Mensajes de correo electrónico en cuarentena en EOP y Defender para Office 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, la cuarentena está disponible para contener mensajes potencialmente peligrosos o no deseados.
Nota:
En Microsoft 365 operado por 21Vianet, la cuarentena no está disponible actualmente en el portal de Microsoft Defender. La cuarentena solo está disponible en el Centro de administración de Exchange clásico (EAC clásico).
Si un mensaje detectado está en cuarentena de forma predeterminada depende de los siguientes factores:
- Característica de protección que detectó el mensaje. Por ejemplo, las siguientes detecciones siempre se ponen en cuarentena:
- Detecciones de malware por directivas antimalware y directivas de datos adjuntos seguros, incluida la protección integrada para datos adjuntos* seguros.
- Detecciones de suplantación de identidad de alta confianza por directivas antispam.
- Ya sea que use las directivas de seguridad preestablecidas Estándar o Estricta. El perfil strict pone en cuarentena más tipos de detecciones que el perfil estándar.
* El filtrado de malware se omite en los buzones de SecOps que se identifican en la directiva de entrega avanzada. Para obtener más información, consulte Configuración de la directiva de entrega avanzada para simulaciones de suplantación de identidad de terceros y entrega de correo electrónico a buzones de SecOps.
Las acciones predeterminadas para las características de protección en EOP y Defender para Office 365, incluidas las directivas de seguridad preestablecidas, se describen en las tablas de características de Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.
Para la protección contra correo no deseado y contra suplantación de identidad (phishing), los administradores también pueden modificar la directiva predeterminada o crear directivas personalizadas para poner en cuarentena los mensajes en lugar de entregarlos a la carpeta Junk Email. Para obtener instrucciones, consulte los artículos siguientes:
- Configuración de directivas contra correo no deseado en EOP
- Configuración de directivas contra phishing en EOP
- Configuración de directivas contra phishing en Microsoft Defender para Office 365
Las directivas de protección de las características admitidas tienen una o varias directivas de cuarentena asignadas (cada acción dentro de la directiva de protección tiene una asignación de directiva de cuarentena asociada).
Sugerencia
Se auditan todas las acciones realizadas por administradores o usuarios en mensajes en cuarentena. Para obtener más información sobre los eventos de cuarentena auditados, consulte Esquema de cuarentena en la API de administración de Office 365.
Directivas de cuarentena
Las directivas de cuarentena definen qué usuarios pueden hacer o no en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena para esos mensajes. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
Sugerencia
Puede crear notificaciones de cuarentena personalizadas para diferentes idiomas. También puede usar un logotipo personalizado en las notificaciones de cuarentena.
Las directivas de cuarentena predeterminadas asignadas a los veredictos de características de protección aplican las funcionalidades históricas que los usuarios obtienen para sus mensajes en cuarentena (mensajes donde son destinatarios). Para obtener más información, consulte la tabla de Búsqueda y liberación de mensajes en cuarentena como usuario en EOP. Por ejemplo, solo los administradores pueden trabajar con mensajes que se pusieron en cuarentena como malware o phishing de alta confianza. De forma predeterminada, los usuarios pueden trabajar con sus mensajes que se pusieron en cuarentena como spam, bulk, phishing, suplantación de identidad, suplantación de usuario, suplantación de dominio o inteligencia de buzón de correo.
Los administradores pueden crear y aplicar directivas de cuarentena personalizadas que definan funcionalidades menos restrictivas o más restrictivas para los usuarios, y también activen las notificaciones de cuarentena. Para obtener más información, consulte Creación de directivas de cuarentena.
Nota:
Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante directivas antimalware o datos adjuntos seguros, ni como suplantación de identidad de alta confianza por directivas antispam, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de su malware en cuarentena o mensajes de suplantación de identidad de alta confianza.
Tanto los usuarios como los administradores pueden trabajar con mensajes en cuarentena:
Los administradores pueden trabajar con todos los tipos de mensajes en cuarentena para todos los usuarios, incluidos los mensajes que se pusieron en cuarentena como malware, suplantación de identidad de alta confianza o como resultado de reglas de flujo de correo (también conocidas como reglas de transporte). Para más información, consulte Administrar mensajes en cuarentena y archivos como administrador en EOP.
Sugerencia
Para obtener los permisos necesarios para descargar y liberar los mensajes de la cuarentena, consulte la entrada de permisos aquí.
Los usuarios pueden trabajar con sus mensajes en cuarentena en función de la característica de protección que pone en cuarentena el mensaje y la configuración de la directiva de cuarentena correspondiente. Para obtener más información, vea Buscar y liberar mensajes en cuarentena como usuario en EOP.
Los administradores pueden notificar falsos positivos a Microsoft desde la cuarentena. Para obtener más información, vea Tomar medidas en el correo electrónico en cuarentena y Tomar medidas en los archivos en cuarentena.
Los usuarios también pueden notificar falsos positivos a Microsoft desde la cuarentena, en función del valor de la configuración Informes desde cuarentena en la configuración notificada por el usuario.
Retención en cuarentena
El tiempo que los mensajes o archivos en cuarentena se mantienen en cuarentena antes de que expiren depende de por qué se puso en cuarentena el mensaje o archivo. Las características y sus períodos de retención correspondientes se describen en la tabla siguiente:
| Motivo de la cuarentena: | Período de retención predeterminado | ¿Personalizable? | Comentarios |
|---|---|---|---|
| Mensajes en cuarentena por directivas antispam como correo no deseado, spam de alta confianza, suplantación de identidad (phishing), suplantación de identidad (phishing) de alta confianza o de forma masiva. | 15 días
30 días
|
Sí* | Puede configurar el valor de 1 a 30 días en la directiva de antispam predeterminada y en las directivas de antispam personalizadas. Para obtener más información, consulte la configuración Retener correo no deseado en cuarentena durante estos muchos días (QuarantineRetentionPeriod) en Configurar directivas de antispam. *No se puede cambiar el valor en las directivas de seguridad preestablecidas Estándar o Estricta. |
Mensajes en cuarentena por directivas anti phishing:
|
15 días o 30 días | Sí* | Este período de retención también se controla mediante la opción Retener correo no deseado en cuarentena durante estos muchos días (QuarantineRetentionPeriod) en las directivas de antispam . El período de retención que se usa es el valor de la primera directiva antispam coincidente en la que se define el destinatario. |
| Mensajes en cuarentena por directivas antimalware (mensajes de malware). | 30 días | No | Si activa el filtro de datos adjuntos comunes en las directivas antimalware (en la directiva predeterminada o en las directivas personalizadas), los archivos adjuntos de los mensajes de correo electrónico a los destinatarios afectados se tratan como malware basándose únicamente en la extensión de archivo mediante la coincidencia de tipos verdaderos. De forma predeterminada, se usa una lista predefinida de tipos de archivo principalmente ejecutables, pero puede personalizar la lista. Para obtener más información, consulte Filtro de datos adjuntos comunes en directivas antimalware. |
| Mensajes en cuarentena por reglas de flujo de correo donde la acción es Entregar el mensaje a la cuarentena hospedada (cuarentena). | 30 días | No | |
| Mensajes en cuarentena por directivas de datos adjuntos seguros en Defender para Office 365 (mensajes de malware). | 30 días | No | |
| Archivos en cuarentena por datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams (archivos de malware). | 30 días | No | Los archivos en cuarentena en SharePoint o OneDrive se quitan de la cuarentena después de 30 días, pero los archivos bloqueados permanecen en SharePoint o OneDrive en estado bloqueado. |
| Mensajes en chats y canales en cuarentena por protección automática de cero horas (ZAP) para Microsoft Teams en Defender para Office 365 | 30 días | No |
Cuando un mensaje expira de la cuarentena, no se puede recuperar.
Para obtener más información sobre la cuarentena, consulte Preguntas más frecuentes sobre cuarentena.