Compartir por


Orden y prioridad de la protección por correo electrónico

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

En las organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de correo Exchange Online, el correo electrónico entrante podría marcarse mediante varias formas de protección. Por ejemplo, protección contra la suplantación que está disponible para todos los clientes de Microsoft 365 y protección contra suplantación que solo está disponible para Microsoft Defender para Office 365 clientes. Los mensajes también pasan a través de varios exámenes de detección de malware, spam, phishing, etc. Dada toda esta actividad, puede haber cierta confusión en cuanto a qué directiva se aplica.

En general, una directiva que se aplica a un mensaje se identifica en el encabezado X-Forefront-Antispam-Report de la propiedad CAT (Category). Para obtener más información, vea Encabezados de mensajes de correo no deseado.

Hay dos factores principales que determinan qué directiva se aplica a un mensaje:

Por ejemplo, el grupo denominado "Contoso Executives" se incluye en las siguientes directivas:

  • Directiva de seguridad preestablecida estricta
  • Una directiva de antispam personalizada con el valor de prioridad 0 (prioridad más alta)
  • Una directiva antispam personalizada con el valor de prioridad 1.

¿Qué configuración de directivas contra correo no deseado se aplica a los miembros de los ejecutivos de Contoso? Directiva de seguridad preestablecida estricta. La configuración de las directivas personalizadas contra correo no deseado se omite para los miembros de Contoso Executives, ya que la directiva de seguridad preestablecida Strict siempre se aplica primero.

Como otro ejemplo, tenga en cuenta las siguientes directivas de anti phishing personalizadas en Microsoft Defender para Office 365 que se aplican a los mismos destinatarios y un mensaje que contiene tanto la suplantación de usuario como la suplantación de identidad:

Nombre de la directiva Prioridad Suplantación de usuario Protección contra la suplantación de identidad
Directiva A 1 Activada Desactivada
Directiva B 2 Desactivada Activada
  1. El mensaje se identifica como suplantación, porque la suplantación (5) se evalúa antes de la suplantación de usuario (6) en el orden de procesamiento del tipo de protección de correo electrónico.
  2. La directiva A se aplica primero, porque tiene una prioridad mayor que la directiva B.
  3. En función de la configuración de la directiva A, no se realiza ninguna acción en el mensaje porque la protección contra la suplantación está desactivada.
  4. El procesamiento de directivas contra phishing se detiene para todos los destinatarios incluidos, por lo que la directiva B nunca se aplica a los destinatarios que también están en la directiva A.

Para asegurarse de que los destinatarios obtienen la configuración de protección que desea, use las siguientes directrices para las pertenencias a directivas:

  • Asigne un número menor de usuarios a directivas de mayor prioridad y un mayor número de usuarios a directivas de prioridad inferior. Recuerde que las directivas predeterminadas siempre se aplican en último lugar.
  • Configure las directivas de mayor prioridad para que tengan valores más estrictos o más especializados que las directivas de prioridad inferior. Tiene control total sobre la configuración de las directivas personalizadas y las directivas predeterminadas, pero no tiene control sobre la mayoría de las opciones de configuración de las directivas de seguridad preestablecidas.
  • Considere la posibilidad de usar menos directivas personalizadas (solo use directivas personalizadas para los usuarios que requieran una configuración más especializada que las directivas de seguridad preestablecidas Estándar o Estricta, o las directivas predeterminadas).

Apéndice

Es importante comprender cómo el usuario permite y bloquea, el inquilino permite y bloquea y filtra los veredictos de pila en EOP y Defender para Office 365 complementarse o contradecirse entre sí.

  • Para obtener información sobre el filtrado de pilas y cómo se combinan, consulte Protección contra amenazas paso a paso en Microsoft Defender para Office 365.
  • Una vez que la pila de filtrado determina un veredicto, solo entonces se evalúan las directivas de inquilino y sus acciones configuradas.
  • Si la misma dirección de correo electrónico o dominio existe en la lista Remitentes seguros de un usuario y en la lista Remitentes bloqueados, la lista Remitentes seguros tiene prioridad.
  • Si la misma entidad (dirección de correo electrónico, dominio, infraestructura de envío suplantada, archivo o dirección URL) existe en una entrada de permiso y una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada de bloque tiene prioridad.

El usuario permite y bloquea

Las entradas de la colección de listas seguras de un usuario (la lista Remitentes seguros, la lista Destinatarios seguros y la lista Remitentes bloqueados en cada buzón) pueden invalidar algunos veredictos de pila de filtrado, como se describe en la tabla siguiente:

Veredicto de la pila de filtrado Lista de destinatarios o remitentes seguros del usuario Lista de remitentes bloqueados del usuario
Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
Phishing de alta confianza Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing) El usuario gana: Email entrega a la Bandeja de entrada del usuario El inquilino gana: la directiva antispam aplicable determina la acción
Correo no deseado de alta confianza El usuario gana: Email entrega a la Bandeja de entrada del usuario El inquilino gana: la directiva antispam aplicable determina la acción
Correo no deseado El usuario gana: Email entrega a la Bandeja de entrada del usuario El inquilino gana: la directiva antispam aplicable determina la acción
Masivo El usuario gana: Email entrega a la Bandeja de entrada del usuario El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
No correo no deseado El usuario gana: Email entrega a la Bandeja de entrada del usuario El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
  • En Exchange Online, es posible que el dominio permitido en la lista del remitente seguro no funcione si el mensaje está en cuarentena por cualquiera de las condiciones siguientes:
    • El mensaje se identifica como malware o phishing de alta confianza (el malware y los mensajes de suplantación de identidad de alta confianza están en cuarentena).
    • Las acciones de las directivas contra correo no deseado están configuradas para poner en cuarentena en lugar de mover el correo a la carpeta Email no deseado.
    • La dirección de correo electrónico, la dirección URL o el archivo del mensaje de correo electrónico también se encuentra en una entrada de bloque en la lista de inquilinos permitidos o bloqueados.

Para obtener más información sobre la recopilación de listas seguras y la configuración de antispam en los buzones de correo electrónico de usuario, consulte Configuración del correo no deseado en Exchange Online buzones.

El inquilino permite y bloquea

El inquilino permite y los bloques pueden invalidar algunos veredictos de pila de filtrado, como se describe en las tablas siguientes:

  • Directiva de entrega avanzada (omitir el filtrado para buzones de SecOps designados y direcciones URL de simulación de suplantación de identidad):

    Veredicto de la pila de filtrado Directiva de entrega avanzada permitida
    Malware El inquilino gana: Email entrega al buzón
    Phishing de alta confianza El inquilino gana: Email entrega al buzón
    Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón
    Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón
    Correo no deseado El inquilino gana: Email entrega al buzón
    Masivo El inquilino gana: Email entrega al buzón
    No correo no deseado El inquilino gana: Email entrega al buzón
  • Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte):

    Veredicto de la pila de filtrado La regla de flujo de correo permite* Bloques de reglas de flujo de correo
    Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
    Phishing de alta confianza El filtro gana: Email en cuarentena excepto en el enrutamiento complejo Gana el filtro: Email en cuarentena
    Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable
    Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario

    * Las organizaciones que usan un dispositivo o servicio de seguridad de terceros delante de Microsoft 365 deben considerar la posibilidad de usar la cadena recibida autenticada (ARC) (póngase en contacto con el tercero para obtener disponibilidad) y el filtrado mejorado para conectores (también conocido como lista de omitir) en lugar de una regla de flujo de correo SCL=-1. Estos métodos mejorados reducen los problemas de autenticación de correo electrónico y fomentan la seguridad del correo electrónico de defensa en profundidad .

  • Lista de direcciones IP permitidas y Lista de bloqueos IP en directivas de filtro de conexión:

    Veredicto de la pila de filtrado Lista de direcciones IP permitidas Lista de direcciones IP bloqueadas
    Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
    Phishing de alta confianza Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
    Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente
    Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente
    Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente
    Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente
    No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente
  • Permitir y bloquear la configuración en directivas contra correo no deseado:

    Veredicto de la pila de filtrado La directiva contra correo no deseado permite Bloques de directivas contra correo no deseado
    Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
    Phishing de alta confianza Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena
    Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable
    Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
    No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  • Permitir entradas en la lista de permitidos o bloqueados de inquilinos: hay dos tipos de entradas allow:

    • El nivel de mensaje permite que las entradas actúen en todo el mensaje, independientemente de las entidades del mensaje. Permitir entradas para la dirección de correo electrónico y los dominios son entradas permitidas de nivel de mensaje.
    • El nivel de entidad permite que las entradas actúen en el veredicto de filtrado de entidades. Permitir entradas para direcciones URL, remitentes suplantados y archivos son entradas permitidas de nivel de entidad. Para invalidar el malware y los veredictos de suplantación de identidad de alta confianza, debe usar entradas permitidas de nivel de entidad, que solo puede crear por envío debido a Secure de forma predeterminada en Microsoft 365.
    Veredicto de la pila de filtrado Email dirección o dominio
    Malware Gana el filtro: Email en cuarentena
    Phishing de alta confianza Gana el filtro: Email en cuarentena
    Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón
    Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón
    Correo no deseado El inquilino gana: Email entrega al buzón
    Masivo El inquilino gana: Email entrega al buzón
    No correo no deseado El inquilino gana: Email entrega al buzón
  • Bloquear entradas en la lista de permitidos o bloqueados de inquilinos:

    Veredicto de la pila de filtrado Email dirección o dominio Parodia Archivo URL
    Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena El inquilino gana: Email en cuarentena Gana el filtro: Email en cuarentena
    Phishing de alta confianza El inquilino gana: Email en cuarentena Gana el filtro: Email en cuarentena El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
    Suplantación de identidad (phishing) El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
    Correo no deseado de alta confianza El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
    Correo no deseado El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
    Masivo El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
    No correo no deseado El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena

Conflicto de configuración de usuarios e inquilinos

En la tabla siguiente se describe cómo se resuelven los conflictos si un correo electrónico se ve afectado por la configuración de permitir/bloquear del usuario y la configuración de permitir/bloquear inquilinos:

Tipo de inquilino allow/block Lista de destinatarios o remitentes seguros del usuario Lista de remitentes bloqueados del usuario
Bloquee las entradas en la lista de permitidos o bloqueados de inquilinos para:
  • Email direcciones y dominios
  • Archivos
  • Direcciones URL
El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
Bloquear entradas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable
Directiva de entrega avanzada El usuario gana: Email entrega al buzón El inquilino gana: Email entrega al buzón
Bloquear la configuración en las directivas contra correo no deseado El usuario gana: Email entrega al buzón El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Respetar la directiva de DMARC El usuario gana: Email entrega al buzón El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Bloques por reglas de flujo de correo El usuario gana: Email entrega al buzón El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Permite por:
  • Reglas de flujo de correo
  • Lista de direcciones IP permitidas (directiva de filtro de conexión)
  • Lista de remitentes y dominios permitidos (directivas contra correo no deseado)
  • Lista de bloqueados y permitidos del espacio empresarial
El usuario gana: Email entrega al buzón El usuario gana: Email entrega a la carpeta de Email no deseado del usuario