Configurar inteligencia de identidades en EOPConfigure spoof intelligence in EOP

En Microsoft 365 organizaciones con buzones de correo en Exchange online o en organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, los mensajes de correo electrónico entrantes se protegen automáticamente contra la suplantación de EOP a través de EOP a partir de 2018 de octubre.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, inbound email messages are automatically protected against spoofing by EOP as of October 2018. EOP usa inteligencia simulada como parte de la defensa general de la organización contra el phishing.EOP uses spoof intelligence as part of your organization's overall defense against phishing. Para obtener más información, vea protección contra la suplantación de identidad en EOP.For more information, see Anti-spoofing protection in EOP.

Cuando un remitente suplanta una dirección de correo electrónico, parece ser un usuario en uno de los dominios de la organización o un usuario de un dominio externo que envía correo electrónico a su organización.When a sender spoofs an email address, they appear to be a user in one of your organization's domains, or a user in an external domain that sends email to your organization. Es necesario bloquear a los intrusos que suplantan a los remitentes para enviar correo no deseado o de suplantación de identidad.Attackers who spoof senders to send spam or phishing email need to be blocked. Pero hay escenarios en los que los remitentes legítimos son imitación.But there are scenarios where legitimate senders are spoofing. Por ejemplo:For example:

  • Escenarios legítimos para la suplantación de dominios internos:Legitimate scenarios for spoofing internal domains:

    • Los remitentes de terceros usan el dominio para enviar correo masivo a sus propios empleados para los sondeos de la compañía.Third-party senders use your domain to send bulk mail to your own employees for company polls.
    • Una compañía externa genera y envía actualizaciones de productos o publicidad en su nombre.An external company generates and sends advertising or product updates on your behalf.
    • Un asistente necesita regularmente enviar correo electrónico a otra persona de la organización.An assistant regularly needs to send email for another person within your organization.
    • Una aplicación interna envía notificaciones de correo electrónico.An internal application sends email notifications.
  • Escenarios legítimos para imitar dominios externos:Legitimate scenarios for spoofing external domains:

    • El remitente está en una lista de correo (también denominada lista de discusión) y la lista de distribución retransmite el correo electrónico del remitente original a todos los participantes de la lista de distribución de correo.The sender is on a mailing list (also known as a discussion list), and the mailing list relays email from the original sender to all the participants on the mailing list.
    • Una compañía externa envía un correo electrónico en nombre de otra empresa (por ejemplo, un informe automatizado o una compañía de software como servicio).An external company sends email on behalf of another company (for example, an automated report or a software-as-a-service company).

Inteligencia de identidad suplantada, y concretamente la Directiva de inteligencia de identidad falsa predeterminada (y únicamente), ayuda a garantizar que el correo electrónico falso enviado por remitentes legítimos no se quede atrapado en los filtros de correo no deseado de EOP ni en los sistemas de correo electrónico externos, a la vez que protege a los usuarios de los ataques de phishing o spam.Spoof intelligence, and specifically the default (and only) spoof intelligence policy, helps ensure that the spoofed email sent by legitimate senders doesn't get caught up in EOP spam filters or external email systems, while protecting your users from spam or phishing attacks.

Puede administrar inteligencia de identidad en el centro de seguridad & cumplimiento o en PowerShell (Exchange Online PowerShell para Microsoft 365 organizaciones con buzones en Exchange Online; PowerShell de EOP independiente para organizaciones sin buzones de correo de Exchange Online).You can manage spoof intelligence in the Security & Compliance Center, or in PowerShell (Exchange Online PowerShell for Microsoft 365 organizations with mailboxes in Exchange Online; standalone EOP PowerShell for organizations without Exchange Online mailboxes).

¿Qué necesita saber antes de comenzar?What do you need to know before you begin?

Usar el centro de seguridad & cumplimiento para administrar los remitentes suplantadosUse the Security & Compliance Center to manage spoofed senders

Nota

Si tiene una suscripción de Microsoft 365 Enterprise E5 o ha comprado por separado un complemento de protección contra amenazas avanzada de Office 365 (ATP de Office 365), también puede administrar a los remitentes que están suplantando su dominio mediante el conocimiento de inteligencia de suplantación de identidad.If you have an Microsoft 365 Enterprise E5 subscription or have separately purchased an Office 365 Advanced Threat Protection (Office 365 ATP) add-on, you can also manage senders who are spoofing your domain through the Spoof Intelligence insight.

  1. En el Centro de seguridad y cumplimiento, vaya a Administración de amenazas > Directiva > Correo no deseado.In the Security & Compliance Center, go to Threat management > Policy > Anti-spam.

  2. En la página configuración contra correo no deseado , haga clic en  expandir icono para expandir la Directiva de inteligencia empresarial de suplantación.On the Anti-spam settings page, click Expand icon to expand Spoof intelligence policy.

    Seleccionar la Directiva de inteligencia de suplantación

  3. Realice una de las siguientes selecciones:Make one of the following selections:

    • Revisión de los nuevos remitentesReview new senders
    • Mostrar los remitentes que ya he revisadoShow me senders I already reviewed
  4. En el control flotante decidir si estos remitentes pueden suplantar a los usuarios que aparecen, seleccione una de las siguientes pestañas:In the Decide if these senders are allowed to spoof your users flyout that appears, select one of the following tabs:

    • Sus dominios: los remitentes suplantan a los usuarios de los dominios internos.Your Domains: Senders spoofing users in your internal domains.
    • Dominios externos: remitentes de suplantación de usuarios en dominios externos.External Domains: Senders spoofing users in external domains.
  5. Haga clic en  expandir icono en la columna ¿se permite la suplantación? .Click Expand icon in the Allowed to spoof? column. Elija para permitir el remitente suplantado o elija no para marcar el mensaje como falsificado.Choose Yes to allow the spoofed sender, or choose No to mark the message as spoofed. La acción se controla mediante la Directiva antiphishing predeterminada o las directivas antiphishing personalizadas de ATP (el valor predeterminado es mover mensaje a la carpeta de correo no deseado).The action is controlled by the default anti-phishing policy or custom ATP anti-phishing policies (the default value is Move message to Junk Email folder). Para obtener más información, consulte configuración de la suplantación de identidades en directivas antiphishing.For more information, see Spoof settings in anti-phishing policies.

    Captura de pantalla que muestra el control flotante de remitentes suplantados y si se permite que el remitente suplante

    En la lista siguiente se explican las columnas y los valores que se ven:The columns and values that you see are explained in the following list:

    • Usuario suplantado: la cuenta de usuario que se va a imitar.Spoofed user: The user account that's being spoofed. Este es el remitente del mensaje en la dirección de (también denominada 5322.From dirección) que se muestra en los clientes de correo electrónico.This is the message sender in the From address (also known as the 5322.From address) that's shown in email clients. SPF no comprueba la validez de esta dirección.The validity of this address is not checked by SPF.

      • En la ficha sus dominios , el valor contiene una sola dirección de correo electrónico o, si el servidor de correo electrónico de origen imita varias cuentas de usuario, contiene más de una.On the Your Domains tab, the value contains a single email address, or if the source email server is spoofing multiple user accounts, it contains More than one.

      • En la ficha dominios externos , el valor contiene el dominio del usuario falso, no la dirección de correo electrónico completa.On the External Domains tab, the value contains the domain of the spoofed user, not the full email address.

    • Infraestructura de envío: el dominio que se encuentra en una búsqueda DNS inversa (registro PTR) de la dirección IP del servidor de correo electrónico de origen o en la dirección IP si el origen no tiene registro PTR.Sending Infrastructure: The domain found in a reverse DNS lookup (PTR record) of the source email server's IP address, or the IP address if the source has no PTR record.

      Para obtener más información acerca de los orígenes de mensajes y los remitentes de mensajes, vea información general sobre los estándares de mensajes de correo electrónico.For more information about message sources and message senders, see An overview of email message standards.

    • n.º de mensajes: el número de mensajes de la infraestructura de envío a su organización que contienen los remitentes suplantados que se han especificado en los últimos 30 días.# of messages: The number of messages from the sending infrastructure to your organization that contain the specified spoofed sender or senders within the last 30 days.

    • número de quejas del usuario: quejas archivadas por los usuarios con este remitente en los últimos 30 días.# of user complaints: Complaints filed by your users against this sender within the last 30 days. Las quejas suelen estar en forma de envíos de correo no deseado a Microsoft.Complaints are usually in the form of junk submissions to Microsoft.

    • Resultado de autenticación: uno de los siguientes valores:Authentication result: One of the following values:

      • Passed: el remitente ha superado las comprobaciones de autenticación de correo electrónico del remitente (SPF o DKIM).Passed: The sender passed sender email authentication checks (SPF or DKIM).
      • Error: el remitente no pudo realizar comprobaciones de autenticación de remitente de EOP.Failed: The sender failed EOP sender authentication checks.
      • Desconocido: no se conoce el resultado de estas comprobaciones.Unknown: The result of these checks isn't known.
    • Decisión definida por: muestra quién ha determinado si la infraestructura de envío tiene permiso para suplantar al usuario:Decision set by: Shows who determined if the sending infrastructure is allowed to spoof the user:

      • Directiva de inteligencia de identidad (automática)Spoof intelligence policy (automatic)
      • Administrador (manual)Admin (manual)
    • Último visto: la última fecha en la que se recibió un mensaje de la infraestructura de envío que contiene al usuario suplantado.Last seen: The last date when a message was received from the sending infrastructure that contains the spoofed user.

    • ¿Se permite la suplantación?: los valores que aparecen aquí son los siguientes:Allowed to spoof?: The values that you see here are:

      • : los mensajes de la combinación de usuario falsificado y la infraestructura de envío están permitidos y no se tratan como correo electrónico falsificado.Yes: Messages from the combination of spoofed user and sending infrastructure are allowed and not treated as spoofed email.

      • No: los mensajes de la combinación de usuario falsificado y infraestructura de envío se marcan como falseados.No: Messages from the combination of spoofed user and sending infrastructure are marked as spoofed. La acción se controla mediante la Directiva antiphishing predeterminada o las directivas antiphishing personalizadas de ATP (el valor predeterminado es mover mensaje a la carpeta de correo no deseado).The action is controlled by the default anti-phishing policy or custom ATP anti-phishing policies (the default value is Move message to Junk Email folder). Vea la sección siguiente para obtener más información.See the next section for more information.

      • Algunos usuarios (la ficha dominios solamente): una infraestructura de envío imita a varios usuarios, donde se permiten algunos usuarios suplantados y otros no.Some users (Your Domains tab only): A sending infrastructure is spoofing multiple users, where some spoofed users are allowed and others are not. Use la pestaña detalles para ver las direcciones específicas.Use the Detailed tab to see the specific addresses.

  6. En la parte inferior de la página, haga clic en Guardar.At the bottom of the page, click Save.

Usar PowerShell para administrar los remitentes suplantadosUse PowerShell to manage spoofed senders

Para ver los remitentes permitidos y bloqueados en inteligencia de suplantación de identidad, use la siguiente sintaxis:To view allowed and blocked senders in spoof intelligence, use the following syntax:

Get-PhishFilterPolicy [-AllowedToSpoof <Yes | No | Partial>] [-ConfidenceLevel <Low | High>] [-DecisionBy <Admin | SpoofProtection>] [-Detailed] [-SpoofType <Internal | External>]

En este ejemplo se devuelve información detallada sobre todos los remitentes a los que se les permite suplantar usuarios en los dominios.This example returns detailed information about all senders that are allowed to spoof users in your domains.

Get-PhishFilterPolicy -AllowedToSpoof Yes -Detailed -SpoofType Internal

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Get-PhishFilterPolicy.For detailed syntax and parameter information, see Get-PhishFilterPolicy.

Para configurar los remitentes permitidos y bloqueados en inteligencia de identidad, siga estos pasos:To configure allowed and blocked senders in spoof intelligence, follow these steps:

  1. Para capturar la lista actual de los remitentes suplantados detectados, escriba el resultado del cmdlet Get-PhishFilterPolicy en un archivo CSV:Capture the current list of detected spoofed senders by writing the output of the Get-PhishFilterPolicy cmdlet to a CSV file:

    Get-PhishFilterPolicy -Detailed | Export-CSV "C:\My Documents\Spoofed Senders.csv"
    
  2. Edite el archivo CSV para agregar o modificar los valores de SpoofedUser (dirección de correo electrónico) y AllowedToSpoof (sí o no).Edit the CSV file to add or modify the SpoofedUser (email address) and AllowedToSpoof (Yes or No) values. Guarde el archivo, lea el archivo y almacene el contenido como una variable llamada $UpdateSpoofedSenders :Save the file, read the file, and store the contents as a variable named $UpdateSpoofedSenders:

    $UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"
    
  3. Use la $UpdateSpoofedSenders variable para configurar la Directiva de inteligencia de suplantación de identidad:Use the $UpdateSpoofedSenders variable to configure the spoof intelligence policy:

    Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders
    

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte set-PhishFilterPolicy.For detailed syntax and parameter information, see Set-PhishFilterPolicy.

Usar el centro de seguridad & cumplimiento para configurar la inteligencia de identidadUse the Security & Compliance Center to configure spoof intelligence

Las opciones de configuración para inteligencia de suplantación se describen en configuración de suplantación de identidades en directivas antiphishing.The configuration options for spoof intelligence are described in Spoof settings in anti-phishing policies.

Puede configurar las opciones de inteligencia contra la suplantación de identidad en la Directiva de antiphishing predeterminada y también en las directivas personalizadas.You can configure spoof intelligence settings in the default anti-phishing policy, and also in custom policies. Para obtener instrucciones basadas en su suscripción, consulte uno de los siguientes temas:For instructions based on your subscription, see one of the following topics:

¿Cómo saber si estos procedimientos han funcionado?How do you know these procedures worked?

Para comprobar que ha configurado inteligencia de suplantación con remitentes a los que se permite y no se permite la suplantación, y que ha configurado la configuración de inteligencia de suplantación de identidad, siga uno de estos pasos:To verify that you've configured spoof intelligence with senders who are allowed and not allowed to spoof, and that you've configured the spoof intelligence settings, use any of the following steps:

  • En el centro de seguridad & cumplimiento, vaya a Threat Management > Policy > anti-spam > expanda la Directiva inteligencia empresarial > seleccionar Mostrar los remitentes que ya he revisado > Seleccione la pestaña dominios o dominios externos y compruebe el valor se permite la suplantación de identidad para el remitente.In the Security & Compliance Center, go to Threat management > Policy > Anti-spam > expand Spoof intelligence policy > select Show me senders I already reviewed > select the Your Domains or External Domains tab, and verify the Allowed to spoof? value for the sender.

  • En PowerShell, ejecute los siguientes comandos para ver los remitentes a los que se les permite la suplantación:In PowerShell, run the following commands to view the senders who are allowed and not allowed to spoof:

    Get-PhishFilterPolicy -AllowedToSpoof Yes -SpoofType Internal
    Get-PhishFilterPolicy -AllowedToSpoof No -SpoofType Internal
    Get-PhishFilterPolicy -AllowedToSpoof Yes -SpoofType External
    Get-PhishFilterPolicy -AllowedToSpoof No -SpoofType External
    
  • En PowerShell, ejecute el siguiente comando para exportar la lista de todos los remitentes suplantados a un archivo CSV:In PowerShell, run the following command to export the list of all spoofed senders to a CSV file:

    Get-PhishFilterPolicy -Detailed | Export-CSV "C:\My Documents\Spoofed Senders.csv"
    
  • En el centro de seguridad & cumplimiento, vaya a Threat Management > Policy > anti- phishing o ATP anti-phishingy realice uno de los siguientes pasos: In the Security & Compliance Center, go to Threat management > Policy > Anti-phishing or ATP anti-phishing, and do either of the following steps:

    • Seleccione una directiva de la lista.Select a policy from the list. En el control flotante que aparece, compruebe los valores de la sección suplantación de identidad .In the flyout that appears, verify the values in the Spoof section.
    • Haga clic en directiva predeterminada.Click Default policy. En el control flotante que aparece, compruebe los valores de la sección suplantación de identidad .In the flyout that appears, verify the values in the Spoof section.
  • En Exchange Online PowerShell, reemplace <Name> con la opción predeterminada de Office365 ANTIPHISH o el nombre de una directiva personalizada, y ejecute el siguiente comando para comprobar la configuración:In Exchange Online PowerShell, replace <Name> with Office365 AntiPhish Default or the name of a custom policy, and run the following command to verify the settings:

    Get-AntiPhishPolicy -Identity "<Name>" | Format-List EnableAntiSpoofEnforcement,EnableUnauthenticatedSender,AuthenticationFailAction
    

Otras formas de administrar la suplantación de identidad (phishing)Other ways to manage spoofing and phishing

Sea Diligent sobre la suplantación de identidad y la protección contra phishing.Be diligent about spoofing and phishing protection. A continuación, se incluyen formas relacionadas de comprobar si los remitentes suplantan el dominio y ayudar a evitar que dañen la organización:Here are related ways to check on senders spoofing your domain and help prevent them from damaging your organization: