Guida alla migrazione della posta elettronica business e all'autenticazione di Microsoft 365

Configurazione passo-passo di Red Sift per una migrazione della posta elettronica sicura e affidabile su Microsoft 365 Business. 

La migrazione a Microsoft 365 (Exchange Online + Defender for Office 365) coinvolge identità, flusso della posta e autenticazione, inclusi Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting, and Conformance (DMARC). 

Un passaggio senza intoppi protegge la consegna delle email, previene gli attacchi di spoofing e riduce il rischio di interruzione aziendale. Questa guida offre un percorso collaudato, orientato alla sicurezza, con checklist ripetibili.

Questa guida è particolarmente preziosa per le organizzazioni che migrano da Proofpoint a Microsoft 365, dove l'autenticazione e la configurazione del flusso delle email diventano critiche durante il passaggio. Per indicazioni dettagliate specifiche su Proofpoint, consulta la nostra sezione dedicata alla migrazione da Proofpoint a Microsoft 365.

Lo scopo di questa guida è prepararti per la migrazione dei servizi di invio email e darti la certezza che non subirai interruzioni nella consegna a causa di una mancata configurazione dell'autenticazione della posta.

Sono esclusi da questa guida tutti gli altri elementi che potresti migrare su Microsoft 365 come servizi di identità, dati inclusi posta, calendari e file, anti-spam/anti-phishing in ingresso, protezione perdita dati in uscita, eccetera.

Consigliamo di richiedere supporto a Microsoft e ai suoi partner.

1. Scoperta e progettazione: inventario di domini, mittenti, gateway, SaaS di terze parti e necessità di conformità.
2. Preparazione: verifica dei domini, configurazione Azure AD, DNS base e utenti pilota.
3. Configurazione: flusso posta, connettori, domini accettati, anti-spam/anti-phishing, regole di trasporto.
4. Autenticazione: pubblicazione di SPF; attivazione di DKIM; attivazione di DMARC (p=none) e avvio del monitoraggio.
5. Migrazione: migrazione dei dati (IMAP/GWMMO/GWMT), routing in coesistenza/fasi, taglio definitivo dei client.
6. Rendicontazione e ottimizzazione: potenziamento DMARC a quarantena/scarto, finalizzazione routing, dismissione legacy.

Risultato atteso: Flusso di posta sicuro in Microsoft 365, applicazione DMARC e minimo rischio di mancata consegna.

Il passaggio da Proofpoint Essentials o Proofpoint Email Protection a Microsoft 365 richiede attenzione agli strati di sicurezza delle email che Proofpoint gestiva in precedenza:

1. Riconfigurazione del flusso di posta: aggiorna i record MX dalla struttura Proofpoint ai server di mail exchange di Microsoft 365, assicurando una transizione fluida del filtraggio verso Defender for Office 365

2. Dipendenze di autenticazione: Proofpoint gestisce spesso l'autenticazione SPF sulla propria infrastruttura. Occorre sostituire gli include SPF Proofpoint con quelli Microsoft 365, mantenendo le autorizzazioni dei mittenti di terze parti

3. Transizione firma DKIM: se Proofpoint firmava la posta in uscita con DKIM, configura Exchange Online per gestire ora la firma—solitamente generando nuovi key DKIM in Microsoft 365 e pubblicando i relativi record DNS

4. Migrazione delle policy: regole di trasporto, filtri sugli allegati, policy sui contenuti e liste consentite/bloccate configurate in Proofpoint devono essere replicate nel centro amministrativo Exchange e in Defender for Office 365

5. Archiviazione e compliance: se usi Proofpoint Archive, pianifica l'estrazione dei dati e la migrazione all'archiviazione nativa di Microsoft 365 o a una soluzione terza

6. Periodo di coesistenza: durante la doppia operatività, gestisci con attenzione quale sistema si occupa del filtraggio in ingresso e uscita per evitare doppie scansioni o lacune di sicurezza

La maggior parte delle migrazioni da Proofpoint a Microsoft 365 trae vantaggio dal monitoraggio DMARC durante il passaggio, così da rilevare errori di autenticazione prima che impattino la consegna.

• Tenant Microsoft 365 creato e configurato in modo sicuro [https://learn.microsoft.com/en-us/microsoft-365/security/?view=o365-worldwide]
• Domini verificati in M365; proprietà dimostrata.
• Inventario di tutte le fonti email: bulk/marketing, CRM, ticket, prodotto no-reply, app on-prem, scanner/MFP, gateway (Cisco, Proofpoint, ecc.), SaaS terzi.
• DNS attuale esportato; TTL abbassati (es. 3600s) per accelerare il cutover.
• Finestra di cambio e piano di rollback concordati; stakeholder avvisati.

Cosa stai facendo: creazione dell’inventario di tutte le risorse di invio email e visibilità di baseline sulla deliverability prima, durante e dopo il cutover.

Come parte della checklist pre-migrazione dovresti già avere creato un inventario di tutte le tue fonti email. Tuttavia, potrebbero esserci lacune o differenze di cui non sei consapevole.

Grazie ai report DMARC acquisirai visibilità sulle email inviate a nome dei tuoi domini grazie ai feedback report inviati praticamente da tutti i destinatari email. 

Senza Red Sift OnDMARC

Configura o estendi la policy DMARC dei tuoi domini con un indirizzo di report aggregato che punti all’email dove desideri ricevere i report XML leggibili dalla macchina 

Esempio: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.tld

Controlla frequentemente i report XML leggibili dalla macchina, identificando i mittenti legittimi da aggiungere all’inventario.

Con Red Sift OnDMARC

• Configura o estendi la policy DMARC del tuo dominio con un indirizzo di report aggregato che punti a OnDMARC, o in alternativa utilizza il servizio Dynamic DMARC di OnDMARC per ospitare i record DMARC evitando così future modifiche manuali al DNS
• Utilizza l’interfaccia semplice e potente per rivedere i report elaborati e migliorati
• Contrassegna i mittenti legittimi come asset per costruire un inventario dinamico delle tue fonti email su dati reali

Risultato atteso: Un inventario aggiornato e realistico delle fonti email legittime, basato su almeno 4 settimane di report, baseline sulla compliance DMARC e visibilità continua sulle variazioni durante la migrazione. 

Cosa stai facendo: ottimizzazione della configurazione email per agilità e affidabilità.

Per velocizzare le modifiche future e ridurre la probabilità di errori durante i cambi DNS, puoi scegliere di consolidare le configurazioni SPF e DKIM con i servizi Dynamic SPF e Dynamic DKIM di OnDMARC.

Mantenendo la configurazione vicina all’inventario delle fonti email e al reporting DMARC vivi, assicuri che sia sempre aggiornata.

Risultato atteso: Configurazioni SPF e DKIM gestite centralmente, collegate all’inventario email e ai dati reali di reporting DMARC. 

Cosa stai facendo: abilita Exchange Online per l’invio, anche in coesistenza.

Configurazioni chiave:

1. Connettori:
2. Uscita: Exchange Online → internet e/o → gateway legacy durante la coesistenza.
3. Domini accettati e indirizzamento: Autoritativo vs. Internal Relay; riscrittura indirizzi se necessario.

• Estendi con attenzione il record SPF nel DNS con include: spf.protection.outlook.com stando attento a non superare i 10 lookup DNS 
• Aggiungi con cura i CNAME DKIM forniti su DNS
• Invia email di test a un provider neutrale e verifica manualmente le intestazioni

• Aggiungi include: spf.protection.outlook.com a Dynamic SPF senza preoccuparti dei limiti di lookup o errori
• Aggiungi i CNAME DKIM forniti a Dynamic DKIM
• Invia mail di test allo strumento Investigate per validare o effettuare facilmente debug

Risultato atteso: Loop di test email andati a buon fine

Cosa stai facendo: configurazione e validazione degli asset che inviano posta tramite l’infrastruttura precedente affinché mandino tramite Microsoft 365

Sequenza tipica: per ogni asset che invia email attraverso l’infrastruttura precedente

1. Prepara le credenziali per invio tramite Microsoft 365
2. Invia email di test, valida e correggi eventuali problemi
3. Quando pronto, rendi permanente la configurazione
4. Monitora i report DMARC per eventuali anomalie

A questo punto hai:

• Implementato visibilità sulla deliverability tramite report DMARC
• Costruito un inventario delle fonti email tramite dati DMARC reali
• (opzionale) Consolidato le configurazioni SPF & DKIM
• Configurato e testato la posta in uscita da Microsoft 365
• Configurato, testato e migrato asset che prima mandavano dalla vecchia infrastruttura su Microsoft 365

Ora puoi continuare con il resto della migrazione a Microsoft 365.

Cosa stai facendo: monitoraggio continuo di compliance e deliverability

Controlli di validazione:

• Monitora il volume delle email e i tassi di compliance per eventuali regressioni
• Allineamento SPF/DKIM per domini chiave e grandi volumi d’invio

Pulizia:

• Blocca i percorsi legacy; dismetti connettori/gateway non più usati.

• Mittenti nascosti (marketing, CRM, scanner) emergono tardi → Utilizza la discovery OnDMARC in anticipo; contatta i fornitori per dettagli DKIM/SPF prima del cutover.
• Limite lookup SPF (>10) → Usa gli include con attenzione; valuta flattening/SPF gestito tramite Dynamic DNS di Red Sift OnDMARC.
• DKIM non allineato (dominio d= errato) → Abbina d= al dominio From: o attiva l’allineamento dove supportato.
• Forwarding rompe SPF → Affidati al DKIM; valuta ARC/SRS per scenari con tanto forwarding.
• Lacune di policy dopo la rimozione del gateway legacy → Ricrea regole di trasporto critiche, allow/block list, requisiti TLS in Exchange/Defender.

• Guida all’autenticazione con 1 click: passi chiari per abilitare SPF/DKIM su Microsoft 365 e piattaforme di terze parti.
• Discovery automatizzata: identifica i mittenti IT ombra prima che rovinino il cutover.
• Ottimizzazione SPF: gestisci limiti di lookup; evita record fragili durante i cambi vendor.
• Progressione sicura delle policy: avanzamento da none → quarantine → reject basato su dati in settimane, non mesi.
• Reportistica executive: mostra avanzamento e riduzione rischio agli stakeholder durante ogni ondata di migrazione.
• AI integrata: Red Sift Radar individua e corregge vulnerabilità 10 volte più velocemente, senza aumentare l’organico. Una volta configurato, usa Radar per monitorare continuativamente.
• Customer success premiato: il nostro team di ingegneri e success manager ti supporta in ogni fase. Votato 4,9/5 su G2, Red Sift OnDMARC è #1 in Europa.

Per una guida completa ai protocolli di autenticazione email, consulta:

• Guida completa all’implementazione DMARC
• Best practice configurazione SPF e DKIM
• Autenticazione email in ambienti Microsoft 365