Compartir a través de


Protección contra correo no deseado en EOP

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Nota:

Este tema está pensado para administradores. Para ver los temas de usuario final, consulte Información general sobre el filtro de Email no deseado y Información sobre el correo electrónico no deseado y la suplantación de identidad (phishing).

En organizaciones de Microsoft 365 con buzones de correo de Exchange Online u organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, EOP protege automáticamente los mensajes de correo electrónico contra el spam (correo no deseado).

Para ayudar a reducir el correo electrónico no deseado, EOP incluye protección contra correo no deseado que usa tecnologías propietarias de filtrado de correo no deseado (también conocidas como filtrado de contenido) para identificar y separar el correo electrónico no deseado del correo electrónico legítimo. El filtrado de correo no deseado de EOP aprende de amenazas conocidas de spam y phishing y comentarios de los usuarios de nuestra plataforma de consumidores, Outlook.com. Los comentarios continuos de administradores y usuarios ayudan a garantizar que las tecnologías de EOP se entrene y mejore continuamente.

EOP usa los siguientes veredictos de filtrado de spam para clasificar los mensajes:

  • Correo no deseado: el mensaje recibió un nivel de confianza de correo no deseado (SCL) de 5 o 6.
  • Spam de alta confianza: el mensaje recibió una SCL de 7, 8 o 9.
  • Suplantación de identidad (phishing)
  • Suplantación de identidad de alta confianza: como parte de la seguridad de forma predeterminada, los mensajes que se identifican como suplantación de identidad de alta confianza siempre se ponen en cuarentena y los usuarios no pueden liberar sus propios mensajes de suplantación de identidad de alta confianza en cuarentena, independientemente de la configuración disponible que configuren los administradores.
  • En masa: el origen del mensaje cumplió o superó el umbral de nivel de queja masiva (BCL) configurado.

Para obtener más información sobre la protección contra correo no deseado, consulte las Preguntas más frecuentes sobre la protección contra correo no deseado.

En la directiva de antispam predeterminada y en las directivas antispam personalizadas, puede configurar las acciones que se deben realizar en función de estos veredictos. En las directivas de seguridad preestablecidas Estándar y Estricta, las acciones ya están configuradas y no se pueden modificar como se describe en Configuración de directivas contra correo no deseado de EOP.

Para configurar la directiva de antispam predeterminada y para crear, modificar y quitar directivas de correo no deseado personalizadas, consulte Configuración de directivas contra correo no deseado en Microsoft 365.

Sugerencia

Si no está de acuerdo con el veredicto de filtrado de correo no deseado, puede notificar el mensaje a Microsoft como un falso positivo (un buen correo marcado como incorrecto) o un falso negativo (correo electrónico incorrecto permitido). Para más información, vea:

Los encabezados de mensajes antispam pueden indicar por qué se ha marcado un mensaje como correo no deseado o por qué se ha omitido el filtrado de correo no deseado. Para obtener más información, vea Encabezados de mensajes de correo no deseado.

No puede desactivar completamente el filtrado de correo no deseado en Microsoft 365, pero puede usar reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) para omitir la mayoría del filtrado de correo no deseado en los mensajes entrantes (por ejemplo, si enruta el correo electrónico a través de un servicio o dispositivo de protección de terceros antes de la entrega a Microsoft 365). Para obtener más información, vea Usar reglas de flujo de mensajes para establecer el nivel de confianza de spam (SCL) en los mensajes.

En entornos híbridos donde EOP protege los buzones de Exchange locales, debe configurar dos reglas de flujo de correo (también conocidas como reglas de transporte) en la organización local de Exchange para reconocer los encabezados de correo no deseado de EOP que se agregan a los mensajes. Para obtener información, consulte Configuración de un EOP para entregar el correo no deseado en la carpeta de correo no deseado en entornos híbridos.

Directivas contra correo electrónico no deseado

Las directivas contra correo no deseado controlan la configuración configurable para el filtrado de correo no deseado. La configuración importante de las directivas contra correo no deseado se describe en las siguientes subsecciones.

Sugerencia

Para ver la configuración de la directiva contra correo no deseado en la directiva predeterminada, la directiva de seguridad preestablecida Estándar y la directiva de seguridad preestablecida Estricta, consulte Configuración de directivas contra correo no deseado de EOP.

Filtros de destinatarios en directivas contra correo no deseado

Los filtros de destinatario usan condiciones y excepciones para identificar los destinatarios internos a los que se aplica la directiva. Se requiere al menos una condición en las directivas personalizadas. Las condiciones y excepciones no están disponibles en la directiva predeterminada (la directiva predeterminada se aplica a todos los destinatarios). Puede usar los siguientes filtros de destinatario para condiciones y excepciones:

  • Usuarios: uno o varios buzones de correo, usuarios de correo o contactos de correo de la organización.
  • Grupos:
    • Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
    • Los Grupos de Microsoft 365 especificados.
  • Dominios: uno o varios de los dominios aceptados configurados en Microsoft 365. La dirección de correo electrónico principal del destinatario está en el dominio especificado.

Puede usar una condición o una excepción solo una vez, pero la condición o la excepción pueden contener varios valores:

  • Varios valores de la misma condición o excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>):

    • Condiciones: si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.
    • Excepciones: si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
  • Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.

  • Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:

    • Usuarios: romain@contoso.com
    • Grupos: Ejecutivos

    La política se aplica soloromain@contoso.com si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.

Umbral de quejas masivas (BCL) en las directivas contra correo no deseado

EOP asigna un valor de nivel de queja masiva (BCL) a los mensajes entrantes de remitentes masivos. Los mensajes de remitentes masivos también se conocen como correo masivo o correo gris.

Para obtener más información sobre BCL, consulte Nivel de quejas masivas (BCL) en EOP.

Sugerencia

De forma predeterminada, la configuración de PowerShell solo MarkAsSpamBulkMail está On en directivas contra correo no deseado en Exchange Online PowerShell. Esta configuración afecta drásticamente a los resultados de un veredicto de filtrado cumplido o superado de un nivel de cumplimiento masivo (BCL ):

  • MarkAsSpamBulkMail es On: una BCL mayor o igual que el valor de umbral se convierte en un SCL 6 que corresponde a un veredicto de filtrado de Spam, y la acción para el nivel de cumplimiento masivo (BCL) cumplido o superado el veredicto de filtrado se realiza en el mensaje.
  • MarkAsSpamBulkMail es Desactivado: El mensaje se marca con la BCL, pero no se realiza ninguna acción para un veredicto de filtrado de nivel conforme masivo (BCL) cumplido o superado . De hecho, el umbral de BCL y el nivel de cumplimiento masivo (BCL) cumplidos o superados la acción de veredicto de filtrado son irrelevantes.

Propiedades de correo no deseado en directivas contra correo no deseado

La configuración del modo de prueba , la configuración de aumentar la puntuación de correo no deseado y la mayoría de la configuración marcar como correo no deseado forman parte del filtrado avanzado de correo no deseado (ASF) en las directivas contra correo no deseado.

Esta configuración no está configurada en la directiva predeterminada contra correo no deseado de forma predeterminada, ni en las directivas de seguridad preestablecidas Estándar o Estricta.

Para obtener información completa sobre la configuración de ASF, consulte Configuración avanzada de filtro de correo no deseado (ASF) en EOP.

Las demás opciones de configuración que están disponibles en esta categoría son:

  • Contiene idiomas específicos: los mensajes de los idiomas especificados se identifican automáticamente como correo no deseado.
  • De estos países: los mensajes de los países especificados se identifican automáticamente como correo no deseado.

Esta configuración no está configurada en la directiva predeterminada contra correo no deseado de forma predeterminada, ni en las directivas de seguridad preestablecidas Estándar o Estricta.

Acciones en directivas contra correo no deseado

  • En las directivas de antispam personalizadas y la directiva de antispam predeterminada, las acciones disponibles para los veredictos de filtrado de correo no deseado se describen en la tabla siguiente.

    • Una marca de verificación ( ✔ ) indica que la acción está disponible (no todas las acciones están disponibles para todos los veredictos).
    • Un asterisco (*) después de la marca de verificación indica la acción predeterminada para el veredicto de filtrado de correo no deseado.
    Acción Correo no deseado Alto
    confianza
    correo no deseado
    Suplantación de identidad (phishing) Alto
    confianza
    suplantación de identidad (phishing)
    Masivo
    Mover el mensaje a la carpeta de Email no deseado: el mensaje se entrega al buzón y se mueve a la carpeta de Email no deseado.¹ * * ² *
    Agregar encabezado X: agrega un encabezado X al encabezado del mensaje y entrega el mensaje al buzón.

    Escriba el nombre del campo de encabezado X (no el valor) en el cuadro de texto Agregar este encabezado X disponible.

    En el caso de los veredictos de spam y correo no deseado de alta confianza, el mensaje se mueve a la carpeta Email de correo no deseado.¹ ³
    Anteponer la línea de asunto al texto: agrega texto al principio de la línea de asunto del mensaje. El mensaje se entrega al buzón y se mueve a la carpeta correo no deseado.¹ ³

    Escriba el texto en la línea de asunto Prefijo disponible con este cuadro de texto.
    Redirigir el mensaje a la dirección de correo electrónico: envía el mensaje a otros destinatarios en vez de a los especificados.

    Especifique los destinatarios en el cuadro Redirigir a esta dirección de correo electrónico .
    Eliminar mensaje: elimina el mensaje completo, incluidos todos los datos adjuntos.
    Colocar el mensaje en cuarentena: envía el mensaje a la cuarentena en lugar de a los destinatarios.

    Seleccione o use la directiva de cuarentena predeterminada para el veredicto de filtrado de correo no deseado en el cuadro Seleccionar directiva de cuarentena que aparece.⁴ Las directivas de cuarentena definen qué pueden hacer los usuarios en los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

    Especifique cuánto tiempo se mantienen los mensajes en cuarentena en el cuadro Conservar correo no deseado disponible en cuarentena durante estos días .
    * *
    Ninguna acción

    ¹ EOP usa su propio agente de entrega de flujo de correo para enrutar mensajes a la carpeta junk Email en lugar de usar la regla de correo no deseado en el buzón. El parámetro Enabled del cmdlet Set-MailboxJunkEmailConfiguration en Exchange Online PowerShell tiene efecto en el flujo de correo en los buzones de correo en la nube. Para más información, consulte Configuración de las opciones del correo no deseado en buzones de Exchange Online.

    ² Para la suplantación de identidad de alta confianza, la acción Mover mensaje a la carpeta Email no deseado está en desuso de forma eficaz. Aunque puede seleccionar la acción Mover mensaje a correo no deseado Email carpeta, los mensajes de suplantación de identidad de alta confianza siempre se ponen en cuarentena (lo que equivale a seleccionar Mensaje de cuarentena).

    ³ Puede usar este valor como condición en las reglas de flujo de correo para filtrar o enrutar el mensaje.

    ⁴ Si el veredicto de filtrado de correo no deseado pone en cuarentena los mensajes de forma predeterminada (el mensaje de cuarentena ya está seleccionado al llegar a la página), el nombre predeterminado de la directiva de cuarentena se muestra en el cuadro Seleccionar directiva de cuarentena . Si cambia la acción de un veredicto de filtrado de correo no deseado a Mensaje de cuarentena, el cuadro Seleccionar directiva de cuarentena está en blanco de forma predeterminada. Un valor en blanco significa que se usa la directiva de cuarentena predeterminada para ese veredicto. Cuando más adelante vea o edite la configuración de la directiva contra correo no deseado, se mostrará el nombre de la directiva de cuarentena. Para obtener más información sobre las directivas de cuarentena que se usan de forma predeterminada para los veredictos de filtro de correo no deseado, consulte Configuración de directivas contra correo no deseado de EOP.

    ⁵ Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como phishing de alta confianza, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de suplantación de identidad de alta confianza en cuarentena.

  • Mensajes dentro de la organización sobre los que tomar medidas: controla si el filtrado de correo no deseado y las acciones de veredicto correspondientes se aplican a los mensajes internos (mensajes enviados entre los usuarios de la organización). La acción que se configura en la directiva para los veredictos de filtro de correo no deseado especificados se realiza en los mensajes enviados entre usuarios internos. Los valores disponibles son los siguientes:

    • Valor predeterminado: este es el valor predeterminado. Este valor es el mismo que al seleccionar Mensajes de suplantación de identidad de alta confianza.
    • Ninguna
    • Mensajes de suplantación de identidad de alta confianza
    • Suplantación de identidad (phishing) y mensajes de suplantación de identidad (phishing) de alta confianza
    • Todos los mensajes de suplantación de identidad (phishing) y correo no deseado de alta confianza
    • Todos los mensajes de suplantación de identidad y correo no deseado

    Para ver los valores predeterminados que se usan en la directiva de antispam predeterminada y en las directivas de seguridad preestablecidas Estándar y Estricta, consulte los mensajes dentro de la organización para tomar medidas sobre la entrada en la configuración de la directiva contra correo no deseado de EOP.

  • Mantener correo no deseado en cuarentena durante este número de días: especifica cuánto tiempo debe mantenerse el mensaje en cuarentena si ha seleccionado Mensaje en cuarentena como la acción para un veredicto de filtrado de correo no deseado. Una vez expirado el período de tiempo, el mensaje se elimina y no se puede recuperar. Los valores válidos están comprendidos entre 1 y 30 días.

    Para ver los valores predeterminados que se usan en la directiva de antispam predeterminada y en las directivas de seguridad preestablecidas Estándar y Estricta, consulte la entrada Retener correo no deseado en cuarentena para estos muchos días en la configuración de la directiva contra correo no deseado de EOP.

    Sugerencia

    Esta configuración también controla cuánto tiempo se conservan los mensajes que se han puesto en cuarentena mediante directivas contra suplantación de identidad. Para obtener más información, consulte Retención de cuarentena.

Purga automática de cero horas (ZAP) en directivas contra correo no deseado

ZAP para phishing y ZAP para correo no deseado puede actuar sobre los mensajes después de que se entreguen a Exchange Online buzones. De forma predeterminada, ZAP para phishing y ZAP para correo no deseado están activados, y se recomienda dejarlos activados. Para más información, vea:

Directivas de cuarentena en directivas contra correo no deseado

Si el veredicto de la directiva contra correo no deseado está configurado para poner en cuarentena los mensajes, las directivas de cuarentena definen qué usuarios pueden hacer con esos mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Permitir y bloquear listas en directivas contra correo no deseado

Las directivas contra correo no deseado contienen las siguientes listas para permitir o bloquear remitentes o dominios específicos:

  • Lista de remitentes permitidos
  • Lista de dominios permitidos
  • Lista de remitentes bloqueados
  • Lista de dominios bloqueados

Esta configuración no está configurada en la directiva predeterminada contra correo no deseado de forma predeterminada, ni en las directivas de seguridad preestablecidas Estándar o Estricta.

La funcionalidad de estas listas se ha reemplazado en gran medida por:

  • Bloquee las entradas de dominios y direcciones de correo electrónico en Crear entradas de bloque para dominios y direcciones de correo electrónico.

    La razón principal para usar la lista de remitentes bloqueados o la lista de dominios bloqueados en las directivas contra correo no deseado: bloquear las entradas en la lista de permitidos o bloqueados de inquilinos también impide que los usuarios de la organización envíen correo electrónico a esas direcciones de correo electrónico o dominios.

  • Informar de un buen correo electrónico a Microsoft desde la página Envíos del portal de Microsoft Defender (donde puede elegir Permitir correos electrónicos con atributos similares, lo que crea las entradas temporales necesarias en la lista de inquilinos permitidos o bloqueados).

    Importante

    Los mensajes de las entradas de la lista de remitentes permitidos o de la lista de dominios permitidos omiten la mayoría de la protección de correo electrónico (excepto malware y phishing de alta confianza) y las comprobaciones de autenticación de correo electrónico (SPF, DKIM y DMARC). Las entradas de la lista de remitentes permitidos o la lista de dominios permitidos crean un alto riesgo de que los atacantes entreguen correctamente el correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría. Estas listas se usan mejor solo para pruebas temporales.

    Nunca agregue dominios comunes (por ejemplo, microsoft.com o office.com) a la lista de dominios permitidos. Los atacantes pueden enviar fácilmente mensajes suplantados desde estos dominios comunes a su organización.

    A partir de septiembre de 2022, si un remitente, dominio o subdominio permitido está en un dominio aceptado en su organización, ese remitente, dominio o subdominio debe pasar comprobaciones de autenticación por correo electrónico para omitir el filtrado de correo no deseado.

    Si va a mantener una entrada de dominio permitida en la lista durante un período de tiempo prolongado, indique al remitente que compruebe que su registro SPF está actualizado con los orígenes de correo electrónico de su dominio y que la directiva de su registro DMARC está establecida p=rejecten .

Prioridad de las directivas contra correo no deseado

Si están activadas, las directivas de seguridad preestablecidas Estándar y Estricta se aplican antes que las directivas personalizadas contra correo no deseado o la directiva predeterminada (Strict siempre es la primera). Si crea varias directivas de antispam personalizadas, puede especificar el orden en que se aplican. El procesamiento de directivas se detiene después de aplicar la primera directiva (la directiva de mayor prioridad para ese destinatario).

Para obtener más información sobre el orden de precedencia y cómo se evalúan varias directivas, consulte Orden y prioridad de la protección por correo electrónico y Orden de precedencia para las directivas de seguridad preestablecidas y otras directivas.

Directiva contra correo no deseado predeterminada

Cada organización tiene una directiva antispam integrada denominada Default que tiene las siguientes propiedades:

  • La directiva es la directiva predeterminada (la propiedad IsDefault tiene el valor True), y no puede eliminar esta directiva predeterminada.
  • La directiva se aplica automáticamente a todos los destinatarios de la organización y no se puede desactivar.
  • La directiva siempre se aplica en último lugar (el valor De prioridad es Menor y no se puede cambiar).