Interrompere l’esportazione della cassetta postale dopo un’intrusione: guida completa per Outlook/Microsoft 365 e Gmail

Un intruso sta copiando le email? Qui trovi un piano d’azione pratico per bloccare subito l’esportazione della cassetta postale (Outlook/Microsoft 365, Gmail e altri), ripulire regole e app malevole, e mettere in sicurezza account e dispositivi con procedure operative e script d’esempio.

Indice

Perché l’esportazione della cassetta postale è critica (e cosa fa l’attaccante)

Quando un account email viene compromesso, gli aggressori puntano all’esfiltrazione completa dei messaggi. Per farlo usano canali “legittimi” già presenti nel servizio, così da passare inosservati:

POP/IMAP: protocolli standard che permettono di scaricare la posta in massa su un client.
Regole di inoltro e reindirizzamento: copiano automaticamente ogni messaggio verso una casella esterna.
Accessi OAuth/API (app connesse): applicazioni che leggono la posta via API senza richiedere la password di nuovo.
Client e dispositivi configurati: smartphone o app desktop aggiunti dall’intruso che continuano a sincronizzare.
Esportazioni locali (ad es. in PST) tramite client di posta con sessioni già aperte.

Punto chiave: i messaggi già copiati non possono essere “richiamati indietro”. L’obiettivo è interrompere subito l’accesso e il flusso di nuove esportazioni, ripulire ogni back‑door e ridurre l’impatto.

Piano d’azione rapido (da applicare subito)

Blocca l’accesso: cambia la password da un dispositivo sano e esci da tutti i dispositivi (revoca sessioni).
Attiva MFA/2FA per l’account (preferisci app di autenticazione o chiavi FIDO).
Disattiva temporaneamente POP/IMAP sull’account e blocca l’SMTP autenticato se non necessario.
Rimuovi inoltri e regole sospette (sia lato utente che lato trasporto, se disponibile).
Revoca app OAuth e deleghe che possono leggere la posta; elimina dispositivi di posta sconosciuti.
Controlla e ripulisci il client locale: scansione antimalware completa, update OS e software.
Valuta i danni: identifica dati sensibili già esfiltrati; avvisa i contatti se serve (possibile phishing).
Rafforza le policy: disabilita la legacy auth dove possibile, imposta criteri anti‑inoltro e alert.
Conserva evidenze e log per eventuale denuncia o analisi forense.
Monitora per alcuni giorni tentativi di accesso, creazione di nuove regole e attività API.

Tabella riassuntiva (obiettivi, azioni, motivazioni)

Obiettivo	Azione consigliata	Perché è importante
Revocare subito l’accesso all’account	Cambiare la password da un dispositivo sicuro e disconnettere tutte le sessioni attive (“Esci da tutti i dispositivi”).	Impedisce all’aggressore di mantenere la sessione o riconnettersi con la vecchia password.
Prevenire nuovi accessi	Abilitare l’autenticazione a due fattori (2FA/MFA).	Aggiunge un secondo requisito (codice/chiave) che l’hacker di solito non possiede.
Bloccare l’esfiltrazione in corso	Disattivare/modificare accesso POP/IMAP; rimuovere regole di inoltro e reindirizzamento.	Gli strumenti automatici di esportazione usano spesso questi canali per copiare i messaggi.
Eliminare back‑door	Rimuovere app connesse e deleghe (OAuth), dispositivi di posta sconosciuti, metodi di recupero sospetti.	L’aggressore potrebbe aver creato permessi persistenti o metodi di recupero alternativi.
Ripulire i dispositivi locali	Scansione antimalware completa; aggiornare sistema operativo e sicurezza.	Un keylogger o trojan renderebbe vane le altre misure.
Valutare i danni	Verificare dati sensibili esfiltrati; informare i contatti se occorre.	Non è possibile richiamare dati già copiati; si mitigano le conseguenze.
Ricevere assistenza	Seguire linee guida del provider; contattare il supporto per revoca token e verifica log.	Il supporto può forzare scadenza token residui e individuare attività sospette.

Come fermare subito l’esportazione: guide operative per i principali servizi

Microsoft 365 / Outlook (utente singolo e amministratore)

Utente singolo (Outlook.com o casella Microsoft 365 personale)

Reset password e logout globale da tutti i dispositivi.
Attiva MFA: preferisci App Authenticator o chiavi di sicurezza.
Outlook sul Web → Impostazioni → Posta → Regole: elimina regole che inoltrano, spostano tutto in “Archivio” o marcano come letto.
Outlook sul Web → Posta → Inoltro: disattiva inoltro automatico e rimuovi eventuali indirizzi esterni.
Dispositivi mobili: rimuovi account sconosciuti e reimposta la sincronizzazione solo sui tuoi device.

Amministratore Microsoft 365 (Exchange Online)

Forza logout e reset sessioni per l’utente compromesso; reimposta la password e richiedi MFA al prossimo accesso.
Disabilita temporaneamente POP/IMAP per l’utente e valuta di bloccarli a livello di tenant se inutilizzati.
Rimuovi inoltri sia a livello di Inbox Rule che a livello di Mailbox Forwarding e verifica le Transport Rules.
Revoca app OAuth e invalidate refresh tokens per l’utente.
Controlla protocolli legacy (EWS/SMTP Auth, MAPI) e disabilita quelli non necessari per l’utente.
Rivedi i log per “MailItemsAccessed”, creazione regole e accessi da Paesi insoliti; conserva gli eventi.

Esempi PowerShell (Exchange Online / Microsoft Graph)

# Connessione a Exchange Online
Connect-ExchangeOnline

Disabilita POP/IMAP per l'utente

Set-CASMailbox -Identity utente@dominio -PopEnabled:$false -ImapEnabled:$false

(Opzionale) Disabilita SMTP Auth per l'utente

Set-CASMailbox -Identity utente@dominio -SmtpClientAuthenticationDisabled $true

Rimuovi inoltri a livello di casella

Set-Mailbox -Identity utente@dominio -ForwardingSmtpAddress $null -DeliverToMailboxAndForward $false

Elenca e disabilita regole sospette della posta in arrivo

Get-InboxRule -Mailbox utente@dominio | Where-Object {$.ForwardTo -ne $null -or $.RedirectTo -ne $null} | Disable-InboxRule -Confirm:$false

(Se serve) Rimuovi tutte le regole dell'utente

Get-InboxRule -Mailbox utente@dominio | Remove-InboxRule -Force

Verifica eventuali regole di trasporto anomale

Get-TransportRule | Where-Object {$.RedirectMessageTo -ne $null -or $.BlindCopyTo -ne $null}

Microsoft Graph PowerShell - invalida i refresh token dell'utente

Connect-MgGraph -Scopes "User.ReadWrite.All"
Invoke-MgInvalidateUserRefreshToken -UserId "utente@dominio"

Nota: verifica i privilegi necessari nel tuo tenant prima di eseguire i comandi e testa sempre in un ambiente controllato.

Gmail / Google Workspace

Utente singolo (Gmail personale)

Reset password e logout globale da tutti i dispositivi e browser.
Attiva Verifica in due passaggi; aggiungi metodi di backup (codici, chiave di sicurezza).
Gmail → Impostazioni → Inoltro e POP/IMAP: disattiva POP e IMAP e rimuovi qualsiasi inoltro.
Gmail → Filtri e indirizzi bloccati: elimina filtri che inoltrano, cestinano o marcano come letto ogni messaggio.
Account Google → Sicurezza → App di terze parti: rimuovi accessi non riconosciuti (OAuth).

Amministratore Google Workspace

Reimposta la password dell’utente e termina le sessioni forzando il relogin su tutti i dispositivi.
Blocca POP/IMAP per l’utente via criteri, se possibile, o disabilita a livello di organizzazione se non utilizzati.
Rimuovi inoltri lato utente e filtri; verifica inoltri lato dominio se esistono.
Revoca token OAuth e applicazioni con domain-wide delegation sospette; rivedi log di accesso.

Altri provider (linee guida generali)

Cerca nelle impostazioni di posta funzionalità POP/IMAP e Inoltro automatico e disattivale.
Rimuovi filtri e regole che spostano o inoltrano messaggi.
Controlla la sezione App collegate o Accessi di terze parti per revocare OAuth.
Verifica sessioni attive e disconnetti i dispositivi sconosciuti.

Tabella “Dove trovo le impostazioni” (orientativa)

Provider	Disattivare POP/IMAP	Inoltro/Regole	App/OAuth	Logout globale
Microsoft 365	EAC → Casella → Impostazioni → POP/IMAP (o PowerShell)	Outlook Web → Regole / Inoltro; Transport Rules lato admin	Portale account / Entra ID → App e autorizzazioni	Portale Entra ID → Revoca sessioni
Outlook.com	Outlook Web → Sincronizzazione email	Outlook Web → Regole / Inoltro	Impostazioni account Microsoft → Sicurezza	Impostazioni account → Dispositivi e sessioni
Gmail	Impostazioni → Inoltro e POP/IMAP	Impostazioni → Inoltro / Filtri	Account Google → Sicurezza → Accesso di terze parti	Account Google → Sicurezza → I tuoi dispositivi

Indizi tipici che indicano esportazione in corso

Email lette o archiviate senza intervento dell’utente; cartelle vuote o con attività anomala.
Messaggi inviati a contatti che l’utente non ricorda di aver scritto.
Regole nuove con nomi innocui (“Aggiornamento”/“Sync”) che inoltrano tutto verso un dominio esterno.
Accessi da Paesi o indirizzi IP insoliti; molte connessioni IMAP in parallelo.
App collegate mai autorizzate o dispositivi sconosciuti nell’elenco di sessioni attive.

Checklist operativa dettagliata

Blocco e contenimento

Reset password da un PC pulito; cambia anche risposte di recupero e indirizzi di backup.
Logout globale/Revoca sessioni e token: forza la richiesta di nuova autenticazione su tutti i client.
Abilita MFA e richiedi la registrazione di metodi sicuri (escludi SMS come unico fattore).
Disabilita POP/IMAP e (se possibile) SMTP autenticato per l’utente.
Disabilita protocolli legacy non necessari (EWS, MAPI basica) per ridurre superfici d’attacco.
Rimuovi inoltri e regole sospette; verifica regole di trasporto a livello organizzativo.
Revoca autorizzazioni OAuth per app sconosciute; elimina deleghe di accesso.

Ripristino e bonifica

Scansione antimalware completa su tutti i device che accedono alla casella.
Aggiorna OS, browser, client di posta e plugin; disinstalla estensioni sospette.
Riconfigura i client di posta: rimuovi e aggiungi di nuovo l’account per rigenerare i profili.
Verifica che nessun indirizzo di inoltro sia rimasto e che POP/IMAP siano effettivamente disattivati.
Monitora per almeno 7–14 giorni accessi, creazione di nuove regole e richieste API.

Valutazione dei danni e mitigazioni

Con l’account di nuovo sotto controllo, è essenziale valutare cosa è uscito e chi potrebbe essere a rischio:

Individua email con dati personali, finanziari o credenziali e definisci un piano di notifica se richiesto dalle policy interne o normative.
Informa i contatti che potrebbero ricevere email di phishing “a tuo nome” e consiglia di ignorare allegati/link sospetti.
Considera la rotazione delle credenziali anche su servizi collegati (cloud storage, social, banca) se condividevano la password o erano connessi via OAuth.
Valuta l’uso di etichette di riservatezza/Data Loss Prevention per ridurre il rischio futuro.

Ricorda: i messaggi già copiati non possono essere “annullati”. Concentrati su blocco, notifica e prevenzione di ulteriori fughe.

Controlli forensi rapidi (cosa cercare nei log)

Accessi e sessioni: login da Paesi inusuali; molte connessioni IMAP; picchi di attività notturna.
Eventi sulla casella: creazione/modifica regole, cambiamento impostazioni di inoltro, accessi non-owner.
API/OAuth: nuove app autorizzate di recente; richieste massicce alla mailbox.
Azioni di amministrazione: modifiche a criteri anti‑inoltro, riattivazione POP/IMAP, cambi ruoli.

Conserva i log e annota tempi, IP e azioni: aiutano nelle analisi successive e in eventuali segnalazioni alle autorità.

Policy di prevenzione da impostare dopo l’incidente

MFA obbligatoria per tutti gli utenti; privilegia metodi resistenti al phishing (FIDO2, passkey).
Disabilita la legacy authentication e limita i protocolli non necessari (POP/IMAP/EWS/SMTP Auth).
Blocca inoltri automatici verso domini esterni salvo eccezioni approvate.
Alerting su creazione regole Inbox/Transport, attivazione inoltri, accessi da Paesi nuovi.
Condizional Access / regole di sicurezza: richiedi device conformi, valuta isolamento geografico e di rischio.
Formazione anti‑phishing e campagne di awareness periodiche.

Modelli utili

Messaggio ai contatti potenzialmente colpiti

Ciao, il mio account email è stato compromesso e potrebbe essere stato usato per inviare messaggi fraudolenti. Ignora eventuali email sospette inviate dal mio indirizzo nelle ultime settimane e non aprire allegati o link. Ho ripristinato la sicurezza. Per qualsiasi dubbio scrivimi o chiamami.

Checklist stampabile (riassunto)

🔒 Cambia password da PC pulito
🔑 Attiva MFA
🛑 Disattiva POP/IMAP e SMTP Auth
🚫 Elimina inoltri e regole sospette
📵 Revoca app OAuth e deleghe
🧹 Scansione antimalware + aggiornamenti
🧾 Conserva log ed evidenze
📣 Notifica contatti se serve
🧱 Imposta policy di prevenzione
👀 Monitora per 7–14 giorni

Domande frequenti

Disattivare POP/IMAP blocca anche l’uso di Outlook o del client mobile?

Dipende dal protocollo usato dal client. I client moderni (Outlook per Microsoft 365, app Gmail, Mail su iOS) spesso usano API più recenti (MAPI/EAS/Graph/REST). Se la priorità è il contenimento immediato, disabilita i protocolli non indispensabili e consenti solo i metodi moderni con MFA.

Posso sapere se qualcuno ha già scaricato tutto?

Non sempre con precisione. I log possono mostrare tipologia e volume di accesso (IMAP massivo, API), orari e IP. Usa questi dati per la valutazione del rischio e le eventuali notifiche.

Conviene cambiare anche le password di altri servizi?

Sì, se riutilizzavano la stessa password o se avevano integrazioni OAuth con quell’account email. È prudente eseguire una rotazione completa e abilitare MFA ovunque possibile.

Devo cancellare l’account e crearne uno nuovo?

Quasi mai è necessario. L’importante è rimuovere tutte le back‑door (regole, inoltri, app, protocolli) e rafforzare i controlli. Un nuovo account senza bonifica dei dispositivi locali resterebbe esposto.

Quanto tempo devo tenere d’occhio l’account dopo l’incidente?

Almeno due settimane. Per le organizzazioni, configura alert permanenti su regole di inoltro, creazione di app e accessi anomali.

Errori comuni da evitare

Solo cambio password senza revocare sessioni e token: l’aggressore resta connesso.
Non controllare le regole della posta: l’inoltro continua a lavorare in background.
Dimenticare app OAuth: le API continuano a leggere la posta anche con la password cambiata.
Trascurare il malware locale: un keylogger ri‑compromette l’account subito.
Riattivare POP/IMAP troppo presto senza monitoraggio: l’attaccante ne approfitta di nuovo.

Appendice: playbook rapido per amministratori Microsoft 365

Reset password + require MFA + revoca sessioni.
Set-CASMailbox: POP/IMAP off, SMTP Auth off (se non necessario).
Set-Mailbox: rimuovi qualsiasi Forwarding e DeliverToMailboxAndForward.
Get-InboxRule: disabilita/rimuovi regole con Forward/Redirect/Move all.
Controlla Transport Rules e criteri antispam anti‑inoltro.
Invoke-MgInvalidateUserRefreshToken per invalidare i token OAuth.
Rivedi audit: creazione regole, accessi IMAP massivi, MailItemsAccessed.
Valuta CA policy: blocco legacy auth, MFA obbligatoria, restrizioni geografiche.

Appendice: playbook rapido per amministratori Google Workspace

Reset password + enforcement MFA; termina sessioni e richiedi re‑login.
Blocca POP/IMAP per l’utente o l’OU; valuta di disattivarli tenant‑wide.
Rimuovi inoltri e filtri; verifica inoltri lato dominio.
Revoca app e token OAuth; rivedi log di accesso e attività IMAP/POP.
Configura regole DLP/alert su inoltri esterni e creazione filtri anomali.

Conclusioni

Interrompere l’esportazione della cassetta postale richiede rapidità (bloccare accessi e canali di esfiltrazione), precisione (ripulire regole, inoltri e app connesse) e resilienza (MFA, disabilitare protocolli legacy, monitoraggio). Seguendo i passaggi di questo articolo puoi ridurre drasticamente i danni e ripristinare un perimetro sicuro per email e dati.

Note importanti

È impossibile “annullare” l’esportazione di dati già copiati; concentra gli sforzi su blocco e mitigazione.
Dopo la messa in sicurezza, valuta la rotazione delle credenziali anche nei servizi collegati.
Conserva accuratamente evidenze e log per eventuale denuncia o analisi forense.