Administrar permite y bloquea en la lista de permitidos o bloqueados de inquilinos

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Importante

Para permitir direcciones URL de phishing que forman parte del entrenamiento de simulación de ataques de terceros, use la configuración de entrega avanzada para especificar las direcciones URL. No use la lista de permitidos o bloqueados de inquilinos.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, es posible que no esté de acuerdo con el EOP o Microsoft Defender para Office 365 veredicto de filtrado. Por ejemplo, un buen mensaje podría marcarse como incorrecto (un falso positivo) o un mensaje incorrecto podría permitirse a través de (un falso negativo).

La lista de permitidos o bloqueados de inquilinos del portal de Microsoft Defender proporciona una manera de invalidar manualmente los veredictos de filtrado de Defender para Office 365 o EOP. La lista se usa durante el flujo de correo para los mensajes entrantes de remitentes externos.

La lista de permitidos o bloqueados de inquilinos no se aplica a los mensajes internos de la organización. Sin embargo, las entradas de bloque para dominios y direcciones de correo electrónico impiden que los usuarios de la organización envíen correo electrónico a esos dominios y direcciones bloqueados.

La lista Permitir o bloquear inquilinos está disponible en el portal de Microsoft Defender en https://security.microsoft.com>Directivas & reglas>Directivas de amenazas>Permitir o bloquear Listas de inquilinos en la sección Reglas. Para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

Para obtener instrucciones de uso y configuración, consulte los artículos siguientes:

• Dominios y direcciones de correo electrónico y remitentes suplantados: permitir o bloquear correos electrónicos mediante la lista de permitidos o bloqueados de inquilinos
• Archivos: permitir o bloquear archivos mediante la lista de inquilinos permitidos o bloqueados
• Direcciones URL: permitir o bloquear direcciones URL mediante la lista de permitidos o bloqueados de inquilinos.

Estos artículos contienen procedimientos en el portal de Microsoft Defender y en PowerShell.

Bloquear entradas en la lista de permitidos o bloqueados de inquilinos

Nota:

En la Lista de permitidos o bloqueados de inquilinos, las entradas de bloque tienen prioridad sobre las entradas de permiso.

Use la página Envíos (también conocida como envío de administrador) en https://security.microsoft.com/reportsubmission para crear entradas de bloque para los siguientes tipos de elementos a medida que los informe como falsos negativos para Microsoft:

• Dominios y direcciones de correo electrónico:

  • Email mensajes de estos remitentes se marcan como suplantación de identidad de alta confianza y, a continuación, se mueven a cuarentena.
  • Los usuarios de la organización no pueden enviar correo electrónico a estos dominios y direcciones bloqueados. Reciben el siguiente informe de no entrega (también conocido como NDR o mensaje de devolución): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. todo el mensaje se bloquea para todos los destinatarios internos y externos del mensaje, incluso si solo se define una dirección de correo electrónico de destinatario o un dominio en una entrada de bloque.

  Sugerencia

  Para bloquear solo el correo no deseado de un remitente específico, agregue la dirección de correo electrónico o el dominio a la lista de bloqueos en las directivas contra correo no deseado. Para bloquear todo el correo electrónico del remitente, use Dominios y direcciones de correo electrónico en la Lista de inquilinos permitidos o bloqueados.

• Archivos: Email mensajes que contienen estos archivos bloqueados se bloquean como malware. Los mensajes que contienen los archivos bloqueados se ponen en cuarentena.

• Direcciones URL: Email mensajes que contienen estas direcciones URL bloqueadas se bloquean como suplantación de identidad de alta confianza. Los mensajes que contienen las direcciones URL bloqueadas se ponen en cuarentena.

En la Lista de permitidos o bloqueados de inquilinos, también puede crear directamente entradas de bloque para los siguientes tipos de elementos:

• Dominios y direcciones de correo electrónico, archivos y direcciones URL.

• Remitentes suplantados: si invalida manualmente un veredicto de permitido existente a partir de la inteligencia de suplantación de identidad, el remitente suplantado bloqueado se convierte en una entrada de bloque manual que aparece solo en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos .

De forma predeterminada, las entradas de bloque para dominios y direcciones de correo electrónico, archivos y direcciones URL expiran después de 30 días, pero puede configurarlas para que expiren hasta 90 días o para que nunca expiren. Las entradas de bloque para remitentes suplantados nunca expiran.

Permitir entradas en la lista de permitidos o bloqueados de inquilinos

En la mayoría de los casos, no puede crear directamente entradas permitidas en la lista de permitidos o bloqueados de inquilinos:

• Dominios y direcciones de correo electrónico, archivos y direcciones URL: no se pueden crear entradas permitidas directamente en la lista de permitidos o bloqueados de inquilinos. En su lugar, use la página Envíos de https://security.microsoft.com/reportsubmission para notificar el correo electrónico, los datos adjuntos de correo electrónico o la dirección URL a Microsoft, ya que no se debería haber bloqueado (falso positivo).

• Remitentes suplantados:

  • Si la inteligencia de suplantación de identidad ya ha bloqueado el mensaje como suplantación de identidad, use la página Envíos de https://security.microsoft.com/reportsubmission para informar del correo electrónico a Microsoft, ya que no debería haberse bloqueado (Falso positivo).
  • Puede crear de forma proactiva una entrada de permiso para un remitente suplantado en la pestaña Remitente suplantado de la lista de permitidos o bloqueados de inquilinos antes de que la inteligencia de suplantación identifique y bloquee el mensaje como suplantación de identidad.

En la lista siguiente se describe lo que ocurre en la lista de permitidos o bloqueados de inquilinos cuando se notifica algo a Microsoft como falso positivo en la página Envíos :

• Email datos adjuntos y direcciones URL: se crea una entrada allow y la entrada aparece en la pestaña Archivos o direcciones URL de la Lista de inquilinos permitidos o bloqueados, respectivamente.

  En el caso de las direcciones URL notificadas como falsos positivos, permitiremos mensajes posteriores que contengan variaciones de la dirección URL original. Por ejemplo, usa la página Envíos para informar de que la dirección URL www.contoso.com/abcestá bloqueada incorrectamente. Si su organización recibe más adelante un mensaje que contiene la dirección URL (por ejemplo, pero sin limitarse a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatever), el mensaje no se bloqueará en función de la dirección URL. En otras palabras, no es necesario notificar a Microsoft varias variaciones de la misma dirección URL que las correctas.

• Email: Si el EOP o Defender para Office 365 pila de filtrado bloquearon un mensaje, se podría crear una entrada allow en la lista de permitidos o bloqueados de inquilinos:

  • Si la inteligencia de suplantación de identidad bloqueó el mensaje, se crea una entrada de permiso para el remitente y la entrada aparece en la pestaña Remitentes suplantados de la Lista de permitidos o bloqueados de inquilinos .
  • Si la protección de suplantación de usuario (o grafo) bloqueó el mensaje en Defender para Office 365, no se crea una entrada allow en la lista de permitidos o bloqueados de inquilinos. En su lugar, el dominio o el remitente se agrega a la sección Remitentes y dominios de confianza de la directiva anti-phishing que detectó el mensaje.
  • Si el mensaje se bloqueó debido a filtros basados en archivos, se crea una entrada de permiso para el archivo y la entrada aparece en la pestaña Archivos de la Lista de permitidos o bloqueados de inquilinos.
  • Si el mensaje se bloqueó debido a filtros basados en direcciones URL, se crea una entrada allow para la dirección URL y la entrada aparece en la pestaña URL de la Lista de permitidos o bloqueados de inquilinos.
  • Si el mensaje se bloqueó por cualquier otro motivo, se crea una entrada de permiso para la dirección de correo electrónico o dominio del remitente y la entrada aparece en la pestaña Dominios & direcciones de la Lista de inquilinos permitidos o bloqueados.
  • Si el mensaje no se bloqueó debido al filtrado, no se crean entradas permitidas en ningún lugar.

De forma predeterminada, permitir entradas para dominios y direcciones de correo electrónico, archivos y direcciones URL existen durante 30 días. Durante esos 30 días, Microsoft aprende de las entradas permitidas y las quita o las extiende automáticamente. Una vez que Microsoft se entere de las entradas permitidas eliminadas, se entregarán los mensajes que contienen esas entidades, a menos que se detecte algo más en el mensaje como malintencionado. De forma predeterminada, las entradas permitidas para remitentes suplantados nunca expiran.

Importante

Microsoft no permite crear entradas permitidas directamente. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que podría haber sido filtrado por el sistema.

Microsoft administra la creación de entradas permitidas desde la página Envíos en https://security.microsoft.com/reportsubmission. Las entradas permitidas se agregan durante el flujo de correo en función de los filtros que determinaron que el mensaje era malintencionado. Por ejemplo, si se ha determinado que la dirección de correo electrónico del remitente y una dirección URL del mensaje son incorrectas, se crea una entrada de permiso para el remitente (dirección de correo electrónico o dominio) y la dirección URL.

Cuando se vuelve a encontrar la entidad (durante el flujo de correo o la hora del clic), se omiten todos los filtros asociados a esa entidad.

Durante el flujo de correo, si los mensajes que contienen la entidad permitida pasan otras comprobaciones en la pila de filtrado, se entregarán los mensajes. Por ejemplo, si un mensaje pasa comprobaciones de autenticación de correo electrónico, filtrado de direcciones URL y filtrado de archivos, se entregará un mensaje de una dirección de correo electrónico del remitente permitida.

Qué esperar después de agregar una entrada de permitir o bloquear

Después de agregar una entrada allow en la página Envíos o una entrada de bloque en la lista de permitidos o bloqueados de inquilinos, la entrada debería empezar a funcionar inmediatamente (en un plazo de 5 minutos).

Si Microsoft ha aprendido de la entrada allow, se quita la entrada. Obtendrá una alerta sobre la eliminación de la entrada de permiso ahora innecesaria de la directiva de alertas integrada denominada Eliminación de una entrada en Lista de permitidos o bloqueados de inquilinos.