Preguntas más frecuentes: mensajes en cuarentena

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de 90 días de Defender para Office 365 en el Centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y probar los términos en Probar Microsoft Defender para Office 365.

Se aplica a

• Características de seguridad integradas para todos los buzones de correo en la nube
• Plan 1 y Plan 2 de Microsoft Defender para Office 365
• Microsoft Defender XDR

En este artículo se proporcionan preguntas frecuentes (P+F) y respuestas sobre los mensajes de correo electrónico en cuarentena para las organizaciones de Microsoft 365 con buzones en la nube.

Nota:

En Microsoft 365 operado por 21Vianet en China, la cuarentena no está disponible actualmente en el portal de Microsoft Defender. La cuarentena solo está disponible en el Centro de administración de Exchange clásico (EAC clásico).

Para obtener preguntas y respuestas sobre la protección contra correo no deseado, consulte Preguntas más frecuentes: Protección contra correo no deseado.

Para obtener preguntas y respuestas sobre la protección contra malware, consulte Preguntas más frecuentes: Protección contra malware.

Para obtener preguntas y respuestas sobre la protección contra la suplantación de identidad, consulte Preguntas más frecuentes sobre la protección contra la suplantación de identidad.

Cómo administrar los mensajes que se pusieron en cuarentena para el malware?

De forma predeterminada, solo los administradores pueden administrar los mensajes que se pusieron en cuarentena para el malware. Para obtener más información, consulte Administración de mensajes y archivos en cuarentena como administrador.

Sin embargo, los administradores pueden crear y aplicar directivas de cuarentena a directivas antimalware que definen más funcionalidades para los usuarios. Para obtener más información, consulte Creación de directivas de cuarentena.

Los destinatarios no pueden liberar mensajes en cuarentena como malware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva de cuarentena permite a los destinatarios liberar mensajes, solo pueden solicitar la liberación de los mensajes en cuarentena como malware.

Cómo correo no deseado en cuarentena?

De forma predeterminada, los mensajes que se clasifican como correo no deseado o masivo se entregan y mueven a la carpeta de Email no deseado mediante las siguientes directivas de antispam:

• Directiva antispam predeterminada.
• Directivas de correo no deseado personalizadas.
• La directiva de seguridad preestablecida.

Los administradores pueden configurar la directiva de correo no deseado predeterminada o las directivas de correo no deseado personalizadas para poner en cuarentena los mensajes de correo no deseado o de correo electrónico masivo en su lugar. Para obtener más información, consulte Configurar directivas contra correo electrónico no deseado.

La directiva de seguridad preestablecida estricta pone en cuarentena los mensajes clasificados como correo no deseado o masivo.

Para más información, consulte los siguientes artículos:

• Configuración de directiva contra correo no deseado
• Perfiles en directivas de seguridad preestablecidas

Cómo conceder a los usuarios acceso a la cuarentena?

Un usuario debe tener una cuenta válida para acceder a sus propios mensajes en cuarentena.

Las directivas de cuarentena determinan si los usuarios pueden acceder a sus mensajes en cuarentena y qué pueden hacer con ellos. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Si la directiva de cuarentena requiere que los usuarios soliciten la liberación de mensajes o que los administradores liberen mensajes, un administrador debe aprobar la solicitud de versión o liberar el mensaje antes de que el mensaje esté disponible para los usuarios.

No se pueden personalizar las directivas de cuarentena en las directivas de seguridad preestablecidas.

¿A qué mensajes pueden acceder los usuarios finales en cuarentena?

Las directivas de cuarentena definen si los usuarios pueden acceder a los mensajes en cuarentena en función de por qué se puso en cuarentena el mensaje.

Para obtener el acceso predeterminado a los mensajes en cuarentena, consulte la tabla Buscar y liberar mensajes en cuarentena como usuario.

Los destinatarios no pueden liberar mensajes en cuarentena en los siguientes escenarios, independientemente de cómo se configure la directiva de cuarentena:

• Mensajes en cuarentena como malware por directivas antimalware.
• Mensajes en cuarentena como malware o phishing por directivas de datos adjuntos seguros.
• Mensajes en cuarentena como suplantación de identidad de alta confianza por directivas antispam.

Si la directiva de cuarentena permite a los destinatarios liberar mensajes, solo pueden solicitar la liberación de estos mensajes en cuarentena.

¿Cómo puedo impedir que los usuarios accedan a los mensajes en cuarentena?

La directiva de cuarentena predeterminada denominada AdminOnlyAccessPolicy impide cualquier interacción del usuario con sus mensajes en cuarentena. De forma predeterminada, esta directiva de cuarentena se usa para los mensajes que se pusieron en cuarentena como malware o phishing de alta confianza. En las directivas de amenazas personalizadas o la directiva de amenazas predeterminada para las características de protección que admiten mensajes de cuarentena, los administradores pueden especificar AdminOnlyAccessPolicy como la directiva de cuarentena que se va a usar.

No puede impedir que los usuarios finales vean o accedan a la página Cuarentena en https://security.microsoft.com/quarantine.

Cómo averiguar por qué se puso en cuarentena un mensaje?

Columna Motivo de cuarentena que está disponible en la pestaña Email de la página Cuarentena del portal de Defender en https://security.microsoft.com/quarantine?viewid=Email. Las razones comunes son la regla de transporte, el envío masivo, el correo no deseado, el malware, el phishing, la suplantación de identidad de alta confianza o la acción de Administración: bloque de tipo de archivo. Para obtener más información, consulte Visualización del correo electrónico en cuarentena.

Faltan mensajes en cuarentena. ¿Qué les pasó?

Antes de abrir una incidencia de soporte técnico sobre esto, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

Los mensajes en cuarentena también expiran y finalmente se quitan de la cuarentena, en función de por qué se puso en cuarentena el mensaje. Para más información, vea Directivas de cuarentena.

El filtro de datos adjuntos comunes en las directivas antimalware identifica los datos adjuntos del mensaje con las extensiones de archivo especificadas (se pudo usar la coincidencia de tipos verdaderos). La acción predeterminada para estas detecciones en la directiva antimalware predeterminada y en la Standard y las directivas de seguridad preestablecidas estrictas es rechazar el mensaje en un informe de no entrega (también conocido como NDR o mensaje de rebote). Si el mensaje publicado contiene uno de los tipos de datos adjuntos de archivo especificados, es posible que el mensaje se devuelva al remitente en un NDR.

Cuando un mensaje expira de la cuarentena, no se puede recuperar.

De forma predeterminada, los mensajes de los remitentes bloqueados están ocultos de la vista en cuarentena (la cuarentena está filtrada por No mostrar remitentes bloqueados). Para ver los mensajes de todos los remitentes, seleccione Filtrar y, a continuación, seleccione Mostrar todos los remitentes.

Si la sugerencia anterior no se aplica a usted, abra un caso de soporte técnico en un plazo de 7 días a partir de los mensajes afectados para una mejor posibilidad de solucionar el problema.

Sugerencia

Si un remitente está bloqueado y No mostrar remitentes bloqueados está seleccionado (valor predeterminado), los mensajes de esos remitentes se muestran en la página Cuarentena y se incluyen en las notificaciones de cuarentena cuando el valor de motivo de invalidación de dirección del remitente es Ninguno. Este comportamiento se produce porque los mensajes se bloquearon debido a razones distintas de las invalidaciones de direcciones del remitente.

Se ha liberado un mensaje de la cuarentena, pero el destinatario original no lo encuentra. ¿Cómo puedo determinar qué pasó con el mensaje?

• Las soluciones antivirus, los servicios de seguridad o los conectores salientes que no son de Microsoft pueden causar los siguientes problemas para los mensajes que se liberan de la cuarentena:

  • El mensaje se pone en cuarentena después de su liberación.
  • El contenido se quita del mensaje publicado antes de que llegue a la Bandeja de entrada del destinatario.
  • El mensaje publicado nunca llega a la Bandeja de entrada del destinatario.

  Compruebe que no usa el filtrado que no es de Microsoft antes de abrir una incidencia de soporte técnico sobre estos problemas.

  Si un filtro que no es de Microsoft no impide que el mensaje llegue a la Bandeja de entrada del usuario y el primer intento de versión no funcionó, los administradores pueden intentar usar el cmdlet Release-QuarantineMessage en Exchange Online PowerShell con el modificador Force para liberar el mensaje.

  Si Release-QuarantineMessage con el modificador Force no funciona, los administradores deben intentar liberar el mensaje en un buzón alternativo después de desactivar el filtrado por el servicio que no es de Microsoft. La versión forzada puede hacer que los mensajes se publiquen varias veces.

  Recibirá un error si intenta liberar de forma masiva varios mensajes a todos los destinatarios y se ha realizado una eliminación de mensajes de nivel de destinatario en cualquiera de los mensajes. El administrador debe liberar ese mensaje específico solo al destinatario donde no se ha producido la eliminación de la cuarentena.

• Las reglas de bandeja de entrada (creadas por usuarios en Outlook o por administradores que usan los cmdlets *-InboxRule en Exchange Online PowerShell) pueden mover o eliminar mensajes de la Bandeja de entrada.

• Algunas reglas de flujo de correo que ponen en cuarentena un mensaje pueden hacer que el mensaje publicado se vuelva a poner en cuarentena.

• Informe a los administradores de que el enrutamiento de los mensajes de cuarentena publicados a los destinatarios de onpremises puede hacer que los mensajes pierdan encabezados antispam, lo que hace que los mensajes vuelvan a ponerse en cuarentena después de su lanzamiento.

Los administradores pueden usar el seguimiento de mensajes para determinar si se entregó un mensaje publicado en la Bandeja de entrada del destinatario.

Los mensajes se liberan inesperadamente desde cuarentena. ¿Por qué ocurre esto?

Las soluciones antivirus o los servicios de seguridad que no son de Microsoft pueden seleccionar aleatoriamente botones de acción en las notificaciones de cuarentena.

Compruebe que no usa el filtrado que no es de Microsoft antes de abrir una incidencia de soporte técnico sobre este problema.

Los mensajes en cuarentena que se han liberado tienen el valor Estadoliberado y la propiedad Liberado por disponible en la página Cuarentena .

Los administradores también pueden usar el registro de auditoría para ver quién publicó un mensaje de Cuarentena. Use el valor Mensaje de cuarentena publicada en Actividades: nombres descriptivos. Para obtener instrucciones relacionadas, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

¿Puedo liberar o informar de más de un mensaje en cuarentena a la vez?

En el portal de Microsoft Defender, puede seleccionar y liberar hasta 100 mensajes a la vez.

Los administradores pueden usar los cmdlets Get-QuarantineMessage y Release-QuarantineMessage en Exchange Online PowerShell para buscar y liberar mensajes en cuarentena de forma masiva y para notificar falsos positivos de forma masiva.

Para ver las acciones masivas que están disponibles en la página Cuarentena , consulte Acción en varios mensajes de correo electrónico en cuarentena.

En Defender para Office 365 plan 2, puede usar el Explorador (Explorador de amenazas) para realizar operaciones de versión masiva más grandes (un máximo de 200 000 mensajes).

¿Se admiten caracteres comodín al buscar mensajes en cuarentena? ¿Puedo buscar mensajes en cuarentena para un dominio específico?

Los caracteres comodín se admiten tanto en el portal de Microsoft Defender como en Exchange Online PowerShell. Por ejemplo, puede usar *@contoso.com como filtro de dirección de remitente o de destinatario para buscar mensajes en cuarentena.

Para la búsqueda y la versión masivas, copie el siguiente código de PowerShell en el Bloc de notas y guarde el archivo como .ps1 en una ubicación que sea fácil de encontrar (por ejemplo, C:\Data\QuarantineRelease.ps1).

A continuación, después de conectarse a Exchange Online PowerShell, ejecute el siguiente comando para ejecutar el script:

& C:\Data\QuarantineRelease.ps1

El script realiza las siguientes acciones:

• Busque mensajes no publicados que se pusieron en cuarentena como correo no deseado de todos los remitentes del dominio fabrikam. El número máximo de resultados es de 50 000 (50 páginas de 1000 resultados).
• Guarde los resultados en un archivo CSV.
• Libere los mensajes en cuarentena coincidentes para todos los destinatarios originales.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Después de publicar un mensaje, no puede volver a publicarlo.

Cómo notificar a los usuarios finales sus mensajes en cuarentena? ¿Con qué frecuencia se envían las notificaciones de cuarentena?

Si las notificaciones de cuarentena están habilitadas en la directiva de cuarentena asociada, puede configurar las notificaciones de cuarentena para que se envíen cada cuatro horas, diariamente o semanalmente. Para obtener más información, consulte Personalización de todas las notificaciones de cuarentena.

Sugerencia

La programación de notificaciones más rápida y frecuente que está disponible es cada cuatro horas.

Si selecciona cada cuatro horas y un mensaje se pone en cuarentena justo después de la última generación de notificaciones, el destinatario recibirá la notificación de cuarentena ligeramente más de cuatro horas después.

En el caso de los mensajes en cuarentena por purga automática de cero horas (ZAP), las notificaciones de cuarentena se generan en función de cuándo se puso en cuarentena el mensaje, no cuando el mensaje se entregó en el buzón.

También puede configurar notificaciones de cuarentena para mensajes internos (dentro de la organización) solo en las directivas de cuarentena.

¿Por qué los usuarios no reciben notificaciones sobre sus mensajes en cuarentena?

En primer lugar, use el seguimiento de mensajes para confirmar que el destinatario no recibió una notificación de cuarentena:

• Remitente: Quarantine@messaging.microsoft.com o una dirección de remitente personalizada.
• Destinatario: dirección de correo electrónico del destinatario.

Después de confirmar que no se enviaron notificaciones de cuarentena, siga las instrucciones siguientes.

Si la directiva de cuarentena definida para la acción de cuarentena admitida no tiene las notificaciones activadas, no se envían las notificaciones de cuarentena.

Para obtener más información, consulte la última tabla de Anatomía de una directiva de cuarentena y las tablas de características individuales en Configuración recomendada de directivas de amenazas de colaboración y correo electrónico para las organizaciones en la nube para ver qué directivas de cuarentena predeterminadas tienen activadas las notificaciones de cuarentena.

Además, las directivas de amenazas individuales de las directivas de seguridad preestablecidas siempre se aplican antes que las directivas de amenazas personalizadas. Un usuario definido en la directiva de seguridad preestablecida Standard o Estricta nunca obtiene una directiva de amenazas personalizada en la que la directiva de cuarentena se personaliza para activar las notificaciones de cuarentena. Para obtener más información, consulte Configuración de directivas en directivas de seguridad preestablecidas.

Las notificaciones de cuarentena no están habilitadas para los mensajes en cuarentena por reglas de flujo de correo de Exchange (reglas de transporte) o prevención de pérdida de datos (DLP). Estos mensajes tienen la directiva de cuarentena AdminOnly. Las notificaciones de cuarentena tampoco se generan para los mensajes con la directiva de cuarentena DefaultFullAccess.

Cómo personalizar las notificaciones de cuarentena para agregar un logotipo personalizado?

Consulte Personalización de todas las notificaciones de cuarentena.

¿Qué permisos son necesarios para que los administradores descarguen o liberen mensajes de la cuarentena?

Consulte la entrada de permisos aquí.

Nota:

Actualmente, los roles asignados a través de Azure Privileged Identity Management no se admiten en cuarentena. Para obtener más información sobre PIM, consulte Privileged Identity Management (PIM) y por qué usarlo con Microsoft Defender para Office 365.

La capacidad de administrar mensajes en cuarentena mediante permisos de Exchange Online finalizó en febrero de 2023 por MC447339.

Los administradores invitados de otras organizaciones no pueden administrar los mensajes en cuarentena. El administrador debe estar en la misma organización que los destinatarios.

He creado una notificación de cuarentena personalizada para un idioma específico, pero los usuarios no la ven. ¿Qué sucede?

Una notificación de cuarentena personalizada para un idioma diferente se muestra a los usuarios solo cuando su idioma de cuenta o buzón coincide con el idioma de la notificación de cuarentena personalizada.

No puedo obtener una vista previa de un mensaje de Microsoft Teams en cuarentena. ¿Qué sucede?

Si un usuario elimina el mensaje del cliente de Teams, el mensaje ha desaparecido, por lo que la versión preliminar no está disponible en cuarentena para el mensaje eliminado.

No veo el botón **Bloquear remitente** en las notificaciones de cuarentena o en la página **Cuarentena**. Tampoco veo el botón **Aprobar versión** en la página **Cuarentena**. ¿Qué sucede?

El remitente de bloque está deshabilitado de forma predeterminada para los mensajes en cuarentena.

Para los usuarios finales, los administradores pueden crear y asignar una directiva de cuarentena personalizada que incluya la acción Bloquear remitente . Para más información, vea Directivas de cuarentena.

Los administradores solo ven Bloquear remitente si filtran los resultados de cuarentena por Solo el destinatario>yo en lugar del valor predeterminado Todos los usuarios.

La versión de aprobación se ha retirado y ahora se incluye en La versión.

El botón **Bloquear remitente** en las notificaciones de cuarentena o en la página **Cuarentena** no parece funcionar. ¿Qué sucede?

La acción Bloquear remitente no es posible para carpetas públicas.

Las carpetas públicas de Exchange no tienen valores de configuración de correo no deseado, como buzones individuales. El Set-MailboxJunkEmailConfiguration cmdlet configura las opciones de correo no deseado para buzones, no para carpetas públicas.

**Filter** y **Search** no funcionan. ¿Qué sucede?

El cuadro Buscar se aplica a los resultados visibles en cuarentena. De forma predeterminada, solo se muestran las primeras 100 entradas hasta que se desplaza hacia abajo hasta la parte inferior de la lista, lo que carga más resultados.

Para filtrar los mensajes en cuarentena por identificador de mensaje de Internet, el valor debe incluir corchetes angulares (<>), incluso en PowerShell.

Los mensajes de cuarentena publicados siguen apareciendo en cuarentena. ¿Qué sucede?

Los mensajes publicados permanecen visibles en cuarentena con el valor Estadopublicado, hasta que:

• El período de retención de cuarentena expira y el mensaje se elimina automáticamente.

  Otra posibilidad:

• El mensaje se elimina manualmente de la cuarentena.

Las alertas de solicitud de versión no se generan. ¿Qué sucede?

El registro de auditoría debe estar activado (está activado de forma predeterminada). Para obtener más información, vea Activar o desactivar la auditoría.

Las notificaciones de cuarentena duplicadas o múltiples se envían al mismo usuario.

Se envían varias notificaciones de cuarentena o duplicadas al mismo usuario si el parámetro SendFromAliasEnabled del cmdlet Set-OrganizationConfig de Exchange Online PowerShell está establecido en el valor $true.

No puedo ver a todos los destinatarios de un mensaje en cuarentena. ¿Qué sucede?

Los administradores pueden usar el mensaje de vista previa o el encabezado ver mensaje para ver la lista completa de destinatarios.

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de 90 días de Defender para Office 365 en el Centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y probar los términos en Probar Microsoft Defender para Office 365.

Se aplica a

• Características de seguridad integradas para todos los buzones de correo en la nube
• Plan 1 y Plan 2 de Microsoft Defender para Office 365
• Microsoft Defender XDR

En este artículo se proporcionan preguntas frecuentes (P+F) y respuestas sobre los mensajes de correo electrónico en cuarentena para las organizaciones de Microsoft 365 con buzones en la nube.

Nota:

En Microsoft 365 operado por 21Vianet en China, la cuarentena no está disponible actualmente en el portal de Microsoft Defender. La cuarentena solo está disponible en el Centro de administración de Exchange clásico (EAC clásico).

Para obtener preguntas y respuestas sobre la protección contra correo no deseado, consulte Preguntas más frecuentes: Protección contra correo no deseado.

Para obtener preguntas y respuestas sobre la protección contra malware, consulte Preguntas más frecuentes: Protección contra malware.

Para obtener preguntas y respuestas sobre la protección contra la suplantación de identidad, consulte Preguntas más frecuentes sobre la protección contra la suplantación de identidad.

De forma predeterminada, solo los administradores pueden administrar los mensajes que se pusieron en cuarentena para el malware. Para obtener más información, consulte Administración de mensajes y archivos en cuarentena como administrador.

Sin embargo, los administradores pueden crear y aplicar directivas de cuarentena a directivas antimalware que definen más funcionalidades para los usuarios. Para obtener más información, consulte Creación de directivas de cuarentena.

Los destinatarios no pueden liberar mensajes en cuarentena como malware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva de cuarentena permite a los destinatarios liberar mensajes, solo pueden solicitar la liberación de los mensajes en cuarentena como malware.

De forma predeterminada, los mensajes que se clasifican como correo no deseado o masivo se entregan y mueven a la carpeta de Email no deseado mediante las siguientes directivas de antispam:

• Directiva antispam predeterminada.
• Directivas de correo no deseado personalizadas.
• La directiva de seguridad preestablecida.

Los administradores pueden configurar la directiva de correo no deseado predeterminada o las directivas de correo no deseado personalizadas para poner en cuarentena los mensajes de correo no deseado o de correo electrónico masivo en su lugar. Para obtener más información, consulte Configurar directivas contra correo electrónico no deseado.

La directiva de seguridad preestablecida estricta pone en cuarentena los mensajes clasificados como correo no deseado o masivo.

Para más información, consulte los siguientes artículos:

• Configuración de directiva contra correo no deseado
• Perfiles en directivas de seguridad preestablecidas

Un usuario debe tener una cuenta válida para acceder a sus propios mensajes en cuarentena.

Las directivas de cuarentena determinan si los usuarios pueden acceder a sus mensajes en cuarentena y qué pueden hacer con ellos. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Si la directiva de cuarentena requiere que los usuarios soliciten la liberación de mensajes o que los administradores liberen mensajes, un administrador debe aprobar la solicitud de versión o liberar el mensaje antes de que el mensaje esté disponible para los usuarios.

No se pueden personalizar las directivas de cuarentena en las directivas de seguridad preestablecidas.

Las directivas de cuarentena definen si los usuarios pueden acceder a los mensajes en cuarentena en función de por qué se puso en cuarentena el mensaje.

Para obtener el acceso predeterminado a los mensajes en cuarentena, consulte la tabla Buscar y liberar mensajes en cuarentena como usuario.

Los destinatarios no pueden liberar mensajes en cuarentena en los siguientes escenarios, independientemente de cómo se configure la directiva de cuarentena:

• Mensajes en cuarentena como malware por directivas antimalware.
• Mensajes en cuarentena como malware o phishing por directivas de datos adjuntos seguros.
• Mensajes en cuarentena como suplantación de identidad de alta confianza por directivas antispam.

Si la directiva de cuarentena permite a los destinatarios liberar mensajes, solo pueden solicitar la liberación de estos mensajes en cuarentena.

La directiva de cuarentena predeterminada denominada AdminOnlyAccessPolicy impide cualquier interacción del usuario con sus mensajes en cuarentena. De forma predeterminada, esta directiva de cuarentena se usa para los mensajes que se pusieron en cuarentena como malware o phishing de alta confianza. En las directivas de amenazas personalizadas o la directiva de amenazas predeterminada para las características de protección que admiten mensajes de cuarentena, los administradores pueden especificar AdminOnlyAccessPolicy como la directiva de cuarentena que se va a usar.

No puede impedir que los usuarios finales vean o accedan a la página Cuarentena en https://security.microsoft.com/quarantine.

Columna Motivo de cuarentena que está disponible en la pestaña Email de la página Cuarentena del portal de Defender en https://security.microsoft.com/quarantine?viewid=Email. Las razones comunes son la regla de transporte, el envío masivo, el correo no deseado, el malware, el phishing, la suplantación de identidad de alta confianza o la acción de Administración: bloque de tipo de archivo. Para obtener más información, consulte Visualización del correo electrónico en cuarentena.

Antes de abrir una incidencia de soporte técnico sobre esto, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

Los mensajes en cuarentena también expiran y finalmente se quitan de la cuarentena, en función de por qué se puso en cuarentena el mensaje. Para más información, vea Directivas de cuarentena.

El filtro de datos adjuntos comunes en las directivas antimalware identifica los datos adjuntos del mensaje con las extensiones de archivo especificadas (se pudo usar la coincidencia de tipos verdaderos). La acción predeterminada para estas detecciones en la directiva antimalware predeterminada y en la Standard y las directivas de seguridad preestablecidas estrictas es rechazar el mensaje en un informe de no entrega (también conocido como NDR o mensaje de rebote). Si el mensaje publicado contiene uno de los tipos de datos adjuntos de archivo especificados, es posible que el mensaje se devuelva al remitente en un NDR.

Cuando un mensaje expira de la cuarentena, no se puede recuperar.

De forma predeterminada, los mensajes de los remitentes bloqueados están ocultos de la vista en cuarentena (la cuarentena está filtrada por No mostrar remitentes bloqueados). Para ver los mensajes de todos los remitentes, seleccione Filtrar y, a continuación, seleccione Mostrar todos los remitentes.

Si la sugerencia anterior no se aplica a usted, abra un caso de soporte técnico en un plazo de 7 días a partir de los mensajes afectados para una mejor posibilidad de solucionar el problema.

Sugerencia

Si un remitente está bloqueado y No mostrar remitentes bloqueados está seleccionado (valor predeterminado), los mensajes de esos remitentes se muestran en la página Cuarentena y se incluyen en las notificaciones de cuarentena cuando el valor de motivo de invalidación de dirección del remitente es Ninguno. Este comportamiento se produce porque los mensajes se bloquearon debido a razones distintas de las invalidaciones de direcciones del remitente.

• Las soluciones antivirus, los servicios de seguridad o los conectores salientes que no son de Microsoft pueden causar los siguientes problemas para los mensajes que se liberan de la cuarentena:

  • El mensaje se pone en cuarentena después de su liberación.
  • El contenido se quita del mensaje publicado antes de que llegue a la Bandeja de entrada del destinatario.
  • El mensaje publicado nunca llega a la Bandeja de entrada del destinatario.

  Compruebe que no usa el filtrado que no es de Microsoft antes de abrir una incidencia de soporte técnico sobre estos problemas.

  Si un filtro que no es de Microsoft no impide que el mensaje llegue a la Bandeja de entrada del usuario y el primer intento de versión no funcionó, los administradores pueden intentar usar el cmdlet Release-QuarantineMessage en Exchange Online PowerShell con el modificador Force para liberar el mensaje.

  Si Release-QuarantineMessage con el modificador Force no funciona, los administradores deben intentar liberar el mensaje en un buzón alternativo después de desactivar el filtrado por el servicio que no es de Microsoft. La versión forzada puede hacer que los mensajes se publiquen varias veces.

  Recibirá un error si intenta liberar de forma masiva varios mensajes a todos los destinatarios y se ha realizado una eliminación de mensajes de nivel de destinatario en cualquiera de los mensajes. El administrador debe liberar ese mensaje específico solo al destinatario donde no se ha producido la eliminación de la cuarentena.

• Las reglas de bandeja de entrada (creadas por usuarios en Outlook o por administradores que usan los cmdlets *-InboxRule en Exchange Online PowerShell) pueden mover o eliminar mensajes de la Bandeja de entrada.

• Algunas reglas de flujo de correo que ponen en cuarentena un mensaje pueden hacer que el mensaje publicado se vuelva a poner en cuarentena.

• Informe a los administradores de que el enrutamiento de los mensajes de cuarentena publicados a los destinatarios de onpremises puede hacer que los mensajes pierdan encabezados antispam, lo que hace que los mensajes vuelvan a ponerse en cuarentena después de su lanzamiento.

Los administradores pueden usar el seguimiento de mensajes para determinar si se entregó un mensaje publicado en la Bandeja de entrada del destinatario.

Las soluciones antivirus o los servicios de seguridad que no son de Microsoft pueden seleccionar aleatoriamente botones de acción en las notificaciones de cuarentena.

Compruebe que no usa el filtrado que no es de Microsoft antes de abrir una incidencia de soporte técnico sobre este problema.

Los mensajes en cuarentena que se han liberado tienen el valor Estadoliberado y la propiedad Liberado por disponible en la página Cuarentena .

Los administradores también pueden usar el registro de auditoría para ver quién publicó un mensaje de Cuarentena. Use el valor Mensaje de cuarentena publicada en Actividades: nombres descriptivos. Para obtener instrucciones relacionadas, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

En el portal de Microsoft Defender, puede seleccionar y liberar hasta 100 mensajes a la vez.

Los administradores pueden usar los cmdlets Get-QuarantineMessage y Release-QuarantineMessage en Exchange Online PowerShell para buscar y liberar mensajes en cuarentena de forma masiva y para notificar falsos positivos de forma masiva.

Para ver las acciones masivas que están disponibles en la página Cuarentena , consulte Acción en varios mensajes de correo electrónico en cuarentena.

En Defender para Office 365 plan 2, puede usar el Explorador (Explorador de amenazas) para realizar operaciones de versión masiva más grandes (un máximo de 200 000 mensajes).

Los caracteres comodín se admiten tanto en el portal de Microsoft Defender como en Exchange Online PowerShell. Por ejemplo, puede usar *@contoso.com como filtro de dirección de remitente o de destinatario para buscar mensajes en cuarentena.

Para la búsqueda y la versión masivas, copie el siguiente código de PowerShell en el Bloc de notas y guarde el archivo como .ps1 en una ubicación que sea fácil de encontrar (por ejemplo, C:\Data\QuarantineRelease.ps1).

A continuación, después de conectarse a Exchange Online PowerShell, ejecute el siguiente comando para ejecutar el script:

& C:\Data\QuarantineRelease.ps1

El script realiza las siguientes acciones:

• Busque mensajes no publicados que se pusieron en cuarentena como correo no deseado de todos los remitentes del dominio fabrikam. El número máximo de resultados es de 50 000 (50 páginas de 1000 resultados).
• Guarde los resultados en un archivo CSV.
• Libere los mensajes en cuarentena coincidentes para todos los destinatarios originales.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Después de publicar un mensaje, no puede volver a publicarlo.

Si las notificaciones de cuarentena están habilitadas en la directiva de cuarentena asociada, puede configurar las notificaciones de cuarentena para que se envíen cada cuatro horas, diariamente o semanalmente. Para obtener más información, consulte Personalización de todas las notificaciones de cuarentena.

Sugerencia

La programación de notificaciones más rápida y frecuente que está disponible es cada cuatro horas.

Si selecciona cada cuatro horas y un mensaje se pone en cuarentena justo después de la última generación de notificaciones, el destinatario recibirá la notificación de cuarentena ligeramente más de cuatro horas después.

En el caso de los mensajes en cuarentena por purga automática de cero horas (ZAP), las notificaciones de cuarentena se generan en función de cuándo se puso en cuarentena el mensaje, no cuando el mensaje se entregó en el buzón.

También puede configurar notificaciones de cuarentena para mensajes internos (dentro de la organización) solo en las directivas de cuarentena.

En primer lugar, use el seguimiento de mensajes para confirmar que el destinatario no recibió una notificación de cuarentena:

• Remitente: Quarantine@messaging.microsoft.com o una dirección de remitente personalizada.
• Destinatario: dirección de correo electrónico del destinatario.

Después de confirmar que no se enviaron notificaciones de cuarentena, siga las instrucciones siguientes.

Si la directiva de cuarentena definida para la acción de cuarentena admitida no tiene las notificaciones activadas, no se envían las notificaciones de cuarentena.

Para obtener más información, consulte la última tabla de Anatomía de una directiva de cuarentena y las tablas de características individuales en Configuración recomendada de directivas de amenazas de colaboración y correo electrónico para las organizaciones en la nube para ver qué directivas de cuarentena predeterminadas tienen activadas las notificaciones de cuarentena.

Además, las directivas de amenazas individuales de las directivas de seguridad preestablecidas siempre se aplican antes que las directivas de amenazas personalizadas. Un usuario definido en la directiva de seguridad preestablecida Standard o Estricta nunca obtiene una directiva de amenazas personalizada en la que la directiva de cuarentena se personaliza para activar las notificaciones de cuarentena. Para obtener más información, consulte Configuración de directivas en directivas de seguridad preestablecidas.

Las notificaciones de cuarentena no están habilitadas para los mensajes en cuarentena por reglas de flujo de correo de Exchange (reglas de transporte) o prevención de pérdida de datos (DLP). Estos mensajes tienen la directiva de cuarentena AdminOnly. Las notificaciones de cuarentena tampoco se generan para los mensajes con la directiva de cuarentena DefaultFullAccess.

Consulte Personalización de todas las notificaciones de cuarentena.

Consulte la entrada de permisos aquí.

Nota:

Actualmente, los roles asignados a través de Azure Privileged Identity Management no se admiten en cuarentena. Para obtener más información sobre PIM, consulte Privileged Identity Management (PIM) y por qué usarlo con Microsoft Defender para Office 365.

La capacidad de administrar mensajes en cuarentena mediante permisos de Exchange Online finalizó en febrero de 2023 por MC447339.

Los administradores invitados de otras organizaciones no pueden administrar los mensajes en cuarentena. El administrador debe estar en la misma organización que los destinatarios.

Una notificación de cuarentena personalizada para un idioma diferente se muestra a los usuarios solo cuando su idioma de cuenta o buzón coincide con el idioma de la notificación de cuarentena personalizada.

Si un usuario elimina el mensaje del cliente de Teams, el mensaje ha desaparecido, por lo que la versión preliminar no está disponible en cuarentena para el mensaje eliminado.

El remitente de bloque está deshabilitado de forma predeterminada para los mensajes en cuarentena.

Para los usuarios finales, los administradores pueden crear y asignar una directiva de cuarentena personalizada que incluya la acción Bloquear remitente . Para más información, vea Directivas de cuarentena.

Los administradores solo ven Bloquear remitente si filtran los resultados de cuarentena por Solo el destinatario>yo en lugar del valor predeterminado Todos los usuarios.

La versión de aprobación se ha retirado y ahora se incluye en La versión.

La acción Bloquear remitente no es posible para carpetas públicas.

Las carpetas públicas de Exchange no tienen valores de configuración de correo no deseado, como buzones individuales. El Set-MailboxJunkEmailConfiguration cmdlet configura las opciones de correo no deseado para buzones, no para carpetas públicas.

El cuadro Buscar se aplica a los resultados visibles en cuarentena. De forma predeterminada, solo se muestran las primeras 100 entradas hasta que se desplaza hacia abajo hasta la parte inferior de la lista, lo que carga más resultados.

Para filtrar los mensajes en cuarentena por identificador de mensaje de Internet, el valor debe incluir corchetes angulares (<>), incluso en PowerShell.

Los mensajes publicados permanecen visibles en cuarentena con el valor Estadopublicado, hasta que:

• El período de retención de cuarentena expira y el mensaje se elimina automáticamente.

  Otra posibilidad:

• El mensaje se elimina manualmente de la cuarentena.

El registro de auditoría debe estar activado (está activado de forma predeterminada). Para obtener más información, vea Activar o desactivar la auditoría.

Se envían varias notificaciones de cuarentena o duplicadas al mismo usuario si el parámetro SendFromAliasEnabled del cmdlet Set-OrganizationConfig de Exchange Online PowerShell está establecido en el valor $true.

Los administradores pueden usar el mensaje de vista previa o el encabezado ver mensaje para ver la lista completa de destinatarios.