange Online. Questo processo consente una più accurata identificazione dei tentativi di spoofing, ovvero di quegli attacchi informatici che cercano di ingannare il destinatario facendogli credere che il messaggio provenga da una fonte affidabile.
Recentemente, Microsoft ha annunciato un aggiornamento che permetterà di riconfigurare i messaggi con problemi di autenticazione e di ridurre i falsi positivi, ovvero la classificazione errata di email legittime come tentativi di spoofing.
Quando le email viaggiano attraverso diversi server, possono subire modifiche che, talvolta, possono compromettere il processo di autenticazione. In particolare, se un server precedente nella catena non supporta un protocollo chiamato Authenticated Received Chain (ARC), possono verificarsi fallimenti dell’autenticazione. Questi fallimenti possono verificarsi quando il DomainKeys Identified Mail (DKIM) è l’unica fonte di allineamento per il Domain-based Message Authentication Reporting & Conformance (DMARC). Con l’aggiornamento in arrivo, i messaggi che in precedenza non superavano i controlli di spoofing delle email avranno ora una autenticazione composita (compauth=none) invece di compauth=fail. Questo permetterà a Exchange Online Protection (EOP) di riconoscere il fallimento del DKIM dovuto alle modifiche. Questo cambiamento introdurrà nuovi codici compauth di 4xx e 9xx.
Dopo l’aggiornamento, ci si aspetta una diminuzione dei falsi positivi, con le email legittime che prima venivano erroneamente etichettate come spoofing che ora saranno correttamente identificate. Inoltre, l’accuratezza del sistema di filtraggio e dei modelli di apprendimento automatico sarà migliorata, portando a una migliore rilevazione e prevenzione dei tentativi di spoofing e phishing. Infine, l’uso di SPF (Sender Policy Framework), DKIM e DMARC sarà più efficace nel stabilire la reputazione dei domini di invio, contribuendo ulteriormente alla rilevazione di tentativi di impersonificazione e spoofing.
L’aggiornamento sarà implementato a partire da giugno 2024 e sarà completato entro la metà di luglio 2024. Sarà abilitato di default per tutti i tenant che utilizzano il Filtraggio Avanzato per Connettori, senza richiedere alcuna azione aggiuntiva da parte degli amministratori.
Se la tua organizzazione utilizza una regola di trasporto Exchange (ETR) per bypassare il filtraggio dello spam quando si utilizzano servizi di filtraggio di terze parti, potrebbe essere opportuno rimuovere l’ETR, sapendo che i messaggi che in precedenza non superavano i controlli DKIM dovrebbero essere consegnati correttamente nelle caselle di posta dopo l’implementazione di questo aggiornamento. Saranno identificate le firme DKIM che avrebbero superato i controlli se un servizio di terze parti fidato non avesse modificato le informazioni.
Infine, si raccomanda vivamente alle organizzazioni di adottare l’ARC ogni volta che è possibile, per preservare le dichiarazioni di autenticazione originali nei messaggi di posta elettronica.