Orden y prioridad de la protección por correo electrónico
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En las organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de correo Exchange Online, el correo electrónico entrante podría marcarse mediante varias formas de protección. Por ejemplo, protección contra la suplantación que está disponible para todos los clientes de Microsoft 365 y protección contra suplantación que solo está disponible para Microsoft Defender para Office 365 clientes. Los mensajes también pasan a través de varios exámenes de detección de malware, spam, phishing, etc. Dada toda esta actividad, puede haber cierta confusión en cuanto a qué directiva se aplica.
En general, una directiva que se aplica a un mensaje se identifica en el encabezado X-Forefront-Antispam-Report de la propiedad CAT (Category). Para obtener más información, vea Encabezados de mensajes de correo no deseado.
Hay dos factores principales que determinan qué directiva se aplica a un mensaje:
Orden de procesamiento del tipo de protección de correo electrónico: este pedido no se puede configurar y se describe en la tabla siguiente:
*Estas características solo están disponibles en las directivas contra suplantación de identidad en Microsoft Defender para Office 365.
El orden de prioridad de las directivas: el orden de prioridad de la directiva se muestra en la lista siguiente:
Las directivas antispam, antimalware, anti phishing, vínculos* seguros y datos adjuntos* seguros en la directiva de seguridad preestablecida Estricta (cuando está habilitada).
Las directivas antispam, antimalware, anti-phishing, vínculos* seguros y datos adjuntos* seguros en la directiva de seguridad preestablecida Standard (cuando está habilitada).
Anti-phishing, vínculos seguros y datos adjuntos seguros en las directivas de evaluación de Defender para Office 365 (cuando está habilitada).
Directivas personalizadas de antispam, antimalware, anti phishing, vínculos* seguros y datos adjuntos* seguros (cuando se crean).
A las directivas personalizadas se les asigna un valor de prioridad predeterminado al crear la directiva (la más reciente es igual a superior), pero puede cambiar el valor de prioridad en cualquier momento. Este valor de prioridad afecta al orden en que se aplican las directivas personalizadas de ese tipo (antispam, antimalware, anti phishing, etc.), pero no afecta a dónde se aplican las directivas personalizadas en el orden general.
De igual valor:
- Las directivas Vínculos seguros y Datos adjuntos seguros de la directiva *de seguridad preestablecida de protección integrada.
- Las directivas predeterminadas para el antimalware, el correo no deseado y la suplantación de identidad (phishing).
Puede configurar excepciones a la directiva de seguridad preestablecida de protección integrada, pero no puede configurar excepciones a las directivas predeterminadas (se aplican a todos los destinatarios y no se pueden desactivar).
*solo Defender para Office 365.
Importante
El orden de prioridad es importante si tiene el mismo destinatario de forma intencionada o involuntaria incluida en varias directivas, ya que solo se aplica a ese destinatario la primera directiva de ese tipo (antispam, antimalware, anti phishing, etc.), independientemente del número de directivas en las que esté incluido el destinatario. Nunca hay una combinación o combinación de la configuración en varias directivas para el destinatario. El destinatario no se ve afectado por la configuración de las directivas restantes de ese tipo.
Por ejemplo, el grupo denominado "Contoso Executives" se incluye en las siguientes directivas:
- Directiva de seguridad preestablecida estricta
- Una directiva de antispam personalizada con el valor de prioridad 0 (prioridad más alta)
- Una directiva antispam personalizada con el valor de prioridad 1.
¿Qué configuración de directivas contra correo no deseado se aplica a los miembros de los ejecutivos de Contoso? Directiva de seguridad preestablecida estricta. La configuración de las directivas personalizadas contra correo no deseado se omite para los miembros de Contoso Executives, ya que la directiva de seguridad preestablecida Strict siempre se aplica primero.
Como otro ejemplo, tenga en cuenta las siguientes directivas de anti phishing personalizadas en Microsoft Defender para Office 365 que se aplican a los mismos destinatarios y un mensaje que contiene tanto la suplantación de usuario como la suplantación de identidad:
Nombre de la directiva | Prioridad | Suplantación de usuario | Protección contra la suplantación de identidad |
---|---|---|---|
Directiva A | 1 | Activada | Desactivada |
Directiva B | 2 | Desactivada | Activada |
- El mensaje se identifica como suplantación, porque la suplantación (5) se evalúa antes de la suplantación de usuario (6) en el orden de procesamiento del tipo de protección de correo electrónico.
- La directiva A se aplica primero, porque tiene una prioridad mayor que la directiva B.
- En función de la configuración de la directiva A, no se realiza ninguna acción en el mensaje porque la protección contra la suplantación está desactivada.
- El procesamiento de directivas contra phishing se detiene para todos los destinatarios incluidos, por lo que la directiva B nunca se aplica a los destinatarios que también están en la directiva A.
Para asegurarse de que los destinatarios obtienen la configuración de protección que desea, use las siguientes directrices para las pertenencias a directivas:
- Asigne un número menor de usuarios a directivas de mayor prioridad y un mayor número de usuarios a directivas de prioridad inferior. Recuerde que las directivas predeterminadas siempre se aplican en último lugar.
- Configure las directivas de mayor prioridad para que tengan valores más estrictos o más especializados que las directivas de prioridad inferior. Tiene control total sobre la configuración de las directivas personalizadas y las directivas predeterminadas, pero no tiene control sobre la mayoría de las opciones de configuración de las directivas de seguridad preestablecidas.
- Considere la posibilidad de usar menos directivas personalizadas (solo use directivas personalizadas para los usuarios que requieran una configuración más especializada que las directivas de seguridad preestablecidas Standard o Estrictas, o las directivas predeterminadas).
Apéndice
Es importante comprender cómo el usuario permite y bloquea, el inquilino permite y bloquea y filtra los veredictos de pila en EOP y Defender para Office 365 complementarse o contradecirse entre sí.
- Para obtener información sobre el filtrado de pilas y cómo se combinan, consulte Protección contra amenazas paso a paso en Microsoft Defender para Office 365.
- Una vez que la pila de filtrado determina un veredicto, solo entonces se evalúan las directivas de inquilino y sus acciones configuradas.
- Si la misma dirección de correo electrónico o dominio existe en la lista Remitentes seguros de un usuario y en la lista Remitentes bloqueados, la lista Remitentes seguros tiene prioridad.
- Si la misma entidad (dirección de correo electrónico, dominio, infraestructura de envío suplantada, archivo o dirección URL) existe en una entrada de permiso y una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada de bloque tiene prioridad.
El usuario permite y bloquea
Las entradas de la colección de listas seguras de un usuario (la lista Remitentes seguros, la lista Destinatarios seguros y la lista Remitentes bloqueados en cada buzón) pueden invalidar algunos veredictos de pila de filtrado, como se describe en la tabla siguiente:
Veredicto de la pila de filtrado | Lista de destinatarios o remitentes seguros del usuario | Lista de remitentes bloqueados del usuario |
---|---|---|
Malware | Gana el filtro: Email en cuarentena | Gana el filtro: Email en cuarentena |
Phishing de alta confianza | Gana el filtro: Email en cuarentena | Gana el filtro: Email en cuarentena |
Suplantación de identidad (phishing) | El usuario gana: Email entrega a la Bandeja de entrada del usuario | El inquilino gana: la directiva antispam aplicable determina la acción |
Correo no deseado de alta confianza | El usuario gana: Email entrega a la Bandeja de entrada del usuario | El inquilino gana: la directiva antispam aplicable determina la acción |
Correo no deseado | El usuario gana: Email entrega a la Bandeja de entrada del usuario | El inquilino gana: la directiva antispam aplicable determina la acción |
Masivo | El usuario gana: Email entrega a la Bandeja de entrada del usuario | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |
No correo no deseado | El usuario gana: Email entrega a la Bandeja de entrada del usuario | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |
- En Exchange Online, es posible que el dominio permitido en la lista del remitente seguro no funcione si el mensaje está en cuarentena por cualquiera de las condiciones siguientes:
- El mensaje se identifica como malware o phishing de alta confianza (el malware y los mensajes de suplantación de identidad de alta confianza están en cuarentena).
- Las acciones de las directivas contra correo no deseado están configuradas para poner en cuarentena en lugar de mover el correo a la carpeta Email no deseado.
- La dirección de correo electrónico, la dirección URL o el archivo del mensaje de correo electrónico también se encuentra en una entrada de bloque en la lista de inquilinos permitidos o bloqueados.
Para obtener más información sobre la recopilación de listas seguras y la configuración de antispam en los buzones de correo electrónico de usuario, consulte Configuración del correo no deseado en Exchange Online buzones.
El inquilino permite y bloquea
El inquilino permite y los bloques pueden invalidar algunos veredictos de pila de filtrado, como se describe en las tablas siguientes:
Directiva de entrega avanzada (omitir el filtrado para buzones de SecOps designados y direcciones URL de simulación de suplantación de identidad):
Veredicto de la pila de filtrado Directiva de entrega avanzada permitida Malware El inquilino gana: Email entrega al buzón Phishing de alta confianza El inquilino gana: Email entrega al buzón Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón Correo no deseado El inquilino gana: Email entrega al buzón Masivo El inquilino gana: Email entrega al buzón No correo no deseado El inquilino gana: Email entrega al buzón Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte):
Veredicto de la pila de filtrado La regla de flujo de correo permite* Bloques de reglas de flujo de correo Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena Phishing de alta confianza El filtro gana: Email en cuarentena excepto en el enrutamiento complejo Gana el filtro: Email en cuarentena Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario * Las organizaciones que usan un dispositivo o servicio de seguridad de terceros delante de Microsoft 365 deben considerar la posibilidad de usar la cadena recibida autenticada (ARC) (póngase en contacto con el tercero para obtener disponibilidad) y el filtrado mejorado para conectores (también conocido como lista de omitir) en lugar de una regla de flujo de correo SCL=-1. Estos métodos mejorados reducen los problemas de autenticación de correo electrónico y fomentan la seguridad del correo electrónico de defensa en profundidad .
Lista de direcciones IP permitidas y Lista de bloqueos IP en directivas de filtro de conexión:
Veredicto de la pila de filtrado Lista de direcciones IP permitidas Lista de direcciones IP bloqueadas Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena Phishing de alta confianza Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email quita silenciosamente Permitir y bloquear la configuración en directivas contra correo no deseado:
- Lista de remitentes y dominios permitidos.
- Lista de remitentes y dominios bloqueados.
- Bloquear mensajes de países o regiones específicos o en idiomas específicos.
- Bloquear mensajes basados en la configuración de filtro de correo no deseado avanzado (ASF).
Veredicto de la pila de filtrado La directiva contra correo no deseado permite Bloques de directivas contra correo no deseado Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena Phishing de alta confianza Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario Correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario Masivo El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario No correo no deseado El inquilino gana: Email entrega al buzón El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario Permitir entradas en la lista de permitidos o bloqueados de inquilinos: hay dos tipos de entradas allow:
- El nivel de mensaje permite que las entradas actúen en todo el mensaje, independientemente de las entidades del mensaje. Permitir entradas para la dirección de correo electrónico y los dominios son entradas permitidas de nivel de mensaje.
- El nivel de entidad permite que las entradas actúen en el veredicto de filtrado de entidades. Permitir entradas para direcciones URL, remitentes suplantados y archivos son entradas permitidas de nivel de entidad. Para invalidar el malware y los veredictos de suplantación de identidad de alta confianza, debe usar entradas permitidas de nivel de entidad, que solo puede crear por envío debido a Secure de forma predeterminada en Microsoft 365.
Veredicto de la pila de filtrado Email dirección o dominio Malware Gana el filtro: Email en cuarentena Phishing de alta confianza Gana el filtro: Email en cuarentena Suplantación de identidad (phishing) El inquilino gana: Email entrega al buzón Correo no deseado de alta confianza El inquilino gana: Email entrega al buzón Correo no deseado El inquilino gana: Email entrega al buzón Masivo El inquilino gana: Email entrega al buzón No correo no deseado El inquilino gana: Email entrega al buzón Bloquear entradas en la lista de permitidos o bloqueados de inquilinos:
Veredicto de la pila de filtrado Email dirección o dominio Parodia Archivo URL Malware Gana el filtro: Email en cuarentena Gana el filtro: Email en cuarentena El inquilino gana: Email en cuarentena Gana el filtro: Email en cuarentena Phishing de alta confianza El inquilino gana: Email en cuarentena Gana el filtro: Email en cuarentena El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena Suplantación de identidad (phishing) El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena Correo no deseado de alta confianza El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena Correo no deseado El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena Masivo El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena No correo no deseado El inquilino gana: Email en cuarentena El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable El inquilino gana: Email en cuarentena El inquilino gana: Email en cuarentena
Conflicto de configuración de usuarios e inquilinos
En la tabla siguiente se describe cómo se resuelven los conflictos si un correo electrónico se ve afectado por la configuración de permitir/bloquear del usuario y la configuración de permitir/bloquear inquilinos:
Tipo de inquilino allow/block | Lista de destinatarios o remitentes seguros del usuario | Lista de remitentes bloqueados del usuario |
---|---|---|
Bloquee las entradas en la lista de permitidos o bloqueados de inquilinos para:
|
El inquilino gana: Email en cuarentena | El inquilino gana: Email en cuarentena |
Bloquear entradas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos | Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable | Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable |
Directiva de entrega avanzada | El usuario gana: Email entrega al buzón | El inquilino gana: Email entrega al buzón |
Bloquear la configuración en las directivas contra correo no deseado | El usuario gana: Email entrega al buzón | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |
Respetar la directiva de DMARC | El usuario gana: Email entrega al buzón | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |
Bloques por reglas de flujo de correo | El usuario gana: Email entrega al buzón | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |
Permite por:
|
El usuario gana: Email entrega al buzón | El usuario gana: Email entrega a la carpeta de Email no deseado del usuario |