Microsoft 365 è la suite più diffusa per il lavoro produttivo in Italia. Per impostazione di default, però, lascia alcune configurazioni aperte che possono facilitare attacchi di phishing, accessi non autorizzati e movimenti laterali in caso di compromissione. Ecco tre cose da disattivare subito nel pannello di amministrazione.
1. POP3 e IMAP basic authentication
I protocolli legacy POP3 e IMAP, ancora attivi di default su alcuni tenant, consentono accessi via password senza autenticazione moderna. Sono il punto di ingresso preferito per attacchi di credential stuffing.
Come si disattiva: Microsoft 365 Admin Center → Utenti attivi → seleziona utente → Posta → Gestisci protocolli email. Disattivare POP3 e IMAP per tutti gli utenti che non li usano esplicitamente (la maggior parte).
2. Inoltro automatico verso domini esterni
Una delle tecniche più comuni usate dopo aver compromesso una casella email è impostare un forward automatico verso un dominio esterno controllato dall'attaccante. Microsoft 365 lo permette per impostazione predefinita.
Come si disattiva: Exchange Admin Center → Mail flow → Regole → crea una nuova regola che blocca l'inoltro automatico verso domini esterni. Microsoft fornisce un template pronto chiamato "Restrict auto-forwarding to external domains".
3. Permessi di consent per app esterne
Gli utenti standard, di default, possono autorizzare app di terze parti a leggere la propria casella e i propri file. Una singola app malevola può così accedere a tutti i documenti di un utente.
Come si disattiva: Entra ID Admin Center → Applicazioni aziendali → Impostazioni consenso → "Consenti agli utenti di consentire applicazioni" → cambia in "Nega".
Sono tre impostazioni che non richiedono budget aggiuntivo, solo dieci minuti di lavoro nel pannello admin. Ma riducono significativamente la superficie di attacco di un tenant Microsoft 365 medio.