Orden y prioridad de la protección por correo electrónico

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En las organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de correo Exchange Online, el correo electrónico entrante podría marcarse mediante varias formas de protección. Por ejemplo, protección contra la suplantación que está disponible para todos los clientes de Microsoft 365 y protección contra suplantación que solo está disponible para Microsoft Defender para Office 365 clientes. Los mensajes también pasan a través de varios exámenes de detección de malware, spam, phishing, etc. Dada toda esta actividad, puede haber cierta confusión en cuanto a qué directiva se aplica.

En general, una directiva que se aplica a un mensaje se identifica en el encabezado X-Forefront-Antispam-Report de la propiedad CAT (Category). Para obtener más información, vea Encabezados de mensajes de correo no deseado.

Hay dos factores principales que determinan qué directiva se aplica a un mensaje:

• Orden de procesamiento del tipo de protección de correo electrónico: este pedido no se puede configurar y se describe en la tabla siguiente:

  Order	protección Email	Categoría	Dónde administrar
  1	Malware	CAT:MALW	Configuración de directivas antimalware en EOP
  2	Phishing de alta confianza	CAT:HPHSH	Configuración de directivas contra correo no deseado en EOP
  3	Suplantación de identidad (phishing)	CAT:PHSH	Configuración de directivas contra correo no deseado en EOP
  4	Correo no deseado de alta confianza	CAT:HSPM	Configuración de directivas contra correo no deseado en EOP
  5	Spoofing	CAT:SPOOF	Información de inteligencia sobre suplantación de identidad en EOP
  6*	Suplantación de usuario (usuarios protegidos)	CAT:UIMP	Configuración de directivas contra phishing en Microsoft Defender para Office 365
  7*	Suplantación de dominio (dominios protegidos)	CAT:DIMP	Configuración de directivas contra phishing en Microsoft Defender para Office 365
  8*	Inteligencia de buzones (gráfico de contactos)	CAT:GIMP	Configuración de directivas contra phishing en Microsoft Defender para Office 365
  9	Correo no deseado	CAT:SPM	Configuración de directivas contra correo no deseado en EOP
  10	Masivo	CAT:BULK	Configuración de directivas contra correo no deseado en EOP

  ^*Estas características solo están disponibles en las directivas contra suplantación de identidad en Microsoft Defender para Office 365.

• El orden de prioridad de las directivas: el orden de prioridad de la directiva se muestra en la lista siguiente:

  1. Las directivas antispam, antimalware, anti phishing, vínculos^* seguros y datos adjuntos^* seguros en la directiva de seguridad preestablecida Estricta (cuando está habilitada).

  2. Las directivas antispam, antimalware, anti phishing, vínculos^* seguros y datos adjuntos^* seguros en la directiva de seguridad preestablecida estándar (cuando está habilitada).

  3. Anti-phishing, vínculos seguros y datos adjuntos seguros en las directivas de evaluación de Defender para Office 365 (cuando está habilitada).

  4. Directivas personalizadas de antispam, antimalware, anti phishing, vínculos^* seguros y datos adjuntos^* seguros (cuando se crean).

     A las directivas personalizadas se les asigna un valor de prioridad predeterminado al crear la directiva (la más reciente es igual a superior), pero puede cambiar el valor de prioridad en cualquier momento. Este valor de prioridad afecta al orden en que se aplican las directivas personalizadas de ese tipo (antispam, antimalware, anti phishing, etc.), pero no afecta a dónde se aplican las directivas personalizadas en el orden general.

  5. De igual valor:

     • Las directivas Vínculos seguros y Datos adjuntos seguros de la directiva ^*de seguridad preestablecida de protección integrada.
     • Las directivas predeterminadas para el antimalware, el correo no deseado y la suplantación de identidad (phishing).

     Puede configurar excepciones a la directiva de seguridad preestablecida de protección integrada, pero no puede configurar excepciones a las directivas predeterminadas (se aplican a todos los destinatarios y no se pueden desactivar).

  ^*solo Defender para Office 365.

  El orden de prioridad es importante si tiene el mismo destinatario de forma intencionada o involuntaria incluida en varias directivas, ya que solo se aplica a ese destinatario la primera directiva de ese tipo (antispam, antimalware, anti phishing, etc.), independientemente del número de directivas en las que esté incluido el destinatario. Nunca hay una combinación o combinación de la configuración en varias directivas para el destinatario. El destinatario no se ve afectado por la configuración de las directivas restantes de ese tipo.

Por ejemplo, el grupo denominado "Contoso Executives" se incluye en las siguientes directivas:

• Directiva de seguridad preestablecida estricta
• Una directiva de antispam personalizada con el valor de prioridad 0 (prioridad más alta)
• Una directiva antispam personalizada con el valor de prioridad 1.

¿Qué configuración de directivas contra correo no deseado se aplica a los miembros de los ejecutivos de Contoso? Directiva de seguridad preestablecida estricta. La configuración de las directivas personalizadas contra correo no deseado se omite para los miembros de Contoso Executives, ya que la directiva de seguridad preestablecida Strict siempre se aplica primero.

Como otro ejemplo, tenga en cuenta las siguientes directivas de anti phishing personalizadas en Microsoft Defender para Office 365 que se aplican a los mismos destinatarios y un mensaje que contiene tanto la suplantación de usuario como la suplantación de identidad:

Nombre de la directiva	Prioridad	Suplantación de usuario	Protección contra la suplantación de identidad
Directiva A	1	Activada	Desactivada
Directiva B	2	Desactivada	Activada

1. El mensaje se identifica como suplantación, porque la suplantación (5) se evalúa antes de la suplantación de usuario (6) en el orden de procesamiento del tipo de protección de correo electrónico.
2. La directiva A se aplica primero, porque tiene una prioridad mayor que la directiva B.
3. En función de la configuración de la directiva A, no se realiza ninguna acción en el mensaje porque la protección contra la suplantación está desactivada.
4. El procesamiento de directivas contra phishing se detiene para todos los destinatarios incluidos, por lo que la directiva B nunca se aplica a los destinatarios que también están en la directiva A.

Para asegurarse de que los destinatarios obtienen la configuración de protección que desea, use las siguientes directrices para las pertenencias a directivas:

• Asigne un número menor de usuarios a directivas de mayor prioridad y un mayor número de usuarios a directivas de prioridad inferior. Recuerde que las directivas predeterminadas siempre se aplican en último lugar.
• Configure las directivas de mayor prioridad para que tengan valores más estrictos o más especializados que las directivas de prioridad inferior. Tiene control total sobre la configuración de las directivas personalizadas y las directivas predeterminadas, pero no tiene control sobre la mayoría de las opciones de configuración de las directivas de seguridad preestablecidas.
• Considere la posibilidad de usar menos directivas personalizadas (solo use directivas personalizadas para los usuarios que requieran una configuración más especializada que las directivas de seguridad preestablecidas Estándar o Estricta, o las directivas predeterminadas).

Apéndice

Es importante comprender cómo el usuario permite y bloquea, el inquilino permite y bloquea y filtra los veredictos de pila en EOP y Defender para Office 365 complementarse o contradecirse entre sí.

• Para obtener información sobre el filtrado de pilas y cómo se combinan, consulte Protección contra amenazas paso a paso en Microsoft Defender para Office 365.
• Una vez que la pila de filtrado determina un veredicto, solo entonces se evalúan las directivas de inquilino y sus acciones configuradas.
• Si la misma dirección de correo electrónico o dominio existe en la lista Remitentes seguros de un usuario y en la lista Remitentes bloqueados, la lista Remitentes seguros tiene prioridad.
• Si la misma entidad (dirección de correo electrónico, dominio, infraestructura de envío suplantada, archivo o dirección URL) existe en una entrada de permiso y una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada de bloque tiene prioridad.

El usuario permite y bloquea

Las entradas de la colección de listas seguras de un usuario (la lista Remitentes seguros, la lista Destinatarios seguros y la lista Remitentes bloqueados en cada buzón) pueden invalidar algunos veredictos de pila de filtrado, como se describe en la tabla siguiente:

Veredicto de la pila de filtrado	Lista de destinatarios o remitentes seguros del usuario	Lista de remitentes bloqueados del usuario
Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
Suplantación de identidad (phishing)	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El inquilino gana: la directiva antispam aplicable determina la acción
Correo no deseado de alta confianza	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Correo no deseado	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Masivo	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
No correo no deseado	El usuario gana: Email entrega a la Bandeja de entrada del usuario	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario

Para obtener más información sobre la recopilación de listas seguras y la configuración de antispam en los buzones de correo electrónico de usuario, consulte Configuración del correo no deseado en Exchange Online buzones.

El inquilino permite y bloquea

El inquilino permite y los bloques pueden invalidar algunos veredictos de pila de filtrado, como se describe en las tablas siguientes:

• Directiva de entrega avanzada (omitir el filtrado para buzones de SecOps designados y direcciones URL de simulación de suplantación de identidad):

  Veredicto de la pila de filtrado	Directiva de entrega avanzada permitida
  Malware	El inquilino gana: Email entrega al buzón
  Phishing de alta confianza	El inquilino gana: Email entrega al buzón
  Suplantación de identidad (phishing)	El inquilino gana: Email entrega al buzón
  Correo no deseado de alta confianza	El inquilino gana: Email entrega al buzón
  Correo no deseado	El inquilino gana: Email entrega al buzón
  Masivo	El inquilino gana: Email entrega al buzón
  No correo no deseado	El inquilino gana: Email entrega al buzón

• Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte):

  Veredicto de la pila de filtrado	La regla de flujo de correo permite*	Bloques de reglas de flujo de correo
  Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
  Phishing de alta confianza	El filtro gana: Email en cuarentena excepto en el enrutamiento complejo	Gana el filtro: Email en cuarentena
  Suplantación de identidad (phishing)	El inquilino gana: Email entrega al buzón	El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable
  Correo no deseado de alta confianza	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  Correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  Masivo	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  No correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario

  ^* Las organizaciones que usan un dispositivo o servicio de seguridad de terceros delante de Microsoft 365 deben considerar la posibilidad de usar la cadena recibida autenticada (ARC) (póngase en contacto con el tercero para obtener disponibilidad) y el filtrado mejorado para conectores (también conocido como lista de omitir) en lugar de una regla de flujo de correo SCL=-1. Estos métodos mejorados reducen los problemas de autenticación de correo electrónico y fomentan la seguridad del correo electrónico de defensa en profundidad .

• Lista de direcciones IP permitidas y Lista de bloqueos IP en directivas de filtro de conexión:

  Veredicto de la pila de filtrado	Lista de direcciones IP permitidas	Lista de direcciones IP bloqueadas
  Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
  Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
  Suplantación de identidad (phishing)	El inquilino gana: Email entrega al buzón	El inquilino gana: Email quita silenciosamente
  Correo no deseado de alta confianza	El inquilino gana: Email entrega al buzón	El inquilino gana: Email quita silenciosamente
  Correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email quita silenciosamente
  Masivo	El inquilino gana: Email entrega al buzón	El inquilino gana: Email quita silenciosamente
  No correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email quita silenciosamente

• Permitir y bloquear la configuración en directivas contra correo no deseado:

  • Lista de remitentes y dominios permitidos.
  • Lista de remitentes y dominios bloqueados.
  • Bloquear mensajes de países o regiones específicos o en idiomas específicos.
  • Bloquear mensajes basados en la configuración de filtro de correo no deseado avanzado (ASF).

  Veredicto de la pila de filtrado	La directiva contra correo no deseado permite	Bloques de directivas contra correo no deseado
  Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
  Phishing de alta confianza	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena
  Suplantación de identidad (phishing)	El inquilino gana: Email entrega al buzón	El inquilino gana: acción de suplantación de identidad en la directiva antispam aplicable
  Correo no deseado de alta confianza	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  Correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  Masivo	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario
  No correo no deseado	El inquilino gana: Email entrega al buzón	El inquilino gana: Email entrega a la carpeta de Email de correo no deseado del usuario

• Permitir entradas en la lista de permitidos o bloqueados de inquilinos:

  Veredicto de la pila de filtrado	Email dirección o dominio
  Malware	Gana el filtro: Email en cuarentena
  Phishing de alta confianza	Gana el filtro: Email en cuarentena
  Suplantación de identidad (phishing)	El inquilino gana: Email entrega al buzón
  Correo no deseado de alta confianza	El inquilino gana: Email entrega al buzón
  Correo no deseado	El inquilino gana: Email entrega al buzón
  Masivo	El inquilino gana: Email entrega al buzón
  No correo no deseado	El inquilino gana: Email entrega al buzón

• Bloquear entradas en la lista de permitidos o bloqueados de inquilinos:

  Veredicto de la pila de filtrado	Email dirección o dominio	Parodia	Archivo	URL
  Malware	Gana el filtro: Email en cuarentena	Gana el filtro: Email en cuarentena	El inquilino gana: Email en cuarentena	Gana el filtro: Email en cuarentena
  Phishing de alta confianza	El inquilino gana: Email en cuarentena	Gana el filtro: Email en cuarentena	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
  Suplantación de identidad (phishing)	El inquilino gana: Email en cuarentena	El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
  Correo no deseado de alta confianza	El inquilino gana: Email en cuarentena	El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
  Correo no deseado	El inquilino gana: Email en cuarentena	El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
  Masivo	El inquilino gana: Email en cuarentena	El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
  No correo no deseado	El inquilino gana: Email en cuarentena	El inquilino gana: acción de suplantación de identidad en la directiva anti-phishing aplicable	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena

Conflicto de configuración de usuarios e inquilinos

En la tabla siguiente se describe cómo se resuelven los conflictos si un correo electrónico se ve afectado por la configuración de permitir/bloquear del usuario y la configuración de permitir/bloquear inquilinos:

Tipo de inquilino allow/block	Lista de destinatarios o remitentes seguros del usuario	Lista de remitentes bloqueados del usuario
Bloquee las entradas en la lista de permitidos o bloqueados de inquilinos para: Email direcciones y dominios Archivos Direcciones URL	El inquilino gana: Email en cuarentena	El inquilino gana: Email en cuarentena
Bloquear entradas para remitentes suplantados en la lista de permitidos o bloqueados de inquilinos	Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable	Ganancias del inquilino: acción de inteligencia de suplantación de identidad en la directiva anti-phishing aplicable
Directiva de entrega avanzada	El usuario gana: Email entrega al buzón	El inquilino gana: Email entrega al buzón
Bloquear la configuración en las directivas contra correo no deseado	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Respetar la directiva de DMARC	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Bloques por reglas de flujo de correo	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario
Permite por: Reglas de flujo de correo Lista de direcciones IP permitidas (directiva de filtro de conexión) Lista de remitentes y dominios permitidos (directivas contra correo no deseado) Lista de bloqueados y permitidos del espacio empresarial	El usuario gana: Email entrega al buzón	El usuario gana: Email entrega a la carpeta de Email no deseado del usuario