La funzione Blocklist di PhishER permette di evitare che e‑mail dannose o di spam raggiungano le caselle di posta in arrivo degli utenti. Quando esamini le e‑mail segnalate dagli utenti, puoi aggiornare la blocklist per inviare le informazioni sulle minacce o sullo spam al server di posta Microsoft 365.

Dopo aver abilitato la blocklist e averla collegata al tuo server di posta, puoi creare e gestire le voci della blocklist. Ogni voce contiene informazioni che il tuo server di posta utilizzerà per filtrare i messaggi futuri. Ad esempio, se crei una voce per un indirizzo e‑mail dannoso, il tuo server di posta sposterà automaticamente le e‑mail future provenienti da quell’indirizzo nelle cartelle Junk (Posta indesiderata) degli utenti.

Per ulteriori informazioni sulla Blocklist di PhishER, leggi le sezioni in basso.

Abilitare e autorizzare la Blocklist di PhishER

Prima di poter creare voci, è necessario abilitare la Blocklist di PhishER. Dovrai inoltre autorizzare la Blocklist assegnando il ruolo di amministratore Exchange all’applicazione Blocklist di PhishER nel tuo account Microsoft 365 con Microsoft Entra ID.

Per abilitare e autorizzare la blocklist, effettua le seguenti operazioni:

1. Nella console PhishER, vai su Settings (Impostazioni) > Blocklist.
2. Se alla blocklist non è collegato alcun server di posta Microsoft 365, fai clic su Connect to Microsoft 365 (Connetti a Microsoft 365) e aggiungi una connessione.
3. Attiva l’interruttore situato accanto a Disabled (Disabilitato) nella parte superiore della pagina, quindi fai clic su Save (Salva).
4. Nel portale di Microsoft Entra ID, assegna il ruolo Exchange Administrator all’applicazione Blocklist di PhishER.
   
   
   Nota:per ulteriori informazioni su come abilitare la blocklist, leggi la sezione Blocklist dell’articolo Impostazioni di PhishER: integrazioni. Integrazioni. Per maggiori informazioni sull’assegnazione del ruolo, consulta l’articolo Assegnare il ruolo Exchange Administrator all’applicazione PhishER Blocklist.

Creare voci nella Blocklist di PhishER

Nella scheda Blocklist o nella pagina Message Details (Dettagli messaggio), puoi creare le voci da aggiungere alla blocklist. Se hai abilitato PhishML, puoi usare i tag PhishML per assegnare le priorità ai messaggi con valori da aggiungere alla blocklist.

Le sezioni seguenti descrivono come creare voci nella scheda Blocklist o nella pagina Message Details (Dettagli messaggio).

Creazione di voci nella scheda Blocklist

Per creare una nuova voce dalla scheda Blocklist, effettua le seguenti operazioni:

1. Accedi alla console PhishER.
2. Vai su Blocklist > Your Syncing Entries (Voci sincronizzate).
3. Fai clic sul pulsante Create Blocklist Entry (Crea voce nella blocklist) nell’angolo in alto a destra della pagina. Si apre la finestra pop-up Create Blocklist Entry (Crea voce nella blocklist).
4. Per creare la voce, compila i campi nella finestra pop‑up. Per ulteriori informazioni, guarda la schermata e l’elenco in basso:
   
   1. Attribute (Attributo): seleziona l’attributo da utilizzare per la voce. L’attributo indica il tipo di informazione che deve essere filtrato dal server di posta. Seleziona Sender (Mittente) per utilizzare come valore l’indirizzo e-mail o il dominio del mittente. Nel campo Value (Valore) puoi inserire, ad esempio, un indirizzo e‑mail completo come “username@dominio.com” o un nome di dominio come “dominio.com”. Seleziona URL per utilizzare come valore un URL completo o un nome dell’host. Nel campo Value (Valore) puoi inserire, ad esempio, “www.nomesito.com/pagina" o “www.nomesito.com”. Seleziona l’opzione File Hash per utilizzare come valore un hash SHA-256 del file.
   2. Value (Valore): in questo campo, inserisci le informazioni specifiche necessarie al server di posta per filtrare i messaggi. Ad esempio, se per il campo Attribute (Attributo), selezioni Sender (Mittente), in questo campo dovrai inserire l’indirizzo e‑mail del mittente.
   3. Duration (Durata): in questo menu a discesa, specifica per quanto tempo la voce deve restare nella blocklist. Dopo questo periodo di tempo, le voci verranno automaticamente rimosse dalla blocklist. Per impostazione predefinita viene selezionata una durata di 30 giorni, che è un periodo simile alla durata predefinita dell’Elenco tenant consentiti/bloccati di Microsoft.
      Nota: quando l’impostazione Allow Blocklist entries without an expiration date (Consenti voci della blocklist senza data di scadenza) è abilitata nella scheda secondaria Preferences (Preferenze) in Settings (Impostazioni) di PhishER, è disponibile l’opzione Never Expire (Senza scadenza).
      Poiché i criminali informatici modificano rapidamente i loro metodi di attacco, è importante mantenere la blocklist aggiornata. Impostare una durata permette di aggiornare la blocklist con le informazioni provenienti dai messaggi più recenti segnalati dagli utenti.
5. Fai clic su Save (Salva) per aggiungere la voce alla tua blocklist.

Dopo aver creato la voce, puoi monitorare il suo stato e altri dettagli. Per ulteriori informazioni, leggi la sezione Monitorare le voci della Blocklist di questo articolo.

Creazione di voci tramite la pagina Message Details (Dettagli messaggio)

Per creare una nuova voce nella pagina Message Details (Dettagli messaggio), effettua le seguenti operazioni:

1. Accedi alla console PhishER.
2. Vai alla scheda Inbox (Posta in arrivo).
3. Fai clic su un messaggio per aprire la pagina Message Details (Dettagli messaggio).
4. Clicca sull’icona rossa con il simbolo di blocco situata accanto a un attributo. Si apre la finestra pop-up Create Blocklist Entry (Crea voce nella blocklist).
5. Per creare la voce, compila i campi nella finestra pop‑up. Per ulteriori informazioni, guarda la schermata e l’elenco in basso:
   
   1. Attribute (Attributo): seleziona l’attributo da utilizzare per la voce. L’attributo indica il tipo di informazione che deve essere filtrato dal server di posta. Seleziona Sender (Mittente) per utilizzare come valore l’indirizzo e-mail o il dominio del mittente. Nel campo Value (Valore) puoi inserire, ad esempio, un indirizzo e‑mail completo come “username@dominio.com” o un nome di dominio come “dominio.com”. Seleziona URL per utilizzare come valore un URL completo o un nome dell’host. Nel campo Value (Valore) puoi inserire, ad esempio, “www.nomesito.com/pagina" o “www.nomesito.com”. Seleziona l’opzione File Hash per utilizzare come valore un hash SHA-256 del file.
   2. Value (Valore): in questo campo, inserisci le informazioni specifiche necessarie al server di posta per filtrare i messaggi. Ad esempio, se per il campo Attribute (Attributo), selezioni Sender (Mittente), in questo campo dovrai inserire l’indirizzo e‑mail del mittente.
   3. Duration (Durata): in questo menu a discesa, specifica per quanto tempo la voce deve restare nella blocklist. Dopo questo periodo di tempo, le voci verranno automaticamente rimosse dalla blocklist. Per impostazione predefinita viene selezionata una durata di 30 giorni, che è un periodo simile alla durata predefinita dell’Elenco tenant consentiti/bloccati di Microsoft.
      Nota: quando l’impostazione Allow Blocklist entries without an expiration date (Consenti voci della blocklist senza data di scadenza) è abilitata nella scheda secondaria Preferences (Preferenze) in Settings (Impostazioni) di PhishER, è disponibile l’opzione Never Expire (Senza scadenza).
      Poiché i criminali informatici modificano rapidamente i loro metodi di attacco, è importante mantenere la blocklist aggiornata. Impostare una durata permette di aggiornare la blocklist con le informazioni provenienti dai messaggi più recenti segnalati dagli utenti.
6. Fai clic su Save (Salva) per aggiungere la voce alla tua blocklist.

Dopo aver creato la voce, puoi monitorare il suo stato e altri dettagli. Per ulteriori informazioni, leggi la sezione Monitorare le voci della Blocklist di questo articolo.

Monitorare le voci della Blocklist di PhishER

Nella scheda secondaria Your Syncing Entries (Voci sincronizzate), puoi monitorare le voci della blocklist. Le voci sono elencate in base ai loro valori.

Dopo aver creato le voci, puoi visualizzarle nella scheda secondaria Your Syncing Entries (Voci sincronizzate) della scheda Blocklist. Puoi inoltre eliminare le voci e visualizzare lo stato di sincronizzazione di ciascuna voce sui tuoi server di posta.

Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Filter by Attribute (Filtra per attributo): tramite questi filtri puoi visualizzare le voci con un attributo specifico.
   Nota: la blocklist di PhishER ha un massimo di 500 voci per l’attributo Mittente, URL e Hash del file.
2. Filter by Status (Filtra per stato): tramite questi filtri puoi visualizzare le voci con uno stato specifico.
3. Filter by Entry Type (Filtra per tipo di voce): Se hai abilitato la Global Blocklist, tramite questi filtri puoi visualizzare le voci della Global Blocklist o le voci personalizzate della Blocklist di PhishER.
4. Value (Valore): in questa colonna viene visualizzato il valore della voce. I valori possono essere l’indirizzo del mittente, l’URL o l’hash di un file. Il tuo server di posta utilizzerà questo valore per filtrare le e‑mail che hanno lo stesso valore. Per ulteriori informazioni su come verranno filtrate le e‑mail, leggi l’elenco in basso:
   • URL or File Hash (URL o Hash del file): se un’e‑mail contiene un URL o un valore hash del file corrispondente a una voce, il server di posta sposterà automaticamente l’e‑mail nella cartella Quarantine (Quarantena).
   • Sender (Mittente): se un’e‑mail contiene un mittente corrispondente a una voce, il server di posta sposterà automaticamente l’e‑mail nella cartella Junk (Posta indesiderata).
   Suggerimento:puoi fare clic su un valore della colonna per visualizzare la pagina Blocklist Audit Log. Per ulteriori informazioni, leggi la sezione Esaminare il registro di controllo di questo articolo.
5. Status (Stato): questa colonna mostra lo stato della voce. Per ulteriori informazioni sugli stati, consulta l’elenco in basso:
   • Pending (In sospeso): questo stato indica che la voce sta per essere aggiunta o eliminata dalla blocklist.
   • Active (Attiva): questo stato indica che la voce è stata aggiunta alla blocklist e sincronizzata con il server di posta collegato.
   • Incomplete (Incompleta): questo stato indica che una voce è stata aggiunta e sincronizzata con uno o più server di posta collegati, ma non con tutti.
   • Failed (Non riuscita): questo stato indica che la voce non è stata aggiunta e sincronizzata correttamente. Se hai più server di posta connessi alla tua blocklist e una voce non si sincronizza correttamente con tutti, la voce verrà visualizzata come Failed (Non riuscita).
6. Created By (Creata da): questa colonna indica chi ha creato la voce. Se la voce della Blocklist di PhishER è stata creata da un admin di PhishER, viene visualizzato il valore Admin. Se la voce della Global Blocklist è stata creata dal team del Laboratorio di ricerca sulle minacce di KnowBe4 viene visualizzato il valore KnowBe4.
7. Created On (Creata il): in questa colonna vengono visualizzate la data e l’ora in cui la voce è stata aggiunta alla blocklist.
8. Expires On (Scade il): in questa colonna vengono visualizzate la data e l’ora in cui la voce verrà rimossa automaticamente dalla blocklist.
   Nota: la Blocklist di PhishER viene sincronizzata con il server di posta di Microsoft 365 ogni 10 minuti. Durante questo periodo, le voci in sospeso nell’elenco tenant consentiti/bloccati di Microsoft 365 saranno aggiunte alla scheda secondaria Your Syncing Entries (Voci sincronizzate) della console PhishER. La sincronizzazione tra le voci esistenti nell’elenco tenant consentiti/bloccati e la Blocklist di PhishER può richiedere fino a 24 ore. Nella colonna Expires On (Scade il), vengono riportate la data e l’ora in cui una voce sincronizzata verrà rimossa da entrambe le blocklist. Se le voci dell’elenco tenant consentiti/bloccati o le voci della Blocklist di PhishER non includono una data di scadenza, nella colonna Expires On (Scade il) verrà visualizzato Never Expires (Senza scadenza).
9. Actions (Azioni): in questa colonna, puoi fare clic sull’icona del cestino per aprire la finestra pop‑up Delete Blocklist Entry (Elimina voce della blocklist). In questa finestra puoi eliminare una voce dalla Blocklist di PhishER. In alternativa, puoi eliminare e ignorare una voce per evitare che venga aggiunta alla Blocklist di PhishER. Per saperne di più sulle voci ignorate, leggi la sezione secondaria Ignorare le voci in basso.

Ignorare le voci

Per evitare il blocco di alcune voci sui tuoi server di posta, puoi aggiungerle all’elenco di voci ignorate. Le voci ignorate non possono essere aggiunte alla Blocklist di PhishER. Il dominio della tua organizzazione viene ignorato automaticamente e non può essere aggiunto manualmente alle voci da ignorare.

Quando ignori una voce, a tutte le voci corrispondenti all’interno della Blocklist di PhishER verrà assegnato lo stato Pending (In sospeso) per indicare che verranno eliminate. All’interno della blocklist non potrai creare una voce corrispondente a una voce ignorata, se questa non viene prima eliminata nella scheda secondaria Your Ignored Entries (Voci ignorate).

Per ignorare una voce della blocklist esistente, procedi come descritto di seguito:

1. Accedi alla console PhishER.
2. Vai su Blocklist > Your Syncing Entries (Voci sincronizzate).
3. Individua la voce da ignorare.
4. Fai clic sull’icona del cestino nella colonna Actions (Azioni) in corrispondenza della voce. Si apre la finestra pop-up Delete Blocklist Entry (Elimina voce nella blocklist).
5. Nella finestra pop‑up, fai clic su Delete and Ignore (Elimina e ignora). Una voce ignorata verrà aggiunta alla scheda secondaria Your Ignored Entries (Voci ignorate) e alla voce corrispondente nella blocklist verrà assegnato lo stato Pending (In sospeso) per indicare che verrà eliminata.

Per creare una voce ignorata dalla scheda secondaria Your Ignored Entries (Voci ignorate), effettua le seguenti operazioni:

1. Accedi alla console PhishER.
2. Vai a Blocklist > Your Ignored Entries (Voci ignorate).
3. Fai clic sul pulsante Create Ignored Entry (Crea voce ignorata) nell’angolo in alto a destra della pagina. Si apre la finestra pop-up Create Ignored Entry (Crea voce ignorata).
4. Nella finestra pop‑up, crea la voce ignorata. Per ulteriori informazioni, guarda la schermata e l’elenco in basso:
   1. Attribute (Attributo): seleziona il tipo di attributo da utilizzare per la tua voce ignorata. Seleziona Sender (Mittente) per utilizzare come valore l’indirizzo e-mail o il dominio del mittente. Nel campo Value (Valore) puoi inserire, ad esempio, un indirizzo e‑mail completo come “username@dominio.com” o un nome di dominio come “dominio.com”. Seleziona URL per utilizzare come valore un URL completo o un nome dell’host. Nel campo Value (Valore) puoi inserire, ad esempio, “www.nomesito.com/pagina" o “www.nomesito.com”. Seleziona l’opzione File Hash per utilizzare come valore un hash SHA-256 del file.
   2. Value (Valore): in questo campo, inserisci il valore specifico che il tuo server di posta non deve bloccare. Ad esempio, se per il campo Attribute (Attributo), selezioni Sender (Mittente), in questo campo dovrai inserire l’indirizzo e‑mail del mittente.
   
5. Per aggiungere la voce alle voci ignorate, fai clic su Save (Salva).

Puoi monitorare tutte le voci ignorate nella scheda secondaria Your Ignored Entries (Voci ignorate). Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Search... (Cerca): tramite questo campo puoi filtrare le voci ignorate utilizzando le query Lucene.
   
   
   Nota:per cercare voci con valori simili, devi utilizzare dei caratteri jolly. Ad esempio, per trovare tutti i valori che contengono “yahoo.com”, puoi cercare la stringa “*yahoo.com”. Per ulteriori informazioni, leggi l’articolo Come usare la sintassi delle query Lucene.
2. Filter by Attribute (Filtra per attributo): tramite questi filtri puoi visualizzare le voci con un tipo di attributo specifico.
3. Value (Valore): in questa colonna viene visualizzato il valore della voce.
4. Created On (Creata il): in questa colonna vengono visualizzate la data e l’ora di creazione della voce ignorata.
5. Actions (Azioni): in questa colonna, puoi fare clic sull’icona del cestino per eliminare una voce ignorata. Se elimini una voce ignorata, puoi utilizzare il suo valore per creare una nuova voce nella Blocklist di PhishER.

Esaminare il registro di controllo

All’interno della console PhishER, puoi andare alla scheda secondaria Blocklist > Audit Log (Registro di controllo) e visualizzare il registro. Il registro di controllo include le attività della Blocklist di PhishER e della Global Blocklist, come ad esempio la creazione, l’eliminazione e la sincronizzazione delle voci con i server di posta.

Per ulteriori informazioni su questa scheda secondaria, guarda la schermata e l’elenco in basso:

1. Timestamp (Data e ora): questa colonna mostra la data e l’ora in cui si è verificata l’azione nella colonna Event Action (Azione evento).
2. Event Type (Tipo di evento): questa colonna mostra il tipo di azione che si è verificata. Per ulteriori informazioni sui tipi di evento, consulta l’elenco in basso:
   • Entry Updated (Voce aggiornata): questo tipo indica che una voce è stata creata o eliminata.
   • Entry Synced (Voce sincronizzata): questo tipo indica che una voce è stata sincronizzata con la Blocklist di PhishER.
   • Blocklist Synced (Blocklist sincronizzata): questo tipo indica che tutte le voci sono state sincronizzate su tutti i server di posta collegati.
3. Value (Valore): questa colonna mostra il valore della voce interessata.
4. Updated By (Aggiornata da): questa colonna mostra la fonte dell’azione. Quando una voce viene aggiornata, in questa colonna viene visualizzato l’indirizzo e‑mail dell’utente che l’ha aggiornata. Quando una singola voce o la blocklist viene sincronizzata, in questa colonna viene visualizzato l’ID del server di posta o il nome del server di posta. Se l’azione è stata eseguita dal sistema, la riga sarà vuota.
5. Event Action (Azione evento): questa colonna indica quale azione è stata eseguita per una voce specifica o per la blocklist. Quando una voce è stata creata, viene visualizzato il messaggio Created (Creata). Quando una voce o una blocklist viene sincronizzata con i server di posta collegati, viene visualizzato il messaggio Synced (Sincronizzata). Quando una voce viene eliminata, viene visualizzato il messaggio Deleted (Eliminata).
6. Status (Stato): questa colonna indica se l’azione è riuscita o meno.