La cosiddetta Zero-Hour Auto-Purge, è una funzionalità di protezione e sicurezza di Exchange Online Protection 365 (EOP) comunemente chiamata ZAP che consente di rilevare e neutralizzare in modo retro-attivo i messaggi di phishing, posta indesiderata o malware che sono già stati recapitati alle cassette postali di Exchange Online. ZAP è una funzionalità disponibile per le cassette postali on-line e non può essere utilizzata su sistemi Exchange On-Prem.

Come funziona ZAP in Office 365

Office 365 aggiorna quotidianamente il motore antispam e le firme antimalware in tempo reale. E’ comunque possibile ricevere ugualmente messaggi dannosi recapitati all’interno delle mailbox degli utenti per diversi motivi, includendo anche quando il contenuto è già stato utilizzato come arma in un momento successivo alla prima consegna agli utenti. Zero-Hour Auto-Purge risolve questo tipo di problematica monitorando continuamente gli aggiornamenti alle firme di spam e malware di Office 365 e potendo quindi trovare e rimuovere i messaggi già consegnati in precedenza nella posta in arrivo. Per la posta già identificata come spam, ZAP sposta i messaggi non letti nella cartella della posta indesiderata dell’utente. Per i malware appena rilevati, ZAP è in grado di rimuovere gli allegati dal messaggio di posta elettronica, indipendentemente dal fatto che il messaggio sia stato letto o meno.

Exchange Online Protection

Come Abilitare ZAP per Spam e Phishing

ZAP è abilitato per impostazione predefinita e può essere disattivato solo tramite Exchange Online PowerShell. La Feature funzionerà solo nel momento in cui verranno soddisfatte le seguenti condizioni:

1. Il filtro della posta indesiderata dell’utente è abilitato. Per impostazione predefinita, anche questa impostazione è il default, ma gli utenti potrebbero disabilitarlo tramite le opzioni in OWA.

2. Il criterio del filtro antispam è configurato per spostare i messaggi nella cartella della posta indesiderata. Anche in questo caso la funzionalità è il default, ma un amministratore può sovrascrivere il comportamento e ad es. configurare invece i messaggi da mettere in quarantena.

Come disabilitare ZAP

Per farlo è necessario da Powershell di Exchange Online eseguire il seguente comando:

Set-HostedContentFilterPolicy –Identity <Policy> –ZapEnabled $False

antispam-microsoft365

Come testare la soluzione Antispam

Per verificare che Exchange Online Protection rilevi e agisca correttamente sui messaggi di spam, è possibile inviare un cosiddetto messaggio GTUBE a uno dei tuoi destinatari. Il messaggio GTUBE funziona in modo simile al file di test antivirus EICAR ampiamente adottato. Tuttavia, invece di aggiungere un allegato dannoso, il corpo del messaggio contiene una stringa specifica che dovrebbe sempre attivare il motore anti-spam per contrassegnare il messaggio come spam.

Per testare il motore anti-spam, sarà quindi sufficiente inviare un messaggio a un destinatario nel tuo dominio e includere la stringa sotto riportata nel corpo del messaggio, tenendo presente che non dovrebbe esserci nient’altro nel corpo e che la stringa deve essere su una singola riga, senza spazi, interruzioni di riga o caratteri aggiuntivi.

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TESTEMAIL*C.34X