Exchange Online è il cuore della posta aziendale — e anche dove si nascondono i rischi più insidiosi: deleghe dimenticate su caselle sensibili, regole che inoltrano la posta verso domini esterni (il segnale classico di un account compromesso), calendari condivisi con permessi troppo larghi. Con PowerShell si verifica tutto in modo sistematico. Ecco un toolkit di 10 script pronti.
🛠️ Scarica il toolkit: Toolkit PowerShell Exchange Online e mailbox Microsoft 365 (10 script) — gratuito, codice originale SynSphere, archivio ZIP. Sono tutti report di sola lettura.
Prerequisiti
- PowerShell 5.1+ o PowerShell 7.
- Exchange Online Management:
Install-Module ExchangeOnlineManagement -Scope CurrentUser. - Account con ruolo View-Only Recipients (o superiore), autenticazione moderna/MFA.
Ogni script è autonomo, parametrico e commentato. Gli script che analizzano permessi/regole di tutte le caselle su tenant grandi possono richiedere tempo.
🔑 Deleghe e accessi
- Deleghe sulle caselle (
01) — Full Access, Send As e Send on Behalf su ogni casella, escludendo i permessi di sistema. La base per capire chi può leggere/inviare a nome di chi. - Deleghe sulle shared mailbox (
02) — lo stesso, limitato alle caselle condivise (info@, amministrazione@…). - Accessi di un utente (
03) — lookup inverso: dato un utente, a quali caselle altrui ha accesso. Indispensabile prima di un offboarding o per un audit di sicurezza.
📦 Dimensioni e capacity
- Dimensione caselle (
04) — dimensione, numero elementi e quota: individua le caselle vicine al limite. - Dimensione archivi (
05) — la crescita degli In-Place Archive, spesso ignorata.
🛡️ Sicurezza degli inoltri
- Inoltro a livello di casella (
06) — caselle con ForwardingSmtpAddress/ForwardingAddress configurato. - Regole inbox con inoltro esterno (
07) — il controllo di sicurezza più importante: trova le regole della posta in arrivo che inoltrano/redirigono verso domini esterni al tenant. È il modo numero uno in cui un attaccante esfiltra la posta dopo aver compromesso un account. Da controllare periodicamente. Si lega ai trend cybersecurity per le PMI.
📋 Compliance e calendari
- Hold sulle caselle (
08) — litigation hold, in-place hold, retention: utile per eDiscovery e prima di eliminare una casella (una casella in hold non si elimina davvero). - Risposte automatiche (
09) — OOF attivi o programmati: scova quelli dimenticati o sulle caselle di ex dipendenti. - Permessi calendario (
10) — chi può vedere/modificare il calendario di chi, inclusi i livelli Default/Anonymous (un Default troppo permissivo è oversharing). È language-safe: trova la cartella calendario anche sui tenant in italiano.
Da dove partire
Due controlli di sicurezza immediati:
- Inoltri esterni (
07) — il primo da lanciare: se trova regole verso domini esterni, indaga subito una possibile compromissione. - Deleghe (
01/02) — verifica che gli accessi alle caselle siano solo quelli previsti.
Poi housekeeping: dimensioni (04/05), OOF dimenticati (09), permessi calendario (10).
Quando conviene un supporto
Sicurezza della posta, deleghe e compliance sono attività continuative. SynSphere le gestisce in un servizio di assistenza Microsoft 365 e sicurezza gestita, con automazioni PowerShell. Vedi anche il toolkit utenti e offboarding.