Crear listas de remitentes seguros en EOPCreate safe sender lists in EOP

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica aApplies to

Si es un cliente de Microsoft 365 con buzones en Exchange Online o un cliente independiente de Exchange Online Protection (EOP) sin buzones de correo Exchange Online, EOP ofrece varias formas de garantizar que los usuarios recibirán correo electrónico de remitentes de confianza.If you're a Microsoft 365 customer with mailboxes in Exchange Online or a standalone Exchange Online Protection (EOP) customer without Exchange Online mailboxes, EOP offers multiple ways of ensuring that users will receive email from trusted senders. Estas opciones incluyen Exchange de flujo de correo (también conocidas como reglas de transporte), remitentes de Outlook Caja fuerte, lista de direcciones IP permitidas (filtrado de conexiones) y listas de remitentes permitidos o listas de dominios permitidos en directivas contra correo no deseado.These options include Exchange mail flow rules (also known as transport rules), Outlook Safe Senders, the IP Allow List (connection filtering), and allowed sender lists or allowed domain lists in anti-spam policies. De forma colectiva, puede pensar en estas opciones como listas de remitentes seguros.Collectively, you can think of these options as safe sender lists.

Las listas de remitentes seguros disponibles se describen en la siguiente lista en orden de lo más recomendado a lo menos recomendado:The available safe sender lists are described in the following list in order from most recommended to least recommended:

  1. Reglas de flujo de correoMail flow rules
  2. Outlook Caja fuerte remitentesOutlook Safe Senders
  3. Lista de direcciones IP permitidos (filtrado de conexiones)IP Allow List (connection filtering)
  4. Listas de remitentes permitidos o listas de dominios permitidos (directivas contra correo no deseado)Allowed sender lists or allowed domain lists (anti-spam policies)

Las reglas de flujo de correo permiten la mayor flexibilidad para garantizar que solo se permiten los mensajes correctos.Mail flow rules allow the most flexibility to ensure that only the right messages are allowed. Las listas de remitentes permitidos y dominios permitidos en directivas contra correo no deseado no son tan seguras como la lista de direcciones IP permitidas, ya que el dominio de correo electrónico del remitente se suplanta fácilmente.Allowed sender and allowed domain lists in anti-spam policies aren't as secure as the IP Allow List, because the sender's email domain is easily spoofed. Sin embargo, la lista de direcciones IP permitidos también presenta un riesgo, ya que el correo electrónico de cualquier dominio que se envía desde esa dirección IP omitirá el filtrado de correo no deseado.But, the IP Allow List also presents a risk, because email from any domain that's sent from that IP address will bypass spam filtering.

Importante

  • Tenga cuidado de supervisar detenidamente las excepciones que realice al filtrado de correo no deseado mediante listas de remitentes seguros.Be careful to closely monitor any exceptions that you make to spam filtering using safe sender lists.

  • Aunque puede usar listas de remitentes seguros para ayudar con falsos positivos (buen correo electrónico marcado como malo), debe considerar el uso de listas de remitentes seguros como una solución temporal que debe evitarse si es posible.While you can use safe sender lists to help with false positives (good email marked as bad), you should consider the use of safe sender lists as a temporary solution that should be avoided if possible. No recomendamos administrar falsos positivos mediante listas de remitentes seguros, ya que las excepciones al filtrado de correo no deseado pueden abrir la organización a la suplantación de identidad y otros ataques.We don't recommend managing false positives by using safe sender lists, because exceptions to spam filtering can open your organization to spoofing and other attacks. Si insiste en usar listas de remitentes seguros para administrar falsos positivos, debe estar atento y mantener listo el tema Informar de los mensajes y archivos a Microsoft.If you insist on using safe sender lists to manage false positives, you need to be vigilant and keep the topic Report messages and files to Microsoft at the ready.

  • Para permitir que un dominio envíe correo electrónico no autenticado (omitir la protección contra la suplantación de identidad) pero no omitir las comprobaciones contra correo no deseado y antimalware, puede usar la información de inteligencia suplantada y la lista de inquilinos permitidos obloqueados.To allow a domain to send unauthenticated email (bypass anti-spoofing protection) but not bypass anti-spam and anti-malware checks, you can use the spoof intelligence insight and the Tenant Allow/Block List.

  • EOP y Outlook inspeccionar distintas propiedades del mensaje para determinar el remitente del mensaje.EOP and Outlook inspect different message properties to determine the sender of the message. Para obtener más información, vea la sección Consideraciones para el correo electrónico masivo más adelante en este artículo.For more information, see the Considerations for bulk email section later in this article.

En cambio, también tiene varias opciones para bloquear el correo electrónico de orígenes específicos mediante listas de remitentes bloqueados.In contrast, you also have several options to block email from specific sources using blocked sender lists. Para más información, consulte Crear listas de remitentes bloqueados en EOP.For more information, see Create block sender lists in EOP.

Las reglas de flujo de correo Exchange Online e independiente de EOP usan condiciones y excepciones para identificar mensajes y acciones para especificar qué se debe hacer con esos mensajes.Mail flow rules in Exchange Online and standalone EOP use conditions and exceptions to identify messages, and actions to specify what should be done to those messages. Para obtener más información, vea Reglas de flujo de correo (reglas de transporte) en Exchange Online.For more information, see Mail flow rules (transport rules) in Exchange Online.

En el siguiente ejemplo se supone que necesita correo electrónico contoso.com omitir el filtrado de correo no deseado.The following example assumes you need email from contoso.com to skip spam filtering. Para ello, configure las siguientes opciones:To do this, configure the following settings:

  1. Condición: el dominio del remitente > está > contoso.com.Condition: The sender > domain is > contoso.com.

  2. Configure una de las siguientes opciones:Configure either of the following settings:

    • Condición de regla de flujo de correo: un encabezado de mensaje incluye cualquiera de estas palabras Nombre de > > encabezado: Valor de Authentication-Results > encabezado: o dmarc=pass dmarc=bestguesspass .Mail flow rule condition: A message header > includes any of these words > Header name: Authentication-Results > Header value: dmarc=pass or dmarc=bestguesspass.

      Esta condición comprueba el estado de autenticación de correo electrónico del dominio de correo electrónico de envío para asegurarse de que no se suplanta el dominio de envío.This condition checks the email authentication status of the sending email domain to ensure that the sending domain is not being spoofed. Para obtener más información acerca de la autenticación de correo electrónico, vea SPF, DKIMy DMARC.For more information about email authentication, see SPF, DKIM, and DMARC.

    • Lista de direcciones IP permitidos: especifique la dirección IP de origen o el intervalo de direcciones en la directiva de filtro de conexión.IP Allow List: Specify the source IP address or address range in the connection filter policy.

      Use esta configuración si el dominio de envío no usa la autenticación de correo electrónico.Use this setting if the sending domain does not use email authentication. Sea lo más restrictivo posible cuando se trata de las direcciones IP de origen en la lista de direcciones IP permitidos.Be as restrictive as possible when it comes to the source IP addresses in the IP Allow List. Se recomienda un intervalo de direcciones IP de /24 o menos (menos es mejor).We recommend an IP address range of /24 or less (less is better). No use intervalos de direcciones IP que pertenezcan a servicios de consumidor (por ejemplo, outlook.com) o infraestructuras compartidas.Do not use IP address ranges that belong to consumer services (for example, outlook.com) or shared infrastructures.

    Importante

    • Nunca configure las reglas de flujo de correo con solo el dominio del remitente como condición para omitir el filtrado de correo no deseado.Never configure mail flow rules with only the sender domain as the condition to skip spam filtering. Si lo hace, aumentará significativamente la probabilidad de que los atacantes puedan suplantar el dominio de envío (o suplantar la dirección de correo electrónico completa), omitir todo el filtrado de correo no deseado y omitir las comprobaciones de autenticación del remitente para que el mensaje llegue a la Bandeja de entrada del destinatario.Doing so will significantly increase the likelihood that attackers can spoof the sending domain (or impersonate the full email address), skip all spam filtering, and skip sender authentication checks so the message will arrive in the recipient's Inbox.

    • No use dominios de su propiedad (también conocidos como dominios aceptados) o dominios populares (por ejemplo, microsoft.com) como condiciones en las reglas de flujo de correo.Do not use domains you own (also known as accepted domains) or popular domains (for example, microsoft.com) as conditions in mail flow rules. Hacerlo se considera de alto riesgo porque crea oportunidades para que los atacantes envíen correo electrónico que de lo contrario se filtraría.Doing so is considered high risk because it creates opportunities for attackers to send email that would otherwise be filtered.

    • Si permite una dirección IP que está detrás de una puerta de enlace de traducción de direcciones de red (NAT), debe conocer los servidores que participan en el grupo NAT para conocer el ámbito de la lista de direcciones IP permitidos.If you allow an IP address that's behind a network address translation (NAT) gateway, you need to know the servers that are involved in the NAT pool in order to know the scope of your IP Allow List. Las direcciones IP y los participantes NAT pueden cambiar.IP addresses and NAT participants can change. Debe comprobar periódicamente las entradas de la lista de direcciones IP permitidos como parte de los procedimientos de mantenimiento estándar.You need to periodically check your IP Allow List entries as part of your standard maintenance procedures.

  3. Condiciones opcionales:Optional conditions:

    • El remitente > es interno/externo > Fuera de la organización: esta condición está implícita, pero está bien usarla para tener en cuenta los servidores de correo electrónico locales que podrían no estar configurados correctamente.The sender > is internal/external > Outside the organization: This condition is implicit, but it's OK to use it to account for on-premises email servers that might not be correctly configured.

    • El asunto o el cuerpo > asunto o cuerpo incluye cualquiera de estas palabras > : Si puede restringir aún más los mensajes por palabras clave o frases en la línea de asunto o el cuerpo del mensaje, puede usar esas palabras <keywords> como condición.The subject or body > subject or body includes any of these words > <keywords>: If you can further restrict the messages by keywords or phrases in the subject line or message body, you can use those words as a condition.

  4. Acción: configure ambas acciones en la regla:Action: Configure both of these actions in the rule:

    a.a. Modificar las propiedades del mensaje > establecer el nivel de confianza de correo no deseado (SCL) > Omitir el filtrado de correo no deseado.Modify the message properties > set the spam confidence level (SCL) > Bypass spam filtering.

    b.b. Modificar las propiedades del mensaje > establecer un encabezado de mensaje: Establezca el encabezado del mensaje en el <CustomHeaderName> valor <CustomHeaderValue> .Modify the message properties > set a message header: Set the message header <CustomHeaderName> to the value <CustomHeaderValue>.

    Por ejemplo, X-ETR: Bypass spam filtering for authenticated sender 'contoso.com'.For example, X-ETR: Bypass spam filtering for authenticated sender 'contoso.com'. Si tiene más de un dominio en la regla, puede personalizar el texto del encabezado según corresponda.If you have more than one domain in the rule, you can customize the header text as appropriate.

    Cuando un mensaje omite el filtrado de correo no deseado debido a una regla de flujo de correo, el valor se marca en el encabezado SFV:SKN X-Forefront-Antispam-Report.When a message skips spam filtering due to a mail flow rule, the value SFV:SKN value is stamped in the X-Forefront-Antispam-Report header. Si el mensaje es de un origen que está en la lista de direcciones IP permitidos, también se IPV:CAL agrega el valor.If the message is from a source that's on the IP Allow List, the value IPV:CAL is also added. Estos valores pueden ayudarle con la solución de problemas.These values can help you with troubleshooting.

Configuración de regla de flujo de correo en el EAC para omitir el filtrado de correo no deseado.

Usar Outlook Caja fuerte remitentesUse Outlook Safe Senders

Precaución

Este método crea un alto riesgo de que los atacantes entreguen correctamente correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría; sin embargo, las listas de remitentes Caja fuerte o dominios Caja fuerte del usuario no impiden que se filtren mensajes de suplantación de identidad de alta confianza o malware.This method creates a high risk of attackers successfully delivering email to the Inbox that would otherwise be filtered; however, the user's Safe Senders or Safe Domains lists don't prevent malware or high confidence phishing messages from being filtered.

En lugar de una configuración organizativa, los usuarios o administradores pueden agregar las direcciones de correo electrónico del remitente a la Caja fuerte remitentes en el buzón.Instead of an organizational setting, users or admins can add the sender email addresses to the Safe Senders list in the mailbox. Para obtener instrucciones, vea Configure junk email settings on Exchange Online mailboxes in Office 365.For instructions, see Configure junk email settings on Exchange Online mailboxes in Office 365. Esto no es deseable en la mayoría de las situaciones, ya que los remitentes omitirán partes de la pila de filtrado.This is not desirable in most situations since senders will bypass parts of the filtering stack. Aunque confía en el remitente, el remitente aún puede verse comprometido y enviar contenido malintencionado.Although you trust the sender, the sender can still be compromised and send malicious content. Lo mejor es permitir que nuestros filtros hagan lo necesario para comprobar cada mensaje y, a continuación, notificar el falso positivo/negativo a Microsoft si nuestros filtros se equivocaron.It is best that you let our filters do what is needed to check every message and then report the false positive/negative to Microsoft if our filters got it wrong. Omitir la pila de filtrado también interfiere con ZAP.Bypassing the filtering stack also interferes with ZAP.

Cuando los mensajes omiten el filtrado de correo no deseado debido a la lista de remitentes de Caja fuerte de un usuario, el campo de encabezado X-Forefront-Antispam-Report contendrá el valor , lo que indica que se omitió el filtrado de correo no deseado, suplantación de identidad y suplantación de SFV:SFE identidad.When messages skip spam filtering due to a user's Safe Senders list, the X-Forefront-Antispam-Report header field will contain the value SFV:SFE, which indicates that filtering for spam, spoof, and phishing were bypassed.

Usar la lista de direcciones IP permitidosUse the IP Allow List

Si no puede usar reglas de flujo de correo como se describió anteriormente, la siguiente mejor opción es agregar el servidor de correo electrónico de origen o los servidores a la lista de direcciones IP permitidos en la directiva de filtro de conexión.If you can't use mail flow rules as previously described, the next best option is to add the source email server or servers to the IP Allow List in the connection filter policy. Para obtener más información, vea Configure connection filtering in EOP.For details, see Configure connection filtering in EOP.

Notas:Notes:

  • Es importante que mantenga el número de direcciones IP permitidas al mínimo, así que evite usar intervalos de direcciones IP completos siempre que sea posible.It's important that you keep the number of allowed IP addresses to a minimum, so avoid using entire IP address ranges whenever possible.

  • No use intervalos de direcciones IP que pertenezcan a servicios de consumidor (por ejemplo, outlook.com) o infraestructuras compartidas.Do not use IP address ranges that belong to consumer services (for example, outlook.com) or shared infrastructures.

  • Revise periódicamente las entradas de la lista de direcciones IP permitidos y quite las entradas que ya no necesite.Regularly review the entries in the IP Allow List and remove the entries that you no longer need.

Precaución

Sin comprobación adicional, como las reglas de flujo de correo, el correo electrónico de los orígenes de la lista de direcciones IP permitidos omite el filtrado de correo no deseado y las comprobaciones de autenticación de remitentes (SPF, DKIM, DMARC).Without additional verification like mail flow rules, email from sources in the IP Allow List skips spam filtering and sender authentication (SPF, DKIM, DMARC) checks. Esto crea un alto riesgo de que los atacantes entreguen correo electrónico correctamente a la Bandeja de entrada que, de lo contrario, se filtraría; sin embargo, la lista de direcciones IP no impide que se filtren mensajes de phishing de elevada confianza o malware.This creates a high risk of attackers successfully delivering email to the Inbox that would otherwise be filtered; however, the IP Allow List doesn't prevent malware or high confidence phishing messages from being filtered.

Usar listas de remitentes permitidos o listas de dominios permitidosUse allowed sender lists or allowed domain lists

La opción menos deseable es usar la lista de remitentes permitidos o la lista de dominios permitidos en directivas contra correo no deseado.The least desirable option is to use the allowed sender list or allowed domain list in anti-spam policies. Debe evitar esta opción si es posible porque los remitentes omiten toda protección contra correo no deseado, suplantación de identidad y suplantación de identidad (phishing) y autenticación de remitentes (SPF, DKIM, DMARC).You should avoid this option if at all possible because senders bypass all spam, spoof, and phishing protection, and sender authentication (SPF, DKIM, DMARC). Este método es más adecuado solo para las pruebas temporales.This method is best used for temporary testing only. Los pasos detallados se pueden encontrar en el tema Configurar directivas contra correo no deseado en EOP.The detailed steps can be found in Configure anti-spam policies in EOP topic.

El límite máximo para estas listas es de aproximadamente 1000 entradas; aunque, solo podrá escribir 30 entradas en el portal.The maximum limit for these lists is approximately 1000 entries; although, you will only be able to enter 30 entries into the portal. Debe usar PowerShell para agregar más de 30 entradas.You must use PowerShell to add more than 30 entries.

Precaución

  • Este método crea un alto riesgo de que los atacantes entreguen correctamente correo electrónico a la Bandeja de entrada que, de lo contrario, se filtraría; sin embargo, los remitentes permitidos o las listas de dominios permitidos no impiden que se filtren mensajes de phishing de elevada confianza o malware.This method creates a high risk of attackers successfully delivering email to the Inbox that would otherwise be filtered; however, the allowed senders or allowed domains lists don't prevent malware or high confidence phishing messages from being filtered.

  • No use dominios de su propiedad (también conocidos como dominios aceptados) ni dominios populares (por ejemplo, microsoft.com) en listas de dominios permitidos.Do not use domains you own (also known as accepted domains) or popular domains (for example, microsoft.com) in allowed domain lists.

Consideraciones para el correo electrónico masivoConsiderations for bulk email

Un mensaje de correo electrónico SMTP estándar está compuesto por el sobre del mensaje y el contenido del mensaje.A standard SMTP email message consists of a message envelope and message content. El sobre del mensaje contiene información necesaria para transmitir y entregar el mensaje entre servidores SMTP.The message envelope contains information that's required for transmitting and delivering the message between SMTP servers. El contenido del mensaje contiene el cuerpo del mensaje y campos de encabezado de mensaje, que se denominan de forma colectiva encabezado del mensaje.The message content contains message header fields (collectively called the message header) and the message body. El sobre del mensaje se describe en RFC 5321 y el encabezado del mensaje se describe en RFC 5322.The message envelope is described in RFC 5321, and the message header is described in RFC 5322. Los destinatarios nunca ven el sobre de mensaje real porque lo genera el proceso de transmisión de mensajes y no forma parte del mensaje.Recipients never see the actual message envelope because it's generated by the message transmission process, and it isn't actually part of the message.

  • La dirección (también conocida como dirección 5321.MailFrom MAIL FROM, remitente P1 o remitente de sobre) es la dirección de correo electrónico que se usa en la transmisión SMTP del mensaje.The 5321.MailFrom address (also known as the MAIL FROM address, P1 sender, or envelope sender) is the email address that's used in the SMTP transmission of the message. Esta dirección de correo electrónico normalmente se registra en el campo de encabezado Return-Path en el encabezado del mensaje (aunque es posible que el remitente designe una dirección de correo electrónico return-path diferente).This email address is typically recorded in the Return-Path header field in the message header (although it's possible for the sender to designate a different Return-Path email address). Si el mensaje no se puede entregar, es el destinatario del informe de no entrega (también conocido como NDR o mensaje de desaprobado).If the message can't be delivered, it's the recipient for the non-delivery report (also known as an NDR or bounce message).

  • El (también conocido como la dirección De o el remitente P2) es la dirección de correo electrónico en el campo De encabezado y es la dirección de correo electrónico del remitente que se muestra en los clientes 5322.From de correo electrónico. The 5322.From (also known as the From address or P2 sender) is the email address in the From header field, and is the sender's email address that's displayed in email clients.

Con frecuencia, las direcciones y son las mismas (comunicación de persona 5321.MailFrom a 5322.From persona).Frequently, the 5321.MailFrom and 5322.From addresses are the same (person-to-person communication). Sin embargo, cuando el correo electrónico se envía en nombre de otra persona, las direcciones pueden ser diferentes.However, when email is sent on behalf of someone else, the addresses can be different. Esto sucede con mayor frecuencia en los mensajes de correo electrónico masivos.This happens most often for bulk email messages.

Por ejemplo, supongamos que Blue Yonder Airlines ha contratado Margie's Travel para enviar su publicidad por correo electrónico.For example, suppose that Blue Yonder Airlines has hired Margie's Travel to send out its email advertising. El mensaje que recibe en la Bandeja de entrada tiene las siguientes propiedades:The message you receive in your Inbox has the following properties:

  • La 5321.MailFrom dirección es blueyonder.airlines@margiestravel.com.The 5321.MailFrom address is blueyonder.airlines@margiestravel.com.

  • La dirección es blueyonder@news.blueyonderairlines.com, que es lo que verá 5322.From en Outlook.The 5322.From address is blueyonder@news.blueyonderairlines.com, which is what you'll see in Outlook.

Caja fuerte listas de remitentes y listas de dominios seguros en directivas contra correo no deseado en EOP inspeccionan solo las direcciones, esto es similar a Outlook Caja fuerte remitentes que usan 5322.From la 5322.From dirección.Safe sender lists and safe domain lists in anti-spam policies in EOP inspect only the 5322.From addresses, this is similar to Outlook Safe Senders that uses the 5322.From address.

Para evitar que este mensaje se filtre, puede seguir los siguientes pasos:To prevent this message from being filtered, you can take the following steps:

  • Agregue blueyonder@news.blueyonderairlines.com (la 5322.From dirección) como remitente Outlook Caja fuerte usuario.Add blueyonder@news.blueyonderairlines.com (the 5322.From address) as an Outlook Safe Sender.

  • Use una regla de flujo de correo con una condición que busca mensajes de blueyonder@news.blueyonderairlines.com (la 5322.From dirección, blueyonder.airlines@margiestravel.com 5321.MailFrom (la ), o ambas.Use a mail flow rule with a condition that looks for messages from blueyonder@news.blueyonderairlines.com (the 5322.From address, blueyonder.airlines@margiestravel.com (the 5321.MailFrom), or both.

Para obtener más información, vea Create safe sender lists in EOP.For more information, see Create safe sender lists in EOP.