Microsoft ha deciso di fare marcia indietro sui limiti alle email bulk in Exchange Online, annunciando allo stesso tempo un rafforzamento netto della sicurezza con l’introduzione dell’autenticazione multifattore obbligatoria per l’accesso al centro amministrativo di Microsoft 365. Le due decisioni, accompagnate dalla risoluzione di un recente outage che ha colpito l’accesso IMAP4 alle caselle di posta, delineano una strategia più pragmatica: meno misure disruptive per l’operatività quotidiana e più protezioni strutturali contro gli attacchi informatici.
La scelta riflette un cambio di approccio rispetto alle politiche annunciate nei mesi precedenti, dopo un confronto diretto con i clienti enterprise e una valutazione dell’impatto reale sulle infrastrutture di posta aziendali.
Cosa leggere
Microsoft ritira il limite sulle email bulk in Exchange Online
Microsoft ha ufficialmente annullato il piano per introdurre un limite giornaliero di 2.000 destinatari esterni per i mittenti di email bulk in Exchange Online. La misura, annunciata inizialmente nell’aprile 2024 e prevista per entrare in vigore nel gennaio 2025, aveva l’obiettivo di ridurre lo spam e prevenire l’abuso delle risorse del servizio.
Il feedback dei clienti, tuttavia, ha evidenziato criticità operative rilevanti, soprattutto per organizzazioni che utilizzano Exchange Online per comunicazioni legittime su larga scala, come notifiche aziendali, campagne informative e flussi automatizzati verso partner e clienti. Il team di Exchange ha riconosciuto che il limite avrebbe generato interruzioni non sostenibili per molti ambienti produttivi.
Microsoft ha quindi optato per approcci più adattivi e intelligenti, capaci di distinguere meglio tra traffico legittimo e comportamenti abusivi, senza introdurre un vincolo rigido e generalizzato.
Quali limiti restano attivi per le email in Exchange Online
La cancellazione del nuovo tetto non significa un’apertura totale. Microsoft ha chiarito che restano invariati i limiti esistenti, considerati sufficienti per mantenere un equilibrio tra sicurezza e usabilità. In particolare, rimangono attivi il limite massimo di 10.000 destinatari totali al giorno e il limite di 5.000 destinatari esterni per tenant.
Questi parametri continuano a fungere da barriera strutturale contro abusi su larga scala, mentre Microsoft lavora su sistemi di rilevamento più dinamici, basati su segnali comportamentali e analisi del traffico, piuttosto che su soglie fisse applicate indiscriminatamente.
Per i clienti enterprise, la decisione si traduce in continuità operativa e nella possibilità di evitare riconfigurazioni urgenti di processi critici, spesso integrati con sistemi esterni e piattaforme di terze parti.
MFA obbligatoria per il centro amministrativo di Microsoft 365
Sul fronte della sicurezza, Microsoft ha invece confermato una linea molto più rigida. Dal 9 febbraio 2026, l’autenticazione multifattore sarà obbligatoria per tutti gli accessi al centro amministrativo di Microsoft 365. Qualsiasi tentativo di accesso senza MFA verrà bloccato.
La misura segue un percorso già avviato su altri servizi Microsoft, come Azure Portal, Azure CLI e PowerShell, dove l’MFA è diventata obbligatoria a partire dall’ottobre 2025. L’obiettivo è ridurre drasticamente il rischio di compromissione degli account amministrativi, che rappresentano uno dei target principali per attacchi di phishing, credential stuffing e brute force.
Secondo dati citati da Microsoft, l’uso dell’MFA consente di ridurre oltre il 99% degli accessi non autorizzati basati su credenziali rubate. Per agevolare la transizione, l’azienda mette a disposizione procedure guidate e strumenti di configurazione che consentono agli amministratori di attivare l’MFA senza interrompere l’accesso ai servizi.
Perché Microsoft punta sull’MFA come difesa principale
L’imposizione dell’MFA risponde a una realtà ormai consolidata: le password da sole non sono più sufficienti. La diffusione di database di credenziali compromesse e l’automazione degli attacchi rendono inevitabile l’adozione di fattori aggiuntivi di verifica, come app di autenticazione, token hardware o notifiche push.
Nel contesto di Microsoft 365, un account amministrativo compromesso può tradursi in accesso completo a email, documenti, identità e configurazioni di sicurezza. Rendere obbligatoria l’MFA sul centro amministrativo significa alzare drasticamente la soglia di attacco, anche in caso di phishing riuscito.
Microsoft sottolinea che la misura non comporta costi aggiuntivi per i clienti e rappresenta ormai uno standard di sicurezza minimo per qualsiasi ambiente cloud enterprise.
Outage IMAP4 in Exchange Online: cosa è successo
In parallelo a questi annunci, Microsoft ha gestito un outage in Exchange Online che ha temporaneamente impedito l’accesso alle caselle di posta tramite IMAP4. L’incidente, identificato come EX1215307, è iniziato l’8 gennaio 2026 e ha interessato un sottoinsieme di utenti.
Secondo la comunicazione ufficiale, il problema è stato causato da un conflitto di codice introdotto durante un deploy legato all’autenticazione IMAP4. La configurazione errata ha generato errori intermittenti di accesso, senza però influenzare altri metodi di connessione come Outlook, OWA o ActiveSync.
Microsoft ha distribuito rapidamente un fix e applicato modifiche di configurazione per ristabilire il servizio. Agli utenti è stato consigliato di ritentare l’accesso una volta completato il rollout delle correzioni.
Lezioni apprese e stabilità del servizio
L’incidente IMAP4 segue altri episodi simili registrati nei mesi precedenti e conferma quanto la complessità dei servizi cloud renda delicata ogni modifica ai sistemi di autenticazione. Microsoft ha dichiarato di aver avviato un’analisi interna per rafforzare i processi di test e ridurre il rischio di regressioni in futuri aggiornamenti.
Dal punto di vista operativo, la gestione dell’outage è stata relativamente rapida e non ha comportato perdite di dati, ma ha ricordato ai clienti l’importanza di strategie di accesso alternative e di un monitoraggio costante dello stato dei servizi.
Un equilibrio tra sicurezza e operatività
Nel loro insieme, queste decisioni mostrano una Microsoft sempre più orientata a separare le misure di sicurezza realmente efficaci da quelle che rischiano di penalizzare l’uso quotidiano dei servizi. L’annullamento dei limiti sulle email bulk evita frizioni inutili per i clienti enterprise, mentre l’MFA obbligatoria colpisce direttamente uno dei vettori di attacco più sfruttati.
Il messaggio è chiaro: meno restrizioni generalizzate sui flussi di lavoro legittimi, più protezioni forti sugli accessi critici. Una linea che, se mantenuta coerente, potrebbe rafforzare la fiducia nel cloud Microsoft in una fase in cui la sicurezza rimane una priorità assoluta.
Domande frequenti su Exchange Online, MFA e Microsoft 365
Microsoft introdurrà in futuro nuovi limiti sulle email bulk?
Al momento no. Microsoft ha dichiarato di preferire approcci adattivi basati sul comportamento, mantenendo solo i limiti già esistenti.
Da quando l’MFA è obbligatoria per il centro amministrativo di Microsoft 365?
L’obbligo entra in vigore il 9 febbraio 2026 per tutti gli accessi al portale amministrativo.
L’outage IMAP4 ha causato perdita di email?
No, Microsoft ha confermato che l’incidente ha riguardato solo l’accesso e non ha comportato perdita di dati.
Quali accessi richiedono ora l’MFA obbligatoria?
Il centro amministrativo di Microsoft 365, oltre ad Azure Portal, Azure CLI e PowerShell, già coperti dall’obbligo nei mesi precedenti.
