Orden y prioridad de la protección por correo electrónico

Se aplica a: ✅ Built-in security features for all cloud mailboxes, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de 90 días de Defender para Office 365 en el Centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y probar los términos en Probar Microsoft Defender para Office 365.

En todas las organizaciones con buzones de correo en la nube, varias características de protección pueden marcar el correo electrónico entrante. Por ejemplo, protección contra la suplantación que está disponible para todos los clientes de Microsoft 365 y protección contra suplantación que está disponible para Microsoft Defender solo para Office 365 clientes. Los mensajes también pasan a través de varios exámenes de detección de malware, spam, phishing, etc. Dada toda esta actividad, puede haber cierta confusión en cuanto a qué directiva se aplica.

En general, una directiva aplicada a un mensaje se identifica en el encabezado X-Forefront-Antispam-Report de la propiedad CAT (Categoría). Para obtener más información, vea Encabezados de mensajes de correo no deseado.

Hay dos factores principales que determinan qué directiva se aplica a un mensaje:

Orden de procesamiento del tipo de protección de correo electrónico: este pedido no se puede configurar y se describe en la tabla siguiente:

Order	protección Email	Categoría	Dónde administrar
1	Malware	`CAT:MALW`	Configurar directivas antimalware
2	Phishing de alta confianza	`CAT:HPHSH`	Configurar directivas contra correo electrónico no deseado
3	Suplantación de identidad (phishing)	`CAT:PHSH`	Configurar directivas contra correo electrónico no deseado
4	Correo no deseado de alta confianza	`CAT:HSPM`	Configurar directivas contra correo electrónico no deseado
5	Spoofing	`CAT:SPOOF`	Información de inteligencia sobre suplantación de identidad
6^*	Suplantación de usuario (usuarios protegidos)	`CAT:UIMP`	Configuración de directivas contra suplantación de identidad en Microsoft Defender para Office 365
7^*	Suplantación de dominio (dominios protegidos)	`CAT:DIMP`	Configuración de directivas contra suplantación de identidad en Microsoft Defender para Office 365
8^*	Inteligencia de buzones (gráfico de contactos)	`CAT:GIMP`	Configuración de directivas contra suplantación de identidad en Microsoft Defender para Office 365
9	Correo no deseado	`CAT:SPM`	Configurar directivas contra correo electrónico no deseado
10	Masivo	`CAT:BULK`	Configurar directivas contra correo electrónico no deseado

^*Estas características solo están disponibles en las directivas contra suplantación de identidad en Microsoft Defender para Office 365.

El orden de prioridad de las directivas: el orden de prioridad de la directiva se muestra en la lista siguiente:
1. Las directivas antispam, antimalware, anti phishing, vínculos^* seguros y datos adjuntos^* seguros en la directiva de seguridad preestablecida Estricta (cuando está habilitada).
2. Las directivas antispam, antimalware, anti-phishing, vínculos^* seguros y datos adjuntos^* seguros en la directiva de seguridad preestablecida Standard (cuando está habilitada).
3. Anti-phishing, vínculos seguros y datos adjuntos seguros en Defender para Office 365 directivas de evaluación (cuando está habilitada).
4. Directivas personalizadas de antispam, antimalware, anti phishing, vínculos^* seguros y datos adjuntos^* seguros (cuando se crean).
  
  A las directivas de amenazas personalizadas se les asigna un valor de prioridad predeterminado al crear la directiva (más reciente es igual a superior), pero puede cambiar el valor de prioridad en cualquier momento. Este valor de prioridad afecta al orden de la aplicación para ese tipo de directiva de amenazas (antispam, antimalware, anti phishing, etc.). El valor de prioridad no afecta a dónde se aplican las directivas de amenazas personalizadas en el orden de procesamiento, como se describe en la tabla anterior.
5. De igual valor:
  - Las directivas Vínculos seguros y Datos adjuntos seguros de la directiva ^*de seguridad preestablecida de protección integrada.
  - Las directivas predeterminadas para el antimalware, el correo no deseado y la suplantación de identidad (phishing).
  Puede configurar excepciones a la directiva de seguridad preestablecida de protección integrada, pero no puede configurar excepciones a las directivas de amenazas predeterminadas (se aplican a todos los destinatarios y no se pueden desactivar).
^*Solo Defender para Office 365.

Importante

El orden de prioridad importa si el mismo destinatario se incluye intencionada o involuntariamente en varias directivas, porque solo se aplica a ese destinatario la primera directiva de ese tipo (antispam, antimalware, anti phishing, etc.), independientemente de cuántas otras directivas se incluyan en el destinatario. Nunca hay una combinación o combinación de la configuración en varias directivas para el destinatario. El destinatario no se ve afectado por la configuración de las directivas restantes de ese tipo.

Por ejemplo, el grupo denominado "Contoso Executives" se incluye en las siguientes directivas:

Directiva de seguridad preestablecida estricta
Una directiva de antispam personalizada con el valor de prioridad 0 (prioridad más alta)
Una directiva antispam personalizada con el valor de prioridad 1.

¿Qué configuración de directivas contra correo no deseado se aplica a los miembros de los ejecutivos de Contoso? Directiva de seguridad preestablecida estricta. La configuración de las directivas personalizadas contra correo no deseado se omite para los miembros de Contoso Executives, ya que la directiva de seguridad preestablecida Strict siempre se aplica primero.

Como otro ejemplo, tenga en cuenta las siguientes directivas de anti phishing personalizadas en Microsoft Defender para Office 365 que se aplican a los mismos destinatarios y un mensaje que contiene tanto la suplantación de usuario como la suplantación de identidad:

Nombre de la directiva	Prioridad	Suplantación de usuario	Protección contra la suplantación de identidad
Directiva A	1	Activada	Desactivada
Directiva B	2	Desactivada	Activada

El mensaje se identifica como suplantación, porque la suplantación (5) se evalúa antes de la suplantación de usuario (6) en el orden de procesamiento del tipo de protección de correo electrónico.
La directiva A se aplica primero, porque tiene una prioridad mayor que la directiva B.
En función de la configuración de la directiva A, no se realiza ninguna acción en el mensaje porque la protección contra la suplantación está desactivada.
El procesamiento de directivas contra phishing se detiene para todos los destinatarios incluidos, por lo que la directiva B nunca se aplica a los destinatarios que también están en la directiva A.

Para asegurarse de que los destinatarios obtienen la configuración de protección que desea, use las siguientes directrices para las pertenencias a directivas:

Asigne un número menor de usuarios a directivas de mayor prioridad y un mayor número de usuarios a directivas de prioridad inferior. Recuerde que las directivas de amenazas predeterminadas siempre se aplican en último lugar.
Configure las directivas de mayor prioridad para que tengan valores más estrictos o más especializados que las directivas de prioridad inferior. Tiene control total sobre la configuración de las directivas de amenazas personalizadas y las directivas de amenazas predeterminadas, pero no tiene control sobre la mayoría de la configuración de las directivas de seguridad preestablecidas.
Considere la posibilidad de usar menos directivas personalizadas (solo use directivas personalizadas para los usuarios que requieran una configuración más especializada que las directivas de seguridad preestablecidas Standard o Estrictas, o las directivas de amenazas predeterminadas).

Apéndice

Es importante comprender cómo el usuario permite y bloquea, la organización permite y bloquea y filtra los veredictos de pila en las características de seguridad integradas para todos los buzones de correo en la nube y en Defender para Office 365 complementarse o contradecirse entre sí.

Para obtener información sobre cómo filtrar las pilas y cómo se combinan, consulte Protección contra amenazas paso a paso en Microsoft Defender para Office 365.
Una vez que la pila de filtrado determina un veredicto, solo entonces se evalúan las directivas de la organización y sus acciones configuradas.
Si la misma dirección de correo electrónico o dominio existe en la lista Remitentes seguros de un usuario y en la lista Remitentes bloqueados, la lista Remitentes seguros tiene prioridad.
Si la misma entidad (dirección de correo electrónico, dominio, infraestructura de envío suplantada, archivo o dirección URL) existe en una entrada de permiso y una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada de bloque tiene prioridad.
En el caso de malware y veredictos de suplantación de identidad de alta confianza, no puede crear entradas permitidas directamente en la lista de permitidos o bloqueados de inquilinos. En su lugar, use la página Envíos de https://security.microsoft.com/reportsubmission para enviar el correo electrónico, los datos adjuntos de correo electrónico o la dirección URL a Microsoft. Después de seleccionar He confirmado que está limpio, puede seleccionar Permitir este mensaje, Permitir este archivo o Permitir esta dirección URL para crear una entrada de permiso para los dominios y direcciones de correo electrónico, archivos o direcciones URL.
Si usa un tipo de archivo en el filtro Datos adjuntos comunes en las directivas antimalware, permitir que el mismo archivo de la lista Permitir o bloquear inquilinos o las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) no invalide el veredicto.

El usuario permite y bloquea

Las entradas de la colección de listas seguras de un usuario (la lista Remitentes seguros, la lista Destinatarios seguros y la lista Remitentes bloqueados en cada buzón) pueden invalidar algunos veredictos de pila de filtrado, como se describe en la tabla siguiente:

Veredicto de la pila de filtrado	Lista de destinatarios o remitentes seguros del usuario	Lista de remitentes bloqueados del usuario
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	El usuario gana: Email entrega a la Bandeja de entrada del usuario	Gana la organización: la directiva antispam aplicable determina la acción
Correo no deseado de alta confianza	El usuario gana: Email entrega a la Bandeja de entrada del usuario	Gana la organización: la directiva antispam aplicable determina la acción
Correo no deseado	El usuario gana: Email entrega a la Bandeja de entrada del usuario	Gana la organización: la directiva antispam aplicable determina la acción
Masivo	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
No correo no deseado	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario

En Exchange Online, es posible que el dominio permitido en la lista del remitente seguro no funcione si alguno de los siguientes escenarios pone en cuarentena el mensaje:
- El mensaje se identifica como malware o phishing de alta confianza (el malware y los mensajes de suplantación de identidad de alta confianza están en cuarentena).
- Las acciones de las directivas contra correo no deseado están configuradas para poner en cuarentena en lugar de mover el correo a la carpeta Email no deseado.
- La dirección de correo electrónico, la dirección URL o el archivo del mensaje de correo electrónico también se encuentra en una entrada de bloque en la lista de inquilinos permitidos o bloqueados.

Para obtener más información sobre la recopilación de listas seguras y la configuración de antispam en los buzones de usuario, consulte Configuración de la configuración de correo no deseado en buzones de correo en la nube.

La organización permite y bloquea

La organización permite y los bloques pueden invalidar algunos veredictos de pila de filtrado, como se describe en las tablas siguientes:

Directiva de entrega avanzada (omitir el filtrado para buzones de SecOps designados y direcciones URL de simulación de suplantación de identidad):

Veredicto de la pila de filtrado	Directiva de entrega avanzada permitida
Malware	Gana la organización: Email entrega al buzón
Phishing de alta confianza	Gana la organización: Email entrega al buzón
Suplantación de identidad (phishing)	Gana la organización: Email entrega al buzón
Correo no deseado de alta confianza	Gana la organización: Email entrega al buzón
Correo no deseado	Gana la organización: Email entrega al buzón
Masivo	Gana la organización: Email entrega al buzón
No correo no deseado	Gana la organización: Email entrega al buzón

Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte):

Veredicto de la pila de filtrado	La regla de flujo de correo permite^*	Bloques de reglas de flujo de correo
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	El filtro gana: Email en cuarentena excepto en el enrutamiento complejo	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	Gana la organización: Email entrega al buzón	Filtrar gana: acción de suplantación de identidad en la directiva antispam aplicable
Correo no deseado de alta confianza	Gana la organización: Email entrega al buzón	Gana el filtro: Email entrega a la carpeta de Email no deseado del usuario
Correo no deseado	Gana la organización: Email entrega al buzón	Gana el filtro: Email entrega a la carpeta de Email no deseado del usuario
Masivo	Gana la organización: Email entrega al buzón	Gana el filtro: Email entrega a la carpeta de Email no deseado del usuario
No correo no deseado	Gana la organización: Email entrega al buzón	Gana la organización: Email entrega a la carpeta de Email no deseado del usuario

^* Las organizaciones que usan un dispositivo o servicio de seguridad que no sea de Microsoft delante de Microsoft 365 deben considerar la posibilidad de usar la cadena de recepción autenticada (ARC) (póngase en contacto con el servicio para obtener disponibilidad) y el filtrado mejorado para conectores (también conocido como lista de omitir) en lugar de una regla de flujo de correo SCL=-1. Estos métodos mejorados reducen los problemas de autenticación de correo electrónico y fomentan la seguridad del correo electrónico de defensa en profundidad .

Lista de direcciones IP permitidas y Lista de bloqueos IP en el filtrado de conexiones:

Veredicto de la pila de filtrado	Lista de direcciones IP permitidas	Lista de direcciones IP bloqueadas
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	Gana la organización: Email entrega al buzón	La organización gana: Email quita silenciosamente
Correo no deseado de alta confianza	Gana la organización: Email entrega al buzón	La organización gana: Email quita silenciosamente
Correo no deseado	Gana la organización: Email entrega al buzón	La organización gana: Email quita silenciosamente
Masivo	Gana la organización: Email entrega al buzón	La organización gana: Email quita silenciosamente
No correo no deseado	Gana la organización: Email entrega al buzón	La organización gana: Email quita silenciosamente

Permitir y bloquear la configuración en directivas contra correo no deseado:

Lista de remitentes y dominios permitidos.
Lista de remitentes y dominios bloqueados.
Bloquear mensajes de países o regiones específicos o en idiomas específicos.
Bloquear mensajes basados en la configuración del filtro de correo no deseado avanzado (ASF) en las directivas contra correo no deseado.

Veredicto de la pila de filtrado	La directiva contra correo no deseado permite	Bloques de directivas contra correo no deseado
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	Gana la organización: Email entrega al buzón	Gana la organización: acción de suplantación de identidad en la directiva antispam aplicable
Correo no deseado de alta confianza	Gana la organización: Email entrega al buzón	Gana la organización: Email entrega a la carpeta de Email no deseado del usuario
Correo no deseado	Gana la organización: Email entrega al buzón	Gana la organización: Email entrega a la carpeta de Email no deseado del usuario
Masivo	Gana la organización: Email entrega al buzón	Gana la organización: Email entrega a la carpeta de Email no deseado del usuario
No correo no deseado	Gana la organización: Email entrega al buzón	Gana la organización: Email entrega a la carpeta de Email no deseado del usuario

Permitir entradas en la lista de permitidos o bloqueados de inquilinos: hay dos tipos de entradas allow:

El nivel de mensaje permite que las entradas actúen en todo el mensaje, independientemente de las entidades del mensaje. Permitir entradas para la dirección de correo electrónico y los dominios son entradas permitidas de nivel de mensaje. Estas permiten que las entradas invaliden los veredictos masivos y de spam, y los veredictos de suplantación de identidad de alta confianza de los modelos de aprendizaje automático.
El nivel de entidad permite que las entradas actúen en el veredicto de filtrado de entidades. Permitir entradas para direcciones URL, remitentes suplantados y archivos son entradas permitidas de nivel de entidad. Para invalidar el malware y los veredictos de suplantación de identidad de alta confianza, debe usar entradas permitidas de nivel de entidad, que puede crear por envío solo debido a Secure de forma predeterminada.

Veredicto de la pila de filtrado	Email dirección o dominio
Malware	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	Gana la organización: Email entrega al buzón
Correo no deseado de alta confianza	Gana la organización: Email entrega al buzón
Correo no deseado	Gana la organización: Email entrega al buzón
Masivo	Gana la organización: Email entrega al buzón
No correo no deseado	Gana la organización: Email entrega al buzón

Bloquear entradas en la lista de permitidos o bloqueados de inquilinos:

Veredicto de la pila de filtrado	Email dirección o dominio	Suplantar electrónicamente	Archivo	URL
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena	Gana la organización: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana la organización: Email en cuarentena	Gana el filtro: Email en cuarentena	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
Suplantación de identidad (phishing)	Gana la organización: Email en cuarentena	Gana la organización: acción de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
Correo no deseado de alta confianza	Gana la organización: Email en cuarentena	Gana la organización: acción de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
Correo no deseado	Gana la organización: Email en cuarentena	Gana la organización: acción de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
Masivo	Gana la organización: Email en cuarentena	Gana la organización: acción de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
No correo no deseado	Gana la organización: Email en cuarentena	Gana la organización: acción de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena

Cuando la configuración de usuario y organización entra en conflicto

En la tabla siguiente se describe cómo se resuelven los conflictos si la configuración de permitir/bloquear del usuario y la configuración de permitir/bloquear de la organización afectan a un mensaje:

Tipo de organización allow/block	Lista de destinatarios o remitentes seguros del usuario	Lista de remitentes bloqueados del usuario
Bloquee las entradas en la lista de permitidos o bloqueados de inquilinos para: Email direcciones y dominios Archivos Direcciones URL	Gana la organización: Email en cuarentena	Gana la organización: Email en cuarentena
Bloquear entradas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos	Gana la organización: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable	Gana la organización: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable
Directiva de entrega avanzada	El usuario gana: Email entrega al buzón	Gana la organización: Email entrega al buzón
Bloquear la configuración en las directivas contra correo no deseado	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Respetar la directiva de DMARC	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Bloques por reglas de flujo de correo	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Permite por: Reglas de flujo de correo Lista de direcciones IP permitidas (directiva de filtro de conexión) Lista de remitentes y dominios permitidos (directivas contra correo no deseado) Lista de bloqueados y permitidos del espacio empresarial	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario

Comentarios

¿Le resultó útil esta página?

Last updated on 2025-09-12