La NSA ha diffuso un documento tecnico con le best practices per la sicurezza di Microsoft Exchange Server on-premises, sviluppato in collaborazione con CISA, ASD’s ACSC e il Canadian Cyber Centre, per contrastare minacce persistenti e vulnerabilità sfruttate su larga scala. L’obiettivo è fornire alle organizzazioni uno standard operativo per rafforzare la propria postura di sicurezza, riducendo la superficie d’attacco e adottando un approccio Zero Trust. La guida sottolinea l’urgenza di applicare aggiornamenti tempestivi, mantenere configurazioni corrette e migrare dai server EOL (End-of-Life), spesso bersaglio di exploit. Le raccomandazioni coprono patching, autenticazione sicura, gestione privilegi e cifratura TLS, delineando un modello di difesa multilivello.
Cosa leggere
Postura preventiva e aggiornamenti costanti
La postura preventiva è il principio cardine della guida NSA. Le organizzazioni devono applicare una strategia deny-by-default e adottare il principio del least privilege, limitando ogni accesso non strettamente necessario. L’agenzia consiglia di monitorare costantemente le build di Exchange Server, installare le Cumulative Update (CU) non appena disponibili e utilizzare strumenti Microsoft dedicati come Health Checker, SetupAssist e la Exchange Update Step-by-Step Guide.
I ritardi nell’applicazione delle patch ampliano la finestra di esposizione agli attacchi. Per ridurre i rischi immediati, la guida raccomanda di attivare l’Emergency Mitigation Service, un sistema automatico che blocca richieste HTTP malevole e disabilita pool vulnerabili, senza sostituire le patch ufficiali.
Le organizzazioni devono inoltre migrare dai server EOL, ormai non più supportati, verso la Subscription Edition (SE) o altri servizi compatibili con Outlook e Microsoft 365 Apps. In caso di impossibilità immediata alla migrazione, i server non supportati vanno isolati in segmenti di rete dedicati, con restrizioni sulle comunicazioni interne e l’utilizzo di gateway email esterni.
Le agenzie federali statunitensi sono obbligate a rispettare l’Emergency Directive 25-02, che impone la disconnessione dei server vulnerabili. A supporto, la NSA richiama l’importanza di rispettare le baseline DISA STIG e i benchmark CIS, applicando politiche coerenti di defense-in-depth.
Difesa multilivello e strumenti di mitigazione
La sicurezza di Exchange richiede una combinazione di difese tecniche e organizzative. La guida raccomanda di mantenere Microsoft Defender Antivirus attivo, con funzionalità AMSI (Antimalware Scan Interface) e Attack Surface Reduction, per bloccare webshell e script malevoli.
È essenziale configurare correttamente i filtri anti-spam e anti-malware integrati e proteggere la reputazione dei domini email con protocolli DMARC, SPF e DKIM. Le aziende possono integrare questi meccanismi tramite add-on ufficiali o servizi esterni, migliorando la capacità di rilevare spoofing e frodi di identità. L’approccio NSA valorizza anche la gestione centralizzata delle configurazioni, con controlli periodici sugli Event Log e sugli Exchange log file, che registrano le attività sospette. Gli amministratori devono verificare regolarmente lo stato delle mitigazioni automatiche, mantenere la connettività outbound per il servizio di aggiornamento e adottare baseline coerenti su tutti i server.
Restrizione degli accessi amministrativi
Uno dei punti più critici riguarda l’accesso amministrativo ai server Exchange. La NSA raccomanda di utilizzare workstation dedicate per le operazioni amministrative e di applicare il principio di isolamento dei privilegi. L’accesso tramite Exchange Admin Center (EAC) e Remote PowerShell deve essere rigorosamente controllato. È consigliato disabilitare EAC via Client Access Rules e consentire soltanto porte necessarie al mail flow e ai client autorizzati. Inoltre, i firewall host devono essere configurati per bloccare connessioni indesiderate e ridurre l’esposizione diretta a Internet. Gli amministratori devono essere soggetti a controlli di identità forti e autenticazioni a più fattori (MFA). Le attività di amministrazione vanno monitorate con log dedicati e, ove possibile, integrate con sistemi di SIEM per l’analisi in tempo reale.
Autenticazione e crittografia rinforzata
La sezione sull’autenticazione e sulla crittografia è una delle più dettagliate. La guida impone l’uso obbligatorio di TLS per garantire integrità e riservatezza dei dati sia nelle comunicazioni interne sia in quelle in transito verso l’esterno. È essenziale verificare la configurazione TLS con Health Checker e riavviare Exchange dopo ogni modifica. Viene inoltre raccomandata l’attivazione dell’Extended Protection (EP), che difende dalle minacce AitM (Attacks in the Middle) tramite Channel Binding Token. Gli amministratori devono disabilitare NTLM in favore di Kerberos o NTLMv2, e rimuovere protocolli obsoleti come SMBv1. Le organizzazioni dovrebbero adottare autenticazione moderna basata su OAuth 2.0 e MFA, integrata con ADFS o servizi equivalenti, disattivando completamente la Basic Auth.
Per Outlook on the Web (OWA), è raccomandata la configurazione di HTTP Strict Transport Security (HSTS), che forza l’uso di HTTPS e mitiga gli attacchi AitM. Inoltre, i server di posta devono crittografare SMTP e caricare gli allegati da subdomain isolati, per ridurre i rischi di CSRF. Infine, la gestione dei ruoli deve seguire il modello RBAC (Role-Based Access Control), con la separazione dei doveri e l’implementazione di split permissions, per evitare abusi o escalation di privilegi.
Allineamento al modello Zero Trust
Tutte le raccomandazioni NSA convergono verso un’architettura Zero Trust, in cui ogni accesso viene verificato, autenticato e monitorato in modo continuo. Le organizzazioni devono combinare patching rapido, hardening sistematico e autenticazione moderna con controlli costanti sulle configurazioni.
L’obiettivo finale è una protezione adattiva che limiti l’impatto di vulnerabilità emergenti e renda inefficaci le tecniche di intrusione più comuni. In un contesto in cui gli exploit di Exchange Server continuano a evolversi, la proattività operativa e la valutazione periodica dei sistemi diventano i pilastri di una difesa realmente sostenibile.
