Compartir a través de

Administrar permite y bloquea en la lista de permitidos o bloqueados de inquilinos

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la versión de prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Importante

Para permitir direcciones URL de phishing que forman parte del entrenamiento de simulación de ataques de terceros, use la configuración de entrega avanzada para especificar las direcciones URL. No use la lista de permitidos o bloqueados de inquilinos.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, es posible que no esté de acuerdo con el veredicto de filtrado de EOP o Microsoft Defender para Office 365. Por ejemplo, un buen mensaje podría marcarse como incorrecto (un falso positivo) o un mensaje incorrecto podría permitirse a través de (un falso negativo).

La lista de inquilinos permitidos o bloqueados del portal de Microsoft Defender proporciona una manera de invalidar manualmente los veredictos de filtrado de Defender para Office 365 o EOP. La lista se usa durante el flujo de correo para los mensajes entrantes de remitentes externos.

La lista de permitidos o bloqueados de inquilinos no se aplica a los mensajes internos enviados dentro de la organización. Pero bloquear las entradas de dominios y direcciones de correo electrónico también impide que los usuarios de la organización envíen correo electrónico a esos dominios y direcciones bloqueados.

La lista Permitir o bloquear inquilinos está disponible en el portal de Microsoft Defender en https://security.microsoft.comEl correo electrónico &directivas de colaboración > & reglasreglas dedirectivas> de amenazas sección > Reglas de directivas deamenazas>Listas de permitidos o bloqueados de inquilinos. O bien, para ir directamente a la página Permitir o bloquear listas de inquilinos , use https://security.microsoft.com/tenantAllowBlockList.

Para obtener instrucciones de uso y configuración, consulte los artículos siguientes:

Estos artículos contienen procedimientos en el portal de Microsoft Defender y en PowerShell.

Bloquear entradas en la lista de permitidos o bloqueados de inquilinos

Sugerencia

En la Lista de permitidos o bloqueados de inquilinos, las entradas de bloque tienen prioridad sobre las entradas de permiso.

Use la página Envíos (también conocida como envío de administrador) en https://security.microsoft.com/reportsubmission para crear entradas de bloque para los siguientes tipos de elementos a medida que los informe como falsos negativos para Microsoft:

  • Dominios y direcciones de correo electrónico:

    • Los mensajes de correo electrónico de estos remitentes se marcan como suplantación de identidad de alta confianza y, a continuación, se mueven a cuarentena.
    • Los usuarios de la organización no pueden enviar correo electrónico a estos dominios y direcciones bloqueados. Reciben el siguiente informe de no entrega (también conocido como NDR o mensaje de devolución): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. todo el mensaje se bloquea para todos los destinatarios internos y externos del mensaje, incluso si solo se define una dirección de correo electrónico de destinatario o un dominio en una entrada de bloque.

    Sugerencia

    Para bloquear solo el correo no deseado de un remitente específico, agregue la dirección de correo electrónico o el dominio a la lista de bloqueos en las directivas contra correo no deseado. Para bloquear todo el correo electrónico del remitente, use Dominios y direcciones de correo electrónico en la Lista de inquilinos permitidos o bloqueados.

  • Archivos: los mensajes de correo electrónico que contienen estos archivos bloqueados se bloquean como malware. Los mensajes que contienen los archivos bloqueados se ponen en cuarentena.

  • Direcciones URL: los mensajes de correo electrónico que contienen estas direcciones URL bloqueadas se bloquean como suplantación de identidad de alta confianza. Los mensajes que contienen las direcciones URL bloqueadas se ponen en cuarentena.

En la Lista de permitidos o bloqueados de inquilinos, también puede crear directamente entradas de bloque para los siguientes tipos de elementos:

De forma predeterminada, las entradas de bloque para dominios y direcciones de correo electrónico, archivos y direcciones URL expiran después de 30 días, pero puede configurarlas para que expiren hasta 90 días o para que nunca expiren. Las entradas de bloque para remitentes suplantados nunca expiran.

Permitir entradas en la lista de permitidos o bloqueados de inquilinos

En la mayoría de los casos, no puede crear directamente entradas permitidas en la lista de permitidos o bloqueados de inquilinos:

En la lista siguiente se describe lo que ocurre en la lista de permitidos o bloqueados de inquilinos cuando se notifica algo a Microsoft como falso positivo en la página Envíos :

  • Datos adjuntos y direcciones URL de correo electrónico: se crea una entrada allow y la entrada aparece en la pestaña Archivos o direcciones URL de la Lista de inquilinos permitidos o bloqueados, respectivamente.

    En el caso de las direcciones URL notificadas como falsos positivos, se permiten mensajes posteriores que contienen variaciones de la dirección URL original. Por ejemplo, usa la página Envíos para informar de que la dirección URL www.contoso.com/abcestá bloqueada incorrectamente. Si su organización recibe más adelante un mensaje que contiene la dirección URL (por ejemplo, pero sin limitarse a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatever), el mensaje no se bloquea en función de la dirección URL. En otras palabras, no es necesario notificar a Microsoft varias variaciones de la misma dirección URL que las correctas.

  • Correo electrónico: si la pila de filtrado de EOP o Defender para Office 365 bloqueó un mensaje, se podría crear una entrada de permitir en la lista de permitidos o bloqueados de inquilinos:

    • Si la inteligencia de suplantación de identidad bloqueó el mensaje, se crea una entrada de permiso para el remitente y la entrada aparece en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos .
    • Si la protección de suplantación de usuario (o grafo) bloqueó el mensaje en Defender para Office 365, no se crea una entrada de permiso en la lista de permitidos o bloqueados de inquilinos. En su lugar, el dominio o el remitente se agrega a la sección Remitentes y dominios de confianza de la directiva anti-phishing que detectó el mensaje.
    • Si el mensaje se bloqueó debido a filtros basados en archivos, se crea una entrada de permiso para el archivo y la entrada aparece en la pestaña Archivos de la Lista de permitidos o bloqueados de inquilinos.
    • Si el mensaje se bloqueó debido a filtros basados en direcciones URL, se crea una entrada allow para la dirección URL y la entrada aparece en la pestaña URL de la Lista de permitidos o bloqueados de inquilinos.
    • Si el mensaje se bloqueó por cualquier otro motivo, se crea una entrada de permiso para la dirección de correo electrónico o dominio del remitente y la entrada aparece en la pestaña Dominios & direcciones de la Lista de inquilinos permitidos o bloqueados.
    • Si el mensaje no se bloqueó debido al filtrado, no se crean entradas permitidas en ningún lugar.

De forma predeterminada, permitir entradas para dominios y direcciones de correo electrónico, archivos y direcciones URL existen durante 30 días. Durante esos 30 días, Microsoft aprende de las entradas permitidas y las quita o las extiende automáticamente. Una vez que Microsoft se entera de las entradas permitidas eliminadas, se entregan los mensajes que contienen esas entidades, a menos que se detecte otra cosa en el mensaje como malintencionada. De forma predeterminada, las entradas permitidas para remitentes suplantados nunca expiran.

Importante

Microsoft no permite crear entradas permitidas directamente. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que el sistema podría haber filtrado.

Microsoft administra la creación de entradas permitidas desde la página Envíos en https://security.microsoft.com/reportsubmission. Las entradas permitidas se agregan durante el flujo de correo en función de los filtros que determinaron que el mensaje era malintencionado. Por ejemplo, si se ha determinado que la dirección de correo electrónico del remitente y una dirección URL del mensaje son incorrectas, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y la dirección URL.

Cuando se vuelve a encontrar la entidad (durante el flujo de correo o la hora del clic), se omiten todos los filtros asociados a esa entidad.

Durante el flujo de correo, si los mensajes que contienen la entidad permitida pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes. Por ejemplo, si un mensaje pasa comprobaciones de autenticación de correo electrónico, filtrado de direcciones URL y filtrado de archivos, se entrega un mensaje de una dirección de correo electrónico del remitente permitida.

Qué esperar después de agregar una entrada de permitir o bloquear

Después de agregar una entrada allow en la página Envíos o una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada debería empezar a funcionar inmediatamente (en un plazo de 5 minutos).

Si Microsoft aprendió de la entrada allow, la directiva de alertas integrada denominada Removed an entry in Tenant Allow/Block List genera una alerta cuando se quita la entrada de permitido (ahora innecesaria).