È una richiesta lecita arrivata da un team di lavoro per limitare l’attività di una casella di posta elettronica condivisa (Microsoft 365) alla sola ricezione email (da fuori o dentro l’organizzazione), con risposta alla sola organizzazione, eccezione fatta per un singolo dominio di un fornitore esterno con il quale operare congiuntamente.
Il ragionamento si può quindi applicare ad ampio spettro per rispondere alla domanda: posso impedire a delle caselle di posta Microsoft 365 di dialogare con il mondo esterno? Sì, puoi.
One way (circa)
In questo caso non è del tutto un One way, si tratta infatti di un comportamento “misto” che però può essere ulteriormente ritoccato per diventare realmente un senso unico di comunicazione. Ti spiego cosa ho fatto io e dove puoi intervenire tu nel caso volessi modificare questo flusso per piegarlo a una tua più specifica esigenza. Non ho usato PowerShell, mi è bastata l’interfaccia grafica che accedi da outlook.office.com/ecp e le regole di Mail Flow di Exchange.
Più nello specifico ho creato una nuova regola battezzandola “Block Outgoing Emails” che interviene quando l’email viene inviata all’esterno dell’organizzazione (del server Exchange aziendale) e il mittente fa parte di uno specifico gruppo di distribuzione (per la precisione un Mail-enabled Security Group), negando l’invio della stessa e mandando un avviso al mittente facendo presente che da quella casella di posta elettronica è possibile inviare email solo a destinatari interni all’organizzazione. Solo in un secondo momento, e per una specifica esigenza motivata, ho nuovamente modificato la regola permettendo l’uscita delle email all’esterno dell’organizzazione (quindi del server Exchange) solo per destinatari di posta con uno specifico dominio internet.
Scendo nel dettaglio e ti mostro anche uno screenshot che ho catturato sul mio Exchange:
- Apply this rule if: The recipient is located → Outside the organization.
and - The sender is a member of: $
NomeDistributionGroup
/NomeSecurityGroup
(gruppo che avrai creato precedentemente e avrai iniziato a popolare, questo ti rende potenzialmente la vita più facile in futuro, basterà aggiungere utenti al gruppo per sottometterli alla policy che stai creando). - Do the following: Reject the message with the explanation → Inserisci un tuo testo secondo esigenza, nel mio caso ho scelto “Questa casella di posta elettronica non è autorizzata a inviare email all’esterno del Gruppo.“
- Except if: Domain is → $
dominio.tld
(dove dominio.tld è l’unico / gli unici domini internet ai quali è permesso scrivere ai mittenti limitati da questa regola).
Va da sé che il punto 4 è dovuto a una mia (del richiedente in realtà) esigenza specifica e che tu puoi evitare di specificarlo, torna però comodo nel caso in cui tu voglia autorizzare un solo canale di comunicazione verso l’esterno (dove unico vuol dire con uno – o più – domini fidati). Ricorda di dare una priorità quanto più bassa possibile alla regola per evitare che altre policy precedentemente create possano interferire e magari permettere alle email di uscire comunque (soprattutto quando altre regole hanno il parametro “Blocca l’elaborazione delle altre regole” specificato).
Facile comprendere che creando una seconda policy simile a questa descritta ma “a parti invertite” puoi pensare di bloccare anche la ricezione di email dall’esterno verso chi fa parte del tuo gruppo di sicurezza, andando così a blindare completamente il flusso di posta per gli utenti coinvolti e creare davvero un senso unico, un One Way di cui parlavo all’inizio del paragrafo.
Dubbi? L’area commenti è a tua totale disposizione :-)
#StaySafe
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)