Vai al contenuto principale

1️⃣ Configurare Microsoft 365

Questo articolo ha lo scopo di aiutarti a configurare Microsoft 365 per autorizzare le tue campagne di phishing.

Aggiornato questa settimana

Riot invia e-mail di phishing. Di fatto, senza una configurazione adeguata, alcune di queste e-mail non supererebbero il filtro antispam di Microsoft. Ciò sarebbe un peccato perché comprometterebbe le statistiche delle tue campagne.

La seguente guida spiega come evitare questo fenomeno, per consentire alle tue campagne di svolgersi senza problemi.

Lo sapevi? A differenza di Riot, gli hacker non avrebbero problemi ad aggirare il tuo filtro antispam, sfruttando server di posta elettronica legittimi, cosa che Riot non può permettersi di fare.

❶ Aggiungere l'IP alla lista di autorizzazione del filtro di connessione

Il filtro di connessione opera a livello di connessione SMTP, prima che venga valutato il contenuto del messaggio. Aggiungendo qui gli indirizzi IP di Riot, si indica a Exchange Online Protection (EOP) di accettare la connessione e di inoltrare il messaggio alla pipeline di filtraggio dei contenuti, dove il resto della configurazione (regole di trasporto, consegna avanzata, ecc.) potrà svolgere la propria funzione.

La lista di autorizzazione IP del filtro di connessione rappresenta un bypass globale: indica a EOP di accettare tutte le e-mail provenienti da questo IP, indipendentemente dal loro contenuto. Questa preoccupazione in termini di sicurezza è legittima. Tuttavia:

  • L’IP 159.135.234.25 è il nostro IP dedicato alle simulazioni; viene utilizzato esclusivamente da Riot.

  • Advanced Delivery continua ad applicare controlli a livello di contenuto per i messaggi corrispondenti.

  • Senza il filtro di connessione, la simulazione semplicemente non funziona per i clienti Microsoft 365 che dispongono di impostazioni di filtro o limitazione particolarmente restrittive.

  1. Accedere a Microsoft Defender

  2. Navigare su Email & collaboration → Policies & rules → Threat policies

  3. Nella sezione “Policies”, cliccare su Anti-spam

  4. Cliccare su Connection filter policy (Default)

  5. Cliccare su Edit connection filter policy

  6. Nella sezione IP Allow list, cliccare sul pulsante di aggiunta e inserire: 159.135.234.25


  7. ⚠️ Premere INVIO ⚠️ L’IP deve apparire con uno sfondo grigio; in caso contrario, non verrà salvato.

  8. Lasciare disattivata l’opzione “Turn on safe list”

  9. Cliccare su Save

Aprire nuovamente la Connection filter policy (Default): dovreste vedere il nostro IP.

❷ Creare una regola di bypass

Per consentire il funzionamento di Riot, dovrai aggiungere l'indirizzo IP che utilizziamo per inviare le nostre e-mail. Vai alle impostazioni di Microsoft Exchange e apri Flusso di posta > Regole.

Ora clicca su + Aggiungi una regola > Crea una nuova regola.

L'indirizzo IP che utilizzeremo per inviare le nostre e-mail è 159.135.234.25. Questo indirizzo IP è dedicato a Riot e non verrà utilizzato da terzi.

Per prima cosa, inizia assegnando un nome alla regola: il nome non ha molta importanza, chiamala ad esempio “Riot bypass”.

Quindi, dovrai applicare questa regola all'indirizzo IP riservato 159.135.234.25. Per farlo, nell'elenco Applica questa regola se..., seleziona Il mittente....

E poi l'indirizzo IP rientra in uno di questi intervalli o corrisponde esattamente.

Aggiungi l'indirizzo IP 159.135.234.25 e salva.

Successivamente

Dovresti avere regole come queste:

❸ Aggiungi l'intestazione SkipSafeLinksProcessing

Di tanto in tanto, alcuni link inviati da Riot potrebbero essere contrassegnati come sospetti. Per questo motivo ti consigliamo di aggiungere un'intestazione aggiuntiva per evitare che ciò accada.

Per farlo, aggiungi una regola come quella precedente, quindi:

Seleziona Modifica le proprietà del messaggio... e imposta un'intestazione del messaggio.

Quindi, sulla destra, chiama la proprietà X-MS-Exchange-Organization-SkipSafeLinksProcessing.

Imposta il valore su 1.

Ora è tutto pronto, quindi non dimenticare di salvare la regola.

Dovresti avere una regola simile a questa:

❹ Aggiungi l'intestazione BypassClutter

Alcune organizzazioni offrono ai propri dipendenti la possibilità di utilizzare una “cartella Clutter” nelle versioni più recenti di Outlook ed Exchange.

Aggiungi un'altra regola simile alla precedente con:

  • proprietà: X-MS-Exchange-Organization-BypassClutter

  • valore: 1

❺ Attiva la funzione di simulazione di phishing

Microsoft ha recentemente rilasciato un'impostazione aggiuntiva che rende molto facile inserire le e-mail di Riot nella whitelist. Vai alle opzioni di consegna avanzate e clicca su Modifica.

Si aprirà un pannello laterale. Qui dovrai inserire sia il nome di dominio noreply.link che utilizziamo per inviare e-mail di phishing sia l'indirizzo IP 159.135.234.25. Infine, aggiungi i domini che ospitano le nostre pagine di phishing.

Questi domini sono stati generati per te dalla piattaforma e devono essere utilizzati al posto dei segnaposto domain1.com, domain2.com...

Una volta aggiunto, clicca su Salva

❻ Modifica l'elenco dei blocchi/autorizzazioni

Per consentire completamente le e-mail inviate dal nostro IP di invio, dobbiamo aggiungere un ultimo parametro. Per farlo, vai a questa pagina e clicca su Aggiungi.

Si aprirà un pannello laterale. È necessario inserire le seguenti informazioni *, 159.135.234.25 Ciò consente di autorizzare tutti i mittenti provenienti dall'IP di invio di Riot.

Una volta aggiunto, clicca su Aggiungi e il gioco è fatto!

❼ Aggiungi l'URL della pagina di phishing di Riot a Safe Links

Per evitare che Microsoft Defender blocchi i nostri URL di phishing di Riot, dobbiamo aggiungere una configurazione in Safe Links, andare su questa pagina e cliccare su Crea.

Se la pagina è vuota, probabilmente non hai Microsoft Defender e puoi saltare questo passaggio.

Una volta cliccato, si aprirà una pagina in cui dovrai scegliere un nome per la tua politica sui link sicuri, ad esempio “Politica sui link sicuri di Riot”.

Aggiungi il pubblico a cui desideri inviare le e-mail di phishing nella sezione successiva. Può trattarsi di utenti, gruppi o domini.

Quindi, dedica qualche minuto a seguire attentamente le impostazioni riportate nell'immagine sottostante 👇

Clicca su “Gestisci URL” e aggiungi i domini nell'immagine sottostante 👇

Questi domini sono stati generati per te dalla piattaforma e devono essere utilizzati al posto dei segnaposto domain1.com, domain2.com...

Quindi clicca su “Avanti” e seleziona l'impostazione predefinita per le notifiche.

Quindi clicca su “Avanti” e “Fine”.

❽ Testalo

Ora che hai configurato Microsoft Outlook per ricevere le e-mail di Riot, torna alla piattaforma e prova la configurazione.

Nota: la configurazione potrebbe richiedere alcuni minuti per essere propagata. Se tutto è configurato correttamente e riscontri un problema, attendi 10 minuti e riprova.

Articoli correlati
2️⃣ Configura Google Workspace
Come implementare il phishing reporter Riot sul pulsante nativo di Outlook
4️⃣ Riot in Barracuda
3️⃣ Configurare Riot con Proofpoint e Phish Alarm
8️⃣ Riot in Sophos
Hai ricevuto la risposta alla tua domanda?