Configurazione EOP e ATP Exchange online

1.1     Principi FONDAMENTALI e INALIENABILI

·        il sistema NON deve cancellare, rifiutare, o perdere mail (in trasporto) senza darne evidenza all'utente finale (mittente e/o destinatario), con la sola eccezione delle email riconosciute malware per le quali è possibile la cancellazione silente senza notifiche
·        il sistema deve consegnare le email agli utenti nel modo più sicuro possibile integrandosi e sfruttando i meccanismi di protezione degli ambienti client (tipicamente Outlook); in particolare il sistema deve proteggere gli utenti, anche quelli non competenti sulla materia, dall'apertura o dalla gestione/esecuzione automatica di contenuti di email considerate pericolose (es: junk)
·        il sistema dovrebbe consentire una personalizzazione delle regole anti-spam (tipicamente sender o content filter) da parte di ogni utente senza intervento dei sysadmin
·        il sistema non deve coinvolgere i sysadmin per la normale operatività (invio/ricezione/gestione/... email)

1.2      Criteri generali

Applicazioni e servizi interni o esterni che generano email in nome e per conto dei domini del cliente devono essere opportunamente autorizzati e a farlo e le email mandate non devono essere soggette ai check anti-spam.
Ad esempio: SAP, applicativi interni che generano ordini, transazioni, comunicazioni, ..

1.3     Impostazioni

·        Aggiungere domini al tenant e verificarli
o   Dopo averli verificati, rimuovere il record DNS TXT "MS=nnnnnnn"
o   Crea gli accepted domain
o   Per abilitare la recipient validation, modificarli in "Authoritative"
·        Attenzione che siano sincronizzati tutti gli oggetti che devono ricevere mail (user mailbox, linked mailbox, mail user, contatti, risorse, gruppi e public folder)
·        Exchange Hybrid
o   Configurare il flusso SMTP simmetrico (invio da OnPrem attaverso EOP se gli MX online, o viceversa)
·        Il secondo caso (invio da Exchange Online attraverso OnPrem di tutte le mail) è chiamato Centralized Mail Transport
·        È preferibile l’utilizzo di EOP, utilizzare Centralized Mail Transport per compliance (applicazione firme, journaling..)
o   Nel record SPF, oltre all'include:spf.protection.outlook.com aggiungere l'IP del/i server Exchange che inviano ad EOP
·        https://technet.microsoft.com/en-us/library/dn789058%28v=exchg.150%29.aspx
Es: "v=spf1 ip4:123.123.123.123 include:spf.protection.outlook.com ~all"
·        Configurazioni EOP
o   Malware protection:
·        Azione: cancellare i messaggi
·        No notifiche
o   Connection filter
·        Inserire eventuali IP in allow o block
·        Abilitare "Enable safe list"
o   Spam filter:
·        Creare una nuova spam filter policy applicata ai domini di destinazione (<OrganizationName>-Default)
·        Azioni:
§  Spam: Move to junk
§  High confidence spam: Move to junk
§  Per consentire il recapito nella Junk delle mailbox OnPrem, creare due transport rule su Exchange OnPrem
·        https://technet.microsoft.com/en-us/library/jj837173%28v=exchg.150%29.aspx
·        https://technet.microsoft.com/en-us/library/dn205071(v=exchg.150).aspx (List Header)
·        New-TransportRule "Move-to-junk-SPM" -HeaderContainsMessageHeader "X-Forefront-Antispam-Report" -HeaderContainsWords "SFV:SPM" -SetSCL 6
·        New-TransportRule "Move-to-junk-SKS" -HeaderContainsMessageHeader "X-Forefront-Antispam-Report" -HeaderContainsWords "SFV:SKS" -SetSCL 6
·        Il valore del SetSCL deve essere maggiore del SclJunkThreshold a livello organizzativo
·        Get-OrganizationConfig | fl SclJunkThreshold
·        Bulk email: Mark con threshold 7
·        Quarantine: lasciare il default (NON abilitata)
·        Abilitare "SPF record: hard fail"
·        Filtrare per recipient domain i domini a cui applicare la policy
o   Per assicurare un maggior controllo è possibile aggiungere due regole che riusciranno insieme a filtrare molte delle mail contenenti il classico cab (che a sua volta contiene il file SCR o il documento di Word), ma anche file exe, dos, com e tutta quella serie di estensioni conosciute che è sempre meglio rifiutare alla sorgente.
New-TransportRule -Name 'Exchange Online Block Standard Executables' -Priority
 '0' -Enabled $true -AttachmentHasExecutableContent $True -RejectMessageReasonText
 'Forbidden attachments' -RejectMessageEnhancedStatusCode '5.7.1' 
-StopRuleProcessing $true -SetAuditSeverity Low -SenderAddressLocation 
HeaderOrEnvelope

New-TransportRule -Name 'Exchange Online Block Custom Executables' -Priority '1' 
-Enabled $true -AttachmentNameMatchesPatterns '.cab','.scr' -RejectMessageReasonText 
'Forbidden attachments' -RejectMessageEnhancedStatusCode '5.7.1' -StopRuleProcessing 
$true -SetAuditSeverity Low -SenderAddressLocation HeaderOrEnvelope
La prima regola lavora sugli elementi eseguibili di Microsoft, mentre la seconda blocca specifiche estensioni.
  • Modificare MX verso EOP
  • Se licenziato, configurare Advanced Threat Protection (Safe Attachements & Safe Links)
    • Safe Attachments: creare una policy “<Organizzazione> - Replace Safe Attachments”
      • Azione:
        • Se i recipient sono OnPrem o Hybrid – Replace
        • Se i recipient sono tutti OnLine – Dynamic Delivery
      • Abilitare il Redirect
        • Creare una shared mailbox ATP su cui reindirizzare i messaggi
        • Creare una regola/retention policy che cancella i messaggi più vecchi di 90 giorni
        • Lasciare abilitato il redirect in caso di time out o errori
      • Applicare la policy per gruppo/dominio, dipende dalle licenze assegnate
        • Se tutti hanno la licenza Office 365 E5 o ATP specifica, applicare per dominio
        • Se solo parte degli utenti ha licenza Office 365 E5 o ATP, ci sono due opzioni:
          • Applicare per gruppo
          • Applicare per dominio ed eseguire delle esclusioni per gruppo
    • Safe Links
      • Lasciare i default sulla policy che si applica all’intera organizzazione
      • Creare una nuova policy “<Organizzazione> - Safe Links for email”
        • Abilitare il rewrite degli URL
        • Abilitare la scansione all’interno dei documenti
        • Non tracciare i click degli utenti
        • Non consentire di clickare sull’URL originale
        • Applicare la policy per gruppo/dominio, dipende dalle licenze assegnate
          • Se tutti hanno la licenza Office 365 E5 o ATP specifica, applicare per dominio
          • Se solo parte degli utenti ha licenza Office 365 E5 o ATP, ci sono due opzioni:
            • Applicare per gruppo
            • Applicare per dominio ed eseguire delle esclusioni per gruppo

Best practices for configuring EOP Microsoft

Mail flow best practices for Exchange Online and Office 365 (overview)

Commenti

Posta un commento

Post popolari in questo blog

Come e quando smantellare i server Exchange in una distribuzione ibrida

Immagine
Articolo tratto da technet di microsoft . Una delle opzioni più interessanti per ottenere una società a Exchange Online è quello di utilizzare l'approccio distribuzione ibrida descritto nel  Piano di una distribuzione ibrida di Exchange Online in Office 365  . Questa è l'unica opzione che permette di facilmente a bordo e caselle di posta off-board (tutte le altre opzioni native sono sul bordo). Oltre alla capacità di off-board, una configurazione ibrida ha le seguenti opzioni principali: Questo argomento vi aiuterà a capire le opzioni per lo smantellamento di cambio ibrido, e quando ognuno di queste opzioni dovrebbe essere attuato. Ci sono molte variazioni a quando e come disattivare i server ibridi di Exchange. Prendendo il tempo di comprendere le implicazioni e pianificare correttamente la disattivazione totale o parziale dei server locali è importante. Disponibilità tra sedi  . Questo ti permette di vedere / informazioni sulla di...
Continua a leggere

Manage Room Mailbox by using PowerShell

In the current article, we will review how to use PowerShell commands for managing Room mailbox in Exchange Online environment. Resource Mailbox is a special type or a Mailbox that uses for the management of meeting Rooms and Equipment. The Resource Mailbox doesn’t require a license. Management of Resource Mailbox could be implemented by using one of the following options: Self-management – the Resource Mailbox will be configured for automation of accepting meeting requests (or decline meeting request if a former meeting request was already set). Resource Mailbox delegate – The delegate is the person that will accept the meeting requests and approve or decline the meeting requests. The term “resource Mailbox” includes two types of Mailboxes – Room Mailbox and Equipment Mailbox. There is a small difference between the two types of the resource mailbox but the use, and the purpose are quite similar (most of the examples will relate to room Mailbox). A Little confession: ...
Continua a leggere

SMTP Relay in Office 365 environment

Immagine
 After the migration to Office 365 (Exchange Online), users complain that they stop to get a mail message from a Fax device located within the organization Office. You start to investigate this issue and re-check the Fax device settings. Everything looks O.K and still, email messages that send by the Fax device don’t reach their destination. mmmm …., what happened? The little thing that we forgot is that, until now, mail-enabled Devices\Application was configured to connect the on-premises Exchange server. Before we can restore the ability of this Mail enabled Devices\Application to send mail to organization recipients (that located in the cloud), we will need to face a number of “obstacles.” Fear not, there is a solution! The current article is the third article on the article series that deal with the requirement of sending mail via the Office 365 mail services. In the former article, we have described a scenario in which we address the Office 365 mail services ...
Continua a leggere