Marcas de correo no deseado

  • Artículo

Se aplica a: Exchange Server 2013

Las marcas de correo electrónico no deseado le ayudan a diagnosticar los problemas relacionados con el correo no deseado mediante la aplicación de metadatos de diagnóstico, o marcas, como información específica del remitente, resultados de la validación del puzzle y resultados del filtrado de contenido, a los mensajes, mientras pasan a través de las características contra correo electrónico no deseado que filtran los mensajes entrantes de Internet. Hay tres marcas contra correo no deseado: el sello de nivel de confianza de phishing, el sello de nivel de confianza de correo no deseado y el sello de id. de remitente.

Puede usar los sellos antispam como herramientas de diagnóstico para determinar qué acciones tomar en los falsos positivos y en los mensajes de spam sospechosos que reciben las personas en sus buzones.

Nota:

El 1 de noviembre de 2016 Microsoft detuvo las actualizaciones de definiciones de correo no deseado para los filtros de SmartScreen en Exchange y Outlook. Las definiciones existentes de correo no deseado de SmartScreen permanecerán en su lugar, pero es probable que su eficacia se degrade con el tiempo. Para obtener más información, consulte la compatibilidad para SmartScreen en Outlook y Exchange.

Visualización de marcas de correo no deseado

Puede ver las marcas de correo no deseado mediante Microsoft Outlook. Para más información, vea Ver marcas de correo electrónico no deseado en Outlook.

Descripción del informe contra correo no deseado

El informe contra correo no deseado es un informe de resumen de los resultados del filtro antispam que se han aplicado a un mensaje de correo electrónico. El agente de filtro de contenido aplica esta marca al sobre del mensaje en forma de encabezado X como se indica a continuación.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

En la tabla siguiente se describe la información de filtro que puede aparecer en un informe contra correo no deseado.

Nota:

El informe contra correo no deseado solo muestra información de los filtros que se aplicaron al mensaje específico. Un informe contra correo no deseado normalmente no contiene toda la información que se muestra en la tabla siguiente. Por ejemplo, puede recibir el siguiente informe contra correo no deseado: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Filtrar información en un informe contra correo no deseado

Marca Descripción
SID El sello id. de remitente (SID) se basa en el marco de directivas de remitente (SPF) que autoriza el uso de dominios en el correo electrónico. El SPF se muestra en el sobre del mensaje como Received-SPF. El proceso de evaluación del identificador de remitente genera un estado de id. de remitente para el mensaje. Este estado se puede devolver como uno de los valores siguientes:
  • Pasar: tanto la dirección IP como la dirección responsable (PRA) pasaron la comprobación de comprobación del identificador de remitente.
  • Neutro: los datos de identificador de remitente publicados no son concluyentes explícitamente.
  • Error temporal: la dirección IP del PRA puede estar en el conjunto no permitido.
  • Error: no se permite la dirección IP; no se encuentra ninguna PRA en el correo entrante o el dominio de envío no existe.
  • Ninguno: no existe ningún dato SPF publicado en el DNS del remitente.
  • TempError: se produjo un error de DNS temporal, como un servidor DNS no disponible.
  • PermError: el registro DNS no es válido, como un error en el formato de registro.

La marca de id. de remitente se muestra como un encabezado X en el sobre del mensaje como se indica a continuación: X-MS-Exchange-Organization-SenderIdResult:<status>

Para obtener más información sobre el identificador de remitente, consulte Id. de remitente.
DV La marca de versión del DAT (DV) indica la versión del archivo de definición de correo electrónico no deseado que se ha usado al examinar el mensaje.
SA La marca de acción de firma (SA) indica que el mensaje se ha recuperado o se ha eliminado porque se ha encontrado una firma en el mensaje.
SV La marca de versión del DAT de firma (SV) indica la versión del archivo de firma que se ha usado al examinar el mensaje.
PCL El sello de nivel de confianza de suplantación de identidad (PCL) muestra la clasificación del mensaje en función de su contenido y se aplica cuando el agente de filtro de contenido procesa el mensaje. Este estado se puede devolver como uno de los valores siguientes:
  • Neutral: es probable que el contenido del mensaje no sea phishing.
  • Sospechoso: es probable que el contenido del mensaje sea phishing.

El valor pcl puede oscilar entre 1 y 8:

  • Una clasificación PCL de 1 a 3 devuelve un estado de Neutral. Esto significa que es probable que el contenido del mensaje no sea phishing.
  • Una clasificación PCL de 4 a 8 devuelve un estado de Suspicious. Esto significa que es probable que el mensaje sea phishing.

Los valores se usan para determinar qué acción realiza Outlook en los mensajes. Outlook usa la marca de PCL para bloquear el contenido de los mensajes sospechosos.

La marca PCL se muestra como un encabezado X en el sobre del mensaje de la siguiente manera: X-MS-Exchange-Organization-PCL:<status>
SCL El sello de nivel de confianza de correo no deseado (SCL) del mensaje muestra la clasificación del mensaje en función de su contenido. El agente de filtro de contenido usa la tecnología SmartScreen de Microsoft para evaluar el contenido de un mensaje y asignar una clasificación SCL a cada mensaje.

El valor de SCL es de 0 a 9, donde 0 se considera menos probable que sea correo no deseado y 9 se considera más probable que sea correo no deseado. Las acciones que Exchange y Outlook realizan dependen de la configuración del umbral de SCL.

El sello SCL se muestra como un encabezado X en el sobre del mensaje de la siguiente manera: X-MS-Exchange-Organization-SCL:<status>

Para obtener más información sobre los umbrales y las acciones de SCL, consulte Umbral de nivel de confianza de correo no deseado.
CW El sello de peso personalizado (CW) de un mensaje indica que el mensaje contiene una palabra o frase no aprobada y que el valor de SCL, o peso, de esa palabra o frase no aprobada se aplicó a la puntuación final de SCL:
  • Las frases no aprobadas, o frases no admitidas, tienen una ponderación máxima y cambian la calificación de SCL a 9.
  • Las palabras o frases aprobadas, o frases admitidas, tienen una ponderación mínima y cambian la calificación de SCL a 0.

Para más información sobre el modo de agregar palabras o frases aprobadas y no aprobadas al agente de filtrado de contenido, consulte Administrar el filtrado de contenido.
PP El sello de puzle resuelto previamente (PP) indica que si el mensaje de un remitente contiene una marca postal de cálculo válida y resuelta, basada en la funcionalidad de validación de marcas postales de correo electrónico de Outlook, es poco probable que el remitente sea un remitente malintencionado. En este caso, el agente de filtro de contenido reduciría la calificación de SCL.

El agente de filtrado de contenido no cambia la calificación de SCL si la característica de validación de certificado electrónico está habilitada y si se cumple alguna de las siguientes condiciones:

  • Un mensaje entrante no contiene un encabezado de certificado electrónico.
  • El encabezado del certificado electrónico no es válido.

Para más información sobre la característica de validación del certificado, vea Filtrado de contenido.
TIME:TimeBasedFeatures La marca DE TIEMPO indica que hubo un retraso de tiempo significativo entre el momento en que se envió el mensaje y la hora en que se recibió el mensaje. La marca TIME se usa para determinar la calificación de SCL final del mensaje.
MIME:MIMECompliance La marca MIME indica que el mensaje de correo electrónico no es compatible con MIME.
P100:PhishingBlock El sello P100 indica que el mensaje contiene una dirección URL que está presente en un archivo de definición de phishing.
IPOnAllowList El sello IPOnAllowList indica que la dirección IP del remitente se encuentra en la lista ip permitida. Para obtener más información sobre la lista ip permitir, consulte Descripción del filtrado de conexiones.
MessageSecurityAntispamBypass El sello MessageSecurityAntispamBypass indica que el mensaje no se filtró por contenido y que se ha concedido permiso al remitente para omitir los filtros antispam.
SenderBypassed El sello SenderBypassed indica que el agente de filtro de contenido no procesa ningún filtrado de contenido para los mensajes que se reciben de este remitente. Para más información, vea Administrar el filtrado de contenido.
AllRecipientsBypassed El sello AllRecipientsBypassed indica que se cumplió una de las siguientes condiciones para todos los destinatarios enumerados en el mensaje:
  • El parámetro AntispamBypassedEnabled del buzón del destinatario está establecido en $true. Se trata de una configuración por destinatario que solo puede establecer un administrador mediante el cmdlet Set-Mailbox .
  • El remitente del mensaje está en la lista de remitentes seguros de Outlook del destinatario. Para obtener más información sobre la lista de remitentes seguros, consulte Administración de la agregación de listas seguras.
  • El agente de filtro de contenido no procesa ningún filtrado de contenido para los mensajes que se envían a este destinatario. Para obtener más información sobre las excepciones de destinatarios, vea Administrar el filtrado de contenido.