Ajustar protección contra phishing
Aunque Microsoft 365 incluye una variedad de características contra suplantación de identidad que están habilitadas de forma predeterminada, es posible que algunos mensajes de suplantación de identidad todavía puedan pasar a los buzones de su organización. En este artículo se describe lo que puede hacer para descubrir por qué pasó un mensaje de suplantación de identidad (phishing) y lo que puede hacer para ajustar la configuración de anti phishing en su organización de Microsoft 365 sin empeorar las cosas accidentalmente.
Lo primero es lo primero: tratar con las cuentas en peligro y asegurarse de que impide que más mensajes de suplantación de identidad (phishing) pasen
Si la cuenta de un destinatario se vio comprometida como resultado del mensaje de phishing, siga los pasos descritos en Respuesta a una cuenta de correo electrónico en peligro en Microsoft 365.
Si la suscripción incluye Microsoft Defender para Office 365, puede usar Office 365 Threat Intelligence para identificar a otros usuarios que también recibieron el mensaje de phishing. Tiene opciones adicionales para bloquear los mensajes de phishing:
- Vínculos seguros en Microsoft Defender para Office 365
- Datos adjuntos seguros en Microsoft Defender para Office 365
- Directivas contra suplantación de identidad en Microsoft Defender para Office 365. Puede aumentar temporalmente los umbrales de suplantación de identidad avanzada en la directiva de Estándar a Agresivo, Más agresivo o Más agresivo.
Compruebe que estas directivas funcionan. La protección de vínculos seguros y datos adjuntos seguros está activada de forma predeterminada, gracias a la protección integrada en las directivas de seguridad preestablecidas. La protección contra suplantación de identidad (phishing) tiene una directiva predeterminada que se aplica a todos los destinatarios en los que la protección contra la suplantación de identidad está activada de forma predeterminada. La protección contra suplantación no está activada en la directiva y, por lo tanto, debe configurarse. Para obtener instrucciones, consulte Configuración de directivas contra suplantación de identidad en Microsoft Defender para Office 365.
Notificar el mensaje de suplantación de identidad a Microsoft
Informar de mensajes de suplantación de identidad es útil para ajustar los filtros que se usan para proteger a todos los clientes de Microsoft 365. Para obtener instrucciones, vea Usar la página Envíos para enviar datos adjuntos sospechosos de correo no deseado, correo no deseado, direcciones URL, bloqueo de correo electrónico legítimo y datos adjuntos de correo electrónico a Microsoft.
Inspección de los encabezados de mensaje
Puede examinar los encabezados del mensaje de suplantación de identidad (phishing) para ver si hay algo que pueda hacer usted mismo para evitar que aparezcan más mensajes de phishing. En otras palabras, examinar los encabezados de mensajes puede ayudarle a identificar cualquier configuración de su organización que fuera responsable de permitir los mensajes de suplantación de identidad en .
En concreto, debe comprobar el campo encabezado X-Forefront-Antispam-Report en los encabezados de mensaje para obtener indicaciones de filtrado omitido para correo no deseado o suplantación de identidad (phishing) en el valor de Veredicto de filtrado de correo no deseado (SFV). Los mensajes que omiten el filtrado tienen una entrada de SCL:-1, lo que significa que una de las configuraciones permitió este mensaje mediante la invalidación de los veredictos de spam o phishing determinados por el servicio. Para obtener más información sobre cómo obtener encabezados de mensaje y la lista completa de todos los encabezados de mensajes antispam y antispam disponibles, consulte Encabezados de mensajes antispam en Microsoft 365.
Sugerencia
Puede copiar y pegar el contenido del encabezado del mensaje en la herramienta Analizador de encabezados de mensaje. Esta herramienta le ayuda a analizar los encabezados y los convierte en un formato más legible.
También puede usar el analizador de configuración para comparar las directivas de seguridad EOP y Defender para Office 365 con las recomendaciones Estándar y Estricta.
Procedimientos recomendados para mantenerse protegido
Cada mes, ejecute Puntuación de seguridad para evaluar la configuración de seguridad de su organización.
Para los mensajes que terminan en cuarentena por error (falsos positivos) o para los mensajes que se permiten a través de (falsos negativos), se recomienda buscar esos mensajes en el Explorador de amenazas y las detecciones en tiempo real. Puede buscar por remitente, destinatario o identificador de mensaje. Después de localizar el mensaje, vaya a los detalles haciendo clic en el asunto. En el caso de un mensaje en cuarentena, busque cuál era la "tecnología de detección" para que pueda usar el método adecuado para invalidar. Para obtener un mensaje permitido, busque qué directiva permitió el mensaje.
Email de remitentes suplantados (la dirección From del mensaje no coincide con el origen del mensaje) se clasifica como phishing en Defender para Office 365. A veces, la suplantación de identidad es benigna y, a veces, los usuarios no quieren que los mensajes de remitentes suplantados específicos se pongan en cuarentena. Para minimizar el impacto en los usuarios, revise periódicamente la información de inteligencia sobre suplantación de identidad, las entradas de los remitentes suplantados en la lista de permitidos o bloqueados de inquilinos y el informe de detecciones de suplantación de identidad. Después de revisar los remitentes falsificados permitidos y bloqueados y realizar las invalidaciones necesarias, puede configurar con confianza la inteligencia de suplantación de identidad en las directivas anti phishing para poner en cuarentena los mensajes sospechosos en lugar de entregarlos a la carpeta junk Email del usuario.
En Defender para Office 365, también puede usar la página Información de suplantación en https://security.microsoft.com/impersonationinsight para realizar un seguimiento de las detecciones de suplantación de usuario o suplantación de dominio. Para obtener más información, vea Información de suplantación en Defender para Office 365.
Revise periódicamente el informe Estado de protección contra amenazas para detectar detecciones de phishing.
Algunos clientes permiten involuntariamente mensajes de suplantación de identidad mediante la colocación de sus propios dominios en la lista Permitir remitente o Permitir dominio en directivas contra correo no deseado. Aunque esta configuración permite algunos mensajes legítimos a través de, también permite mensajes malintencionados que normalmente serían bloqueados por los filtros de correo no deseado o phishing. En lugar de permitir el dominio, debe corregir el problema subyacente.
La mejor manera de tratar con los mensajes legítimos bloqueados por Microsoft 365 (falsos positivos) que implican remitentes en su dominio es configurar completamente los registros SPF, DKIM y DMARC en DNS para todos los dominios de correo electrónico:
Compruebe que el registro SPF identifica todos los orígenes de correo electrónico de los remitentes de su dominio (no olvide servicios de terceros).
Use un error duro (-all) para asegurarse de que los sistemas de correo electrónico que están configurados para hacerlo rechazan los remitentes no autorizados. Puede usar la información de inteligencia sobre suplantación de identidad para ayudar a identificar los remitentes que usan su dominio, de modo que pueda incluir remitentes de terceros autorizados en el registro SPF.
Para obtener instrucciones de configuración, consulte:
Siempre que sea posible, te recomendamos que envíes correo electrónico para tu dominio directamente a Microsoft 365. En otras palabras, apunte el registro MX del dominio de Microsoft 365 a Microsoft 365. Exchange Online Protection (EOP) puede proporcionar la mejor protección para los usuarios en la nube cuando su correo se entrega directamente a Microsoft 365. Si debe usar un sistema de higiene de correo electrónico de terceros delante de EOP, use Filtrado mejorado para conectores. Para obtener instrucciones, consulte Filtrado avanzado de los conectores en Exchange Online.
Haga que los usuarios usen el botón de informe integrado en Outlook en la Web o implementen los complementos Mensaje de informe de Microsoft o Suplantación de identidad de informe en su organización. Configure la configuración notificada por el usuario para enviar mensajes notificados por el usuario a un buzón de informes, a Microsoft o a ambos. A continuación, los mensajes notificados por el usuario están disponibles para los administradores en la pestaña Usuario notificado de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=user. Administración puede notificar mensajes notificados por el usuario o mensajes a Microsoft como se describe en Usar la página Envíos para enviar sospechas de correo no deseado, direcciones URL, mensajes de correo electrónico legítimos bloqueados y datos adjuntos de correo electrónico a Microsoft. Los informes de usuarios o administradores de falsos positivos o falsos negativos para Microsoft son importantes, ya que ayudan a entrenar nuestros sistemas de detección.
La autenticación multifactor (MFA) es una buena manera de evitar cuentas en peligro. Debe considerar la posibilidad de habilitar MFA para todos los usuarios. Para un enfoque por fases, empiece por habilitar MFA para los usuarios más confidenciales (administradores, ejecutivos, etc.) antes de habilitar MFA para todos los usuarios. Para obtener instrucciones, consulte Configuración de la autenticación multifactor.
Los atacantes suelen usar reglas de reenvío a destinatarios externos para extraer datos. Use la información revisar las reglas de reenvío de buzones en Puntuación segura de Microsoft para buscar e incluso impedir el reenvío de reglas a destinatarios externos. Para obtener más información, vea Mitigating Client External Forwarding Rules with Secure Score (Mitigación de reglas de reenvío externo de cliente con puntuación segura).
Use el informe Mensajes autoforwarded para ver detalles específicos sobre el correo electrónico reenviado.