Compartir vía


Marcas de correo no deseado

Los sellos antispam de Exchange Server aplican metadatos de diagnóstico o marcas, como información específica del remitente, resultados de validación de rompecabezas y resultados de filtrado de contenido, a los mensajes a medida que pasan a través de las características antispam que filtran los mensajes entrantes desde Internet. Puede usar marcas de correo no deseado para ver los resultados del filtrado contra correo no deseado en un mensaje y para diagnosticar problemas relacionados con el correo no deseado. Las marcas y características contra correo no deseado básicamente no cambian con respecto a Exchange Server 2010. Hay cuatro sellos antispam de Exchange principales:

  • La marca de nivel de confianza de protección antiphishing (PCL)

  • La marca de Id. del remitente

  • La marca de nivel de confianza contra correo no deseado (SCL)

  • La marca de informe contra correo no deseado

Las marcas contra correo no deseado se agregan a los mensajes como campos de encabezado X en el encabezado del mensaje. Puede ver marcas de antispam en un mensaje mediante Outlook. Para más información, vea Ver marcas contra correo no deseado en Outlook.

La marca de nivel de confianza de protección antiphishing

La marca de PCL indica la probabilidad de que un mensaje sea un mensaje de suplantación de identidad (phishing) según su contenido. La marca de PLC se aplica cuando el agente de filtro de contenido procesa el mensaje. Para más información sobre el filtrado de contenido, vea Filtrado de contenido.

Los valores de PLC se describen en la tabla siguiente.

Valor de PCL Verdict Descripción
De 1 a 3 Neutral No es probable que el contenido del mensaje sea suplantación de identidad (phishing).
De 4 a 8 Suspicious Es probable que el contenido del mensaje sea suplantación de identidad (phishing).

El valor PCL aparece en el encabezado X-MS-Exchange-Organization-PCL: X y el veredicto pcl aparece en el sello de informe antispam como PCL:PhishingLevel <Verdict>. Outlook usa la marca de PCL para bloquear el contenido de los mensajes sospechosos.

La marca de Id. del remitente

La marca de id. de remitente se basa en el marco de directivas de remitente (SPF) que autoriza el uso de dominios en el correo electrónico. El agente de id. de remitente determina el estado del identificador de remitente para el mensaje. Estos valores de estado se describen en la tabla siguiente.

Estado Descripción
Pass La dirección IP y la Dirección responsable pretendida (PRA) han superado la comprobación del Id. del remitente.
Neutral Los datos del Id. del remitente publicados no son explícitamente concluyentes.
SoftFail Es posible que la dirección IP de la PRA no esté en el conjunto permitido.
Fail La dirección IP no está permitida. No se ha encontrado ninguna PRA en el correo entrante o no existe el dominio de envío.
None No hay datos de la SPF publicados en el DNS del remitente.
TempError Ha ocurrido un error temporal de DNS como, por ejemplo, un servidor DNS no disponible.
PermError El registro DNS no es válido; por ejemplo, existe un error en el formato de registro.

La marca de id. de remitente se muestra en el encabezado X-MS-Exchange-Organization-SenderIdResult: X y también en el sello de informe antispam como SenderIDStatus <Status>. El resultado de SPF se muestra en el encabezado Received-SPF .

Para obtener más información al respecto, consulte los temas siguientes:

La marca de nivel de confianza contra correo no deseado

Nota:

En noviembre de 2016, Microsoft dejó de producir actualizaciones de definición de correo no deseado para los filtros SmartScreen en Exchange y Outlook. Las definiciones de correo no deseado de SmartScreen existentes se dejaron en su lugar, pero su eficacia probablemente se degradará con el tiempo. Para obtener más información, consulte la compatibilidad para SmartScreen en Outlook y Exchange.

La marca de SCL muestra la calificación del mensaje en función de su contenido. El agente de filtro de contenido usa la tecnología SmartScreen de Microsoft para evaluar el contenido de un mensaje y asignar una calificación de SCL para cada mensaje. Los valores de SLC se describen en la tabla siguiente.

Valor de SCL Descripción
de la a a la z 0 indica una probabilidad muy baja de que el mensaje sea correo no deseado.
9 indica una probabilidad muy alta de que el mensaje sea correo no deseado.
-1 El mensaje ha eludido la detección contra correo no deseado (por ejemplo, el mensaje era de un remitente interno).

El valor de SCL aparece en el encabezado X X-MS-Exchange-Organization-SCL:.

Las acciones que Exchange y Outlook realizan según el valor de SCL dependen de la configuración de los umbrales SCL. Para obtener más información, consulte Umbrales de nivel de confianza de correo no deseado (SCL) de Exchange.

La marca de informe contra correo no deseado

La marca de informe contra correo no deseado es un resumen de los resultados del filtro contra correo no deseado que se han aplicado al mensaje. El agente de filtro de contenido aplica esta marca al mensaje en el encabezado X X-MS-Exchange-Organization-Antispam-Report:. El informe contra correo no deseado usa la siguiente sintaxis:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>

La información del filtro contra correo no deseado que puede aparecer en la marca de informe contra correo no deseado se describe en la tabla siguiente. Tenga en cuenta que la marca de informe contra correo no deseado solo contiene resultados y conclusiones de filtros contra correo no deseado que se han aplicado al mensaje. Por tanto, la marca de informe contra correo no deseado no contiene normalmente todos los valores y marcas posibles.

Marca Descripción
DV La marca de versión del DAT (DV) indica la versión del archivo de definición de correo electrónico no deseado que se ha usado al examinar el mensaje.
SA La marca de acción de firma (SA) indica que el mensaje se ha recuperado o se ha eliminado porque se ha encontrado una firma en el mensaje.
SV La marca de versión del DAT de firma (SV) indica la versión del archivo de firma que se ha usado al examinar el mensaje.
CW La marca de ponderación personalizada (CW) indica que el mensaje contiene una palabra o expresión no aprobada y que el valor de SCL, o ponderación, de esa palabra o expresión no aprobada se ha aplicado a la calificación final de SCL:
  • Las frases no aprobadas, o frases no admitidas, tienen una ponderación máxima y cambian la calificación de SCL a 9.
  • Las palabras o frases aprobadas, o frases admitidas, tienen una ponderación mínima y cambian la calificación de SCL a 0.

Para obtener más información sobre cómo agregar palabras o frases aprobadas y no aprobadas al agente de filtrado de contenido, vea Procedimientos de filtrado de contenido.

PP La marca de puzle resuelto previamente (PP) indica que, si un mensaje del remitente contiene un certificado electrónico válido y resuelto (basado en la funcionalidad de validación del certificado electrónico de Outlook), no es probable que se trate de un remitente malintencionado. En este caso, el agente de filtro de contenido reduciría la calificación de SCL.

El agente de filtrado de contenido no cambia la calificación de SCL si la característica de validación de certificado electrónico está habilitada y si se cumple alguna de las siguientes condiciones:

  • Un mensaje entrante no contiene un encabezado de certificado electrónico.
  • El encabezado del certificado electrónico no es válido.

Para más información sobre la característica de validación del certificado, vea Filtrado de contenido.

TIME:TimeBasedFeatures Indica que hay un tiempo de retraso importante entre la hora a la que se envió el mensaje y la hora a la que se recibió. La marca TIME se usa para determinar la calificación de SCL final del mensaje.
OrigIP Indica la dirección IP del servidor de mensajería de origen.
MIME:MIMECompliance Indica que el mensaje de correo electrónico no es compatible con MIME.
P100:PhishingBlock Indica que el mensaje contiene una dirección URL que está presente en un archivo de definición de suplantación de identidad (phishing).
IPOnAllowList Indica que la dirección IP del remitente se encuentra en la lista de direcciones IP permitidas. Para más información sobre la lista de direcciones IP permitidas, vea Lista de direcciones IP permitidas.
MessageSecurityAntispamBypass Indica que no se ha filtrado el contenido del mensaje y que se ha concedido al remitente permiso para eludir los filtros contra correo no deseado.
SenderBypassed Indica que el agente de filtro de contenido no procesa el filtrado de contenido de los mensajes recibidos de este remitente. Para obtener más información, vea Procedimientos de filtrado de contenido.
AllRecipientsBypassed Indica que se ha cumplido una de las siguientes condiciones para todos los destinatarios incluidos en el mensaje: