Compartir vía


Información de remitentes masivos en Exchange Online Protection

Nota:

Las características descritas en este artículo están actualmente en versión preliminar, no están disponibles en todas las organizaciones y están sujetas a cambios.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, la información de remitentes masivos en el portal de Microsoft Defender le permite ver cuánto correo electrónico se identificó como masivo en el nivel de umbral masivo actual en las directivas contra correo no deseado y simular el correo electrónico masivo identificado frente al permitido en función de los cambios en el umbral de remitente masivo y la calidad del remitente masivo.

EOP asigna un valor de nivel de queja masiva (BCL) a los mensajes entrantes de remitentes masivos. Un valor de BCL más alto indica que es más probable que un mensaje masivo sea correo no deseado. El umbral de correo electrónico masivo en las directivas contra correo no deseado usa un valor de BCL especificado para identificar los mensajes de forma masiva y tomar medidas sobre ellos. Para obtener más información sobre la BCL, consulte Nivel de quejas masivas (BCL) en EOP.

La información de remitentes masivos tiene las siguientes funcionalidades:

  • Vea cuánto correo se identifica como masivo en cada nivel de BCL (de 1 a 9) durante los últimos 60 días.
  • Simule cambios en el umbral de correo electrónico masivo y vea los resultados sobre el número de mensajes que se entregarían frente a los que se identificarían como masivos mediante las directivas predeterminadas de antispam o antispam personalizado, donde puede establecer el umbral de BCL. No puede establecer el umbral de BCL en las directivas de seguridad preestablecidas Estándar o Estricta.
  • Vea información sobre los remitentes de mensajes que se vieron afectados por el umbral de correo electrónico masivo, incluido el filtrado en función de la calidad del remitente.

En este artículo se describe cómo usar la información de remitentes masivos en el portal de Microsoft Defender.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página de información de remitentes masivos , use https://security.microsoft.com/senderinsights.

  • Es posible que la simulación y detección masivas no funcionen correctamente si el registro MX del dominio de Microsoft 365 apunta a un dispositivo o servicio de terceros.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR (si el correo electrónico &permisos de Colaboración > deDefender para Office 365 está activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).

    • Permisos de Exchange Online:

      • Agregar, modificar y eliminar directivas: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
      • Acceso de solo lectura a directivas: pertenencia a los grupos de roles Lector global, Lector de seguridad o Administración de la organización de solo vista .
    • Permisos de Microsoft Entra: la pertenencia a los siguientes roles proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365:

      • Agregar, modificar y eliminar directivas: pertenencia a los roles Administración de* la organización o Administrador de seguridad .
      • Acceso de solo lectura a directivas: pertenencia a los roles Lector global o Lector de seguridad .

      Importante

      * Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

  • Para saber la configuración recomendada para las directivas contra correo electrónico no deseado, consulte Configuración de la directiva de correo no deseado de EOP.

Sugerencia

La configuración de las directivas de antispam predeterminadas o personalizadas se omite si un destinatario también se incluye en las directivas de seguridad preestablecidas Estándar o Estricta. Para obtener más información, vea Orden y prioridad de la protección por correo electrónico.

El valor de umbral masivo de una directiva contra correo no deseado determina el umbral de BCL que se usa para identificar un mensaje como masivo. Por ejemplo, el valor de umbral masivo 7 significa que los mensajes con el valor BCL 7, 8 o 9 se identifican como masivos. Lo que sucede con los mensajes masivos viene determinado por la acción de nivel de cumplimiento masivo (BCL) cumplida o superada en la directiva antispam (por ejemplo, Mover mensaje a la carpeta Correo electrónico no deseado, Cuarentena o Eliminar mensaje). Por motivos de simplicidad, la identificación de un mensaje como masivo y la realización de acciones en él se denomina bloqueado en la información de remitentes masivos.

Abra la información de remitentes masivos en el portal de Microsoft Defender.

La información de remitentes masivos está disponible en las siguientes ubicaciones:

  • En las propiedades de la directiva de antispam predeterminada o las directivas personalizadas contra correo no deseado:

    1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Correo electrónico &Directivas de colaboración >& Reglas Directivas> deamenazas>Antispam en la sección Directivas. O bien, para ir directamente a la página Directivas contra correo no deseado , use https://security.microsoft.com/antispam.

    2. En la página Directivas contra correo no deseado , seleccione una directiva de antispam personalizada (el valor De tipo es Directiva antispam personalizada) o la directiva antispam predeterminada denominada Directiva de entrada de correo no deseado (predeterminada) haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna.

    3. En el control flotante de detalles que se abre, seleccione Editar umbral de correo no deseado y propiedades en la parte inferior de la sección Umbral de correo electrónico masivo & propiedades de correo no deseado .

    4. En el control flotante Umbral de correo no deseado y propiedades que se abre, la información de remitentes masivos contiene la siguiente información sobre todo el correo electrónico masivo detectado por todas las directivas contra correo no deseado de la organización durante los últimos 60 días:

      • De forma predeterminada, la información muestra el número de mensajes masivos bloqueados y permitidos en el umbral de BCL actual:

        Los remitentes masivos proporcionan información sobre las propiedades de la directiva de antispam predeterminada con el valor predeterminado del umbral de BCL.

      • Si reduce el valor del umbral de BCL para bloquear un correo electrónico más masivo, la información muestra el número de mensajes masivos que se bloquearían y permitirían en el nuevo umbral de BCL:

        Los remitentes masivos proporcionan información sobre las propiedades de la directiva de antispam predeterminada con un umbral de BCL inferior al valor original.

      • Si aumenta el valor del umbral de BCL para permitir un correo electrónico más masivo, la información muestra el número de mensajes masivos que se bloquearían y permitirían en el nuevo umbral de BCL:

        Los remitentes masivos proporcionan información sobre las propiedades de la directiva predeterminada contra correo no deseado con un umbral de BCL superior al valor original.

  • En la página Email & collaboration reports and insights (Informes y conclusiones de colaboración por correo electrónico ):

    1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a la sección Informes> decorreo electrónico & colaboración>Correo electrónico & informes e información de colaboración. O bien, para ir directamente a la página Email & informes de colaboración e información detallada , use https://security.microsoft.com/emailandcollabreport.

    2. En la página Informes y conclusiones de colaboración por correo electrónico & , vaya a la sección Información de colaboración de correo electrónico & y busque la información de remitentes masivos.

    La información de remitentes masivos en la página Informes de colaboración y conclusiones de correo electrónico & en el portal de Microsoft Defender.

Para ver información detallada sobre las detecciones masivas y los remitentes, seleccione Ver información de remitentes masivos o Ver detalles para abrir la página Información de remitentes masivos .

Ver la página de información de remitentes masivos

La página de información de remitentes masivos está disponible mediante los métodos siguientes:

Página información de remitentes masivos en el portal de Microsoft Defender.

Antes de ejecutar una simulación, los valores de la tabla en el centro de la página indican los siguientes valores:

  • Nivel de queja masiva (BCL): intervalo de valores de BCL posibles (de 1 a 9).
  • Todo el correo electrónico: el número total de mensajes que se identificaron en cada valor de BCL (algunos de los cuales podrían ser 0).
  • Entregado en el umbral de BCL actual: el número de mensajes que se entregaron (no identificados como masivos) para cada valor de BCL:
    • Si el valor de BCL es menor que el valor del umbral de correo electrónico masivo actual , se entregó el mensaje (no se identificó como masivo):
      • Los valores Entregado en el umbral de BCL actual y Todos los valores de correo electrónico son iguales.
      • El valor entregado en el umbral de BCL actual coincide con el correo electrónico entregado en el valor de configuración actual .
    • Si el valor de BCL es mayor o igual que el valor del umbral de correo electrónico masivo actual , el mensaje se identificó como masivo y bloqueado.
      • El valor entregado en el umbral de BCL actual para el valor de BCL es 0.
      • El valor De todo el correo electrónico coincide con el valor de umbral de BCL identificado en el correo electrónico actual .
  • Entregado en el nuevo umbral de BCL: el número de mensajes que no se identificaron como correo electrónico masivo después de ejecutar una simulación. Antes de ejecutar una simulación, el valor no tiene sentido.

Para ejecutar una simulación, use los siguientes elementos en la página:

  • El control deslizante Umbral de correo electrónico masivo actual no modificable muestra el valor de umbral de BCL actual en función de cómo llegó a la página de información de remitentes masivos :
    • Directamente: el valor del umbral de BCL es 7.
    • A partir de las propiedades de una directiva contra correo no deseado: el valor del umbral de BCL es el valor actual de la directiva contra correo no deseado.
  • El control deslizante Nuevo umbral de correo electrónico masivo permite simular el efecto de aumentar y reducir el umbral de BCL en los mensajes entregados o bloqueados.
  • El control deslizante Umbral de calidad del remitente de simulación especifica un umbral de confiabilidad de remitente bueno o incorrecto que se usará en la simulación de actualización de BCL. Un valor más alto indica los resultados del umbral BCL simulado en función de remitentes más confiables. El valor del umbral de calidad del remitente de simulación para los remitentes se basa en los siguientes factores:
    • Interacciones anteriores con el remitente.
    • Frecuencia del mensaje del remitente.
    • Comentarios del administrador o del usuario sobre los mensajes del remitente.

Después de seleccionar los valores Nuevo umbral de correo electrónico masivo y Umbral de calidad del remitente de simulación , seleccione Simular:

  • La página se actualiza con el número de mensajes bloqueados frente a los permitidos para los niveles de umbral de BCL simulados actuales y nuevos.
  • La parte inferior de la página se actualiza con información sobre los remitentes que se identificarían como masivos.

Ver información sobre los remitentes masivos en la página de información de remitentes masivos

La tabla de detalles del remitente masivo en la parte inferior de la página contiene datos sobre remitentes masivos cuyos mensajes se identificaron como masivos.

La tabla puede contener datos del remitente al abrir por primera vez la página de información de remitentes masivos si el umbral de correo electrónico masivo actual y los valores de umbral de calidad del remitente de simulación ya dieron lugar a la identificación masiva del correo electrónico antes de ejecutar las simulaciones.

De lo contrario, los remitentes se incluyen en la tabla de detalles del remitente en función del umbral de correo electrónico masivo actual y los valores de umbral de calidad del remitente de simulación después de ejecutar una simulación.

Para las entradas de la tabla de detalles del remitente, las columnas siguientes siempre están disponibles:

  • Remitente: dirección de correo electrónico del remitente.
  • BCL
  • Umbral de calidad del remitente de simulación

Las columnas restantes de la tabla de detalles del remitente dependen de la relación entre el umbral de correo electrónico masivo actual y los valores de nuevo umbral de correo electrónico masivo después de ejecutar una simulación:

  • El nuevo umbral de correo electrónico masivo es igual al umbral de correo electrónico masivo actual:

    • Posible falso positivo
    • Posible falso negativo

    Para filtrar los resultados, seleccione Todos los remitentes y, a continuación, seleccione uno de los siguientes valores:

    • Posible falso positivo: solo se muestran los remitentes donde Posible falso positivo es True .
    • Posible falso negativo: solo se muestran los remitentes donde Posible falso negativo es True .

    La página de información de remitentes masivos antes de ejecutar una simulación o después de ejecutar una simulación en la que el nuevo umbral de BCL es igual al umbral de BCL actual.

  • El nuevo umbral de correo electrónico masivo es menor que el umbral de correo electrónico masivo actual:

    • Nuevo remitente bloqueado
    • Posible falso positivo

    Para filtrar los resultados, seleccione Todos los remitentes y, a continuación, seleccione uno de los siguientes valores:

    • Nuevo remitente bloqueado: solo se muestran los remitentes donde Nuevo remitente bloqueado es True .
    • Posible falso positivo: solo se muestran los remitentes donde Posible falso positivo es True .

    La página de información de remitentes masivos después de ejecutar una simulación en la que el nuevo umbral de BCL es menor que el umbral de BCL actual.

  • El nuevo umbral de correo electrónico masivo es mayor que el umbral de correo electrónico masivo actual:

    • Se permite el nuevo remitente
    • Posible falso negativo

    Para filtrar los resultados, seleccione Todos los remitentes y, a continuación, seleccione uno de los siguientes valores:

    • Se permite el nuevo remitente: solo se muestran los remitentes donde Nuevo remitente permitido es True .
    • Posible falso negativo: solo se muestran los remitentes donde Posible falso negativo es True .

    La página de información de remitentes masivos después de ejecutar una simulación en la que el nuevo umbral de BCL es mayor que el umbral de BCL actual.

Para cambiar la lista de entradas de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.

Use el cuadro Buscar y un valor correspondiente para buscar remitentes específicos en la tabla.

Use Exportar para guardar la lista de remitentes que se muestra actualmente en un archivo CSV. El nombre de archivo predeterminado es Conclusiones de remitentes masivos: Microsoft Defender.csv y la ubicación predeterminada es la carpeta Descargas local. Si ya existe un archivo exportado en esa ubicación, el nombre de archivo se incrementa (por ejemplo, conclusiones de remitentes masivos: Microsoft Defender(1).csv).

Ver información detallada sobre un remitente masivo en la página de información de remitentes masivos

Para ver detalles sobre un remitente específico de la tabla de detalles del remitente en la parte inferior de la página de información de remitentes masivos , haga clic en cualquier lugar de la fila que no sea la casilla situada junto a la primera columna. El control flotante Detalles del remitente que se abre contiene la siguiente información sobre el remitente:

  • Remitente: dirección de correo electrónico del remitente.
  • Mensajes: el número de mensajes del remitente.
  • Mensajes en bandeja de entrada: el número de mensajes del remitente que se entregaron a las bandejas de entrada del usuario.
  • Mensajes en cuarentena o correo electrónico no deseado: el número de mensajes del remitente que se entregaron a carpetas de correo no deseado del usuario o que se pusieron en cuarentena.
  • Configuración de administrador: si el remitente está permitido o bloqueado por la opción Administrar permite y los bloques de los valores Válidos de lista de permitidos o bloqueadosde inquilinos son:
    • Permitir: existe una entrada allow para el remitente del mensaje.
    • Bloquear: existe una entrada de bloque para el remitente del mensaje.
  • Mensajes permitidos por el usuario: el número de mensajes del remitente que se agregaron a la lista Remitentes seguros en los buzones de usuario.
  • Mensajes bloqueados por el usuario: el número de mensajes del remitente que se agregaron a la lista Remitentes bloqueados en los buzones de usuario.
  • Envíos falsos positivos: el número de mensajes del remitente que se enviaron como correo correcto bloqueado accidentalmente.
  • Envíos negativos falsos: el número de mensajes del remitente que se enviaron como correo incorrecto entregados accidentalmente.
  • El usuario ha pasado del correo electrónico no deseado a la bandeja de entrada
  • El usuario se ha movido de la Bandeja de entrada al correo no deseado
  • Mensajes eliminados por el usuario
  • Mensajes en cuarentena del administrador
  • El administrador ha movido los correos electrónicos de la Bandeja de entrada al correo no deseado
  • Mensajes eliminados por el administrador

El control flotante de detalles del remitente de la tabla de detalles del remitente en la página información de remitentes masivos.