/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/06/exchange-online-attacco-email-spoofing.jpg "Ghost-Sender colpisce Exchange Online: nuovo rischio email spoofing")
Un’azienda utilizza Microsoft 365 per la posta elettronica ma, per motivi di sicurezza, decide di far transitare tutte le email attraverso un servizio esterno come Proofpoint, Mimecast, Mailgun oppure un gateway antispam proprietario. In teoria ogni messaggio dovrebbe passare da quel filtro prima di raggiungere le caselle degli utenti.
La ricerca Ghost-Sender, elaborata da InfoGuard, dimostra che in moltissimi casi questa convinzione è sbagliata. Exchange Online continua infatti a essere raggiungibile direttamente da Internet e, se la configurazione non applica alcune protezioni specifiche, un attaccante può bypassare completamente il gateway aziendale e consegnare email direttamente alle mailbox Microsoft 365.
Il risultato è sorprendente: è possibile inviare messaggi che sembrano provenire da qualsiasi indirizzo email, compresi mittenti interni all’azienda, senza compromettere account reali e senza rispettare le policy SPF, DKIM o DMARC del dominio impersonato (sender/email spoofing). Secondo i ricercatori di InfoGuard, la tecnica Ghost-Sender interesserebbe una quota significativa delle organizzazioni che utilizzano Exchange Online insieme a servizi di filtraggio esterni.
Exchange Online: il phishing è servito
Il phishing continua a rappresentare una delle principali cause di compromissione aziendale. Le campagne malevole, spesso basate su semplici email apparentemente legittime, provocano ogni anno perdite economiche enormi. Ghost-Sender offre agli attaccanti un modo per rendere questi messaggi molto più credibili senza dover violare credenziali o sfruttare malware.
Il record MX indica ai server Internet dove recapitare la posta destinata a un dominio: molte organizzazioni configurano il record MX verso un servizio esterno di filtraggio e danno per scontato che tutta la posta segua quel percorso. Exchange Online però mantiene un endpoint pubblico raggiungibile attraverso il dominio tenant.mail.protection.outlook.com. Se Microsoft 365 non riceve istruzioni precise per accettare messaggi solo dal gateway autorizzato, un aggressore può contattare direttamente questo endpoint e aggirare completamente il filtro previsto.
È proprio questa caratteristica che rende Ghost-Sender interessante. Non si tratta di una vulnerabilità software tradizionale, ma di una combinazione di scelte architetturali e configurazioni incomplete che possono produrre conseguenze molto serie.
Perché SPF, DKIM e DMARC non bloccano l’attacco
Nei test effettuati da InfoGuard, Exchange Online ha consegnato messaggi che mostravano SPF fail, DKIM assente e DMARC fail. Normalmente un dominio protetto con una policy DMARC p=reject dovrebbe rifiutare messaggi di questo tipo. Nel caso delle configurazioni vulnerabili, però, Exchange Online considera il messaggio come proveniente da un percorso ritenuto attendibile e non applica il comportamento che molti amministratori si aspettano.
Ghost-Sender non aggira SPF, DKIM o DMARC nel senso tradizionale del termine: i meccanismi continuano a funzionare correttamente. Gli header analizzati dai ricercatori mostrano chiaramente che i controlli falliscono.
Il problema è un altro. Exchange Online riceve il messaggio attraverso un percorso che, in determinate configurazioni, non porta automaticamente al rifiuto del contenuto. In altre parole, non siamo davanti a una debolezza dei protocolli di autenticazione della posta elettronica, ma a una configurazione che consente a un messaggio non autenticato di raggiungere comunque la casella del destinatario.
Perché il Partner Connector rappresenta la mitigazione principale
Il problema nasce perché Exchange Online non verifica automaticamente che una email in ingresso provenga dal gateway definito nel record MX. L’amministratore deve configurare esplicitamente questa restrizione.
Microsoft mette a disposizione due mitigazioni principali: la più robusta consiste nell’utilizzo di un Partner Connector configurato per accettare posta soltanto dagli indirizzi IP o dai certificati TLS del gateway autorizzato. In questo scenario Exchange Online rifiuta qualsiasi connessione SMTP proveniente da sorgenti diverse prima ancora che il messaggio sia elaborato.
Dal punto di vista tecnico il connector deve essere configurato per applicarsi a tutti i domini attraverso l’impostazione SenderDomains = *. È un dettaglio fondamentale: basti pensare che i ricercatori hanno osservato che configurazioni apparentemente corrette ma prive della wildcard continuavano a consentire l’attacco.
La restrizione può essere implementata tramite RestrictDomainsToIPAddresses, limitando i mittenti a specifici indirizzi IP, oppure attraverso RestrictDomainsToCertificate, verificando il certificato TLS utilizzato dal sistema autorizzato.
Quando il meccanismo funziona correttamente, Exchange Online rifiuta il messaggio durante la fase SMTP restituendo l’errore 5.7.51 TenantInboundAttribution. In questo caso la mail non viene nemmeno accettata dal servizio.
/https://www.ilsoftware.it/app/uploads/2026/06/bypass-bitlocker-greatxml.jpg "Scoperto (in 4 ore) un nuovo bypass di BitLocker: basta aver usato Defender Offline Scan")
/https://www.ilsoftware.it/app/uploads/2025/01/AMD-1.jpg "Il bug che AMD non voleva correggere: storia di una vulnerabilità finita sotto i riflettori")
/https://www.ilsoftware.it/app/uploads/2026/06/mondiali-2026.jpg "Come vedere i Mondiali in streaming dall'estero senza il blocco geografico")
/https://www.ilsoftware.it/app/uploads/2026/06/recaptcha-controllo-attestazione-smartphone.jpg "Google cambia reCAPTCHA: servono smartphone approvati per superare i controlli?")