Filtro de spam de Office 365: configuración y configuración

Al menos, los correos electrónicos no deseados son una molestia. Sin embargo, estos mensajes no solicitados también son una amenaza genuina cuando contienen adjuntos maliciosos o malware. Afortunadamente, las organizaciones que utilizan Microsoft 365 pueden proteger sus buzones de correo separando automáticamente el correo no deseado de la comunicación legítima.

La Protección en Línea de Exchange (EOP) es la herramienta de seguridad principal para las suscripciones de Microsoft 365. Los administradores de seguridad utilizan EOP para crear políticas y filtros contra el malware, el correo no deseado y otras amenazas por correo electrónico. Tenga en cuenta que anteriormente, los administradores podían acceder a EOP desde el centro de administración de Exchange. Hoy en día, EOP es parte del portal Microsoft 365 Defender para protección avanzada y control, y puede obtener EOP como parte de Exchange Online o como un servicio independiente.

Este blog explica cómo funciona el filtrado de correo electrónico de Office 365 y detalla las tecnologías incluidas en EOP. Siga leyendo para aprender cómo configurar correctamente las políticas de filtro de spam de entrada y salida en EOP.

¿Cómo funciona el filtro de spam?

El filtrado de spam de Microsoft con Exchange Online Protection (EOP) se basa en amenazas de spam y phishing previamente identificadas, así como en la retroalimentación de usuarios recopilada de Outlook.com para detectar correo no deseado. El correo no deseado identificado se clasifica automáticamente y se separa de los mensajes legítimos entrantes. El filtro de spam de O365 evita que las bandejas de entrada se llenen de correos electrónicos inútiles y asegura una comunicación fluida dentro y fuera de la red de una organización.

Las siguientes tecnologías conforman los ajustes antispam en EOP:

• Filtrado de spam (contenido): Puede configurar políticas anti-spam en EOP para que las mensajes entrantes se clasifiquen en función de los siguientes fallos:
  • Spam
  • Spam de alta confianza
  • Correo masivo
  • Correo de phishing
  • Correo de phishing de alta confianza

La política anti-spam le permite definir las acciones para cada fallo y configurar los ajustes de notificación correspondientes.

• Filtrado de spam saliente: También puede configurar el filtrado de spam saliente en EOP para evitar que los usuarios de su organización envíen spam intencionadamente o involuntariamente limitando los mensajes salientes y monitoreando el spam dentro del contenido.
• Filtrado de conexión: Puede configurar el filtrado basado en direcciones IP para identificar fuentes de correo electrónico buenas y malas en una conexión de correo electrónico entrante. Especifique direcciones IP o rangos para la Lista de Permitidos IP y la Lista de Bloqueo IP y aproveche la lista segura mantenida por Microsoft.
• Inteligencia de suplantación: Para protección contra la suplantación, configure políticas anti-phishing en EOP. Otros métodos anti-suplantación en EOP incluyen autenticación de correo electrónico y visión de inteligencia de suplantación.

Cómo Configurar la Política de Filtro de Spam de Office 365

En entornos de Microsoft 365, una política anti-spam incluye dos elementos para ser configurados:

• Política de filtro de spam: Define las acciones y opciones de notificación relacionadas con los veredictos de filtrado de spam.
• Regla de filtro de spam: Se refiere a la prioridad de la política de filtro de spam además de los destinatarios a quienes la política se aplica.

Nota: Cuando creas una nueva política anti-spam, estás creando una regla de filtro de spam y la política de filtro de spam asociada. Si eliminas una política, ambos elementos también se eliminan.

Las organizaciones que utilizan Microsoft 365 tienen una predeterminada política anti-spam integrada que se puede ver y modificar desde el portal de Microsoft 365 Defender. Esta política tiene el valor de prioridad más bajo y no proporciona una protección efectiva contra el spam.

Por esta razón, Microsoft recomienda que los administradores de seguridad configuren sus propias configuraciones de filtro de spam personalizadas según las necesidades de sus entornos. Para simplificar la configuración, Microsoft 365 Defender proporciona dos niveles de seguridad integrados, Estándar y Estricto, cada uno con sus configuraciones predefinidas detalladas a continuación.

Creación de la política de anti-spam entrante en Microsoft 365 Defender

Puedes crear una política de anti-spam entrante personalizada y la regla de filtro de spam correspondiente siguiendo los pasos a continuación:

1. Accede a la página Políticas de anti-spam ingresando https://security.microsoft.com/antispam en tu navegador.

Nota: También puedes ir a la página de políticas de anti-spam utilizando https://security.microsoft.com, luego haciendo clic en Correo y colaboración > Políticas y reglas > Políticas de amenazas > Anti-spam bajo Políticas.

2. Haz clic en + Crear política y elige Entrante en la lista desplegable.

3. La primera página del asistente para creación de políticas es la Nombre de tu política. Define los siguientes ajustes:

• Nombre: Agrega un nombre descriptivo y único para tu política.
  • Descripción: Ingrese una descripción adecuada (opcional).

Haz clic en Siguiente para continuar.

4. En la página Usuarios, grupos y dominios, agrega los destinatarios internos afectados por la política de filtro de spam:

• Usuarios: usuarios de correo, contactos o buzones de correo dentro de tu organización
• Grupos: Grupos de Microsoft 365, grupos de seguridad habilitados para correo o grupos de distribución
• Dominios: destinatarios en los dominios aceptados en su empresa

Escriba un valor en cada cuadro y seleccione el que necesite de los resultados mostrados. Puede eliminar un valor haciendo clic en x a su lado. También puede seleccionar la casilla junto a Excluir a estos usuarios, grupos y dominios para agregar destinatarios que se excluirán de la directiva que está creando.

Nota: Agregue un asterisco (*) en cualquier cuadro para ver todos los valores disponibles.

Haga clic en Siguiente para continuar.

5. La tercera página es Umbral de correo masivo y propiedades de spam. Configure las siguientes opciones:

• Umbral de correo masivo: Establezca el Nivel de queja masiva (BCL) de mensajes que pueden desencadenar una acción para el veredicto de filtrado de spam Masivo. Cuanto mayor sea el número, más correos masivos llegarán a su bandeja de entrada y viceversa. Puede configurar este valor como considere adecuado; sin embargo, Microsoft tiene las configuraciones predeterminadas a continuación:

• Aumentar puntaje de spam y Marcar como spam: Parte de la configuración del Filtro Avanzado de Spam (ASF), esta opción está desactivada por defecto.
• Contiene idiomas específicos: Esto está desactivado por defecto. Cuando seleccionas Activado en el menú desplegable, aparece un cuadro y puedes agregar el idioma de correo que consideras como spam.
• De estos países: Esto también está desactivado por defecto. Si deseas configurar correos electrónicos como spam de países específicos, simplemente elige Activado en el menú desplegable y agrega los países.
• Modo de prueba: También parte de la configuración de ASF, esta opción está desactivada por defecto.

Nota: ASF es un método más agresivo para filtrar correos electrónicos no deseados. Microsoft recomienda mantener los valores predeterminados Desactivado, ya que podrías obtener un gran número de falsos positivos, que no se pueden reportar como tal con la configuración de ASF activada.

Haz clic en Siguiente para continuar con el siguiente paso.

6. La página de Acciones es donde elige qué le sucede a los mensajes en función de los veredictos de filtrado de spam que reciben. Antes de configurar las opciones aquí, es importante comprender qué significa cada acción:

• Mover mensaje al archivo de correo basura: El correo electrónico se entrega a la bandeja de entrada y luego se mueve al archivo de basura.
• Agregar encabezado X: Esto agrega un encabezado X al mensaje antes de entregarlo a la bandeja de entrada. Puede elegir el nombre del campo de encabezado X en el cuadro Agregar este texto de encabezado X.
• Agregar texto al principio de la línea de asunto: El correo electrónico se entrega a la bandeja de entrada y luego se mueve al archivo de correo basura, pero puede agregar un texto al principio de la línea de asunto. Introduzca el texto en el cuadro Prefije la línea de asunto con este texto.
• Redirigir mensaje a dirección de correo electrónico: Esto reenvía el correo electrónico a otros destinatarios en lugar del usuario previsto. Puede especificar el(los) nuevo(s) destinatario(s) en el cuadro Redirigir a esta dirección de correo electrónico.
• Eliminar mensaje: El correo electrónico y todos sus adjuntos se eliminan automáticamente.
• Aislamiento de mensajes: El mensaje se envía al aislamiento. Puede elegir cuánto tiempo debe permanecer allí el correo electrónico utilizando el cuadro Retener spam en aislamiento durante este número de días. Cuando seleccione esta acción, también deberá establecer la política de aislamiento en el cuadro Seleccionar política de aislamiento que aparece.
• Sin acción: Como su nombre indica, no se realiza ninguna acción y el mensaje se entrega normalmente.

• Consejos de seguridad: Los consejos están habilitados de forma predeterminada. Puedes desactivarlos desmarcando la casilla.
• Purga automática de hora cero (ZAP): ZAP encuentra y toma medidas sobre los correos electrónicos enviados a buzones de Exchange Online. Esta función y sus configuraciones correspondientes están activadas de forma predeterminada.

Haz clic en Siguiente para continuar.

7. La página de Lista de permitidos y bloqueados te permite especificar qué direcciones de correo electrónico o dominios pueden pasar por alto el filtrado de spam. Además, puedes agregar remitentes y dominios bloqueados. Configura las listas aquí siguiendo los pasos a continuación:

• Permitidos:
  • Para gestionar Remitentes, haz clic en Gestionar (n) remitente(s). Selecciona +Agregar remitentes en el desplegable que aparece y agrega la dirección de correo electrónico del remitente. Por último, haz clic en Agregar remitentes.
  • Haz clic en Permitir dominios para personalizar los dominios. En la nueva pestaña, elige +Agregar dominios y luego ingresa el dominio. Una vez hecho, haz clic en Agregar dominios.

• Bloqueados: El proceso de agregar remitentes y/o dominios bloqueados es básicamente el mismo que el descrito anteriormente.

Haz clic en Siguiente para continuar.

8. En la página de Revisión, puedes repasar todas las configuraciones que elegiste. Puedes Editar una sección específica o simplemente hacer clic en Atrás para volver a las páginas anteriores. Finalmente, selecciona Crear y luego haz clic en Hecho en la página de confirmación.

Creación de la política contra el correo no deseado saliente en Microsoft 365 Defender

Ya sea que un usuario en tu organización esté enviando correos no deseados deliberadamente o por accidente, EOP tiene controles establecidos para el correo no deseado saliente para proteger a los destinatarios:

• Segregación del tráfico de correo electrónico saliente: EOP escanea cada mensaje saliente. Cuando se determina que un correo electrónico es spam, se entrega desde una piscina de direcciones IP secundarias de reputación menos confiable conocida como la piscina de entrega de alto riesgo.
• Desactivación de cuentas que envían demasiado spam o demasiados correos electrónicos en un corto período de tiempo: Todas las cuentas están monitoreadas para que no excedan un límite específico de correo electrónico. Cuando se alcanza ese umbral, la cuenta se desactiva.
• Monitoreo de la reputación de la dirección IP de origen: Microsoft 365 escanea numerosas listas de bloqueo de IP de terceros y genera una alerta si tu organización está usando una dirección IP encontrada en cualquiera de esas listas.

Ahora que sabes cómo EOP controla el spam saliente, puedes crear políticas personalizadas contra el correo no deseado saliente:

1. Accede a la página de Políticas anti-spam ingresando https://security.microsoft.com/antispam en tu navegador.

Nota: También puede ir a la página de políticas anti-spam utilizando https://security.microsoft.com, luego haciendo clic en Correo electrónico y Colaboración > Políticas y Reglas > Políticas de Amenazas > Anti-spam bajo Políticas.

2. Haga clic en + Crear política y elija Salida en la lista desplegable.

3. La primera página del asistente para creación de políticas es la Nombre de su página de política. Defina los siguientes ajustes:

• Nombre: Agregue un nombre descriptivo y único para su política.
• Descripción: Ingrese una descripción adecuada (opcional).

Haga clic en Siguiente una vez que haya terminado.

4. Esta es la página de Usuarios, grupos y dominios donde necesita agregar a los destinatarios internos afectados por la política de filtro de spam saliente:

• Usuarios: Estos son los usuarios de correo, contactos o buzones dentro de su organización.
• Grupos: Grupos de Microsoft 365, grupos de seguridad habilitados para correo o grupos de distribución.
• Dominios: Esto incluirá a todos los destinatarios bajo los dominios aceptados en su empresa.

Escriba un valor en cada cuadro y seleccione el que necesite de los resultados mostrados. Puede eliminar un valor haciendo clic en X junto a él. También puede seleccionar la casilla junto a Excluir a estos usuarios, grupos y dominios para agregar destinatarios que sean excepciones a la política que está creando.

Nota: Agregue un asterisco (*) en cualquier cuadro para ver todos los valores disponibles.

Haga clic en Siguiente para continuar.

5. En la página Configuración de protección, configure los siguientes ajustes:

• Límites de mensajes: Personalice los límites de correos electrónicos salientes en buzones de Exchange Online. Escriba el valor o use las flechas en cada uno de los cuadros descritos a continuación. El valor puede oscilar entre 0 (valor predeterminado) y 10,000.
  • Establecer un límite de mensajes externos se refiere al número máximo de destinatarios externos en una hora.
  • Establecer un límite de mensajes internos es el número máximo de destinatarios internos en una hora.
  • Establecer un límite de mensajes diario es el número máximo de todos los destinatarios (externos e internos) por día.
• Restricción colocada en usuarios que alcanzan el límite de mensajes: Define la acción si un usuario excede los límites de mensajes que previamente estableciste.
  • Restringir al usuario de enviar correo hasta el día siguiente: Los usuarios estarán prohibidos de enviar mensajes adicionales por 24 horas. Los administradores de seguridad no pueden quitar esta restricción. Se envían notificaciones al usuario bloqueado y a los administradores.
  • Restringir al usuario de enviar correo: Con esta opción, los usuarios serán añadidos a la lista de Usuarios restringidos. No podrán enviar mensajes hasta que un administrador los elimine manualmente de la lista.
  • Solo alerta, sin acción: Los usuarios no están restringidos pero se envían notificaciones.
• Reglas de reenvío: Gestiona el reenvío automático de correo electrónico eligiendo una de las opciones de la lista desplegable:
• Automático – Controlado por el sistema: Por defecto, el correo no deseado saliente se filtra para controlar el reenvío de correo electrónico externo.
• Apagado – El reenvío está desactivado: El reenvío automático de correo electrónico externo está desactivado.
  • Encendido – El reenvío está activado: El reenvío automático de correo electrónico externo está activado.
• Notificaciones: Especifique usuarios adicionales que recibirán notificaciones sobre correos electrónicos de spam salientes:
  • Enviar una copia de los correos sospechosos que excedan estos límites a estos usuarios y grupos: Active esta configuración seleccionando la casilla de verificación junto a ella. Una vez hecho esto, aparecerá un cuadro de texto en el que podrá agregar las direcciones de correo electrónico de los destinatarios para incluirlas en el campo Bcc de los mensajes sospechosos.
  • Notificar a estos usuarios y grupos si un remitente es bloqueado debido al envío de spam saliente: Cuando seleccione esta casilla de verificación, podrá agregar las direcciones de correo electrónico de los destinatarios que desea notificar en caso de que un usuario sea bloqueado por enviar mensajes de spam.

Haga clic en Siguiente para continuar.

6. En la página de Revisión, puedes repasar todas las configuraciones que elegiste. Puedes Editar una sección específica o simplemente hacer clic en Atrás para volver a las páginas anteriores. Finalmente, selecciona Crear y haz clic en Hecho en la página de confirmación.

Cómo Configurar el Filtro de Conexión

El filtrado de conexión en EOP se utiliza para identificar qué servidores de correo electrónico son buenos y malos a través de sus direcciones IP. En Microsoft 365 Defender, las políticas contra el correo no deseado incluyen una política de filtro de conexión predeterminada que ayuda a reducir la cantidad de mensajes de spam que llegan a tu buzón bloqueándolos desde la fuente.

La política de filtro de conexión predeterminada tiene tres componentes principales:

• Lista de Permitidos (IP Allow List): Al agregar servidores de correo electrónico de origen a esta lista, todos los mensajes entrantes de estos servidores no pasan por el filtro de spam y se entregan directamente al buzón. Puedes especificar servidores usando direcciones IP o rangos de direcciones IP.
• Lista de Bloqueados (IP Block List): Al agregar servidores de correo electrónico de origen a esta lista, todos los mensajes entrantes de estos servidores se bloquean automáticamente y se rechazan. Puedes agregar servidores usando direcciones IP o rangos de direcciones IP.
• Lista Segura (Safe List): Esta es una “lista de permitidos” administrada por Microsoft y no puedes editarla tú mismo. Todos los mensajes entrantes de servidores de correo electrónico de origen encontrados aquí omiten el filtro de spam. Es importante tener en cuenta que puedes desactivar esta lista si es necesario.

Modificando la política de filtro de conexión predeterminada en Microsoft 365 Defender

Mientras que no puedes crear una nueva directiva de filtro de conexión, puedes configurar la predeterminada siguiendo los pasos a continuación:

1. Accede a la página Políticas contra spam introduciendo https://security.microsoft.com/antispam en tu navegador.

Nota: También puedes ir a la página de políticas contra spam utilizando https://security.microsoft.com, luego haciendo clic en Correo electrónico y Colaboración > Políticas y Reglas > Políticas de Amenazas > Anti-spam bajo Políticas.

2. Haz clic en Directiva de filtro de conexión (Predeterminada).

3. En esta ventana emergente, puedes configurar los ajustes a continuación para bloquear remitentes en Office 365:

• Descripción: Haz clic en Editar descripción para agregar un texto descriptivo opcional para la política. Dale a Guardar una vez que hayas terminado.

• Filtrado de conexiones: Haga clic en Editar la política de filtro de conexión para personalizar los siguientes ajustes:
  • Permitir siempre mensajes de las siguientes direcciones IP o rango de direcciones: Aquí es donde puede agregar una sola IP, un rango de IP o una IP CIDR a la Lista de IP Permitidas.
  • Bloquear siempre mensajes de las siguientes direcciones IP o rango de direcciones: Aquí es donde puede agregar una sola IP, un rango de IP o una IP CIDR a la Lista de IP Bloqueada.
  • Activar lista segura: Habilite la lista segura seleccionando la casilla de verificación o manténgala deshabilitada (valor predeterminado).

Haga clic en Guardar una vez que haya terminado.

Cómo eliminar políticas personalizadas de anti-spam

Mientras que no puede eliminar una política predeterminada, puede eliminar fácilmente una política personalizada de anti-spam siguiendo estos pasos:

1. Acceda a la página de Políticas de anti-spam ingresando https://security.microsoft.com/antispam en su navegador.

Nota: También puede ir a la página de políticas anti-spam utilizando https://security.microsoft.com, luego haciendo clic en Correo electrónico y Colaboración > Políticas y Reglas > Políticas de Amenazas > Anti-spam bajo Políticas.

2. Haga clic en la política que desea eliminar.
3. En el desplegable, seleccione Eliminar política, luego haga clic en Sí en el pop-up de confirmación que aparece.

Nota: Cuando elimina una política anti-spam personalizada, también se elimina la regla anti-spam correspondiente.

Gestionar Errores en el Filtrado de Spam

Dado que ningún sistema es perfecto, a veces buenos correos electrónicos pueden ser definidos como spam (falso positivo) y, al mismo tiempo, algunos mensajes de spam pueden pasar por la política de filtrado y llegar a su buzón (falso negativo). Puede implementar las mejores prácticas de filtro de spam de Office 365 para reducir estas ocurrencias tanto como sea posible:

• Asegúrese de tener las configuraciones adecuadas para el correo masivo: Compruebe que el nivel de queja masiva (BCL) que previamente estableció en sus políticas anti-spam personalizadas es adecuado para su organización. Puede ajustar el BCL en función del número de correos masivos que envía y recibe.
• Revise las cabeceras de mensajes anti-spam: Estas pueden ayudarlo a entender por qué un correo electrónico fue falsamente marcado como spam o saltó el filtrado sin ser notado.
• Implementar la autenticación de correo electrónico: Si tienes tu propio dominio de correo electrónico, puedes configurar tu DNS para ayudar a prevenir el spam y el suplantamiento de identidad. Intenta utilizar todos los métodos de autenticación disponibles (SPF, DKIM y DMARC) para obtener los mejores resultados.
• Dirige tu registro MX a Microsoft 365: Microsoft recomienda que tus mensajes se entreguen primero a Microsoft 365 para garantizar una protección óptima con EOP.

Conclusión

Si no se controla, el spam puede fácilmente convertirse en una amenaza para la continuidad del negocio. Es por eso que Microsoft se aseguró de proporcionar a sus usuarios herramientas avanzadas de filtrado de spam a través de Exchange Online Protection (EOP). Ahora sabes cómo crear y configurar políticas anti-spam para tu organización y limitar la cantidad de spam que llega a tus buzones de correo.

Si bien el filtrado de spam hace un gran trabajo protegiendo los buzones de correo de los correos electrónicos no deseados, los ataques sofisticados como el phishing y el ransomware requieren medidas de seguridad adicionales. Puedes asegurar una protección óptima para todo tu entorno de Office 365 al tener una solución de copia de seguridad integral. NAKIVO Backup & Replication proporciona copias de seguridad de Exchange Online además de recuperación instantánea de datos y protección contra ransomware.

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!