Category Archives: Exchange Online

Eliminare la Basic Auth per Exchange Online grazie alle Condition policy di AAD

Ridurre gli account compromessi di Exchange Online
Lo scorso Ottobre, Microsoft ha introdotto la possibilità, per i tenant di Office 365, di disabilitare la basic authentication per Exchange online utilizzando il protocollo di autenticazione delle policy. Un tweet recente di Alex Weinart, Group program manager del team di Azure Active Directory ha dichiarato che la disabilitazione della basic auth riduce la percentuale di account compromessi fino al 67%.

Eliminare la Basic Auth per Exchange Online grazie alle Condition policy di AAD

Questo argomento, ci riporta un po’ al post pubblicato qualche giorno fa: Azure AD Mailbag: scoprire e bloccare l’autenticazione legacy in cui abbiamo visto come la basic authentication non sia proprio l’ideale, soprattutto per i tenant che supportano ancora protocolli datati quali IMAP4 and POP3.

Perchè si usano ancora i vecchi client email?
Non abbiamo una risposta a questo quesito.
Sia l’IMAP4 che il POP3 sono nati in concomitanza con l’arrivo delle email, quando internet era un posto molto più sicuro e gli aggressori non utilizzavano tecnologie quali attacchi brute-force e password spray.

Non ci sono grandi giri di parole da fare: ad oggi sono disponibili email client più moderni e sicuri.
I client che supportano la modern authentication includono OWA per i browser e Outlook versione mobile per Android e iOS. Le persone che utilizzano Outlook per Windows dovrebbero essere incoraggiate ad utilizzare la modern authentication. Oltre alle motivazioni personali, non esiste una buona ragione oggettiva che supporti l’utilizzo di client datati e non sicuri. Il punto fondamentale è che se decidete di indirizzare i vostri utenti verso un client più sicuro, potrete disabilitare completamente i protocolli quali IMAP4 e POP3 e dare man forte alla difesa del vostro tenant.

Exchange Web Services
Nonostante possa utilizzare anche la basic auth, Exchange Web Services(EWS), si trova in una categoria differente rispetto ad IMAP4 d POP3. EWS è utilizzato dal client Outlook for Mac e dai prodotti di back-up e migrazione utili a far fluire i dati di Exchange Online dalle mailbox (backup) o importare le informazioni nelle mailbox (migrazione).
È anche possibile utilizzare EWS da prodotti di terze parti. In sostanza, è difficile eliminare EWS in tempi brevi.

Comprendere e gestire i protocolli di connessione
Il post citato prima, sottolinea due punti fondamentali.
– Prima di tutto, dovreste capire quale protocollo è in un utilizzo per connettere le caselle di posta di Exchange Online al vostro tenant. Se non sapete chi utilizza quei protocolli, non sarete in grado di gestire il controllo dei protocolli utilizzando la basic auth.
– Seconda cosa, partendo dal presupposto che tutti gli account utenti importanti dovrebbero essere protetti dalla MFA, le policy di conditional access di Azure Active Directory, sono un modo molto flessibile e conveniente per limitare le connessioni di tipo basic auth il più possibile. Chiaramente, dovete essere disposti a pagare per una licenza Azure AD Premium (che abilita anche altre utili funzionalità quali le Office 365 group expiry e le naming policies).
Come abbiamo sottolineato nel post precedente, lo scorso anno Microsoft ha aggiunto la possibilità di bloccare l’autenticazione legacy nel conditional access.

Eliminare la Basic Auth per Exchange Online grazie alle Condition policy di AAD

Considerate le cyber-minacce che oggigiorno ci troviamo ad affrontare ed il numero di attacchi che tentano di penetrare nei tenant Office 365, dovreste quanto meno porvi la domanda: devo implementare la policy di conditional access che blocchi la basic auth (magari ad un determinato gruppo di utenti o piattaforme client) per eliminare o ridurre il rischio rappresentato dalla presenza di una basic authentication nel nostro tenant? Se volete il nostro parere, Sì, è la cosa giusta da fare!


Le informazioni presenti in questo post, sono prese dall’articolo: Eliminating Basic Auth for Exchange Online with AAD Condition Policies.

Conservare una copia delle email inviate dalle shared mailbox di Exchange online

Le shared mailbox rappresentano un utilissimo strumento che può essere utilizzato per una varietà di scenari all’interno del tuo ambiente aziendale.

Funzionalità
Le email possono essere inviate direttamente da una mailbox condivisa o per conto di uno dei suoi membri, ipotizzando che siano stati distribuiti gli adeguati permessi.
La funzionalità in questione è progettata per conservare una copia dell’email inviata dalla shared mailbox all’interno della cartella Posta Inviata della casella di posta condivisa. Lo stesso comportamento vogliamo che avvenga per le email inviate “per conto di” della shared mailbox.

Attenzione: se l’utente ha utilizzato la funzionalità di Outlook 2013 per modificare la cartella in cui vengono salvate le email inviate, i messaggi verranno copiati in quella cartella e non nella Posta Inviata. Gli utenti possono riconfigurare quest’impostazione, cliccando su Opzioni – Posta – Salva una copia dei messaggi nella cartella Posta Inviata.

Come abilitarla
Entriamo adesso nel portale di Office 365 e vediamo che opzioni abbiamo per le shared mailboxes su Exchange online.
Dopo aver effettuato il login al nostro portale, rechiamoci sui Gruppi ed espandiamo il menù:

Conservare una copia delle email inviate dalle shared mailbox di Exchange online

Scegliamo ora la mailbox su cui abilitare la funzionalità di conservazione della copia della posta inviata:

Conservare una copia delle email inviate dalle shared mailbox di Exchange online

In questo modo abbiamo abilitato la funzionalità per la cartella condivisa desiderata.
Come indicato nella seguente immagine, vi sono due pulsanti all’interno della schermata: uno per l’invio come cartella condivisa e l’altro per l’invio per conto della cartella condivisa.
Abilitando le due opzioni e cliccando Save, sulla riga corrispondente del pannello informativo la dicitura passerà da “Not copied to mailbox” a “Copied to mailbox”.

Conservare una copia delle email inviate dalle shared mailbox di Exchange online

Effettuare la verifica con PowerShell
Dopo aver attivato le opzioni desiderate per la shared mailbox desiderata, possiamo connetterla ad exchange online remote PowerShell e verificarne le impostazioni.

Se eseguiamo il seguente comando:
Get-Mailbox -Identity sharedmailbox@contoso.com | FL

Usciranno due questi due attributi, appena modificati come da immagine precedente:
MessageCopyForSentAsEnabled : True

MessageCopyForSendOnBehalfEnabled : True

Ovviamente, possiamo anche impostare questi attributi per le shared mailbox via PowerShell.
Il comando per eseguire quest’operazione è il seguente:
Set-Mailbox -Identity sharedmailbox@contoso.com -MessageCopyForSendOnBehalfEnabled $true -MessageCopyForSentAsEnabled $true

Se invece vogliamo abilitare l’opzione per tutte le nostre mailbox condivise, possiamo farlo eseguendo il seguente comando:
Get-Mailbox -RecipientTypeDetails shared | Where-Object{$_.messagecopyforsentasenabled -eq “”} | Set-Mailbox -MessageCopyForSendOnBehalfEnabled $true -MessageCopyForSentAsEnabled $true


Le informazioni presenti in questo post, sono prese dall’articolo: Enabling Sent Items Copy features with Exchange online for shared mailboxes.

Assegnazione di un contatto di tipo Guest Mail User ad una Distribution List

Oggi parliamo di una problematica che, probabilmente, è capitata a molti di voi e vedremo come risolverla.

Mettiamo il caso che dobbiate aggiungere un contatto di tipo Guest User ad una Distribution List.
Vi accorgerete che, dall’interfaccia amministrativa di Office 365, non è possibile farlo in quanto, quel contatto, non è presente all’interno dell’elenco di selezione che vi si presenta nel momento in cui dovete aggiungere utenti al gruppo.

Assegnazione di un contatto di tipo Guest Mail User ad una Distribution List

Per risolvere il problema, è sufficiente utilizzare un semplice comando Powershell:

Add-DistributionGroupMember -Identity “nomelista” -Member “utenteguest”

Assegnazione di un contatto di tipo Guest Mail User ad una Distribution List

Con questo unico comando, risolvete il problema e potrete aggiungere alle vostre liste di distribuzione anche utenti di tipo guest.

Shared Mailbox: Microsoft corregge e ripristina la capienza originale

Microsoft ha recentemente corretto e messo mano al modo in cui le shared mailbox vengono create su Exchange Online.

Cominciamo dalle indicazioni che Microsoft ci fornisce nella sua documentazione ufficiale:
Exchange Online Limits;
Create a shared mailbox.

Come indicato negli articoli qui sopra, le shared mailbox senza licenza create su Exchange online, dovrebbero avere una capienza di 50GB. Chi desidera più spazio, può assegnare una licenza alla casella di posta.

Tempo fa, invece, era successo che il sistema di Exchange Online permettesse la creazione di shared mailbox con una grandezza di default di 100GB anche senza l’assegnazione di piani di licensing. Microsoft era al corrente di quanto stesse accadendo e si è messa da subito al lavoro per far fronte alla questione nel suo mailbox provisioning system.

Ora la situazione è stata ripristinata e, da fine luglio, riportata alla normalità.
Per la creazione delle shared mailbox avete a disposizione una cassetta postale di 50GB: se avete bisogno di spazio aggiuntivo, vi basterà sottoscrivere una licenza di Exchange Online Plan 2. Una volta assegnata la licenza, la dimensione della casella di posta si modificherà rapidamente fino a raggiungere i 100GB (grandezza equivalente alla mailbox di un utente con una licenza di Exchange Online Plan 2).

Per aiutarvi a comprendere come questo cambiamento possa impattare le shared mailbox esistenti e quale sarà il normale comportamento d’ora in avanti, qui sotto vi riportiamo delle Q&A:

– Cosa succede, una volta ripristinato lo spazio di 50GB, alle shared mailboxes non licenziate e create con le dimensioni di default di 100GB? Verranno automaticamente portate a 50GB?
No, non automaticamente ma potrebbero essere riportate a 50GB in determinate situazioni, lo vediamo nei successivi passaggi.

– Quando una mailbox condivisa e senza licenza perde il suo status di 100GB?
Cambiando lo stato della licenza per quella mailbox, verrà ripristinata la corretta capienza di 50GB.
Se la licenza della mailbox viene modificata, lo stato di 100GB sarà irreversibilmente perso e, per aumentare nuovamente la dimensione della cassetta a 100GB, sarà necessario l’acquisto di una licenza.

– Attualmente possiedo una shared mailbox da 100GB non licenziata con all’interno 80GB di dati che ho bisogno di archiviare. Cosa succederebbe se acquistassi una licenza di Exchange Online Archiving?
Qualsiasi cambiamento allo stato della licenza della shared mailbox farebbe sì che la stessa perda lo status di 100GB. In altre parole, anche assegnando la licenza di Archiving ad una casella di posta condivisa attualmente non licenziata, riporterebbe la dimensione della stessa a 50GB, costringendovi ad acquistare una licenza di Exchange Online Plan 2 (o equivalente) per poter aumentare la mailbox a 100GB. In uno scenario di questo tipo, se voleste assegnare una licenza Archiving, avreste bisogno di assegnare a quella casella almeno una licenza Exchange Plan 2.

– Mettiamo il caso che io abbia una casella di posta utente da 80GB e voglia convertirla a shared mailbox. Cosa succede con gli ultimi cambiamenti?
La licenza attualmente assegnata rimarrà di default assegnata alla mailbox utente e la shared manterrà le funzioni di invio/ricezione email.
Se successivamente rimuoverete la licenza dalla shared mailbox convertita, la quota di 50 GB di capienza verrà ripristinata. La grandezza sarà sempre di 80 GB, ma perchè la mailbox sarà over quota, l’invio e la ricezione delle email non funzionerà (le email in arrivo riporteranno la seguente dicitura “Mailbox is full” error, code 5.2.2″). Assegnando la licenza necessaria alla mailbox, il problema verrà risolto anche se il cambiamento potrebbe portare via un po’ di tempo. Se avete bisogno di una shared mailbox con capienza maggiore a 50GB vi raccomandiamo di mantenere l’assegnazione della licenza dopo la conversione di modo da non causare interruzioni di servizio. Potete inoltre sfruttare le cassette postali inattive se avete semplicemente bisogno di mantenere i dati di una mailbox in uno stato inattivo.

Maggiori info a questo articolo: Create and manage inactive mailboxes in Office 365.

– Se ho una mailbox utente di grandezza inferiore a 50 GB e la converto in mailbox condivisa, cosa succede?
Quando viene operata la conversione di una mailbox, la licenza rimane assegnata alla cassetta di posta (di default). Se rimuovete la licenza, la mailbox sarà comunque disponibile per l’invio e la ricezione delle email perchè la dimensione della mailbox convertita è inferiore a 50GB e le shared mailboxes sotto i 50GB non richiedono licenze. Se la grandezza di questa casella condivisa supera i 50 GB, dovrete aggiungervi una licenza per aumentare la capienza a 100GB o rimuovere le email in eccesso fino a riportare la dimensione della stessa sotto i 50GB.

– Se ho una shared mailbox le cui dimensioni si stanno avvicinando a 50GB e ho bisogno di aumentare lo spazio, come posso fare?
Assegnate semplicemente una licenza di Exchange Online Plan 2, non dovrete fare nient’altro. La dimensione della shared mailbox verrà automaticamente aumentata a 100GB nel giro di 15 minuti.

– I cambiamenti di licensing sono entrati in atto. Ho appena convertito una shared mailbox non licenziata di 50GB in una casella postale utente ed ora ho una casella utente da 50 GB. Cosa succede?
Quando convertite una mailbox non licenziata da shared a utente (utilizzando ad esempio Exchange Admin Center) la risultante mailbox sarà una mailbox utente non licenziata (questo perchè la shared mailbox di partenza non ha una licenza). Questa casella non è collegata a nessun account poichè non vi è una licenza assegnata. Solo quando verrà assegnata la licenza all’utente, la mailbox verrà collegata all’account e la sua dimensione sarà impostata a seconda della licenza corrente. In questo modo, se assegnate una licenza che dà all’utente una mailbox di 100GB, la capienza della casella sarà aumentata a 100GB.
Attenzione: se non sottoscrivete una licenza, la mailbox non collegata sarà eliminata dopo 30 giorni.

– Ho una shared mailbox di 80GB on-premises e voglio migrarla su Exchange Online. Cosa devo fare?
Poichè la shared mailbox di destinazione su Exchange Online dev’essere più capiente di quella dei 50GB permessi senza licenza, la shared mailbox cloud dev’essere licenziata prima della migrazione. In caso contrario, la migrazione fallirà instantaneamente riportando il seguente messaggio d’errore: “Mailbox size exceeds target quota”. Una volta assegnata la licenza di Exchange Online Plan 2, la migrazione potrà iniziare.

– Come posso sapere quali sono le dimensioni effettive delle mie shared mailbox?
Vi consigliamo di scaricare questo script.

Ad ogni modo, ci sono due cose fondamentali da tenere a mente:
– Lo script non vi mostrerà la grandezza delle mailbox che si trovano nello stato di soft deleted;
– Se avete delle caselle condivise a cui non siete ancora loggati, si potrebbe presentare un errore durante l’esecuzione dello script per quelle particolari mailbox.