Questo articolo descrive la configurazione del Connettore Cyber Guru in Exchange Online, basato sull'autenticazione tramite certificato TLS e circoscritto ai domini mittenti di simulazione.
Questa configurazione è la soluzione indicata dalla documentazione ufficiale Microsoft per evitare il throttling applicato da Exchange Online Protection alle email di simulazione phishing.
Perché è necessario il connettore
Le campagne di simulazione phishing comportano, per loro natura, l'invio di volumi elevati di email da un'infrastruttura esterna al tenant del cliente. Il motore anti-abuso di Microsoft Exchange Online Protection (EOP) rivaluta continuamente e in modo automatico la reputazione degli IP mittenti e può applicare un throttling reputazionale (rallentamento della consegna) ai mittenti non autenticati.
Quando questo accade, le email di simulazione non vengono rifiutate né bloccate sul tenant del cliente, ma differite a monte da Microsoft con il seguente codice di risposta:
451 4.7.500 Server busy. Please try again later from [85.235.135.191].
Caratteristiche importanti di questo fenomeno:
- È un rallentamento temporaneo (soft-defer), non un blocco definitivo né un inserimento in blacklist: i messaggi restano in coda e vengono ritentati.
- È cross-tenant: colpisce l'IP di invio verso tutti i destinatari Microsoft 365, quindi non c'è nulla da sbloccare sul tenant del cliente (le email non compaiono in quarantena né nei log del tenant).
- Le eventuali mitigazioni richieste a Microsoft (delisting) sono temporanee: la reputazione viene rivalutata automaticamente e il throttling può ripresentarsi.
Per questo specifico errore, la documentazione ufficiale Microsoft (Fix NDR error 451 4.7.500-699 (ASxxx) in Exchange Online) indica come rimedio, per l'amministratore del tenant ricevente, proprio la configurazione di un connettore.
Con il connettore, il server di invio Cyber Guru si autentica presso il tenant presentando il proprio certificato TLS: il traffico non è più considerato "anonimo" e il throttling — riservato ai mittenti non autenticati — non viene applicato. L'efficacia è immediata e non dipende da interventi o tempistiche di Microsoft.
Perché questa configurazione è anche più sicura
L'autenticazione tramite certificato TLS costituisce un irrigidimento dei controlli:
- Il perimetro è limitato: il connettore è circoscritto ai soli domini utilizzati per le simulazioni phishing.
- L'identificazione avviene tramite certificato TLS emesso da CA pubblica, con TLS obbligatorio: un criterio più forte e più verificabile della fiducia basata su indirizzo IP.
- Anti-spoofing: con la restrizione attiva, qualunque messaggio che dichiari uno dei domini di simulazione senza presentare il certificato Cyber Guru viene respinto dal tenant.
- Un solo certificato copre tutti i domini di simulazione e resta valido anche in caso di variazione dell'IP di invio: la configurazione va eseguita una volta sola.
- Si tratta di una singola configurazione, documentata, disattivabile in qualsiasi momento e completamente tracciata negli strumenti di amministrazione del tenant.
Prerequisiti
- Accesso alla Console Admin di Exchange con permessi di amministrazione
- Elenco dei domini mittenti Cyber Guru
- Nome di dominio del certificato TLS del server di invio Cyber Guru:
pmail.cyberguru.report
|
DOVE TROVARE L'ELENCO COMPLETO DEI DOMINI MITTENTI
|
Procedura dettagliata
1. Accedere alla Console Admin Microsoft
2. Procedere su "Flusso di posta > Connettori" e selezionare "+ Aggiungi un connettore"
3. Selezionare l'opzione "Organizzazione partner" e connessione a "Office 365", poi cliccare "Avanti"
4. Aggiungere il nome del connettore "Cyber Guru Connector", lasciare il checkbox "Abilita" spuntato e cliccare su "Avanti"
5. Selezionare "Verificando che il dominio del mittente corrisponda a uno dei domini seguenti" e inserire i domini mittenti Cyber Guru
Inserire tutti i domini mittenti (disponibili in piattaforma nella sezione "Aiuto > Support - Knowledge"), cliccando sul simbolo "+" dopo ciascun dominio, poi cliccare su "Avanti".
Nota: i domini devono essere inseriti esattamente come comunicati, senza wildcard o prefissi.
6. Attivare la verifica del certificato TLS
Nella schermata delle restrizioni di sicurezza:
- Lasciare attiva l'opzione "Rifiutare i messaggi di posta elettronica se non vengono inviati tramite TLS" (come di default)
- Selezionare l'opzione "E richiedere che il nome del soggetto nel certificato usato dal partner per l'autenticazione con Office 365 corrisponda a questo nome di dominio" e inserire:
pmail.cyberguru.report
7. Verificare il riepilogo e cliccare "Crea Connettore"
8. Verifica finale
Al termine della configurazione, richiedere l'invio di una email di test dalla piattaforma per verificare la corretta consegna. In caso di necessità, contattare il supporto Cyber Guru per una sessione congiunta di configurazione e test.
Note importanti
- Il connettore non sostituisce la Consegna Avanzata in Microsoft Defender, che resta la configurazione più importante dell'intero processo di whitelisting: 1. Consegna Avanzata (Microsoft Defender).
- Se è già presente il connettore Cyber Guru identificato tramite indirizzo IP, va aggiornato con la verifica del certificato descritta in questo articolo: l'identificazione tramite IP non esenta dal throttling.