Outlook: e‑mail inoltrate a un indirizzo sconosciuto dopo un attacco (Hotmail/Outlook.com) — come bloccare l’inoltro malevolo e mettere in sicurezza l’account

Ricevi avvisi di “Mail Delivery Subsystem” o “blocked from being sent to …@hotmail.com” per ogni nuova e‑mail in arrivo? È il sintomo tipico di un inoltro malevolo impostato dopo la compromissione dell’account. Qui trovi analisi, cause e una procedura completa di ripristino.

Panoramica rapida

• Segnale: ogni messaggio ricevuto genera un secondo messaggio di errore (rimbalzo/NDR), spesso con riferimento a un destinatario Hotmail o altro indirizzo sconosciuto.
• Probabile causa: una regola di inoltro automatico o un inoltro globale creato dall’aggressore.
• Obiettivo dell’attacco: esfiltrare la posta o mantenere il controllo, intercettando conversazioni e reset di password.
• Soluzione: eliminare tutte le regole/filtri di inoltro non autorizzati, revocare accessi sospetti, abilitare 2FA e ripulire il dispositivo.

Problema

Dopo la compromissione dell’account, l’utente nota che ogni messaggio ricevuto genera un secondo messaggio di errore (“blocked from being sent to …@hotmail.com”, “Delivery has failed” o simili). Ciò indica che tutte le e‑mail in ingresso vengono tentate di inoltro verso un indirizzo non riconosciuto (spesso Hotmail/Outlook.com) e che la consegna viene rifiutata dal server di destinazione, provocando la notifica di rimbalzo dal postmaster.

Analisi della causa

Nella maggior parte dei casi, chi ha violato l’account ha creato una o più delle seguenti configurazioni che operano server‑side, quindi efficaci anche se il PC è spento:

• Regola di Posta in arrivo con azione “Inoltra” o “Reindirizza” verso un indirizzo esterno.
• Inoltro globale (impostazione distinta dalle regole) che inoltra una copia di tutta la posta in arrivo.
• Regole di sweep/gestione tipiche di Outlook.com (Hotmail, Live, MSN) che scattano su ogni messaggio.

Quando il server esterno (es. Hotmail) rifiuta o blocca queste consegne, il tuo sistema di posta genera avvisi del postmaster: è il sintomo che rivela l’inoltro malevolo in background.

Cosa fare subito (triage in sicurezza)

1. Blocca la fuga di dati: disattiva/elimini subito l’inoltro malevolo (vedi più avanti). Finché resta attivo, nuovi messaggi possono essere intercettati.
2. Rafforza l’accesso: cambia la password con una passphrase lunga e unica e attiva/verifica la 2FA prima di procedere oltre.
3. Revoca l’accesso a dispositivi/app sospette: esci da tutte le sessioni e rimuovi token/app non riconosciuti.
4. Controlla rapidamente “Bozze” e “Posta in uscita”: elimina eventuali messaggi preparati dall’attaccante per truffare i tuoi contatti.

Passaggi di risoluzione

Di seguito le procedure pratiche per eliminare le regole/filtri di inoltro e rimuovere tracce dell’attacco in Outlook su desktop e sul Web (sia per Outlook.com/Hotmail, sia per account lavoro/scuola Microsoft 365).

Eliminare regole e filtri di inoltro

Outlook per Windows (desktop)

1. Apri Outlook.
2. Sulla scheda Home, scegli Regole → Gestisci regole e avvisi… (in alcune versioni: File → Gestisci regole e avvisi).
3. Nella scheda Regole posta elettronica, scansiona l’elenco: qualunque regola con azioni “inoltra” o “reindirizza” verso indirizzi esterni (soprattutto @hotmail.com, @outlook.com, @gmail.com) è sospetta.
4. Seleziona la regola sospetta → Elimina. Ripeti per ogni elemento dubbio.
5. Conferma con Applica → OK.

Best practice: se l’elenco è lungo, esporta prima le regole (Opzioni → Esporta regole) per tenerne una copia di sicurezza. Dopo aver ripulito, puoi reimportare solo quelle legittime.

Outlook per Mac (desktop)

1. Apri Outlook.
2. Vai su Strumenti → Regole → Exchange/Outlook.com (in base all’account).
3. Individua e elimina qualunque regola che inoltri o reindirizzi la posta verso indirizzi esterni sconosciuti.
4. Salva le modifiche e riavvia Outlook.

Outlook sul Web per Outlook.com / Hotmail / Live / MSN

1. Apri Outlook sul Web e accedi con l’account interessato.
2. In alto a destra, clic sull’icona ⚙️ Impostazioni → Posta.
3. Controlla Regole: rimuovi qualunque regola con azioni “Inoltra” o “Reindirizza” verso indirizzi non autorizzati.
4. Controlla Posta → Inoltro: se abilitato, disattivalo o rimuovi l’indirizzo sconosciuto. Valuta di non mantenere una copia inoltrata.
5. Verifica anche Posta → Indirizzi mittente/scrivimi come, Alias e Risposte automatiche per assicurarti che l’attaccante non abbia impostato risposte truffaldine.

Outlook sul Web per Microsoft 365 / Exchange Online (account lavoro/scuola)

1. Accedi a Outlook sul Web con l’account aziendale/scuola.
2. Vai su Impostazioni → Posta.
3. Apre Regole e Inoltro e rimuovi tutto ciò che punta a indirizzi esterni non autorizzati.
4. Controlla Mail → Componi e rispondi (firma) e Risposte automatiche per eliminare eventuali messaggi creati dall’aggressore.

Tip di diagnosi:

• Le regole malevole spesso hanno nomi generici (“rule1”, “backup”, “forward all”) e condizioni ampie (“tutti i messaggi”).
• Cerca azioni come Inoltra, Reindirizza, Invia a, Aggiungi destinatario, Elimina o Sposta nella posta eliminata (per nascondere le tracce).
• Attenzione a regole che si attivano solo su “oggetto contiene” parole sensibili (banca, fattura, OTP): sono mirate a sottrarre dati specifici.

Controllare altre tracce dell’attacco

• Cartella “Bozze”: elimina eventuali e‑mail preparate per i tuoi contatti (truffe di emergenza, fatture false, richieste di gift card).
• Deleghe/Accessi: in Impostazioni ▸ Posta ▸ Sincronizzazione o Sicurezza rimuovi dispositivi e app che non riconosci. Revoca l’accesso a integrazioni terze (connettori, componenti aggiuntivi) non attese.
• Regole aggiuntive: alcune campagne impostano multiple regole (es. inoltro + spostamento in una cartella nascosta). Controlla “Elementi eliminati” e “Posta indesiderata”.

Misure di sicurezza aggiuntive (raccomandate)

Azione	Dettaglio
Modificare di nuovo la password	Utilizza una passphrase lunga (almeno quattro parole), unica e mai riutilizzata altrove.
Abilitare/Verificare la 2FA	Preferisci app di autenticazione. Rimuovi eventuali token o metodi 2FA sconosciuti.
Rivedere indirizzi di risposta, alias e inoltri	Controlla Alias, Indirizzo di risposta, Regole e Inoltro per rimuovere modifica non autorizzate.
Chiudere le sessioni attive	Verifica Accessi recenti e usa “Esci da tutti gli altri dispositivi”.
Scansione antimalware su PC/smartphone	Escludi la presenza di keylogger/trojan che potrebbero rubare nuovamente le credenziali.
Aggiornare password riutilizzate	Se usavi la stessa password altrove, cambiala ovunque. Un’unica violazione può propagarsi.
Verificare e-mail di recupero e telefono	Assicurati che i contatti di recupero dell’account non siano stati sostituiti.
Disabilitare protocolli legacy (se possibile)	POP/IMAP e autenticazione di base facilitano bypass della 2FA. Tienili disattivati se non servono.

Verifica dell’avvenuto ripristino

1. Invia due e‑mail di test al tuo indirizzo da un account esterno. Non dovrebbe comparire alcun nuovo NDR/rimbalzo.
2. Controlla che i messaggi non scompaiano e non vengano spostati in cartelle insolite.
3. Monitora per 24–48 ore: zero nuovi avvisi di postmaster è un buon segnale di ripristino.

Checklist operativa pronta all’uso

• ✔ Eliminate tutte le regole di inoltro/reindirizzamento non autorizzate (desktop e Web).
• ✔ Disattivato l’inoltro globale nelle impostazioni di posta.
• ✔ Pulizia di Bozze e Elementi eliminati da messaggi creati dall’attaccante.
• ✔ Cambio password + 2FA attivata / verificata.
• ✔ Revoca dispositivi, sessioni attive e app collegate sconosciute.
• ✔ Scansione antimalware su tutti i dispositivi usati per l’accesso.
• ✔ Aggiornamento di password identiche riutilizzate altrove.
• ✔ Test di ricezione senza nuovi rimbalzi verso @hotmail.com o altri domini.

Approfondimento tecnico (per contesti aziendali Microsoft 365)

Se utilizzi un account lavoro/scuola e possiedi privilegi amministrativi, puoi completare il ripristino con controlli lato tenant.

Controlli da Centro di amministrazione di Exchange (EAC)

• Inoltri mailbox: verifica che la casella non abbia Forwarding SMTP Address o DeliverToMailboxAndForward attivi verso esterni.
• Regole di trasporto: accertati che non siano state create mail flow rules che inoltrano automaticamente verso domini esterni.
• Accessi e autenticazione: se la tua organizzazione lo consente, disabilita Basic Auth e protocolli legacy per l’utente coinvolto.

Comandi utili per l’amministratore (Exchange Online)

Nota: riportiamo questi esempi per completezza. Eseguili solo se sai cosa stai facendo e in ambienti che li supportano.

Elenco regole della casella
Get-InboxRule -Mailbox utente@dominio

Rimozione di una regola sospetta

Remove-InboxRule -Mailbox utente@dominio -Identity "NomeRegola"

Verifica ed eventuale rimozione dell'inoltro globale

Get-Mailbox utente@dominio | fl ForwardingSmtpAddress,DeliverToMailboxAndForward
Set-Mailbox utente@dominio -ForwardingSmtpAddress $null -DeliverToMailboxAndForward $false

Ricerca regole di trasporto che inoltrano verso esterno

Get-TransportRule | where {$_.Actions -like "Redirect"} 

Domande frequenti

Perché ricevo rimbalzi anche se non ho mai configurato un inoltro?

Perché l’inoltro è stato creato da remoto sul server — ad esempio con Outlook sul Web — e agisce senza che tu veda nulla nel client. Pulendo solo le regole in locale potresti non rimuovere la fonte del problema. È essenziale controllare anche le impostazioni Regole e Inoltro nel Web.

Rimuovere l’inoltro cancella anche i messaggi già inviati all’attaccante?

No. L’azione agisce solo sul nuovo traffico. Valuta di informare i contatti più sensibili (banca, fornitori, clienti) e monitora accessi sospetti ad altri servizi collegati alla tua e‑mail.

È sempre colpa di una regola malevola?

Quasi sempre sì in questo scenario, ma esistono falsi positivi: ad esempio un inoltro legittimo verso un indirizzo pieno o inesistente può generare NDR. Se l’indirizzo di destinazione ti è sconosciuto, trattalo però come incidente di sicurezza.

Devo reimportare le regole dopo la pulizia?

Solo se necessario. Prima esportale, poi reimporta esclusivamente quelle che comprendi e che non inviano mai dati all’esterno senza una precisa motivazione.

Segnali di attacco correlati da non ignorare

• Regole che spostano messaggi in cartelle nascoste per non farti vedere risposte dei contatti.
• Risposte automatiche modificate con numeri/IBAN falsi o link di pagamento.
• Alias creati per fingersi te con altri indirizzi.
• Token di app “legacy” o password per app create dall’attaccante per aggirare la 2FA.

Modello di comunicazione post‑incidente

Se temi che l’attaccante abbia già contattato i tuoi interlocutori a tuo nome, invia un messaggio sintetico e chiaro:

Oggetto: Possibile compromissione e‑mail – non considerare richieste anomale

Ciao, la mia casella e‑mail è stata appena ripristinata da un tentativo di inoltro non autorizzato. Se hai ricevuto richieste insolite (pagamenti, codici, allegati sospetti), ignorale e contattami con una nuova e‑mail o telefono. Grazie.

Prevenzione a medio termine

• Blocca l’inoltro automatico esterno a livello organizzativo salvo eccezioni motivate.
• Abilita gli avvisi per creazione di regole sospette e accessi da Paesi inattesi.
• Forma gli utenti su phishing, MFA fatigue e gestione delle password.
• Riduci la superficie d’attacco: disabilita protocolli legacy, imposta criteri di scadenza password e proteggi i dispositivi con EDR/antivirus aggiornati.

Errori comuni da evitare

• Limitarsi a cambiare la password: se non rimuovi l’inoltro, il problema persiste.
• Controllare solo il client desktop: le regole server‑side restano attive finché non le rimuovi da Outlook sul Web.
• Ignorare piccoli indizi: bozze “strane”, time‑stamp di accesso notturni, nuove app collegate.
• Reimportare “alla cieca” tutte le vecchie regole dopo la pulizia.

Procedura completa riassunta (one‑pager)

1. Accedi in modo sicuro da un dispositivo pulito; cambia password e abilita/verifica 2FA.
2. Outlook desktop: Regole → Gestisci regole e avvisi → elimina inoltri sospetti.
3. Outlook sul Web: Impostazioni → Posta → Regole + Posta → Inoltro → disattiva/rimuovi tutto ciò che non riconosci.
4. Pulisci bozze e messaggi preparati; verifica firme e risposte automatiche.
5. Revoca dispositivi e sessioni sconosciute; rimuovi app/token non riconosciuti.
6. Scansiona i dispositivi con antimalware aggiornato.
7. Comunica ai contatti sensibili il ripristino ed eventuali rischi.
8. Test con e‑mail di prova e monitora l’assenza di nuovi NDR.

Risultato atteso

Una volta rimossa la regola di inoltro e rafforzate le impostazioni di sicurezza, i messaggi non verranno più indirizzati all’indirizzo sconosciuto e cesseranno le notifiche di rimbalzo. Con 2FA attiva, password robuste e accessi revocati, ridurrai drasticamente la possibilità che l’attaccante rientri nell’account.

Indicatori di compromissione (IoC) utili da annotare

• Indirizzo/i esterno/i verso cui puntava l’inoltro (es. nomecasuale@hotmail.com).
• Timestamp di creazione/modifica delle regole (se disponibile).
• IP/Paese degli accessi recenti non riconosciuti.
• Eventuali allegati o link sospetti presenti in bozze/inviati.

Queste informazioni possono servire per segnalazioni interne (IT/Sicurezza) o, dove necessario, per la conformità normativa.

Schema decisionale rapido

1. Vedi NDR verso Hotmail/Outlook.com? → Sì → Probabile regola di inoltro.
2. Outlook desktop pulito ma problema persiste? → Controlla Outlook sul Web (Regole + Inoltro).
3. Ancora presente? → Verifica a livello amministrativo (inoltri mailbox, regole di trasporto).
4. Risolto → Hardening post‑incidente (2FA, revoca sessioni, antimalware, password uniche).

Note sulla privacy e sulla continuità operativa

L’inoltro malevolo può avere implicazioni sulla privacy dei dati (documenti, allegati, corrispondenza). Considera l’opportunità di:

• Notificare l’incidente alle funzioni interne competenti (IT, sicurezza, DPO) se trattasi di contesto professionale.
• Ri‑verificare l’integrità di calendari e contatti (a volte vengono esportati o condivisi senza consenso).
• Implementare backup affidabili della casella di posta, in modo da poter ripristinare eventuali eliminazioni mirate.

Conclusioni

Il pattern “ogni e‑mail in arrivo genera un rimbalzo verso …@hotmail.com” è una spia inequivocabile di un inoltro impostato da un attaccante. Agisci in quattro mosse: rimuovi le regole malevole (desktop e Web), rafforza l’accesso (password + 2FA), revoca sessioni/token sospetti e ripulisci i dispositivi. Con una verifica finale tramite e‑mail di test e un monitoraggio breve, tornerai a ricevere normalmente e ridurrai al minimo il rischio di recidive.