Exchange Online Protection: ulteriori miglioramenti alla Zero-Hour Auto Purge
All’attuale funzione “malware ZAP” si aggiunge l'opzione di intervenire sui messaggi identificati come Spam o Phish
ZAP e Quarantena
ZAP, la zero hour auto purge, è una funzione di Exchange Online Protection(EOP) che, ultimamente è andata incontro ad alcune problematiche (approfondimenti).
Per supportare le aziende, Microsoft sta rilasciando una serie di miglioramenti con l’obiettivo di offrire un controllo più dettagliato ed un allineamento più preciso con gli altri controlli operati.
In poche parole, oltre all’attuale funzione “malware ZAP” che rimuove tutti gli allegati ritenuti non sicuri, ZAP agirà sui messaggi identificati come Spam o Phish mettendoli in quarantena.
Inoltre, Microsoft sta inserendo la possibilità di disabilitare l’elaborazione di phish o spam per ZAP.
Infine, ha annunciato il supporto per lo spostamento dei messaggi ZAP-ed nella quarantena quale parte degli aggiornamenti Phish and spam Zero-hour Auto Purge move to Quarantine annunciati all’interno della roadmap Microsoft 365 – voce 55432.
Abilitare lo ZAP per Spam e Phish
Mentre l’annuncio della roadmap non ne parla esplicitamente, anche una rapida occhiata alla documentazione fa emergere il fatto che Microsoft stia creando anche dei controlli aggiuntivi che permettano di attivare e disattivare le modalità di rilevamento di spam e/o phish.
Entrambe le nuove modalità saranno abilitate di default e potranno essere controllate tramite i nuovi parametri introdotti per il cmdlet Set-HostedContentFilterPolicy: SpamZapEnabled e PhishZapEnabled.
Il valore per entrambi i nuovi parametri viene attualmente ereditato dal valore del parametro ZapEnabled e rimarrà così fino a febbraio 2020, quando il parametro ZapEnabled sarà disattivato. Di default, i parametri SpamZapEnabled e PhiosZapEnabled saranno abilitati ($true). In futuro, avrete la possibilità di modificare lo stato dei due parametri a $false, disabilitando cosi l’elaborazione dei messaggi di spam e phish da parte di ZAP.
Elaborazione della posta elettronica
In merito alle email, ZAP, si comporterà in questo modo.
a. per i messaggi classificati come malware, rimarrà in vigore l’attuale azione di “remove attachment”
b. per i messaggi identificati come phish o spam, verrà eseguita l’azione configurata nella policy di filtro contenuti.
Per quanto riguarda il punto b, se l’azione è impostata su Quarantine message, Delete message o Redirect message to email address, ZAP sposterà il contenuto in quarantena.
Se, invece, l’azione è impostata su Move message to Junk email folder, verrà applicato il comportamento corrente ed i messaggi saranno spostati nella cartella posta indesiderata.
Infine, se l’azione è impostata su Add X-Header o Prepend subject line with text, o non sono state definite azioni nella policy, allora ZAP non effettuerà alcuna operazione sul messaggio. Vale il medesimo comportamento se è stato disabilitato il processo di spam/phish dai controlli sopra elencati.
Tutti questi miglioramenti introdurranno anche un altro cambiamento nel programma ZAP basato sullo stato di lettura del messaggio.
I messaggi malware continueranno ad essere elaborati indipendentemente dallo stato di lettura. Per i messaggi identificati come phish, l’azione sarà eseguita indipendentemente dallo stato di lettura.
Invece, per quanto riguarda i messaggi contrassegnati come spam, il processo sarà eseguito solo sui messaggi contrassegnati come non letti.
Le informazioni presenti in questo post, sono prese dall’articolo: Exchange Online Protection Improves Zero-Hour Auto Purge (ZAP).
