Le Shared Mailbox di Office 365 sono tra gli strumenti più usati dalle aziende, perchè perfette per condividere una cassetta postale tra più utenti, senza dover pagare una licenza effettiva. La SM è una mailbox a tutti gli effetti, con annessa gestione delle cartelle, ma senza avere credenziali di accesso, cosa che riduce la superficie d’attacco in modo forte.
In questo articolo vedremo un po’ di best pratice per usare al meglio questo strumento in ambiente di produzione.
Deleghe
Ogni utente può essere delegato in tre modi:
- Lettura e gestione mailbox
- Invio come
- Invio per conto di
La delega di invio non è vincolata alla gestione, quindi l’operatore dell’helpdesk può inviare per conto della mailbox ict@contoso.com ma senza leggere il contenuto della casella (cosa un po’ paradossale).
La gestione prevede pieni poteri e questo può creare un po’ di dubbi in quegli amministratori che vogliono dare una casella di posta in sola lettura (magari ad uno stagista appena arrivato). La cosa è risolvibile con l’uso di PowerShell:
Add-MailboxPermission -Identity SharedMailbox -User upn@domain.com -AccessRights ReadPermission
Add-MailboxFolderPermission -Identity SharedMailbox:\ -User upn@domain.com -AccessRights Reviewer
Add-MailboxFolderPermission -Identity SharedMailbox:\Inbox -User upn@domain.com -AccessRights Reviewer
Add-MailboxFolderPermission -Identity SharedMailbox:\Outbox -User upn@domain.com -AccessRights Reviewer
Meglio “invia come” oppure “invia per conto di”? La risposta è dipende. Inviare come se fossimo l’utente, può tornare utile in scenari piccoli, dove è facile identificare chi può aver spedito una certa mail; inviare per conto dell’utente, è invece consigliato quando si vuole far capire anche all’esterno chi sta mandando la mail. Questo scenario è perfetto per gli helpdesk, per il marketing o l’ufficio acquisti….insomma, quei posti dove si è in tanti e dove si vuole evitare l’effetto “ho ricevuto una mail ma non so chi era”.
Automap
Una volta data la delega all’utente, la SM viene automaticamente montata nel suo profilo di Outlook e questo può creare dei seri problemi perchè non viene generato un nuovo file .ost per la Shared Mailbox, bensì viene usato quello dell’utente normale. Dove nasce il problema? Che se la Shared è molto grande, il file .ost aumenta in modo diretto e quando questo file raggiunge circa i 40GB, il tasso di corruzione è molto elevato (con tutti le conseguenze del caso).
Per disabilitare l’automount è possibile usare PowerShell, con il seguente comando: Add-MailboxPermission -Identity -User -AccessRights FullAccess -AutoMapping $false
E se la stessa mailbox è vista da tutti gli utenti della mia azienda? Ancora una volta, PowerShell è la risposta ma con una serie di comandi più strutturati:
$listUsers = Get-Mailbox
foreach ($user in $listUsers) {
$userName = $user.Identity
$userAlias = $user.Alias
Add-MailboxPermission -Identity SharedMailbox -User $userName -AccessRights FullAccess -AutoMapping $false
Write-Host “Automap Global disattivato per utente ” $user.DisplayName -ForegroundColor Green
}
Ma se l’automap è disattivato, come vede l’utente la Shared? Il suggerimento è usare la webmail, anche se, teoricamente, può risultare più facile configurare nuovo file .ost dedicato alla Shared Mailbox.
Sent Item
Quando viene inviata una mail dalla Shared Mailbox, l’oggetto rimane all’interno della cartella “Posta Inviata” dell’utente che ha eseguito l’operazione. Per salvare una copia anche nella “Posta Inviata” della Shared Mailbox, bisogna solo attivarla nella sezione Sent Item.
Protezione e Gestione Avanzata
Benchè la Shared Mailbox sia una casella priva di utenza, non è meno soggetta agli attacchi ed i rischi sono legati alle mail che ogni giorno arrivano. Per difendersi al meglio è consigliato, almeno, andare ad attivare una licenza Microsoft Defender for Office 365 P1, così da difendersi da malware, phishing, link non sicuri e molto altro ancora.
Un’altra licenza da valutare è la Exchange Online P2, perchè vengono sdoganate tre funzioni importanti:
- Limite aumentato a 99GB
- Utilizzo Archivio Online
- Utilizzo Litigation Hold
A questi si aggiungono anche delle politiche di log superiori alla classica Shared Mailbox e la certezza di poter usare il mount manuale in Outlook.
Conclusioni
Quindi, le Shared Mailbox sono un ottimo strumento da usare, che aiuta a gestire al meglio le caselle di gruppo ma allo stesso tempo è necessario saperle usare e configurare al meglio per evitare problemi sia lato sicurezza che lato performance.