olkPushNotificationBackgroundTask.exe è un componente legittimo di Outlook che gestisce le notifiche push (arrivo posta, promemoria calendario, inviti Teams) quando l’app è in background. Può essere segnalato come “sconosciuto” da alcuni antivirus se la firma digitale manca o non è valida.
Cos’è olkPushNotificationBackgroundTask.exe
Si tratta di un processo ausiliario di Microsoft Outlook (edizione classica/desktop compresa in Microsoft 365 o Office) che mantiene aperto il canale di comunicazione per le push notifications. In pratica:
- Ricevi email e promemoria quasi in tempo reale, senza ricorrere al polling aggressivo.
- Riduci traffico di rete e consumo batteria rispetto al “controlla posta ogni X minuti”.
- Garantisce che promemoria di calendario e inviti a riunioni vengano mostrati anche se Outlook non è in primo piano.
Il file eseguibile viene distribuito insieme a Outlook e risiede nelle cartelle di installazione di Office. La sua presenza è normale su postazioni che usano Outlook classico. Se utilizzi esclusivamente il Nuovo Outlook per Windows (app moderna), potresti non trovare questo eseguibile perché l’architettura è differente.
Panoramica rapida di sicurezza
| Punto chiave | Dettagli operativi |
|---|---|
| Cos’è | Processo di Outlook che mantiene le notifiche push (email, promemoria calendario, inviti Teams) mentre l’app è in background. |
| Percorso atteso | %ProgramFiles%\Microsoft Office\root\OfficeXX\olkPushNotificationBackgroundTask.exe oppure C:\Program Files (x86)\Microsoft Office\root\OfficeXX\.... Nelle installazioni Microsoft 365 moderne Office16 è il valore più frequente. |
| Firma digitale | Deve risultare firmato da Microsoft Corporation. Se la firma manca o è non valida, è ragionevole sospettare corruzione o sostituzione. |
| Perché può apparire sospetto | Aggiornamenti non completi, copie corrotte o falsi positivi AV. Talvolta build Insider o file temporanei durante l’update vengono etichettati come “sconosciuti”. |
| Verifiche consigliate | Controllare la Firma digitale nelle proprietà del file, confermare l’hash (es. SHA‑256) e verificare che il percorso sia quello di Office, non cartelle utente o temporanee. |
| Azioni correttive | Se firmato e nel percorso atteso: consentire/whitelistare nel tuo antivirus. Se non firmato o fuori percorso: eliminare il file, quindi Ripristino rapido (o Riparazione online) di Microsoft 365 e aggiornare Office/Windows. |
| Conseguenze della rimozione | Rimuoverlo o bloccarlo comporta ritardi nella posta e nei promemoria: Outlook passa al polling periodico, con possibili ritardi e più traffico. |
È sicuro o è malware?
Nella stragrande maggioranza dei casi è sicuro perché fa parte di Outlook. Diventa sospetto soltanto quando uno dei seguenti elementi non torna:
- Percorso diverso da
\Microsoft Office\root\OfficeXX\. - Firma digitale assente, scaduta o non valida.
- Nome simile ma non identico (es. typo, spazi o caratteri speciali inattesi) collocato in
%AppData%,%Temp%,Downloadso radice del profilo utente. - Comportamento anomalo: picchi costanti di CPU, rete o tentativi di persistenza insolita (voci di avvio in Registro o Attività pianificate non riconducibili a Office).
Percorso, architetture e versioni
Office/Microsoft 365 installa i binari di Outlook all’interno della gerarchia Microsoft Office\root. Le variabili principali sono:
- Architettura:
- Office a 64 bit su Windows a 64 bit:
C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe - Office a 32 bit su Windows a 64 bit:
C:\Program Files (x86)\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe
- Office a 64 bit su Windows a 64 bit:
- Versione:
Office16è la più comune per Microsoft 365 “Click‑to‑Run”. In ambienti legacy potrebbe comparireOffice15o simili.
Regola d’oro: se il file vive in Program Files (o Program Files (x86)) sotto Microsoft Office\root\OfficeXX ed è firmato da Microsoft, è coerente con un’installazione legittima.
Perché l’antivirus lo segnala come “sconosciuto”
Molti motori adottano classificazioni euristiche come “sconosciuto”, “bassa diffusione” o “non comune”. Ciò può accadere quando:
- Il file è appena stato aggiornato e non ha ancora sufficiente “reputazione”.
- L’update di Office si è interrotto e il binario è rimasto parzialmente scritto o privo di firma.
- Il prodotto antivirus non è aggiornato o ha regole aggressive per i binari in background.
Non equivale a “malware”. Significa semplicemente che il motore non possiede abbastanza segnali di fiducia. Le verifiche qui sotto permettono di chiudere il dubbio in pochi minuti.
Verifiche rapide per utenti
- Vedi il processo in Gestione attività:
- Clic destro sul processo → Apri percorso file.
- Controlla che la cartella sia
...\Microsoft Office\root\OfficeXX\.
- Controlla la firma digitale:
- Clic destro sul file → Proprietà → scheda Firme digitali.
- Il Nome firmatario deve essere Microsoft Corporation e lo stato La firma digitale è valida.
- Conferma l’hash (opzionale ma utile):
- Apri PowerShell come amministratore e calcola l’hash SHA‑256 (vedi comandi sotto).
- Confrontalo con una fonte attendibile o invialo a un servizio reputazionale affidabile.
- Ricontrolla l’antivirus:
- Aggiorna le definizioni e ripeti la scansione.
- Se tutto torna (percorso + firma), consenti l’eseguibile.
Verifiche avanzate per amministratori e SOC
- Convalida della catena di certificazione con
signtooloGet-AuthenticodeSignature. - Telemetry: monitora creazione processi (Process Creation, Event ID 4688) e accessi file su
...\OfficeXX\olkPushNotificationBackgroundTask.exe; deviazioni di percorso sono IoC utili. - Network: aspettati comunicazioni verso endpoint Microsoft/Exchange; connessioni insolite verso domini non Microsoft sono un segnale da approfondire.
- Persistenza: non dovrebbe registrare voci autonome di avvio. Se vedi attività pianificate o chiavi
Runche puntano a un look‑alike in%AppData%, tratta il caso come compromissione. - Allowlists gestite:
- WDAC/AppLocker basati su Publisher per consentire binari firmati Microsoft Corporation nel percorso di Office.
- Defender for Endpoint: crea Indicators – Allow per hash noti se necessario; preferisci comunque regole per Publisher rispetto agli hash, che scadono a ogni aggiornamento.
Come distinguere originale e imitazione
| Segnali di legittimità | Segnali di rischio |
|---|---|
Percorso sotto Program Files\Microsoft Office\root\OfficeXX. | Percorso in %AppData%, %Temp%, Downloads, Public o radice del profilo utente. |
| Firma digitale valida Microsoft Corporation. | Firma assente/non valida o firmatario sconosciuto. |
| Dimensione coerente con altri binari Office e timestamp recente (in linea con l’ultima patch). | Dimensione anomala, timestamp fuori scala, versione “0.0.0.0”. |
| Comportamento di rete verso servizi Microsoft/Exchange. | Connessioni ripetute verso domini/IP estranei, tentativi di persistenza. |
Azioni correttive consigliate
Se il file è firmato e nel percorso atteso
- Aggiorna l’antivirus e ripeti la scansione.
- Imposta una regola di esclusione/consent nel prodotto di sicurezza (meglio se per Publisher o per cartella di Office).
- Controlla gli aggiornamenti di Microsoft 365: in Outlook vai su File ▸ Account Office ▸ Opzioni di aggiornamento ▸ Aggiorna.
Se il file non è firmato, la firma è rotta o il percorso è anomalo
- Isola il file: quarantena o rinomina/elimina la copia sospetta.
- Esegui una analisi completa e, se possibile, una Analisi offline di Microsoft Defender.
- Ripara l’installazione di Office:
- Impostazioni ▸ App ▸ App installate ▸ Microsoft 365 ▸ Modifica → Ripristino rapido (se non basta, usa Riparazione online).
- Aggiorna Windows e Office, quindi verifica di nuovo la firma digitale.
Conseguenze del blocco o della rimozione
Bloccare o rimuovere olkPushNotificationBackgroundTask.exe non impedisce a Outlook di funzionare, ma degrada l’esperienza:
- Le email e i promemoria arrivano con ritardo, secondo l’intervallo di invio/ricezione.
- Possibili maggiori consumi di rete e batteria dovuti al polling.
- Notifiche di calendario e inviti potrebbero non comparire in tempo reale.
Procedura dettagliata passo‑passo
Controllo firma con PowerShell
$path = "${env:ProgramFiles}\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe"
if (-not (Test-Path $path)) {
$path = "${env:ProgramFiles(x86)}\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe"
}
Get-Item $path | Select-Object FullName,Length,LastWriteTime
Get-AuthenticodeSignature $path | Format-List Status, StatusMessage, SignerCertificate
(Get-Item $path).VersionInfo | Format-List CompanyName, ProductName, FileDescription, FileVersion, OriginalFilename
Calcolo hash
Get-FileHash -Algorithm SHA256 $path
certutil -hashfile "C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe" SHA256
Verifica firma con Signtool
signtool verify /pa "C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe"
Individuare processi duplicati o fuori percorso
Get-CimInstance Win32_Process `
| Where-Object { $_.Name -like "olkPushNotificationBackgroundTask.exe" } `
| Select-Object Name, ProcessId, CommandLine, ExecutablePath
Se vedi ExecutablePath al di fuori di Program Files\Microsoft Office\root\OfficeXX, approfondisci immediatamente.
Best practice per ambienti aziendali
- AppLocker/WDAC:
- Regole per Publisher che consentono i binari firmati da Microsoft Corporation nei percorsi di Office.
- Evitare whitelist statiche di hash: si invalidano a ogni patch.
- Defender for Endpoint:
- Usare Indicators – Allow in caso di falsi positivi ricorrenti, preferibilmente con ambito e durata limitati.
- ASR: nessuna regola dovrebbe bloccare binari firmati Microsoft nei percorsi di sistema; verificare eccezioni personalizzate.
- Distribuzione controllata degli aggiornamenti Office:
- Canali aggiornamento coerenti (Current/Monthly Enterprise/Deferred) per evitare mis‑match di versioni.
- Script di health check post‑update per convalida firma dei principali eseguibili di Office.
- Telemetria e hunting:
- Creare una query di baseline che elenchi i percorsi legittimi osservati su host sani.
- Alert su esecuzioni del nome file da percorsi utente o temporanei.
Segnali pratici di troubleshooting
- Email in ritardo, promemoria che non compaiono se Outlook è minimizzato: spesso dovuto al processo bloccato dall’AV.
- Consumo CPU alto dopo un aggiornamento Office: riparare l’installazione ristabilisce i binari e la firma.
- Errori di firma isolati su pochi PC: tipico di update interrotto o rollback incompleto.
Domande frequenti
Posso disabilitarlo senza rischi?
Tecnicamente sì, Outlook continuerà a funzionare ma perderai la consegna push e tornerai al polling con ritardi nelle notifiche e potenziale aumento del traffico.
Perché il mio antivirus lo definisce “sconosciuto” ma non “malevolo”?
“Sconosciuto” è una valutazione reputazionale, non una condanna. Se firma e percorso sono corretti, è false alarm.
Non trovo il file sul PC
Se usi solo il Nuovo Outlook o non hai Outlook classico installato, è normale non vederlo. In alternativa, l’installazione potrebbe essere incompleta: esegui una riparazione.
Checklist finale
- Il file si trova in
Program Files\Microsoft Office\root\OfficeXX? - La firma digitale è valida e firmata da Microsoft Corporation?
- L’antivirus è aggiornato e non rileva più il file dopo la whitelist o l’aggiornamento definizioni?
- In caso di anomalie: rimuovi copie fuori percorso, ripara Office, riesegui la scansione.
Conclusione
olkPushNotificationBackgroundTask.exe è un componente ordinario e sicuro dell’ecosistema Outlook. La sua funzione è abilitare notifiche push affidabili e tempestive, riducendo al contempo il carico di rete. Le segnalazioni “sconosciuto” sono perlopiù falsi positivi o esiti di aggiornamenti imperfetti. La verifica del percorso e della firma digitale risolve il dubbio in modo rapido e oggettivo. In ambito enterprise, basarsi su regole per Publisher (anziché su hash) e mantenere aggiornati Office e i motori AV elimina quasi tutte le frizioni operative.
Vantaggi nel mantenerlo attivo
- Ricezione push immediata di posta e promemoria.
- Minor traffico di polling e migliore efficienza energetica.
Svantaggi potenziali
- Limitato consumo di CPU/RAM in background (normalmente trascurabile).
- Possibilità di falsi positivi quando la firma manca o è danneggiata.
Suggerimento per aziende: distribuire criteri che consentano binari firmati Microsoft Corporation e automatizzare la whitelist basata su Publisher. Se si ricorre agli hash, aggiornarli in concomitanza con ogni rilascio di patch per evitare blocchi post‑update.
Appendice: comandi pronti all’uso
PowerShell: informazioni file e firma
$paths = @(
"${env:ProgramFiles}\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe",
"${env:ProgramFiles(x86)}\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe"
)
$target = $paths | Where-Object { Test-Path $_ } | Select-Object -First 1
if ($null -eq $target) { Write-Host "File non trovato nei percorsi standard."; exit }
"Percorso: $target`n"
Get-Item $target | Select-Object FullName,Length,LastWriteTime | Format-List
(Get-Item $target).VersionInfo | `
Select-Object CompanyName,ProductName,FileDescription,FileVersion,OriginalFilename | Format-List
Get-AuthenticodeSignature $target | Format-List Status, StatusMessage, SignerCertificate PowerShell: calcolo hash
Get-FileHash -Path $target -Algorithm SHA256
CMD: verifica firma e hash
signtool verify /pa "C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe"
certutil -hashfile "C:\Program Files\Microsoft Office\root\Office16\olkPushNotificationBackgroundTask.exe" SHA256
Individuare copie sospette in profilo utente
Get-ChildItem -Path $env:USERPROFILE -Filter "olkPushNotificationBackgroundTask*.exe" -Recurse -ErrorAction SilentlyContinue `
| Select-Object FullName,Length,LastWriteTime
Elenco processi e percorso eseguibile
Get-CimInstance Win32_Process `
| Where-Object { $_.Name -like "olkPushNotificationBackgroundTask.exe" } `
| Select-Object Name,ProcessId,ExecutablePath,CommandLine
In sintesi: olkPushNotificationBackgroundTask.exe è normalmente sicuro e parte integrante di Outlook; se il tuo antivirus lo segnala, verifica percorso e firma digitale. Se qualcosa non torna, rimuovi la copia sospetta e ripara l’installazione di Office: in pochi passaggi ripristini la situazione corretta senza perdere le notifiche push.