Salta al contenuto
Tutorial

Defender blocca un'email o un link legittimo (falso positivo): come sbloccarlo

Safe Links o l'anti-spam di Defender bloccano un mittente o un link legittimo? Ecco i 4 metodi ufficiali per sbloccarli in modo corretto, senza aprire falle di sicurezza.

SynSphere Italia 5 min di lettura
Defender for Office 365: sbloccare email o link legittimi bloccati come falso positivo

Capita: un fornitore importante finisce in quarantena, oppure Safe Links blocca un URL legittimo e l’utente vede la pagina rossa “sito non sicuro”. Sono falsi positivi di Defender for Office 365. Sbloccarli è semplice — ma va fatto nel modo giusto, perché aggiungere eccezioni a casaccio apre buchi. Ecco i 4 metodi ufficiali, dal migliore al più mirato.

1. Submissions (il metodo consigliato)

Nel Defender portal → Actions & submissions → Submissions, invia l’email/URL/file come «dovrebbe essere consentito». Microsoft lo analizza e crea automaticamente una voce di allow temporanea nella Tenant Allow/Block List. È il metodo preferito perché: migliora il filtro, è tracciato, e l’allow scade da solo (niente eccezioni eterne dimenticate).

2. Tenant Allow/Block List

Per un controllo diretto: Defender portal → Policies & rules → Tenant Allow/Block List. Puoi consentire mittenti, domini, URL e file (hash). Imposta una scadenza all’allow e rivedila: un allow permanente su un dominio è un rischio. Da usare quando serve subito e conosci con certezza la fonte.

3. Rilascio dalla quarantena

Se l’email è in quarantena (Email & collaboration → Review → Quarantine), puoi rilasciarla e, contestualmente, segnalarla come falso positivo / consentire il mittente. Gli utenti possono ricevere notifiche di quarantena e richiedere il rilascio, con approvazione admin.

4. Policy Safe Links / anti-spam

Per casi ricorrenti su un dominio fidato (es. un partner i cui link vengono sempre riscritti male), valuta:

  • “Do not rewrite the following URLs” nella policy Safe Links (usare con parsimonia: i link non vengono più protetti);
  • regolare la policy anti-spam (allowed senders/domains) — preferendo però la Tenant Allow/Block List.

Regola d’oro

Non disabilitare Safe Links o l’anti-phishing per risolvere un singolo falso positivo: useresti una scure dove serve un bisturi. Preferisci sempre Submissions (metodo 1), e tieni le eccezioni con scadenza e documentate.

Riduci i falsi positivi alla radice

Molti blocchi nascono da problemi di autenticazione email del mittente: assicurati che il tuo dominio sia a posto con SPF, DKIM e DMARC e gestisci le allow-list via toolkit PowerShell email security.

SynSphere ottimizza le policy Defender per il giusto equilibrio sicurezza/operatività come parte dell’assistenza cybersecurity gestita. Contattaci se i falsi positivi rallentano il lavoro.

Tag

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci