Compartir a través de


Configurar el filtrado de la conexión

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, el filtrado de conexiones y la directiva de filtro de conexión predeterminada identifican servidores de correo electrónico de origen correctos o incorrectos por direcciones IP. Los componentes clave de la directiva de filtro de conexión predeterminada son:

  • Lista de direcciones IP permitidas: omita el filtrado de correo no deseado para todos los mensajes entrantes de las direcciones IP de origen o intervalos de direcciones IP especificados. Todos los mensajes entrantes se examinan en busca de malware y suplantación de identidad de alta confianza. Para ver otros escenarios en los que el filtrado de correo no deseado se sigue produciendo en los mensajes de los servidores de la lista de direcciones IP permitidas, consulte la sección Escenarios en los que los mensajes de los orígenes de la lista de direcciones IP permitidas siguen siendo filtrados más adelante en este artículo. Para obtener más información sobre cómo la lista de direcciones IP permitidas debe ajustarse a la estrategia general de remitentes seguros, consulte Creación de listas de remitentes seguros en EOP.

  • Lista de direcciones IP bloqueadas: bloquee todos los mensajes entrantes de las direcciones IP de origen o intervalos de direcciones IP especificados. Los mensajes entrantes se rechazan, no se marcan como correo no deseado y no se produce ningún otro filtrado. Para obtener más información sobre cómo la lista de direcciones IP bloqueadas debe ajustarse a la estrategia general de remitentes bloqueados, consulte Creación de listas de remitentes de bloques en EOP.

  • Lista segura: la lista segura de la directiva de filtro de conexión es una lista de permitidos dinámica que no requiere ninguna configuración de cliente. Microsoft identifica estos orígenes de correo electrónico de confianza de suscripciones a varias listas de terceros. Habilite o deshabilite el uso de la lista segura; no puede configurar los servidores de la lista. El filtrado de correo no deseado se omite en los mensajes entrantes de los servidores de correo electrónico de la lista segura.

En este artículo se describe cómo configurar la directiva de filtro de conexión predeterminada en el portal de Microsoft 365 Microsoft Defender o en Exchange Online PowerShell. Para obtener más información sobre cómo usa EOP el filtrado de conexiones forma parte de la configuración general de antispam de la organización, consulte Protección contra correo no deseado.

Nota:

La lista de direcciones IP permitidas, la lista segura y la lista de direcciones IP bloqueadas forman parte de la estrategia general para permitir o bloquear el correo electrónico en su organización. Para obtener más información, vea Crear listas de remitentes seguros y Crear listas de remitentes bloqueados.

No se admiten los intervalos IPv6.

Los mensajes de orígenes bloqueados en la lista de direcciones IP bloqueadas no están disponibles en el seguimiento de mensajes.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Directivas contra correo no deseado, use https://security.microsoft.com/antispam.

  • Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).

    • permisos de Exchange Online:

      • Modificar directivas: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
      • Acceso de solo lectura a directivas: pertenencia a los grupos de roles Lector global, Lector de seguridad o Administración de la organización de solo vista .
    • Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

      Importante

      * Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

  • Para buscar las direcciones IP de origen de los servidores de correo electrónico (remitentes) que desea permitir o bloquear, puede comprobar el campo de encabezado ip de conexión (CIP) en el encabezado del mensaje. Para ver un encabezado de mensaje en varios clientes de correo electrónico, vea Ver encabezados de mensajes de Internet en Outlook.

  • La lista de direcciones IP permitidas tiene prioridad sobre la lista de direcciones IP bloqueadas (no se bloquea una dirección en ambas listas).

  • La lista de direcciones IP permitidas y la lista de direcciones IP bloqueadas admiten un máximo de 1273 entradas, donde una entrada es una única dirección IP, un intervalo de direcciones IP o una dirección IP de enrutamiento de interdominios sin clase (CIDR).

Use el portal de Microsoft Defender para modificar la directiva de filtro de conexión predeterminada.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivas de amenazas> de reglas >Antispam en la sección Directivas. O bien, para ir directamente a la página Directivas contra correo no deseado , use https://security.microsoft.com/antispam.

  2. En la página Directivas contra correo no deseado , seleccione Directiva de filtro de conexión (predeterminada) en la lista haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre.

  3. En el control flotante de detalles de directiva que se abre, use los vínculos Editar para modificar la configuración de la directiva:

    • Sección Descripción : seleccione Editar descripción para escribir una descripción de la directiva en el cuadro Descripción del control flotante Editar nombre y descripción que se abre. No se puede modificar el nombre de la directiva.

      Cuando haya terminado en el control flotante Editar nombre y descripción , seleccione Guardar.

    • Sección de filtrado de conexiones : seleccione Editar directiva de filtro de conexión. En el control flotante que se abre, configure los siguientes valores:

      • Permitir siempre mensajes desde las siguientes direcciones IP o intervalo de direcciones: esta configuración es la lista de direcciones IP permitidas. Haga clic en el cuadro, escriba un valor y, a continuación, presione la tecla ENTRAR o seleccione el valor completo que se muestra debajo del cuadro. Los valores admitidos son:

        Repita este paso tantas veces como sea necesario. Para quitar una entrada existente, seleccione junto a la entrada.

    • Bloquear siempre los mensajes de las siguientes direcciones IP o intervalo de direcciones: esta configuración es la lista de direcciones IP bloqueadas. Escriba una única DIRECCIÓN IP, intervalo IP o IP CIDR en el cuadro tal como se describió anteriormente en la configuración Permitir siempre mensajes de las siguientes direcciones IP o intervalo de direcciones .

    • Activar lista segura: habilite o deshabilite el uso de la lista segura para identificar los remitentes conocidos y correctos que omiten el filtrado de correo no deseado. Para usar la lista segura, active la casilla .

    Cuando haya terminado en el control flotante, seleccione Guardar.

  4. De nuevo en el control flotante de detalles de la directiva, seleccione Cerrar.

Uso del portal de Microsoft Defender para ver la directiva de filtro de conexión predeterminada

En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Directivas de amenazas> de reglas >Antispam en la sección Directivas. O bien, para ir directamente a la página Directivas contra correo no deseado , use https://security.microsoft.com/antispam.

En la página Directivas contra correo no deseado , se muestran las siguientes propiedades en la lista de directivas:

  • Nombre: la directiva de filtro de conexión predeterminada se denomina Directiva de filtro de conexión (valor predeterminado).
  • Estado: el valor es Always On para la directiva de filtro de conexión predeterminada.
  • Prioridad: el valor es Más bajo para la directiva de filtro de conexión predeterminada.
  • Tipo: el valor está en blanco para la directiva de filtro de conexión predeterminada.

Para cambiar la lista de directivas de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.

Use el cuadro Buscar y un valor correspondiente para buscar directivas específicas.

Seleccione la directiva de filtro de conexión predeterminada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre para abrir el control flotante de detalles de la directiva.

Use Exchange Online PowerShell o PowerShell EOP independiente para modificar la directiva de filtro de conexión predeterminada.

Utilice la siguiente sintaxis:

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Los valores de intervalo de direcciones o direcciones IP válidos son:
    • Ip única: por ejemplo, 192.168.1.1.
    • Intervalo IP: por ejemplo, 192.168.0.1-192.168.0.254.
    • IP CIDR: por ejemplo, 192.168.0.1/25. Los valores de máscara de red válidos son /24 a /32.
  • Para sobrescribir las entradas existentes con los valores especificados, use la sintaxis siguiente: IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Para agregar o quitar direcciones IP o intervalos de direcciones sin afectar a otras entradas existentes, use la sintaxis siguiente: @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Para vaciar la lista de direcciones IP permitidas o la lista de direcciones IP bloqueadas, use el valor $null.

En este ejemplo se configuran la lista de direcciones IP permitidas y la lista de direcciones IP bloqueadas con las direcciones IP y los intervalos de direcciones especificados.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

En este ejemplo se agregan y quitan las direcciones IP y los intervalos de direcciones especificados de la lista de direcciones IP permitidas.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-HostedConnectionFilterPolicy.

¿Cómo saber si estos procedimientos han funcionado?

Para comprobar que ha modificado correctamente la directiva de filtro de conexión predeterminada, siga estos pasos:

  • En la página Directivas contra correo no deseado del portal de Microsoft Defender en https://security.microsoft.com/antispam, seleccione Directiva de filtro de conexión (predeterminada) en la lista haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre y compruebe la configuración de la directiva en el control flotante de detalles que se abre.

  • En Exchange Online PowerShell o PowerShell EOP independiente, ejecute el siguiente comando y compruebe la configuración:

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Envíe un mensaje de prueba desde una entrada en la lista de direcciones IP permitidas.

Consideraciones adicionales para la lista de direcciones IP permitidas

En las secciones siguientes se identifican elementos adicionales que debe conocer al configurar la lista de direcciones IP permitidas.

Nota:

Todos los mensajes entrantes se examinan en busca de malware y suplantación de identidad de alta confianza, independientemente de si el origen del mensaje está en la lista de direcciones IP permitidas.

Omitir el filtrado de correo no deseado para una dirección IP CIDR fuera del intervalo disponible

Como se describió anteriormente en este artículo, solo puede usar una dirección IP CIDR con la máscara de red /24 a /32 en la lista de direcciones IP permitidas. Para omitir el filtrado de correo no deseado en los mensajes de los servidores de correo electrónico de origen en el intervalo /1 a /23, debe usar reglas de flujo de correo de Exchange (también conocidas como reglas de transporte). Sin embargo, se recomienda no usar el método de regla de flujo de correo, ya que los mensajes se bloquean si aparece una dirección IP en el intervalo IP de CIDR /1 a /23 en cualquiera de las listas de bloques propietarias o de terceros de Microsoft.

Ahora que es totalmente consciente de los posibles problemas, puede crear una regla de flujo de correo con la siguiente configuración (como mínimo) para asegurarse de que los mensajes de estas direcciones IP omiten el filtrado de correo no deseado:

  • Condición de regla: aplique esta regla si>ladirección IP del remitente está en cualquiera de estos intervalos o coincide> exactamente (escriba la dirección IP de CIDR con una máscara de red /1 a /23).>
  • Acción de regla: modifique las propiedades> del mensajeEstablecer el nivel de confianza de correo no deseado (SCL)>Omitir el filtrado de correo no deseado.

Puede auditar la regla, probarla, activarla durante un período de tiempo específico y otras selecciones. Recomendamos probar la regla durante un tiempo antes de aplicarla. Para obtener más información, vea Administrar reglas de flujo de correo en Exchange Online.

Omitir el filtrado de correo no deseado en dominios de correo electrónico selectivos desde el mismo origen

Normalmente, agregar una dirección IP o un intervalo de direcciones a la lista de direcciones IP permitidas significa que confía en todos los mensajes entrantes de ese origen de correo electrónico. ¿Qué ocurre si ese origen envía correo electrónico desde varios dominios y quiere omitir el filtrado de correo no deseado para algunos de esos dominios, pero no para otros? Puede usar la lista de direcciones IP permitidas en combinación con una regla de flujo de correo.

Por ejemplo, el servidor de correo electrónico de origen 192.168.1.25 envía correo electrónico desde los dominios contoso.com, fabrikam.com y tailspintoys.com, pero solo quiere omitir el filtrado de correo no deseado para los mensajes de los remitentes de fabrikam.com:

  1. Agregue 192.168.1.25 a la lista de direcciones IP permitidas.

  2. Configure una regla de flujo de correo con los siguientes valores (como mínimo):

    • Condición de regla: aplique esta regla si>ladirección IP del remitente está en cualquiera de estos intervalos o coincide> exactamente con 192.168.1.25 (la misma dirección IP o intervalo de direcciones que agregó a la lista de direcciones IP permitidas en el paso anterior).>
    • Acción de regla: modifique las propiedades> del mensajeEstablecer el nivel de confianza de correo no deseado (SCL)>0.
    • Excepción de regla: el dominio del remitente>es> fabrikam.com (solo el dominio o dominios que desea omitir el filtrado de correo no deseado).

Escenarios en los que los mensajes de los orígenes de la lista de direcciones IP permitidas siguen filtrados

Los mensajes de un servidor de correo electrónico de la lista de direcciones IP permitidas siguen estando sujetos al filtrado de correo no deseado en los siguientes escenarios:

  • Una dirección IP de la lista de direcciones IP permitidas también se configura en un conector de entrada local basado en IP en cualquier inquilino de Microsoft 365 (vamos a llamar a este inquilino A) y el inquilino A y el servidor EOP que primero encuentra el mensaje se producen en el mismo bosque de Active Directory en los centros de datos de Microsoft. En este escenario, IPV:CALse agrega a los encabezados de mensajes antispam del mensaje (lo que indica que el mensaje omitió el filtrado de correo no deseado), pero el mensaje sigue estando sujeto al filtrado de correo no deseado.

  • El inquilino que contiene la lista de direcciones IP permitidas y el servidor EOP que encuentra primero el mensaje se encuentran en bosques de Active Directory diferentes en los centros de datos de Microsoft. En este escenario, IPV:CALno se agrega a los encabezados de mensaje, por lo que el mensaje sigue estando sujeto al filtrado de correo no deseado.

Si encuentra cualquiera de estos escenarios, puede crear una regla de flujo de correo con la siguiente configuración (como mínimo) para asegurarse de que los mensajes de las direcciones IP problemáticas omiten el filtrado de correo no deseado:

  • Condición de regla: aplique esta regla si> la dirección IP delremitente>está en cualquiera de estos intervalos o coincide> exactamente (su dirección IP o direcciones).
  • Acción de regla: modifique las propiedades> del mensajeEstablecer el nivel de confianza de correo no deseado (SCL)>Omitir el filtrado de correo no deseado.

¿Es nuevo en Microsoft 365?


Icono corto de LinkedIn Learning. ¿Es nuevo en Microsoft 365? Descubra cursos de vídeo gratuitos para administradores y profesionales de TI de Microsoft 365, que LinkedIn Learning le ofrece.