Ricevi e‑mail su “chiusura account”, raffiche di “Undeliverable/Deactivation pending review” o richieste di ricarica saldo da servizi come Turfy/Yahoo Small Business? Ecco come riconoscerle, gestirle con regole rapide in Outlook e mettere in sicurezza l’account con procedure concrete.

Panoramica: cosa sta succedendo davvero

Ogni scenario descritto rientra in due grandi categorie di abuso:

• Phishing mirato alla tua casella: e‑mail che imitano Microsoft/Outlook o altri brand per farti cliccare su un link, sbloccare la casella o “ricaricare” un saldo. L’obiettivo è rubare credenziali o soldi.
• Abuso del tuo indirizzo (spoofing): qualcuno invia spam spacciandosi per te. I server che rifiutano quei messaggi rimandano a te gli errori (“bounce‑back”), generando una raffica di “Undeliverable”.

In nessuno dei casi è richiesto di cliccare subito un link o pagare: si tratta quasi sempre di frodi. Di seguito trovi istruzioni passo‑passo, modelli di regole filtranti e liste di controllo tecniche e operative.

---

E‑mail di “chiusura account Microsoft/Outlook”

Il problema

Alcuni utenti ricevono un messaggio che annuncia la disattivazione imminente dell’account (entro poche ore o giorni) e chiede di confermare l’indirizzo cliccando su un collegamento. Talvolta il link appare legittimo perché passa tramite un dominio di riscrittura URL, come na01.safelinks.protection.outlook.com.

Perché è phishing

• Microsoft non chiude caselle attive con ultimatum via e‑mail e non chiede conferme urgenti tramite link esterni.
• Un dominio di protezione link non rende sicuro un collegamento malevolo. I truffatori possono incapsulare un URL dannoso in una redirezione.
• Spesso mancano dettagli coerenti (numero di account, nome reale, recapiti), e il tono è intimidatorio (“entro 12 ore”).

Segnali concreti da guardare

Segnale	Cosa indica	Esempio
Mittente anomalo	Dominio che somiglia ma non è quello ufficiale	support@micr0soft‑secure.com
Scadenza lampo	Pressione psicologica per indurre l’errore	“Il tuo account verrà sospeso entro 6 ore”
Link mascherati	Testo che sembra legittimo ma porta altrove	“Verifica ora” → …/verify.php?id=…
Allegati inattesi	Possibili trojan o pagine di phishing offline	Notice.html, Security_Update.zip

La soluzione, in breve

1. Non aprire il link e non scaricare gli allegati.
2. Segnala come phishing in Outlook: Posta indesiderata → Segnala phishing (o funzione equivalente nel tuo client).
3. Elimina definitivamente il messaggio (svuota “Posta eliminata”).
4. Se hai cliccato: cambia subito la password, abilita l’autenticazione a due fattori e verifica l’attività di accesso sospetta.

Procedura dettagliata in Outlook

Outlook sul Web

1. Apri il messaggio sospetto senza cliccare link o immagini.
2. Seleziona Altro (⋯) → Segnala → Phishing.
3. Conferma l’invio del report e sposta il messaggio in Posta eliminata.

Outlook per Windows

1. Seleziona il messaggio.
2. Vai su Posta indesiderata → Segnala come phishing.
3. Elimina definitivamente (Maiusc+Canc) e svuota il cestino.

Dispositivi mobili (iOS/Android)

1. Tieni premuto il messaggio → Segnala messaggio → Phishing.
2. Elimina il messaggio.

Se hai cliccato per errore

1. Cambia password da un dispositivo sicuro. Usa una frase lunga, unica, non riutilizzata altrove.
2. Abilita/controlla 2FA: preferisci app di autenticazione rispetto all’SMS.
3. Rivedi regole e inoltri in Outlook: Impostazioni → Posta → Regole. Elimina regole sconosciute (es. “Sposta tutto in Archiviati”, “Inoltra a …”).
4. Verifica sessioni e dispositivi: termina l’accesso ovunque e rientra solo da browser fidato.
5. Controlla app e deleghe: revoca permessi OAuth sospetti (app che “leggono posta/inviano a tua insaputa”).
6. Scansione antimalware del PC se hai aperto allegati.

Domanda frequente: “Il link passa da SafeLinks, quindi è sicuro?”

No. SafeLinks è un sistema di riscrittura e analisi degli URL usato da molti provider: può bloccare molto, ma non garantisce che ogni link sia affidabile. Diffida sempre di richieste di urgenza e reset credenziali partite da una e‑mail inattesa: quando devi verificare qualcosa, digita manualmente l’indirizzo del portale nel browser e accedi da lì.

---

Raffica di “Undeliverable / Deactivation pending review”

Il problema

In pochi minuti arrivano centinaia di messaggi automatici di mancato recapito (“Delivery Status Notification (Failure)”, “Undeliverable”, “Mail delivery failed” ecc.). È stressante e fa pensare che il tuo account stia inviando spam.

Spiegazione tecnica

Nella maggior parte dei casi sei vittima di spoofing: un mittente malevolo invia messaggi fingendo di essere tuoindirizzo@dominio.tld. Quando i server di destinazione rifiutano quei messaggi (per filtri antispam, caselle inesistenti, blocchi), inviano il bounce all’indirizzo del mittente apparente: tu. Da qui la raffica.

Questo non implica necessariamente che la tua casella sia stata compromessa. La verifica è semplice: controlla la Posta inviata. Se non trovi e‑mail sconosciute, è probabile che si tratti solo di spoofing.

Contromisure rapide

1. Filtri temporanei: crea una regola che sposti automaticamente i bounce in Posta indesiderata o in una cartella dedicata per pulizie periodiche.
2. Imposta i record anti‑spoofing (se gestisci un dominio): SPF, DKIM e DMARC. Per account consumer su domini del provider (es. outlook.com, yahoo.com) è già tutto gestito lato servizio.
3. Ignora i bounce: lo spammer presto cambierà indirizzo d’origine e la raffica cesserà.

Come creare la regola “anti‑raffica” in Outlook

Outlook sul Web

1. Impostazioni (icona ingranaggio) → Posta → Regole → Aggiungi nuova regola.
2. Condizioni: “Oggetto include” una o più frasi:
   • Undeliverable
   • Delivery Status Notification
   • Mail delivery failed
   • Returned mail
   • Deactivation pending review
3. Azioni: “Sposta in” → cartella Rimbalzi (creane una dedicata) oppure “Segna come posta indesiderata”.
4. Eccezioni (consigliato): se Mittente è il tuo dominio o un connettore noto (per evitare di perdere veri messaggi diagnostici interni).

<h4>Outlook per Windows</h4>
<ol>
  <li><strong>File</strong> → <strong>Gestisci regole e avvisi</strong> → <strong>Nuova regola</strong>.</li>
  <li>“Applica regola ai messaggi in arrivo” → <em>oggetto contiene parole specifiche</em> (inserisci le frasi sopra).</li>
  <li>“Sposta nella cartella” → <strong>Rimbalzi</strong> oppure <strong>Posta indesiderata</strong>.</li>
  <li>Salva e attiva.</li>
</ol>

Verifica di compromissione

• Controlla Posta inviata e Elementi eliminati per invii non riconosciuti.
• Rivedi Regole di posta e Inoltri automatici (un attaccante spesso crea regole per nascondere le risposte o dirottare i thread).
• Verifica Accessi recenti (posizione, data, dispositivo). Disconnetti le sessioni sospette.

Per chi gestisce un dominio: esempio di record

SPF (DNS, tipo TXT):

v=spf1 include:spf.protection.outlook.com -all

DKIM (attiva la firma sul tuo servizio e pubblica le chiavi nel DNS; esempio di record TXT per selettore selector1):

selector1.domainkey.tuodominio.tld  IN  TXT  "v=DKIM1; k=rsa; p=CHIAVEPUBBLICA"

DMARC (DNS, tipo TXT):

_dmarc.tuodominio.tld  IN  TXT  "v=DMARC1; p=reject; rua=mailto:report@tuodominio.tld; ruf=mailto:forensics@tuodominio.tld; fo=1; pct=100; adkim=s; aspf=s"

Note: usa p=quarantine o p=none per un’introduzione graduale; sincronizza i mittenti legittimi prima di passare a reject. Mantieni gli indirizzi rua/ruf sotto controllo per i report.

---

Avviso di “saldo insufficiente” da Turfy/Yahoo Small Business

Il problema

E‑mail che impongono il pagamento di un inesistente “balance top‑up” entro 24 ore per evitare la disattivazione dell’account. Il messaggio arriva da indirizzi no‑reply, senza numero di conto o dettagli verificabili.

Perché è phishing

• Tono minaccioso e scadenze forzate (“entro 24 ore”).
• Assenza di riferimenti reali (ID cliente, fattura, canali di supporto ufficiali).
• Mittente non coerente (domini “simili” o generici).
• Richiesta di pagamento tramite metodi anomali (carte ricaricabili, criptovalute, gift card).

Cosa fare subito

1. Non pagare e non rispondere.
2. Segnala come phishing nel tuo client.
3. Verifica lo stato reale della fatturazione: apri il browser e digita manualmente l’indirizzo del portale ufficiale; accedi e controlla la sezione pagamenti. Non usare i link nel messaggio.

Esempi di oggetti malevoli ricorrenti

• “Payment required: Balance Top‑Up to avoid deactivation”
• “Immediate action: account suspension pending”
• “Billing alert: insufficient balance”

Se hai inserito dati di pagamento

1. Blocca la carta contattando subito l’emittente.
2. Monitora movimenti e attiva alert in tempo reale.
3. Denuncia la frode al tuo istituto e conserva e‑mail e ricevute come prova.

---

Buone pratiche generali contro il phishing

Le seguenti pratiche riducono drasticamente il rischio, e semplificano la gestione quando qualcosa va storto.

Passo	Perché farlo	Come farlo rapidamente
Attivare l’autenticazione a due fattori	Riduce il rischio di accessi non autorizzati anche se la password viene rubata	Impostazioni di sicurezza dell’account (Microsoft, Yahoo, ecc.)
Aggiornare password uniche e lunghe	Limita i danni di data‑breach e credenziali riutilizzate	Usa un password manager o frasi lunghe casuali
Controllare URL e mittente prima di cliccare	I truffatori imitano loghi/nomi ma l’indirizzo reale tradisce la frode	Passa il mouse sul link, verifica dominio e sottodominio
Usare la funzione “Segnala phishing”	Aiuta il provider a bloccare campagne simili per tutti gli utenti	Opzione presente in Outlook, Gmail, Yahoo Mail
Mantenere aggiornati antivirus e sistema operativo	Protegge da allegati dannosi o exploit drive‑by	Abilita aggiornamenti automatici + scansioni periodiche
Verificare regole e inoltri	Gli attaccanti spesso creano regole per nascondere e dirottare la posta	Impostazioni → Posta → Regole e Inoltri automatici
Rivedere app collegate/permessi OAuth	Revoca accessi a terze parti non più necessari o sospetti	Sezione App e servizi con accesso dell’account
Impostare avvisi d’accesso	Ricevi notifiche per log‑in da nuovi dispositivi/posizioni	Preferenze di sicurezza → Notifiche
Backup dei metodi di recupero	Se perdi l’accesso 2FA, eviti blocchi prolungati	Codici di backup stampati/offline, e‑mail secondaria verificata

Checklist “ho cliccato”

1. Cambia password immediatamente.
2. Abilita/controlla 2FA; rigenera i codici di backup.
3. Rimuovi regole e inoltri sospetti.
4. Chiudi le sessioni attive e rientra solo da dispositivi fidati.
5. Revoca app/permessi non riconosciuti.
6. Esegui scansione antimalware sui dispositivi usati per l’accesso.
7. Se hai fornito carta o IBAN, avvisa l’istituto di credito.

---

Procedure rapide per Outlook: segnalazione e filtri

Segnalare come phishing

• Outlook sul Web: apri il messaggio → Altro (⋯) → Segnala → Phishing.
• Outlook per Windows: seleziona il messaggio → Posta indesiderata → Segnala come phishing.
• Outlook per Mac: seleziona → Messaggio → Segnala come indesiderata → Phishing.
• App mobile: tieni premuto → Segnala messaggio → Phishing.

Creare una regola per i bounce

Usa l’oggetto come discriminante (vedi elenco nella sezione “anti‑raffica”). Aggiungi eccezioni per diagnostica interna o corrispondenza con amministratori fidati.

Regola “ignora link sospetti”

Per ridurre la superficie di rischio, puoi creare una regola che sposta in una cartella di revisione messaggi con frasi come “verifica il tuo account”, “conferma la password”, “sospensione in 24 ore”. Verifica periodicamente la cartella e svuotala.

---

Capire gli header: come si smaschera lo spoofing

Gli header del messaggio (intestazioni) raccontano com’è stato recapitato. Alcune voci chiave:

• From: mittente dichiarato (può essere falsificato).
• Reply‑To: dove finisce la risposta (spesso un altro dominio).
• Return‑Path: indirizzo di ritorno usato per i bounce.
• Received: catena dei server attraversati (lettura dall’alto verso il basso).
• Authentication‑Results: esito di SPF/DKIM/DMARC (es. spf=fail, dkim=none, dmarc=fail).

Esempio (semplificato):

From: "Microsoft Support" <support@micr0soft-secure.com>
Reply-To: noreply@secure‑verify.tld
Return-Path: bounce@mailer‑bad.tld
Subject: ACTION REQUIRED: verify your Outlook account
Authentication-Results: spf=fail (domain does not designate) smtp.mailfrom=mailer‑bad.tld; dkim=none; dmarc=fail
Received: from unknown (HELO smtp.badhost.tld) (203.0.113.10) by mail.receiver.tld with ESMTP;

Interpretazione: mittente apparente non affidabile, autenticazioni fallite, catena di recapito sospetta → phishing.

---

Modelli pronti: regole e parole chiave utili

Parole chiave per oggetto/URL

• Undeliverable, Delivery Status Notification, Mail delivery failed, Returned mail
• Deactivation pending review, Verification required, Account suspension, Top‑Up, Balance
• confirm your account, password expires, validate mailbox

Esempio di regola (pseudoconfigurazione)

SE Oggetto contiene qualsiasi di: ["Undeliverable","Delivery Status Notification",
"Mail delivery failed","Returned mail","Deactivation pending review"]
ALLORA Sposta nella cartella: "Rimbalzi"
ECCETTO SE Mittente termina con: ["@tuodominio.tld","@partnerfidato.tld"]

---

Consigli per amministratori e team IT

• Allineamento SPF/DKIM/DMARC: assicurati che ogni sorgente di invio (newsletter, CRM, helpdesk) sia autorizzata e firmi correttamente.
• Politiche DMARC: parti da p=none e passa progressivamente a quarantine/reject con report rua attivi per la visibilità.
• Protezione in ingresso: applica criteri antiphishing, blocco similitudine domini, banner per messaggi esterni, sandboxing allegati.
• Awareness: micro‑formazione periodica (simulazioni brevi) per riconoscere pressioni di urgenza, linguaggio emotivo, richieste di denaro segrete.
• Playbook incident: definisci flussi “ho cliccato” (reset forzato password, invalidazione token, audit regole/inoltri, comunicazione all’utente, verifica app malevole).

---

Altri schemi correlati da conoscere

• Vishing/Smishing: chiamate o SMS che rimandano a “verifiche” dell’account; il principio è lo stesso: non cliccare e non fornire codici di verifica.
• Business Email Compromise (BEC): attaccanti che imitano dirigenti/fornitori per dirottare pagamenti. Procedura: verifica con canali alternativi e richiedi sempre conferma a due fattori per cambi IBAN.
• Allegati HTML con login fasullo offline: anche senza Internet attivo possono rubare credenziali se inserite nel form locale.

---

Domande frequenti

La mia casella è stata davvero violata?

Se non vedi invii sospetti in Posta inviata e non ci sono regole/inoltri nuovi, probabilmente si tratta di spoofing esterno. Continua a monitorare e rafforza le impostazioni di sicurezza.

Perché continuano ad arrivare rimbalzi?

Finché lo spammer usa il tuo indirizzo come mittente, i rimbalzi proseguiranno. Le regole filtranti e i record SPF/DKIM/DMARC corretti riducono il fenomeno; in genere la raffica si esaurisce quando l’attaccante cambia target.

Ho pagato una “ricarica saldo”

Contatta immediatamente la tua banca/emittente carta, segnala la frode e avvia la procedura di contestazione. Conserva e‑mail, ricevute e ogni dettaglio utile.

SafeLinks ha bloccato il link: devo fare altro?

Sì: cambia comunque la password se hai inserito credenziali e rivedi regole/inoltri. Le protezioni riducono il rischio ma non sostituiscono l’igiene dell’account.

---

In sintesi (takeaway operativi)

• Ignora e‑mail con ultimatum e link per “confermare/sbloccare” l’account: è phishing.
• Segnala sempre come phishing dal client (Outlook o altro) e elimina il messaggio.
• Gestisci le raffiche di bounce con una regola temporanea e, se hai un dominio, allinea SPF/DKIM/DMARC.
• Rafforza l’account: password unica e lunga, 2FA, revisione regole/inoltri, revoca app sospette.
• Quando serve verificare fatture o saldi, accedi solo digitando manualmente l’indirizzo ufficiale del servizio.

---

Appendice: mini‑glossario

Phishing Tentativo di inganno per ottenere credenziali o denaro, spesso con pagine clone dei portali ufficiali. Spoofing Falsificazione dell’identità del mittente e‑mail, resa possibile da protocolli storicamente permissivi. Bounce‑back Notifica di mancato recapito generata dal server di destinazione e inviata al (presunto) mittente. SPF/DKIM/DMARC Tris di tecnologie per autenticare i mittenti, firmare i messaggi e istruire i destinatari su cosa fare se i controlli falliscono.

---

Checklist stampabile

• [ ] Ho abilitato 2FA e ho salvato i codici di backup.
• [ ] La password della casella è unica e lunga (almeno 14 caratteri).
• [ ] Niente inoltri o regole sospette attivi.
• [ ] App/permessi OAuth verificati e puliti.
• [ ] Regola “anti‑raffica” per bounce pronta a scattare.
• [ ] Per il mio dominio: SPF/DKIM/DMARC corretti e monitorati.

---

Nota finale sulla sicurezza personale

La sicurezza e‑mail non è un pulsante magico ma un insieme di abitudini. Con i passaggi descritti in questa guida puoi disattivare la pressione psicologica degli attaccanti, mantenere la casella pulita durante gli attacchi di spoofing e ripristinare rapidamente il controllo in caso di clic accidentali. Rendi periodica la revisione delle impostazioni (password, 2FA, regole, dispositivi) e affronta ogni e‑mail urgente con un attimo di sospetto: quello basta spesso a salvare l’account.