Salta al contenuto
Tutorial

Defender for Office 365: configurare anti-phishing per PMI italiane

Tutorial passo-passo per attivare Defender for Office 365 Plan 1: Safe Attachments, Safe Links, anti-phishing AI, attack simulation. Setup completo in 1 settimana.

SynSphere Italia 10 min di lettura

Il phishing resta nel 2026 la vettore primario di compromissione cyber per le PMI italiane: l’80%+ degli incidenti security che gestiamo iniziano con un’email malevola. Le difese tradizionali (Exchange Online Protection di base, antivirus consumer) bloccano i casi più ovvi ma falliscono su attacchi mirati: spear phishing personalizzato, business email compromise (BEC), payload di file con macro evolute. Microsoft Defender for Office 365 Plan 1 colma questo gap aggiungendo anti-phishing AI, Safe Attachments (sandbox detonation), Safe Links (URL rewriting con scan real-time), attack simulator.

Questo tutorial descrive il setup baseline a 5 step che applichiamo come standard nei deploy SynSphere. Setup tipico: 1 settimana calendar time, 4-6 ore-uomo IT effettivo. Riduzione documentata phishing successful: 95%+ vs solo EOP.

Pre-requisiti

Per usare Defender for Office 365 Plan 1 serve:

  • Licenza: inclusa in Microsoft 365 Business Premium, M365 E5, M365 A5, oppure add-on standalone (~1,90 €/utente/mese aggiuntivi sopra a M365 Business Standard).
  • Ruolo admin: Security Administrator nel tenant Microsoft 365.
  • Tenant settings: Modern Authentication abilitato (default da anni), legacy auth bloccato (raccomandato — vedi tutorial Conditional Access correlato).

Pattern raccomandato per PMI italiane sopra 30 dipendenti: upgrade a Business Premium se non già lì (vedi confronto Standard vs Premium correlato), Defender for Office 365 incluso.

Step 1 — Verifica licenze e attivazione

  1. Naviga a https://admin.microsoft.comBillingYour products.
  2. Verifica che gli utenti abbiano licenza con Defender for Office 365 Plan 1 inclusa.
  3. Naviga a https://security.microsoft.comSettingsEmail & collaborationMicrosoft Defender for Office 365.
  4. Verifica che Defender for Office 365 sia attivo (default sì se la licenza è presente).

Se l’azienda è su M365 Business Standard senza add-on Defender, considera l’upgrade a Premium come pre-requisito (~9,50 €/u/m differenza, include anche Intune + Entra ID P1 — TCO migliore di add-on standalone).

Step 2 — Configurare Anti-phishing policy

Anti-phishing è il cuore di Defender for Office 365: rileva tentativi di impersonation, spoofing, mailbox intelligence-based detection.

  1. security.microsoft.comEmail & collaborationPolicies & rulesThreat policiesAnti-phishing.
  2. Create → name: CA-Antiphishing-Standard-Italy. Description: “Baseline anti-phishing PMI italiane”.
  3. Users, groups, and domains:
    • Users: lasciare vuoto (applica a tutti via “Recipient domains”)
    • Recipient domains: aggiungi i tuoi domini aziendali (es. synsphere.it, synsphere.com)
  4. Phishing threshold & protection:
    • Phishing email threshold: imposta a 2 - Aggressive (bilanciamento standard) o 3 - More aggressive se la tua azienda riceve molto phishing (storico/settore high-risk come finance, legal, healthcare).
    • Impersonation:
      • Users to protect: aggiungi 5-10 utenti high-value (CEO, CFO, COO, CIO, capi dipartimento). Defender genera alert + protezione speciale per email che sembrano impersonation di queste persone.
      • Domains to protect: i tuoi domini aziendali + domini di clienti grandi/fornitori critici (impersonation BEC tipica).
      • Mailbox intelligence: ✓ On (raccomandato — Defender impara i pattern di comunicazione tipici).
    • Spoof intelligence: ✓ On.
  5. Actions:
    • If message is detected as user impersonation: Quarantine (non Junk, perché l’utente potrebbe non controllare la cartella).
    • If message is detected as domain impersonation: Quarantine.
    • If mailbox intelligence detects spoof: Quarantine o Move to Junk (a seconda della tolleranza falsi positivi).
    • Show first contact safety tip: ✓ On (banner “Questo è il primo messaggio da X” sui mittenti nuovi).
    • Show user impersonation safety tip: ✓ On.
    • Show user impersonation unauthenticated sender (?) tag: ✓ On.
  6. ReviewSubmit.

Tipo policy che lascia in produzione: Custom anti-phishing policy (precede la default standard built-in). Non eliminare la default — resta come fallback per scenari non coperti dalla custom.

Step 3 — Configurare Safe Attachments

Safe Attachments fa detonation in sandbox dei file allegati prima della consegna nella casella destinatario.

  1. security.microsoft.comEmail & collaborationThreat policiesSafe Attachments.
  2. Global settingsEdit:
    • Turn on Safe Attachments for SharePoint, OneDrive, and Microsoft Teams (protegge anche file caricati lì).
    • Turn on Safe Documents for Office clients (Word/Excel/PowerPoint che aprono file da posizioni unsafe).
  3. Torna a Safe AttachmentsCreate → name: SA-Standard-Italy.
  4. Users and domains: applica a tutti i domini aziendali.
  5. Settings:
    • Action: Dynamic Delivery (raccomandato per PMI — l’utente riceve subito il messaggio con un placeholder per gli allegati, poi quando la sandbox completa la scan, l’allegato vero arriva. Riduce frizione utente vs Block che ritarda l’intero messaggio).
    • Redirect: opzionale, redirezionare allegati malevoli a un mailbox di security review (es. security@synsphere.it).
    • Apply the above selection if malware scanning for attachments times out or error occurs: ✓ On.
  6. Submit.

Tempo di scan tipico: 30 secondi - 3 minuti per allegato. L’utente vede il messaggio subito (Dynamic Delivery), l’allegato arriva trasparentemente quando la scan è completa.

Step 4 — Configurare Safe Links

Safe Links riscrive gli URL nelle email aziendali in modo che ogni click venga scan real-time al momento del click (non solo all’arrivo email — un URL può diventare malevolo dopo).

  1. security.microsoft.comEmail & collaborationThreat policiesSafe Links.
  2. Global settingsEdit:
    • Block the following URLs (URL block list): aggiungi domini noti malevoli (raramente popolato — Defender ha intelligence globale).
    • Use Safe Links in Office 365 apps: ✓ On.
    • Track user clicks: ✓ On (audit log dei click su URL scan).
    • Allow users to click through to the original URL: ✗ Off (raccomandato — utenti non possono override block per errore).
  3. Torna a Safe LinksCreate → name: SL-Standard-Italy.
  4. Users and domains: tutti i domini.
  5. URL & click protection settings:
    • Action on potentially malicious URLs: ✓ On (block).
    • Apply Safe Links to email messages sent within the organization: ✓ On (importante — protegge da BEC interne).
    • Apply real-time URL scanning for suspicious links and links that point to files: ✓ On.
    • Wait for URL scanning to complete before delivering the message: ✗ Off (raccomandato Dynamic Delivery-style).
    • Don’t rewrite URLs, do checks via Safe Links API only: ✗ Off (URL rewriting è la modalità più protettiva).
  6. Notification: lasciare default (“Use the default notification text”).
  7. Submit.

Effetto pratico utente: cliccando un link in email, vede brevemente “Microsoft Defender is checking this link…” (1-2 secondi) prima di atterrare sulla destination. Se la URL è malevola, vede una pagina blocco con motivazione.

Step 5 — Attack Simulator (training utenti)

Defender for Office 365 Plan 1 include Attack simulator: invio di simulazioni phishing controllate ai dipendenti per misurare e migliorare la awareness.

  1. security.microsoft.comEmail & collaborationAttack simulation trainingLaunch a simulation.
  2. Select technique: Credential harvest (la tipologia phishing più frequente — finto login Microsoft 365 per rubare password).
  3. Name simulation: Sim-Q1-2026-Credential-Harvest.
  4. Select payload: scegli un template italiano realistic (Defender ha library con scenari “tracked package”, “rejected payment”, “shared document”). Modificalo per renderlo più credibile (es. nome di un fornitore reale dell’azienda, brand familiare).
  5. Target users: includi tutti gli utenti M365 (escluso break-glass admin).
  6. Schedule: invia in arco settimana (random delivery — alcuni utenti ricevono lunedì alle 9:00, altri giovedì alle 14:30 — più realistico).
  7. Assign training: ✓ On — utenti che cadono nel phishing ricevono automaticamente un training module Defender post-evento (“Hai cliccato un link sospetto, ecco come riconoscerli”).
  8. Launch.

Frequenza raccomandata: 1 simulation/trimestre, alternando tipologie (credential harvest, malware attachment, drive-by URL). Misurazione tipica:

  • Click-through rate prima simulazione: ~25-40% (utenti cliccano sul link malevolo).
  • Click-through dopo 4 simulazioni con training: ~5-10% (riduzione 70-80%).

I report di Attack Simulator sono disponibili nel Defender portal e vanno discussi col management — sono evidenza diretta dell’efficacia del programma security awareness (richiesta NIS2 art. 21).

Validazione e monitoring

Setup post-go-live:

  1. Defender Portal Dashboard: security.microsoft.comReportsEmail & collaboration reports. Monitora:
    • Threat protection status: email bloccate per tipo (phishing, malware, spam).
    • Mail flow status summary: volume email totale + breakdown protection action.
    • Submissions: utenti che reportano email sospette (tasto “Report Phishing” in Outlook).
  2. Alerts: security.microsoft.comIncidents & alertsAlerts. Configurare email notification per security admin su alert high-severity.
  3. Microsoft Sentinel (opzionale, per chi ha E5 / Sentinel licenze): integrazione Defender → SIEM unificato per correlation con altri segnali.

Pitfall comuni

  • Lasciare la policy default e non creare custom: la policy default è generica, una policy custom con impersonation list aziendale-specifica è significativamente più efficace.
  • Non aggiungere VIP nella impersonation list: senza CEO/CFO/COO listati, BEC che impersonano CEO passa attraverso filtri standard.
  • Threshold troppo aggressivo (4) al day-1: troppi falsi positivi, utenti perdono fiducia. Iniziare con 2-3, alzare se necessario dopo 30 giorni di tuning.
  • Skip dell’attack simulator: senza simulation programmate, non hai metriche di efficacia security awareness e non c’è enforcement comportamentale.
  • Quarantine senza review process: configurare quarantine ma poi nessuno controlla la quarantena → falsi positivi (email legittime perse) generano disservizio.

Conclusioni

Defender for Office 365 Plan 1 è uno dei componenti più sottoutilizzati dei piani Microsoft 365 Business Premium. Setup baseline richiede 1 settimana e fornisce protezione enterprise-grade contro phishing, BEC, malware document. Combinato con Conditional Access (vedi tutorial dedicato) e Defender for Business endpoint, copre i tre vettori principali di attacco PMI: email, identity, endpoint.

Per le PMI italiane in scope NIS2 (settori essential/important con >50 dipendenti), Defender for Office 365 copre direttamente alcuni dei requisiti minimi art. 21: anti-malware, awareness training, incident detection. Documentazione setup è utile come evidenza di compliance.

Per il deploy completo Defender for Office 365 nella tua azienda, contattaci: assessment baseline, configurazione policy hardened, attack simulation programmate, formazione team security.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Confronti correlati

Approfondisci con confronti puntuali fra i prodotti citati nell'articolo.

Altri articoli Tutorial

Continua a esplorare contenuti della stessa categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci