Compartir vía

Configuración del filtro de correo no deseado avanzado (ASF) en EOP

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, la configuración del filtro de correo no deseado avanzado (ASF) en las directivas contra correo no deseado permite a los administradores marcar mensajes como correo no deseado en función de propiedades específicas del mensaje. ASF se dirige específicamente a estas propiedades porque se encuentran normalmente en el correo no deseado. Dependiendo de la propiedad, las detecciones de ASF marcan el mensaje como spam o spam de alta confianza.

Nota:

Habilitar una o varias configuraciones de ASF es un enfoque agresivo para el filtrado de correo no deseado. No puede notificar a Microsoft los mensajes filtrados por ASF como falsos positivos. Puede identificar los mensajes filtrados por ASF por:

  • Notificaciones periódicas de cuarentena de spam y veredictos de filtro de correo no deseado de alta confianza.
  • La presencia de mensajes filtrados en cuarentena.
  • Campos de encabezado X específicos X-CustomSpam: que se agregan a los mensajes como se describe en este artículo.

ASF agrega X-CustomSpam: campos de encabezado X a los mensajes después de que las reglas de flujo de correo de Exchange hayan procesado los mensajes (también conocidas como reglas de transporte), por lo que no puede usar reglas de flujo de correo para identificar y actuar en los mensajes filtrados por ASF. Puede usar reglas de bandeja de entrada en buzones de correo para afectar a la entrega del mensaje.

En las secciones siguientes se describen las opciones y la configuración de ASF que están disponibles en las directivas contra correo no deseado en el portal de Microsoft Defender y en PowerShell de Exchange Online o powerShell EOP independiente (New-HostedContentFilterPolicy y Set-HostedContentFilterPolicy). Para más información, consulte Configurar directivas contra correo electrónico no deseado en EOP.

Sugerencia

La configuración de ASF no está habilitada en las directivas de seguridad preestablecidas Estándar o Estricta, por lo que solo puede configurar la configuración de ASF en la directiva antispam predeterminada o en las directivas personalizadas contra correo no deseado. Para obtener más información sobre el uso de directivas de protección, consulte Determinación de la estrategia de directiva de protección.

Habilitación, deshabilitación o prueba de la configuración de ASF

Para cada configuración de ASF, las siguientes opciones están disponibles en las directivas contra correo no deseado:

  • Activado: ASF agrega el campo de encabezado X correspondiente al mensaje:

  • Desactivado: la configuración de ASF está deshabilitada. Este es el valor predeterminado.

  • Prueba: la configuración de ASF está en modo de prueba. Lo que sucede con el mensaje viene determinado por el valor modo de prueba (TestModeAction):

    • Ninguno: la entrega de mensajes no se ve afectada por la detección de ASF. El mensaje sigue estando sujeto a otros tipos de filtrado y reglas en EOP y Defender para Office 365.
    • Agregar texto de encabezado X predeterminado (AddXHeader): el valor X-CustomSpam: This message was filtered by the custom spam filter option de encabezado X se agrega al mensaje. Puede usar este valor en Reglas de bandeja de entrada (no reglas de flujo de correo) para afectar a la entrega del mensaje.
    • Enviar mensaje de cco (BccMessage): las direcciones de correo electrónico especificadas (el valor del parámetro TestModeBccToRecipients en PowerShell) se agregan al campo CCO del mensaje y el mensaje se entrega a los destinatarios de CCO adicionales. En el portal de Microsoft Defender, se separan varias direcciones de correo electrónico por punto y coma (;). En PowerShell, se separan varias direcciones de correo electrónico por comas.

    El modo de prueba no está disponible para la siguiente configuración de ASF:

    • Filtrado de id. de remitente condicional: error duro (MarkAsSpamFromAddressAuthFail)
    • Backscatter NDR (MarkAsSpamNdrBackscatter)
    • Registro SPF: error duro (MarkAsSpamSpfRecordHardFail)

    La misma acción de modo de prueba se aplica a todas las configuraciones de ASF establecidas en Prueba. No puede configurar diferentes acciones de modo de prueba para diferentes opciones de ASF.

Aumentar la configuración de puntuación de correo no deseado

La siguiente configuración de ASF aumentar la puntuación de spam da como resultado un aumento en la puntuación de correo no deseado y, por lo tanto, una mayor probabilidad de que se marque como spam con un nivel de confianza de correo no deseado (SCL) de 5 o 6, que corresponde a un veredicto de filtro de correo no deseado y a la acción correspondiente en las directivas contra correo no deseado. No todos los mensajes que coincidan con las siguientes condiciones de ASF se marcan como correo no deseado.

Configuración de directivas contra correo no deseado Descripción Encabezado X agregado
Vínculos de imagen a sitios web remotos (IncreaseScoreWithImageLinks) Los mensajes que contienen <Img> vínculos de etiqueta HTML a sitios remotos (por ejemplo, mediante http) se marcan como correo no deseado. X-CustomSpam: Image links to remote sites
Dirección IP numérica en la dirección URL (IncreaseScoreWithNumericIps) Los mensajes que contienen direcciones URL basadas en números (normalmente, direcciones IP) se marcan como correo no deseado. X-CustomSpam: Numeric IP in URL
Redirección de dirección URL a otro puerto (IncreaseScoreWithRedirectToOtherPort) Los mensajes que contienen hipervínculos que redirigen a puertos TCP distintos de 80 (HTTP), 8080 (HTTP alternativo) o 443 (HTTPS) se marcan como correo no deseado. X-CustomSpam: URL redirect to other port
Vínculos a sitios web .biz o .info (IncreaseScoreWithBizOrInfoUrls) Los mensajes que contienen .biz o .info vínculos en el cuerpo del mensaje se marcan como correo no deseado.

Tenga en cuenta que las direcciones URL como contoso.info.com (donde .biz o .info no es el dominio de nivel superior) también coincidirán.		 X-CustomSpam: URL to .biz or .info websites

Marcar como configuración de correo no deseado

La siguiente configuración de Marcar como asf de correo no deseado establece la SCL de los mensajes detectados en 9, que corresponde a un veredicto de filtro de correo no deseado de alta confianza y a la acción correspondiente en las directivas contra correo no deseado.

Configuración de directivas contra correo no deseado Descripción Encabezado X agregado
Mensajes vacíos (MarkAsSpamEmptyMessages) Los mensajes sin asunto, sin contenido en el cuerpo del mensaje y sin datos adjuntos se marcan como correo no deseado de alta confianza. X-CustomSpam: Empty Message
Etiquetas incrustadas en HTML (MarkAsSpamEmbedTagsInHtml) Los mensajes que contienen <embed> etiquetas HTML se marcan como spam de alta confianza.

Esta etiqueta permite insertar diferentes tipos de documentos en un documento HTML (por ejemplo, sonidos, vídeos o imágenes).		 X-CustomSpam: Embed tag in html
JavaScript o VBScript en HTML (MarkAsSpamJavaScriptInHtml) Los mensajes que usan JavaScript o Visual Basic Script Edition en HTML se marcan como correo no deseado de alta confianza.

Estos lenguajes de scripting se usan en los mensajes de correo electrónico para hacer que se produzcan acciones específicas automáticamente.		 X-CustomSpam: Javascript or VBscript tags in HTML
Etiquetas de formulario en HTML (MarkAsSpamFormTagsInHtml) Los mensajes que contienen <form> etiquetas HTML se marcan como spam de alta confianza.

Esta etiqueta se usa para crear formularios de sitio web. Los anuncios en correo electrónico a menudo incluyen esa etiqueta con el fin de solicitar información del destinatario.		 X-CustomSpam: Form tag in html
Etiquetas frame o iframe en HTML (MarkAsSpamFramesInHtml) Los mensajes que contienen <frame> o <iframe> etiquetas HTML se marcan como spam de alta confianza.

Estas etiquetas se usan en mensajes de correo electrónico para dar formato a la página para mostrar texto o gráficos.		 X-CustomSpam: IFRAME or FRAME in HTML
Errores web en HTML (MarkAsSpamWebBugsInHtml) Un error web (también conocido como baliza web) es un elemento gráfico (a menudo tan pequeño como un píxel por un píxel) que determina si el destinatario lee el mensaje.

Los mensajes que contienen errores web se marcan como spam de alta confianza.

Los boletines de noticias legítimos pueden usar errores web, aunque muchos los consideran una invasión de privacidad.		 X-CustomSpam: Web bug
Etiquetas de objeto en HTML (MarkAsSpamObjectTagsInHtml) Los mensajes que contienen <object> etiquetas HTML se marcan como spam de alta confianza.

Esta etiqueta permite que los complementos o aplicaciones se ejecuten en una ventana HTML.		 X-CustomSpam: Object tag in html
Palabras confidenciales (MarkAsSpamSensitiveWordList_) Microsoft mantiene una lista dinámica pero no modificable de palabras asociadas a mensajes potencialmente ofensivos.

Los mensajes que contienen palabras de la lista de palabras confidenciales en el asunto o el cuerpo del mensaje se marcan como correo no deseado de alta confianza.		 X-CustomSpam: Sensitive word in subject/body
Registro SPF: error duro (MarkAsSpamSpfRecordHardFail) Los mensajes enviados desde una dirección IP que no se especifica en el registro SPF Sender Policy Framework (SPF) en DNS para el dominio de correo electrónico de origen se marcan como correo no deseado de alta confianza.

El modo de prueba no está disponible para esta configuración.		 X-CustomSpam: SPF Record Fail

La siguiente configuración de Marcar como ASF de correo no deseado establece la SCL de los mensajes detectados en 6, que corresponde a un veredicto de filtro de correo no deseado y a la acción correspondiente en las directivas contra correo no deseado.

Configuración de directivas contra correo no deseado Descripción Encabezado X agregado
Error de filtrado de identificador de remitente (MarkAsSpamFromAddressAuthFail) Los mensajes que no cumplen una comprobación condicional del identificador de remitente se marcan como correo no deseado.

Esta configuración combina una comprobación de SPF con una comprobación de id. de remitente para ayudar a proteger frente a encabezados de mensaje que contienen remitentes falsificados.

El modo de prueba no está disponible para esta configuración.		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter es informes de no entrega inútiles (también conocidos como NDR o mensajes de rebote) causados por remitentes falsificados en mensajes de correo electrónico. Para obtener más información, vea Mensajes backscatter y EOP.

No es necesario configurar esta configuración en los siguientes entornos, ya que los NDR legítimos se entregan y el backscatter está marcado como correo no deseado:
  • Organizaciones de Microsoft 365 con buzones de Exchange Online.
  • Organizaciones de correo electrónico locales donde se enruta correo electrónico saliente a través de EOP.


En entornos EOP independientes que protegen el correo electrónico entrante en buzones locales, activar o desactivar esta configuración tiene el siguiente resultado:
  • Activado: Se entregan los NDR legítimos y el backscatter se marca como spam.
  • Desactivado: los NDR legítimos y backscatter pasan por el filtrado normal de correo no deseado. La mayoría de los NDR legítimos se entregan al remitente del mensaje original. Algunos, pero no todos los backscatter, están marcados como spam. Por definición, el backscatter solo se puede entregar al remitente suplantado, no al remitente original.


El modo de prueba no está disponible para esta configuración.		 X-CustomSpam: Backscatter NDR