Hai ricevuto un messaggio con mittente noreply@microsoft365-secure.net e oggetto “Suspicious Activity Report”? Questa guida spiega perché non è un’email di Microsoft, come verificarlo in modo tecnico e cosa fare subito in Outlook e in ambiente Microsoft 365 per proteggerti.
Indice
Verifica dell’indirizzo e‑mail “noreply@microsoft365-secure.net”
<h3>Problema posto</h3>
<p>Un utente chiede se il messaggio ricevuto da <code>noreply@microsoft365-secure.net</code> con oggetto <em>“Suspicious Activity Report”</em> sia stato realmente inviato da Microsoft.</p>
<h3>Risposta breve</h3>
<ul>
<li><strong>Non è autentica.</strong> Microsoft invia comunicazioni dai <em>propri</em> domini ufficiali sotto <code>microsoft.com</code> (ad es. <code>@microsoft.com</code>, <code>@email.microsoft.com</code>). Il dominio <code>microsoft365-secure.net</code> non appartiene alla famiglia <code>.microsoft.com</code>.</li>
<li><strong>Altissima probabilità di phishing.</strong> Il messaggio è con ogni probabilità un tentativo di sottrarre credenziali o altri dati sensibili.</li>
<li><strong>Cosa fare subito.</strong>
<ul>
<li>Non cliccare link, non scaricare allegati, non inserire alcuna informazione.</li>
<li>Segnala l’email a Microsoft inoltrando a <a href="mailto:reportphishing@Microsoft.com">reportphishing@Microsoft.com</a> oppure usa la funzione <em>Segnala</em> (phishing/junk) in Outlook o Outlook.com.</li>
</ul>
</li>
</ul>
<blockquote>
<p><strong>Nota pratica</strong><br>
La presenza di parole come “microsoft365” nel nome del dominio <em>non</em> garantisce alcuna legittimità. Controlla sempre il <em>dominio registrabile</em> (la parte immediatamente prima del TLD, es. <code>.com</code>, <code>.net</code>, ecc.). In questo caso il dominio è <code>microsoft365-secure.net</code> (TLD: <code>.net</code>), che non fa parte di <code>microsoft.com</code>.</p>
</blockquote>Perché microsoft365-secure.net non è un dominio Microsoft
Le comunicazioni autentiche di Microsoft provengono da domini sotto l’ombrello .microsoft.com (ad esempio @microsoft.com, @email.microsoft.com e altri sottodomini legittimi sempre terminanti in .microsoft.com). Il mittente citato termina con .net e il dominio di secondo livello è microsoft365-secure, che non appartiene a Microsoft.
Un trucco comune nel phishing è l’uso di nomi che sembrano legittimi (es. microsoft365-qualcosa.com o microsoft-secure-login.net) per indurre fiducia. Questi domini non sono collegati all’azienda reale: sono registrati da terzi e spesso ospitano pagine di login false o allegati dannosi.
Come riconoscere e verificare un’email sospetta
<h3>Controlli immediati senza aprire allegati</h3>
<ul>
<li><strong>Nome visualizzato ≠ indirizzo reale.</strong> Passa il mouse sul mittente per vedere l’indirizzo completo: un display name “Microsoft Security” può nascondere un dominio non Microsoft.</li>
<li><strong>Controlla il dominio dopo la @.</strong> Deve terminare con <code>.microsoft.com</code>. Se è <code>microsoft365-secure.net</code> o qualsiasi altra variante, trattalo come sospetto.</li>
<li><strong>Verifica il campo “Rispondi-a” (<em>Reply-To</em>).</strong> Se è diverso dal “Da” (<em>From</em>) o punta a un provider generico, è un segnale di allarme.</li>
<li><strong>Contenuto e tono.</strong> Urgenza e minacce (“il tuo account sarà bloccato in 24h”) sono tipiche del phishing.</li>
<li><strong>Link e allegati.</strong> Non aprire. Passa il mouse sopra i link per mostrarne l’URL completo: anche un testo “Accedi a Microsoft 365” può puntare a un sito esterno non Microsoft.</li>
</ul>
<h3>Controllare le intestazioni complete del messaggio</h3>
<p>Le intestazioni rivelano il percorso dell’email e le verifiche di autenticazione:</p>
<ul>
<li><strong>In Outlook (desktop):</strong> <em>File ▸ Proprietà ▸ Intestazioni Internet</em>.</li>
<li><strong>In Outlook Web:</strong> Apri il messaggio ▸ <em>Altro azioni</em> (⋯) ▸ <em>Visualizza origine messaggio</em>.</li>
<li><strong>In altri client:</strong> cerca “Visualizza originale” / “Mostra sorgente” / “Raw headers”.</li>
</ul>
<p>Cosa osservare nelle intestazioni:</p>
<ul>
<li><strong>Return-Path</strong> e <strong>From</strong>: devono coincidere con un dominio Microsoft.</li>
<li><strong>Catena dei Received:</strong> server coerenti con infrastrutture Microsoft o del mittente atteso.</li>
<li><strong>SPF/DKIM/DMARC:</strong> i risultati dovrebbero essere <em>pass</em> per il dominio del mittente. <em>fail</em> o <em>none</em> sono sospetti.</li>
</ul>
<pre><code>Return-Path: <noreply@microsoft365-secure.net>From: “Microsoft Security” <[noreply@microsoft365-secure.net](mailto:noreply@microsoft365-secure.net)> Reply-To: [support@secure-helpdesk.net](mailto:support@secure-helpdesk.net) Received: from mail.secure-host.example by … Authentication-Results: spf=fail; dkim=none; dmarc=fail
Una combinazione come quella sopra indica quasi certamente una frode.
Cosa fare subito: procedura operativa consigliata
- Smetti di interagire con il messaggio. Non cliccare nulla e chiudi l’email.
- Segnala formalmente. Inoltra a reportphishing@Microsoft.com oppure usa la funzione integrata Segnala in Outlook/Outlook.com.
- Elimina o sposta nel phishing. Dopo la segnalazione, sposta il messaggio nel cestino o in Posta indesiderata.
- Avvisa l’IT o il referente sicurezza. Se sei in azienda, apri un ticket con oggetto “Tentativo phishing –
microsoft365-secure.net”.
Azioni aggiuntive consigliate
| Misura | Perché è utile | Come procedere rapidamente |
|---|---|---|
| Controllare le intestazioni complete | Conferma se il dominio reale di invio corrisponde all’intestazione “From” | In Outlook: File ▸ Proprietà ▸ Intestazioni Internet |
| Installare/abilitare l’add‑in “Report Message” | Segnalazione in un clic direttamente a Microsoft | Disponibile nel marketplace di Office 365 |
| Attivare l’autenticazione a più fattori (MFA) | Limita l’impatto anche qualora le credenziali vengano intercettate | In Account Microsoft ▸ Sicurezza |
| Mantenere antivirus e filtri antispam aggiornati | Rileva e isola messaggi dannosi simili | Verificare che gli update siano automatici |
Se hai già cliccato, inserito dati o scaricato file
Agisci immediatamente per ridurre i danni potenziali:
- Cambia subito la password dell’account interessato (e di altri servizi dove la stessa password è stata riutilizzata). Scegline una lunga e unica, usa un password manager.
- Attiva/rafforza la MFA aggiungendo un secondo fattore (app di autenticazione). Evita solo SMS se possibile.
- Termina le sessioni attive e revoca dispositivi sospetti dalle impostazioni sicurezza del tuo account.
- Scansione antimalware completa su tutti i dispositivi usati quando hai interagito con l’email.
- Contatta l’IT o il supporto sicurezza della tua organizzazione: fornisci l’originale del messaggio con intestazioni.
- Se hai inserito dati finanziari, contatta la banca per eventuale blocco/prevenzione frodi.
- Monitora gli accessi al tuo account per attività insolite (nuove regole di inoltro, invii non autorizzati, bounce anomali).
<h3>Ulteriori verifiche per amministratori Microsoft 365</h3>
<ul>
<li>Controlla i <em>sign-in logs</em> dell’utente e gli alert del centro sicurezza.</li>
<li>Ispeziona e rimuovi eventuali <strong>regole di inoltro</strong> o <strong>regole di posta</strong> create dall’attaccante.</li>
<li>Esegui una ricerca di contenuto per individuare messaggi simili consegnati ad altri utenti.</li>
<li>Valuta un <em>password reset</em> forzato e la reimpostazione dei token di sessione.</li>
</ul>Indicatori comuni nelle finte email “Suspicious Activity Report”
- Oggetto allarmante con parole come “Account chiuso”, “Attività sospetta”, “Violazione dei termini”.
- Branding copiato (logo Microsoft, colori blu) ma con impaginazione approssimativa o footer generico.
- Link mascherati che conducono a domini esterni (talvolta con caratteri simili come la “i” maiuscola al posto della “l”).
- Richieste di urgenza e minacce (sospensione entro ore) per indurre azioni impulsive.
- Mittenti non coerenti con risposte instradate verso caselle generiche o domini terzi.
Come distinguere un dominio legittimo da uno falso
Per un controllo efficace, concentrati su questi aspetti:
- Dominio registrabile (registrable domain). È la parte “
nome-dominio.tld”, ad es.microsoft.com. Tutti i sottodomini legittimi Microsoft finiscono con.microsoft.com(es.email.microsoft.com).microsoft365-secure.netnon rientra in questa famiglia. - TLD (Top-Level Domain). Microsoft usa TLD coerenti con i propri domini ufficiali; un TLD diverso (es.
.net) non è di per sé una prova, ma in combinazione con un nome “microsoft…” è sospetto. - Omografi e caratteri simili. Diffida di trattini “non standard” o lettere alterate (
microѕoftcon “s” cirillica). Copia l’indirizzo in un editor di testo per ispezionarlo.
Buone pratiche di prevenzione
- MFA ovunque possibile. Riduce drasticamente l’impatto del furto di credenziali.
- Password manager per creare e conservare password lunghe e uniche.
- Aggiornamenti automatici di sistema operativo, suite Office, browser e antivirus/EDR.
- Formazione periodica sul phishing con simulazioni realistiche.
- Policy di segnalazione semplici: un clic per inoltrare/etichettare il phishing direttamente dal client di posta.
- Verifica dei link: in caso di dubbi, digita manualmente l’indirizzo del servizio (es. portali Microsoft) invece di seguire link in email.
FAQ
L’indirizzo “noreply@microsoft365-secure.net” può essere autentico?
No. Non appartiene a Microsoft e non fa parte dei domini .microsoft.com. È pertanto da considerare come phishing.
<h3>Il solo fatto che nel dominio compaia “microsoft365” garantisce autenticità?</h3>
<p>No. È un trucco comune per ingannare. Conta il dominio registrabile (es. <code>microsoft.com</code>) e i risultati SPF/DKIM/DMARC.</p>
<h3>Il mio messaggio ha l’oggetto “Suspicious Activity Report”: è sempre una truffa?</h3>
<p>Questo oggetto è ampiamente abusato nelle campagne di phishing. Se non proviene da un dominio Microsoft legittimo (famiglia <code>.microsoft.com</code>), trattalo come fraudolento.</p>
<h3>Ho segnalato e cancellato: devo fare altro?</h3>
<p>Se non hai cliccato, di solito basta così. Se hai interagito, esegui le azioni correttive (cambio password, MFA, scansione, monitoraggio accessi) descritte sopra.</p>Checklist rapida da seguire
- Verifica il dominio: deve terminare con
.microsoft.com. - Controlla Reply-To e intestazioni SPF/DKIM/DMARC.
- Non cliccare link né aprire allegati sospetti.
- Segnala con l’add‑in Report Message o inoltra a reportphishing@Microsoft.com.
- Abilita MFA e mantieni aggiornati antivirus e filtri.
Modello di messaggio per avvisare l’IT
Copia e incolla, completando i campi tra parentesi:
Oggetto: Tentativo di phishing – mittente noreply@microsoft365-secure.net
Ciao team,
ho ricevuto l'email in oggetto con subject "Suspicious Activity Report".
Non ho cliccato né scaricato allegati. Allego l'originale con intestazioni.
Timestamp ricezione: [data/ora locale].
Client usato: [Outlook Desktop/Outlook Web/App].
Grazie, [Nome e reparto]. Conclusioni
L’email con mittente noreply@microsoft365-secure.net e oggetto “Suspicious Activity Report” non è inviata da Microsoft ed è quasi certamente un tentativo di phishing. Segui i passaggi indicati (non interagire, segnala, elimina), attiva la MFA e mantieni aggiornati gli strumenti di sicurezza. Con una verifica attenta del dominio e delle intestazioni, unita a procedure di segnalazione rapide, ridurrai in modo significativo il rischio di compromissione del tuo account.
Riferimento operativo (riassunto)
- Esito: non autentica; trattare come phishing.
- Domini legittimi: famiglia
.microsoft.com(esempi:@microsoft.com,@email.microsoft.com). - Azioni: non cliccare, segnalare a reportphishing@Microsoft.com o tramite Segnala in Outlook, quindi eliminare.
- Ulteriori misure: controlla intestazioni, abilita MFA, assicurati che antivirus e antispam siano aggiornati.
Seguendo questi passaggi ridurrai sensibilmente il rischio di cadere in truffe via e‑mail.
Ricapitolando: il dominio microsoft365-secure.net non è di Microsoft; il messaggio è quasi certamente phishing. Non interagire, segnala con gli strumenti di Outlook o inoltra a reportphishing@Microsoft.com, quindi elimina. Rafforza la sicurezza del tuo account con MFA e buone pratiche descritte in questa guida.