Creación de listas de remitentes seguros en EOP
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Si es un cliente de Microsoft 365 con buzones en Exchange Online o un cliente de Exchange Online Protection (EOP) independiente sin Exchange Online buzones, EOP ofrece varias formas de garantizar que los usuarios reciban correo electrónico de remitentes de confianza. Colectivamente, puede considerar estas opciones como listas de remitentes seguros.
La lista siguiente contiene los métodos disponibles para permitir a los remitentes en EOP de la más recomendada a la menos recomendada:
- Permitir entradas para dominios y direcciones de correo electrónico (incluidos los remitentes suplantados) en la lista de permitidos o bloqueados de inquilinos.
- Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte).
- Remitentes seguros de Outlook (la lista Remitentes seguros en cada buzón que afecta solo a ese buzón).
- Lista de direcciones IP permitidas (filtrado de conexiones)
- Listas de remitentes permitidos o listas de dominios permitidos (directivas contra correo no deseado)
El resto de este artículo contiene detalles sobre cada método.
Importante
Los mensajes que se identifican como malware* o suplantación de identidad de alta confianza siempre se ponen en cuarentena, independientemente de la opción de lista de remitentes seguros que use. Para obtener más información, consulte Protección de forma predeterminada en Office 365.
* El filtrado de malware se omite en los buzones de SecOps que se identifican en la directiva de entrega avanzada. Para obtener más información, consulte Configuración de la directiva de entrega avanzada para simulaciones de suplantación de identidad de terceros y entrega de correo electrónico a buzones de SecOps.
Tenga cuidado de supervisar estrechamente las excepciones que realice en el filtrado de correo no deseado mediante listas seguras de remitentes.
Envíe siempre mensajes en las listas de remitentes seguros a Microsoft para su análisis. Para obtener instrucciones, consulte Informe de un buen correo electrónico a Microsoft. Si se determina que los mensajes o orígenes de mensajes son benignos, Microsoft puede permitir automáticamente los mensajes y no tendrá que mantener manualmente la entrada en listas de remitentes seguros.
En lugar de permitir el correo electrónico, también tiene varias opciones para bloquear el correo electrónico de orígenes específicos mediante listas de remitentes bloqueados. Para más información, consulte Crear listas de remitentes bloqueados en EOP.
Uso de entradas allow en la lista de permitidos o bloqueados de inquilinos
Nuestra opción recomendada número uno para permitir el correo de remitentes o dominios es la lista de permitidos o bloqueados de inquilinos. Para obtener instrucciones, consulte Creación de entradas permitidas para dominios y direcciones de correo electrónico y Creación de entradas permitidas para remitentes suplantados.
Solo si no puede usar la lista de permitidos o bloqueados de inquilinos por algún motivo, considere la posibilidad de usar un método diferente para permitir remitentes.
Uso de reglas de flujo de correo
Nota:
No puede usar encabezados de mensaje ni reglas de flujo de correo para designar un remitente interno como remitente seguro. Los procedimientos de esta sección solo funcionan para remitentes externos.
Las reglas de flujo de correo en Exchange Online e independiente EOP usan condiciones y excepciones para identificar mensajes, y acciones para especificar lo que se debe hacer en esos mensajes. Para obtener más información, vea Reglas de flujo de correo (reglas de transporte) en Exchange Online.
En el ejemplo siguiente se supone que necesita correo electrónico de contoso.com para omitir el filtrado de correo no deseado. Configure las siguientes opciones:
Aplicar esta regla si (condición): el dominio del remitente>está> contoso.com.
Configure cualquiera de las siguientes opciones:
Aplicar esta regla si (condición adicional): los encabezados>del mensaje incluyen cualquiera de estas palabras:
-
Escriba texto (nombre del encabezado):
Authentication-Results
-
Escriba palabras (valor de encabezado):
dmarc=pass
odmarc=bestguesspass
(agregue ambos valores).
Esta condición comprueba el estado de autenticación de correo electrónico del dominio de correo electrónico de envío para asegurarse de que el dominio de envío no se está suplantando. Para obtener más información sobre la autenticación por correo electrónico, consulte autenticación de Email en Microsoft 365.
-
Escriba texto (nombre del encabezado):
Lista de direcciones IP permitidas: especifique la dirección IP de origen o el intervalo de direcciones en la directiva de filtro de conexión. Para obtener instrucciones, consulte Configuración del filtrado de conexiones.
Use esta configuración si el dominio de envío no usa la autenticación por correo electrónico. Sea lo más restrictivo posible cuando se trata de las direcciones IP de origen en la lista de direcciones IP permitidas. Se recomienda un intervalo de direcciones IP de /24 o menos (menos es mejor). No use intervalos de direcciones IP que pertenezcan a servicios de consumidor (por ejemplo, outlook.com) o infraestructuras compartidas.
Importante
Nunca configure reglas de flujo de correo con solo el dominio remitente como condición para omitir el filtrado de correo no deseado. Si lo hace, aumentará significativamente la probabilidad de que los atacantes puedan suplantar el dominio de envío (o suplantar la dirección de correo electrónico completa), omitir todo el filtrado de correo no deseado y omitir las comprobaciones de autenticación del remitente para que el mensaje llegue a la Bandeja de entrada del destinatario.
No use dominios de su propiedad (también conocidos como dominios aceptados) o dominios populares (por ejemplo, microsoft.com) como condiciones en las reglas de flujo de correo porque crea oportunidades para que los atacantes envíen correo electrónico que, de lo contrario, se filtrarían.
Si permite una dirección IP que está detrás de una puerta de enlace de traducción de direcciones de red (NAT), debe conocer los servidores que participan en el grupo nat. Las direcciones IP y los participantes de NAT pueden cambiar. Debe comprobar periódicamente las entradas de lista de direcciones IP permitidas como parte de los procedimientos de mantenimiento estándar.
Condiciones opcionales:
- El remitente>es interno/externo>Fuera de la organización: esta condición es implícita, pero está bien usarla para tener en cuenta los servidores de correo electrónico locales que podrían no estar configurados correctamente.
- El asunto o el cuerpo>asunto o cuerpo incluye cualquiera de estas palabras><>palabras clave: si puede restringir aún más los mensajes por palabras clave o frases en la línea del asunto o el cuerpo del mensaje, puede usar esas palabras como condición.
Haga lo siguiente (acciones): configure las dos acciones siguientes en la regla:
Modificación de las propiedades> del mensajeestablecer el nivel de confianza de correo no deseado (SCL)>Omita el filtrado de correo no deseado.
Modificación de las propiedades> del mensajeestablecer un encabezado de mensaje:
-
Escriba texto (nombre de encabezado): por ejemplo,
X-ETR
. -
Escriba palabras (valor de encabezado): por ejemplo,
Bypass spam filtering for authenticated sender 'contoso.com'
.
Para más de un dominio de la regla, puede personalizar el texto del encabezado según corresponda.
-
Escriba texto (nombre de encabezado): por ejemplo,
Cuando un mensaje omite el filtrado de correo no deseado debido a una regla de flujo de correo, el valor SFV:SKN
se marca en el encabezado X-Forefront-Antispam-Report . Si el mensaje procede de un origen que se encuentra en la lista de direcciones IP permitidas, también se agrega el valor IPV:CAL
. Estos valores pueden ayudarle a solucionar problemas.
Uso de remitentes seguros de Outlook
Precaución
Este método crea un alto riesgo de que los atacantes entreguen correctamente el correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría. Se filtran los mensajes que se determinan como malware o suplantación de identidad de alta confianza. Para obtener más información, consulte Conflicto de configuración de usuarios e inquilinos.
En lugar de una configuración organizativa, los usuarios o administradores pueden agregar las direcciones de correo electrónico del remitente a la lista Remitentes seguros del buzón. Las entradas de lista de remitentes seguros en el buzón solo afectan a ese buzón. Para obtener instrucciones, consulte los artículos siguientes:
- Usuarios: agregue destinatarios de mis mensajes de correo electrónico a la lista de remitentes seguros.
- Administradores: configure las opciones de correo no deseado en Exchange Online buzones de Correo de Microsoft 365.
Este método no es deseable en la mayoría de las situaciones, ya que los remitentes omiten partes de la pila de filtrado. Aunque confía en el remitente, el remitente puede seguir en peligro y enviar contenido malintencionado. Debe permitir que nuestros filtros comprueben cada mensaje y , a continuación, informen de los falsos positivos o negativos a Microsoft si se produce un error. La omisión de la pila de filtrado también interfiere con la purga automática de cero horas (ZAP).
Cuando los mensajes omiten el filtrado de correo no deseado debido a entradas en la lista de remitentes seguros de un usuario, el campo de encabezado X-Forefront-Antispam-Report contiene el valor SFV:SFE
, que indica que se ha omitido el filtrado de correo no deseado, suplantación de identidad y suplantación de identidad (phishing de alta confianza).
- En Exchange Online, si las entradas de la lista Remitentes seguros funcionan o no dependen del veredicto y la acción de la directiva que identificó el mensaje:
- Mover mensajes a la carpeta Email no deseado: se respetan las entradas de dominio y las entradas de dirección de correo electrónico del remitente. Los mensajes de esos remitentes no se mueven a la carpeta junk Email.
-
Cuarentena: no se respetan las entradas de dominio (los mensajes de esos remitentes están en cuarentena). Email entradas de dirección se respetan (los mensajes de esos remitentes no se ponen en cuarentena) si se cumple alguna de las siguientes instrucciones:
- El mensaje no se identifica como malware ni phishing de alta confianza (el malware y los mensajes de suplantación de identidad de alta confianza están en cuarentena).
- La dirección de correo electrónico, la dirección URL o el archivo del mensaje de correo electrónico tampoco se encuentra en una entrada de bloque en la lista de permitidos o bloqueados de inquilinos.
- Se respetan las entradas para remitentes bloqueados y dominios bloqueados (los mensajes de esos remitentes se mueven a la carpeta de Email no deseado). Se omite la configuración de la lista de correo electrónico seguro.
Uso de la lista de direcciones IP permitidas
Precaución
Sin comprobación adicional, como reglas de flujo de correo, el correo electrónico de los orígenes de la lista de direcciones IP permitidas omite las comprobaciones de filtrado de correo no deseado y autenticación del remitente (SPF, DKIM, DMARC). Este método crea un alto riesgo de que los atacantes entreguen correctamente el correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría. Se filtran los mensajes que se determinan como malware o suplantación de identidad de alta confianza. Para obtener más información, consulte Conflicto de configuración de usuarios e inquilinos.
La siguiente mejor opción es agregar los servidores de correo electrónico de origen a la lista de direcciones IP permitidas en la directiva de filtro de conexión. Para obtener más información, vea Configurar el filtrado de conexiones en EOP.
- Es importante que mantenga el número de direcciones IP permitidas al mínimo, por lo que evite usar intervalos de direcciones IP completos siempre que sea posible.
- No use intervalos de direcciones IP que pertenezcan a servicios de consumidor (por ejemplo, outlook.com) o infraestructuras compartidas.
- Revise periódicamente las entradas de la lista de direcciones IP permitidas y quite las entradas que ya no necesite.
Uso de listas de remitentes permitidas o listas de dominio permitidas
Precaución
Este método crea un alto riesgo de que los atacantes entreguen correctamente el correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría. Se filtran los mensajes que se determinan como malware o suplantación de identidad de alta confianza. Para obtener más información, consulte Conflicto de configuración de usuarios e inquilinos.
No use dominios populares (por ejemplo, microsoft.com) en listas de dominios permitidos.
La opción menos deseable es usar las listas de remitentes permitidas o las listas de dominio permitidas en directivas personalizadas contra correo no deseado o en la directiva de antispam predeterminada. Debe evitar esta opción si es posible porque los remitentes omiten todo el correo no deseado, la suplantación de identidad ( protección contra suplantación de identidad (excepto la suplantación de identidad de alta confianza) y la autenticación del remitente (SPF, DKIM, DMARC). Este método es más adecuado solo para las pruebas temporales. Los pasos detallados se pueden encontrar en Configurar directivas contra correo no deseado en EOP.
El límite máximo para estas listas es de aproximadamente 1000 entradas, pero puede escribir un máximo de 30 entradas en el portal de Microsoft Defender. Use PowerShell para agregar más de 30 entradas.
Nota:
A partir de septiembre de 2022, si un remitente, dominio o subdominio permitido está en un dominio aceptado en su organización, ese remitente, dominio o subdominio debe pasar comprobaciones de autenticación por correo electrónico para omitir el filtrado contra correo no deseado.
Consideraciones para el correo electrónico masivo
Un mensaje de correo electrónico SMTP estándar puede contener direcciones de correo electrónico de remitente diferentes como se describe en Por qué el correo electrónico de Internet necesita autenticación. Cuando se envía correo electrónico en nombre de otra persona, las direcciones pueden ser diferentes. Esta condición se produce a menudo para los mensajes de correo electrónico masivos.
Por ejemplo, supongamos que Blue Yonder Airlines contrató a Margie's Travel para enviar mensajes de correo electrónico publicitarios. El mensaje que recibe en la Bandeja de entrada tiene las siguientes propiedades:
- La dirección MAIL FROM (también conocida como dirección
5321.MailFrom
, remitente P1 o remitente de sobre) esblueyonder.airlines@margiestravel.com
. - La dirección De (también conocida como remitente de dirección
5322.From
o P2) esblueyonder@news.blueyonderairlines.com
, que es lo que ve en Outlook.
Las listas de remitentes seguros y las listas de dominios seguros en las directivas contra correo no deseado en EOP inspeccionan solo las direcciones Desde. Este comportamiento es similar a los remitentes seguros de Outlook que usan la dirección De.
Para evitar que se filtre este mensaje, puede realizar los pasos siguientes:
- Agregue
blueyonder@news.blueyonderairlines.com
(la dirección De) como remitente seguro de Outlook. -
Use una regla de flujo de correo con una condición que busque mensajes de
blueyonder@news.blueyonderairlines.com
(la dirección De),blueyonder.airlines@margiestravel.com
(la dirección MAIL FROM) o ambos.