Permitir o bloquear el correo electrónico mediante la lista de permitidos o bloqueados de inquilinos
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, los administradores pueden crear y administrar entradas para dominios y direcciones de correo electrónico (incluidos los remitentes suplantados) en la lista de permitidos o bloqueados de inquilinos. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.
En este artículo se describe cómo los administradores pueden administrar las entradas de los remitentes de correo electrónico en el portal de Microsoft Defender y en Exchange Online PowerShell.
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.
Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).
Límites de entrada para dominios y direcciones de correo electrónico:
- Exchange Online Protection: el número máximo de entradas permitidas es 500 y el número máximo de entradas de bloque es 500 (1000 entradas de dominio y dirección de correo electrónico en total).
- Defender para Office 365 plan 1: el número máximo de entradas permitidas es 1000 y el número máximo de entradas de bloque es 1000 (2000 entradas de dominio y dirección de correo electrónico en total).
- Defender para Office 365 Plan 2: el número máximo de entradas permitidas es 5000 y el número máximo de entradas de bloque es 10000 (15000 entradas de dominio y dirección de correo electrónico en total).
En el caso de los remitentes suplantados, el número máximo de entradas permitidas y entradas de bloque es 1024 (1024 entradas permitidas y ninguna entrada de bloque, 512 entradas permitidas y 512 entradas de bloque, etc.).
Las entradas para remitentes suplantados nunca expiran.
Para bloquear el correo electrónico entrante y saliente desde un dominio, cualquier subdominio de ese dominio y cualquier dirección de correo electrónico de ese dominio, cree la entrada de bloque mediante la sintaxis :
*.TLD
, dondeTLD
puede ser cualquier dominio de nivel superior, dominio interno o dominio de dirección de correo electrónico.Para bloquear el correo electrónico entrante y saliente desde un sudominio en un dominio y cualquier dirección de correo electrónico de ese subdominio, cree la entrada de bloque mediante la sintaxis :
*.SD1.TLD
,*.SD2.SD1.TLD
,*.SD3.SD2.SD1.TLD
, etc. para dominios internos y dominios de dirección de correo electrónico.Para obtener más información sobre la sintaxis de las entradas de remitente suplantadas, consulte la sección Sintaxis de par de dominio para entradas de remitente suplantadas más adelante en este artículo.
Una entrada debe estar activa en un plazo de 5 minutos.
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Ajuste de la detección (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad básica (lectura).
-
-
Agregue y quite entradas de la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
- Administración de la organización o Administrador de seguridad (rol administrador de seguridad).
- Operador de seguridad (Tenant AllowBlockList Manager).
-
Acceso de solo lectura a la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
- Lector global
- Lector de seguridad
- Configuración con permiso de vista
- View-Only Organization Management
-
Agregue y quite entradas de la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
Importante
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Dominios y direcciones de correo electrónico en la lista de inquilinos permitidos o bloqueados
Creación de entradas permitidas para dominios y direcciones de correo electrónico
No puede crear entradas permitidas para dominios y direcciones de correo electrónico directamente en la lista de permitidos o bloqueados de inquilinos. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que el sistema habría filtrado.
En su lugar, use la pestaña Correos electrónicos de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=email. Cuando envía un mensaje bloqueado, ya que he confirmado que está limpio y, a continuación, selecciona Permitir este mensaje, se agrega una entrada de permiso para el remitente a la pestaña Dominios & direcciones de correo electrónico en la página Permitir o bloquear Listas de inquilinos. Para obtener instrucciones, consulte Envío de un buen correo electrónico a Microsoft.
Sugerencia
Las entradas permitidas de envíos se agregan durante el flujo de correo en función de los filtros que determinaron que el mensaje era malintencionado. Por ejemplo, si se determina que la dirección de correo electrónico del remitente y una dirección URL del mensaje son malintencionadas, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y la dirección URL.
Durante el flujo de correo o el tiempo de clic, si los mensajes que contienen las entidades de las entradas allow pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes (se omiten todos los filtros asociados a las entidades permitidas). Por ejemplo, si un mensaje pasa comprobaciones de autenticación de correo electrónico, filtrado de direcciones URL y filtrado de archivos, se entrega un mensaje de una dirección de correo electrónico del remitente permitida si también procede de un remitente permitido.
De forma predeterminada, las entradas permitidas para dominios y direcciones de correo electrónico, archivos y direcciones URL se conservan durante 45 días después de que el sistema de filtrado determine que la entidad está limpia y, a continuación, se quita la entrada allow. También puede establecer permitir que las entradas expiren hasta 30 días después de crearlas. Permitir entradas para remitentes suplantados nunca expira.
Creación de entradas de bloque para dominios y direcciones de correo electrónico
Para crear entradas de bloque para dominios y direcciones de correo electrónico, use uno de los métodos siguientes:
En la pestaña Correos electrónicos de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=email. Cuando envíe un mensaje como he confirmado que es una amenaza, puede seleccionar Bloquear todos los correos electrónicos de este remitente o dominio para agregar una entrada de bloque a la pestaña Dominios & direcciones de correo electrónico en la página Permitir o bloquear Listas inquilinos. Para obtener instrucciones, consulte Informe de correo electrónico cuestionable a Microsoft.
En la pestaña Dominios & direcciones de la página Permitir o bloquear Listas inquilino o en PowerShell, como se describe en esta sección.
Para crear entradas de bloque para remitentes suplantados, consulte esta sección más adelante en este artículo.
Email de estos remitentes bloqueados se marca como phishing de alta confianza y se pone en cuarentena.
Nota:
Actualmente, no se bloquean los subdominios del dominio especificado. Por ejemplo, si crea una entrada de bloque para el correo electrónico de contoso.com, el correo de marketing.contoso.com tampoco se bloquea. Debe crear una entrada de bloque independiente para marketing.contoso.com.
Los usuarios de la organización tampoco pueden enviar correo electrónico a estos dominios y direcciones bloqueados. El mensaje se devuelve en el siguiente informe de no entrega (también conocido como NDR o mensaje de rebote): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
todo el mensaje se bloquea para todos los destinatarios internos y externos del mensaje, incluso si solo se define una dirección de correo electrónico o dominio de destinatario en una entrada de bloque.
Use el portal de Microsoft Defender para crear entradas de bloque para dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
En la página Permitir o bloquear Listas de inquilinos, compruebe que la pestaña Dominios & direcciones está seleccionada.
En la pestaña Dominios & direcciones , seleccione Bloquear.
En el control flotante Bloquear dominios & direcciones que se abre, configure los siguientes valores:
Dominios & direcciones: escriba una dirección de correo electrónico o dominio por línea, hasta un máximo de 20.
Quitar entrada de bloque después: Seleccione entre los valores siguientes:
- 1 día
- 7 días
- 30 días (valor predeterminado)
- Nunca expirar
- Fecha específica: el valor máximo es de 90 días a partir de hoy.
Nota opcional: escriba texto descriptivo para saber por qué está bloqueando las direcciones de correo electrónico o los dominios.
Cuando haya terminado en el control flotante Bloquear dominios & direcciones , seleccione Agregar.
De nuevo en la pestaña Dominios & direcciones de correo electrónico , se muestra la entrada.
Uso de PowerShell para crear entradas de bloque para dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
En este ejemplo se agrega una entrada de bloque para la dirección de correo electrónico especificada que expira en una fecha específica.
New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022
Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListItems.
Use el portal de Microsoft Defender para ver las entradas de dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directivas de amenazas>Permitir o bloquear Listas de inquilinos en la sección Reglas. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Compruebe que la pestaña Dominios & direcciones está seleccionada.
En la pestaña Dominios & direcciones , puede ordenar las entradas haciendo clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:
- Valor: dominio o dirección de correo electrónico.
- Acción: el valor Permitir o Bloquear.
- Modificado por
- Actualizado por última vez
- Fecha de último uso: fecha en la que se usó por última vez la entrada en el sistema de filtrado para invalidar el veredicto.
- Quitar en: fecha de expiración.
- Notas
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Acción: los valores son Allow y Block.
- Nunca expire: o
- Última actualización: seleccione Las fechas De y A .
- Fecha de último uso: seleccione Las fechas De y A .
- Quitar en: seleccione Las fechas De y A .
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use el cuadro Buscar y un valor correspondiente para buscar entradas específicas.
Para agrupar las entradas, seleccione Grupo y, a continuación, acción. Para desagrupar las entradas, seleccione Ninguno.
Uso de PowerShell para ver las entradas de dominios y direcciones de correo electrónico en la lista de inquilinos permitidos o bloqueados
En Exchange Online PowerShell, use la sintaxis siguiente:
Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]
En este ejemplo se devuelven todas las entradas allow y block para dominios y direcciones de correo electrónico.
Get-TenantAllowBlockListItems -ListType Sender
En este ejemplo se filtran los resultados de las entradas de bloque para dominios y direcciones de correo electrónico.
Get-TenantAllowBlockListItems -ListType Sender -Block
Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-TenantAllowBlockListItems.
Use el portal de Microsoft Defender para modificar las entradas de dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos.
En las entradas de dominio y dirección de correo electrónico existentes, puede cambiar la fecha de expiración y la nota.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Compruebe que la pestaña Dominios & direcciones está seleccionada.
En la pestaña Dominios & direcciones, seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Editar que aparece.
En el control flotante Editar dominios & direcciones que se abre, están disponibles los siguientes valores:
-
Entradas de bloque:
-
Quitar entrada de bloque después: Seleccione entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- Nunca expirar
- Fecha específica: el valor máximo es de 90 días a partir de hoy.
- Nota opcional
-
Quitar entrada de bloque después: Seleccione entre los valores siguientes:
-
Permitir entradas:
-
Quitar la entrada allow después: Seleccione entre los valores siguientes:
- 1 día
- 7 días
- 30 días
- 45 días después de la última fecha de uso
- Fecha específica: el valor máximo es de 30 días a partir de hoy.
- Nota opcional
-
Quitar la entrada allow después: Seleccione entre los valores siguientes:
Cuando haya terminado en el control flotante Editar dominios & direcciones , seleccione Guardar.
-
Entradas de bloque:
Sugerencia
En el control flotante de detalles de una entrada en la pestaña Dominios & direcciones , use Ver envío en la parte superior del control flotante para ir a los detalles de la entrada correspondiente en la página Envíos . Esta acción está disponible si un envío fue responsable de crear la entrada en la lista de permitidos o bloqueados de inquilinos.
Uso de PowerShell para modificar las entradas de dominios y direcciones de correo electrónico en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
En este ejemplo se cambia la fecha de expiración de la entrada de bloque especificada para la dirección de correo electrónico del remitente.
Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"
Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-TenantAllowBlockListItems.
Use el portal de Microsoft Defender para quitar las entradas de dominios y direcciones de correo electrónico de la lista de permitidos o bloqueados de inquilinos.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Compruebe que la pestaña Dominios & direcciones está seleccionada.
En la pestaña Dominios & direcciones , realice uno de los pasos siguientes:
Seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Eliminar que aparece.
Seleccione la entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. En el control flotante de detalles que se abre, seleccione Eliminar en la parte superior del control flotante.
Sugerencia
- Para ver detalles sobre otras entradas sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.
- Puede seleccionar varias entradas seleccionando cada casilla o seleccionando todas las entradas seleccionando la casilla situada junto al encabezado de columna Valor .
En el cuadro de diálogo de advertencia que se abre, seleccione Eliminar.
De nuevo en la pestaña Dominios & direcciones , la entrada ya no aparece.
Uso de PowerShell para quitar entradas de dominios y direcciones de correo electrónico de la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>
En este ejemplo se quita la entrada especificada para dominios y direcciones de correo electrónico de la lista de permitidos o bloqueados de inquilinos.
Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"
Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-TenantAllowBlockListItems.
Remitentes suplantados en la lista de permitidos o bloqueados de inquilinos
Al invalidar el veredicto en la información de inteligencia sobre suplantación de identidad, el remitente suplantado se convierte en una entrada manual de permitir o bloquear que solo aparece en la pestaña Remitentes suplantados de la página Permitir o bloquear Listas de inquilinos.
Creación de entradas permitidas para remitentes suplantados
Para crear entradas permitidas para remitentes suplantados, use cualquiera de los métodos siguientes:
- En la pestaña Correos electrónicos de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=email. Para obtener instrucciones, consulte Envío de un buen correo electrónico a Microsoft.
- Al enviar un mensaje detectado y bloqueado por la inteligencia de suplantación de identidad, se agrega una entrada de permiso para el remitente suplantado a la pestaña Remitentes suplantados en la Lista de permitidos o bloqueados de inquilinos .
- Si el remitente no se detectó y bloqueó mediante la inteligencia de suplantación de identidad, el envío del mensaje a Microsoft no crea una entrada de permiso para el remitente en la lista de permitidos o bloqueados de inquilinos.
- En la página Spoof intelligence insight (Información de inteligencia de suplantación de identidad) en https://security.microsoft.com/spoofintelligencesi el remitente se detectó y bloqueó mediante inteligencia suplantada. Para obtener instrucciones, consulte Invalidación del veredicto de inteligencia de suplantación de identidad.
- Al invalidar el veredicto en la información de inteligencia sobre suplantación de identidad, el remitente suplantado se convierte en una entrada manual que solo aparece en la pestaña Remitentes suplantados de la página Permitir o bloquear Listas de inquilinos.
- En la pestaña Remitentes suplantados de la página Permitir o bloquear Listas inquilino o en PowerShell, como se describe en esta sección.
Nota:
Permitir entradas para remitentes suplantados para la suplantación de identidad entre organizaciones, organizaciones y dmARC.
Solo se permite suplantar la combinación del usuario suplantado y la infraestructura de envío tal como se define en el par de dominio .
Permitir entradas para remitentes suplantados nunca expira.
Use el portal de Microsoft Defender para crear entradas permitidas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos.
En la Lista de permitidos o bloqueados de inquilinos, puede crear entradas de permiso para remitentes suplantados antes de que se detecten y bloqueen mediante la inteligencia de suplantación de identidad.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
En la página Permitir o bloquear Listas de inquilinos, seleccione la pestaña Remitentes suplantados.
En la pestaña Remitentes suplantados , seleccione Agregar.
En el control flotante Agregar nuevos pares de dominio que se abre, configure los siguientes valores:
Agregar pares de dominio con caracteres comodín: escriba el par de dominios por línea, hasta un máximo de 20. Para obtener más información sobre la sintaxis de las entradas de remitente suplantadas, consulte la sección Sintaxis de par de dominio para entradas de remitente suplantadas más adelante en este artículo.
Tipo de suplantación: seleccione uno de los valores siguientes:
- Interno: el remitente suplantado está en un dominio que pertenece a su organización (un dominio aceptado).
- Externo: el remitente suplantado está en un dominio externo.
Acción: seleccione Permitir o Bloquear.
Cuando haya terminado en el control flotante Agregar nuevos pares de dominio , seleccione Agregar.
De nuevo en la pestaña Remitentes suplantados , se muestra la entrada.
Uso de PowerShell para crear entradas permitidas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
En este ejemplo se crea una entrada allow para el remitente bob@contoso.com desde el contoso.com de origen.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External
Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListSpoofItems.
Creación de entradas de bloque para remitentes suplantados
Para crear entradas de bloque para remitentes suplantados, use cualquiera de los métodos siguientes:
- En la pestaña Correos electrónicos de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=email. Para obtener instrucciones, consulte Informe de correo electrónico cuestionable a Microsoft.
- En la página Spoof intelligence insight (Información de inteligencia de suplantación de identidad) en https://security.microsoft.com/spoofintelligencesi el remitente se detectó y permitió la inteligencia de suplantación de identidad. Para obtener instrucciones, consulte Invalidación del veredicto de inteligencia de suplantación de identidad.
- Al invalidar el veredicto en la información de inteligencia sobre suplantación de identidad, el remitente suplantado se convierte en una entrada manual que solo aparece en la pestaña Remitentes suplantados de la página Permitir o bloquear Listas de inquilinos.
- En la pestaña Remitentes suplantados de la página Permitir o bloquear Listas inquilino o en PowerShell, como se describe en esta sección.
Nota:
Solo la combinación del usuario suplantado y la infraestructura de envío definida en el par de dominio se bloquean de la suplantación de identidad.
Email de estos remitentes se marca como phishing. Lo que sucede con los mensajes viene determinado por la directiva antispam que detectó el mensaje para el destinatario. Para obtener más información, consulte la acción de detección de suplantación de identidad (phishing ) en la configuración de la directiva contra correo no deseado de EOP.
Al configurar una entrada de bloque para un par de dominios, el remitente suplantado se convierte en una entrada de bloque manual que solo aparece en la pestaña Remitentes suplantados de la lista De inquilinos permitidos o bloqueados .
Las entradas de bloque para remitentes suplantados nunca expiran.
Use el portal de Microsoft Defender para crear entradas de bloque para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos.
Los pasos son casi idénticos a la creación de entradas permitidas para remitentes suplantados, como se describió anteriormente en este artículo.
La única diferencia es que, para el valor Acción del paso 4, seleccione Bloquear en lugar de Permitir.
Uso de PowerShell para crear entradas de bloque para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>
En este ejemplo se crea una entrada de bloque para el remitente laura@adatum.com desde el origen 172.17.17.17/24.
New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External
Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListSpoofItems.
Use el portal de Microsoft Defender para ver las entradas de los remitentes suplantados en la lista de permitidos o bloqueados de inquilinos.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directivas de amenazas>Permitir o bloquear Listas de inquilinos en la sección Reglas. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Compruebe que la pestaña Remitentes suplantados esté seleccionada.
En la pestaña Remitentes suplantados , puede ordenar las entradas haciendo clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:
- Usuario suplantado
- Infraestructura de envío
- Tipo de suplantación: los valores disponibles son Interno o Externo.
- Acción: los valores disponibles son Bloquear o Permitir.
Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:
- Acción: los valores disponibles son Allow y Block.
- Tipo de suplantación: los valores disponibles son Interno y Externo.
Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.
Use el cuadro Buscar y un valor correspondiente para buscar entradas específicas.
Para agrupar las entradas, seleccione Grupo y, a continuación, seleccione uno de los siguientes valores:
- Action
- Tipo de suplantación de identidad
Para desagrupar las entradas, seleccione Ninguno.
Uso de PowerShell para ver las entradas de remitentes suplantados en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
En este ejemplo se devuelven todas las entradas de remitente suplantadas en la lista de permitidos o bloqueados de inquilinos.
Get-TenantAllowBlockListSpoofItems
En este ejemplo se devuelven todas las entradas de remitente suplantadas que son internas.
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
En este ejemplo se devuelven todas las entradas de remitente suplantadas bloqueadas que son externas.
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-TenantAllowBlockListSpoofItems.
Use el portal de Microsoft Defender para modificar las entradas de los remitentes suplantados en la lista de permitidos o bloqueados de inquilinos.
Al modificar una entrada de permitir o bloquear para remitentes suplantados en la lista Permitir o bloquear inquilinos, solo puede cambiar la entrada de Permitir a Bloquear, o viceversa.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Seleccione la pestaña Remitentes suplantados .
Seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Editar que aparece.
En el control flotante Editar remitente suplantado que se abre, seleccione Permitir o Bloquear y, a continuación, seleccione Guardar.
Uso de PowerShell para modificar las entradas de los remitentes suplantados en la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>
En este ejemplo se cambia la entrada de remitente suplantada especificada de una entrada allow a una entrada de bloque.
Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block
Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-TenantAllowBlockListSpoofItems.
Use el portal de Microsoft Defender para quitar entradas de remitentes suplantados de la lista de permitidos o bloqueados de inquilinos.
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.
Seleccione la pestaña Remitentes suplantados .
En la pestaña Remitentes suplantados, seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Eliminar que aparece.
Sugerencia
Puede seleccionar varias entradas seleccionando cada casilla o seleccionando todas las entradas seleccionando la casilla situada junto al encabezado de columna Spoofed user(Spoofed user column).
En el cuadro de diálogo de advertencia que se abre, seleccione Eliminar.
Uso de PowerShell para quitar entradas para remitentes suplantados de la lista de permitidos o bloqueados de inquilinos
En Exchange Online PowerShell, use la sintaxis siguiente:
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c
En este ejemplo se quita el remitente suplantado especificado. El valor del parámetro Ids se obtiene de la propiedad Identity en la salida del comando Get-TenantAllowBlockListSpoofItems.
Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-TenantAllowBlockListSpoofItems.
Sintaxis de par de dominio para entradas de remitente suplantadas
Un par de dominios para un remitente suplantado en la lista de permitidos o bloques de inquilinos usa la sintaxis siguiente: <Spoofed user>, <Sending infrastructure>
.
Usuario suplantado: este valor implica la dirección de correo electrónico del usuario suplantado que se muestra en el cuadro De en los clientes de correo electrónico. Esta dirección también se conoce como la dirección del
5322.From
remitente O P2. Los valores válidos son:- Una dirección de correo electrónico individual (por ejemplo, chris@contoso.com).
- Un dominio de correo electrónico (por ejemplo, contoso.com).
- Carácter comodín (*).
Infraestructura de envío: este valor indica el origen de los mensajes del usuario suplantado. Los valores válidos son:
- Dominio que se encuentra en una búsqueda dns inversa (registro PTR) de la dirección IP del servidor de correo electrónico de origen (por ejemplo, fabrikam.com).
- Si la dirección IP de origen no tiene ningún registro PTR, la infraestructura de envío se identifica como <IP de origen>/24 (por ejemplo, 192.168.100.100/24).
- Un dominio DKIM comprobado.
- Carácter comodín (*).
Estos son algunos ejemplos de pares de dominio válidos para identificar remitentes suplantados:
contoso.com, 192.168.100.100/24
chris@contoso.com, fabrikam.com
*, contoso.net
Nota:
Puede especificar caracteres comodín en la infraestructura de envío o en el usuario suplantado, pero no en ambos al mismo tiempo. Por ejemplo, *, *
no se permite.
Si usa un dominio en lugar de la dirección IP o el intervalo de direcciones IP en la infraestructura de envío, el dominio debe coincidir con el registro PTR de la dirección IP de conexión en el encabezado Authentication-Results . Puede determinar el PTR ejecutando el comando : ping -a <IP address>
. También se recomienda usar el dominio de la organización PTR como valor de dominio. Por ejemplo, si el PTR se resuelve como "smtp.inbound.contoso.com", debe usar "contoso.com" como infraestructura de envío.
La adición de un par de dominio permite o bloquea la combinación del usuario suplantado ysolo la infraestructura de envío. Por ejemplo, agrega una entrada allow para el siguiente par de dominio:
- Dominio: gmail.com
- Infraestructura de envío: tms.mx.com
Solo los mensajes de ese dominio y el par de infraestructura de envío pueden suplantarse. No se permiten otros remitentes que intenten suplantar gmail.com. Los mensajes de remitentes de otros dominios que se originan en tms.mx.com se comprueban mediante inteligencia suplantada.
Acerca de los dominios o remitentes suplantados
No puede crear entradas permitidas en la lista de permitidos o bloqueados de inquilinos para los mensajes que se detectaron como usuarios suplantados o dominios suplantados mediante directivas anti phishing en Defender para Office 365.
El envío de un mensaje que se bloqueó incorrectamente como suplantación en la pestaña Correos electrónicos de la página Envíos de https://security.microsoft.com/reportsubmission?viewid=email no agrega el remitente ni el dominio como una entrada permitida en la lista de inquilinos permitidos o bloqueados.
En su lugar, el dominio o el remitente se agrega a la sección Remitentes y dominios de confianza de la directiva anti-phishing que detectó el mensaje.
Para obtener instrucciones de envío para suplantar falsos positivos, consulte Informe de un buen correo electrónico a Microsoft.
Nota:
Actualmente, la suplantación de usuario (o gráfico) no se cuida desde aquí.
Artículos relacionados
- Use la página Envíos para enviar sospechas de correo no deseado, correo no deseado, direcciones URL, bloqueo de correo electrónico legítimo y datos adjuntos de correo electrónico a Microsoft
- Notificar falsos positivos y falsos negativos
- Administrar permite y bloquea en la lista de permitidos o bloqueados de inquilinos
- Permitir o bloquear archivos en la lista de inquilinos permitidos o bloqueados
- Permitir o bloquear direcciones URL en la lista de permitidos o bloqueados de inquilinos
- Permitir o bloquear direcciones IPv6 en la lista de inquilinos permitidos o bloqueados