Usar reglas de flujo de correo para bloquear mensajes con datos adjuntos ejecutables en Exchange Online

En Exchange Online organizaciones o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones, las directivas antimalware bloquean los mensajes con datos adjuntos dañinos (incluidos los archivos adjuntos ejecutables). Para obtener más información, consulte Protección contra malware en EOP.

Para mejorar aún más la protección, puede usar reglas de flujo de correo (también conocidas como reglas de transporte) para identificar y bloquear los mensajes que contienen datos adjuntos ejecutables, como se describe en este artículo.

Por ejemplo, después de un brote de malware, una empresa podría aplicar esta regla con un límite de tiempo para que los usuarios afectados puedan volver al envío de datos adjuntos después de un período de tiempo especificado.

¿Qué necesita saber antes de empezar?

• Debe tener permisos asignados en Exchange Online o EOP para poder realizar los procedimientos de este artículo. En concreto, necesita el rol Reglas de transporte , que se asigna a los grupos de roles Administración de la organización, Administración de cumplimiento y Administración de registros de forma predeterminada.

  Para obtener más información, consulte los siguientes temas:

  • Permisos de Exchange Online
  • Permisos en EOP independiente
  • Use el EAC para modificar la lista de miembros de los grupos de roles.

• Para abrir el EAC en Exchange Online, consulte Centro de administración de Exchange en Exchange Online. Para abrir el EAC en EOP independiente, consulte Centro de administración de Exchange en EOP independiente.

• Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).

• Para obtener más información sobre las reglas de flujo de correo en Exchange Online y EOP independiente, consulte los temas siguientes:

  • Reglas de flujo de correo (reglas de transporte) en Exchange Online
  • Condiciones y excepciones de regla de flujo de correo (predicados) en Exchange Online
  • Acciones de reglas de flujo de correo en Exchange Online

Uso del EAC para crear una regla que bloquee los mensajes con datos adjuntos ejecutables

1. En el EAC, vaya aReglas de flujo> de correo.

2. Seleccione +Agregar una regla y, a continuación, seleccione Crear una nueva regla.

3. En la página Set rule conditions (Establecer condiciones de regla ) que se abre, configure los siguientes valores:

   • Nombre: escriba un nombre descriptivo único para la regla.

   • Aplique esta regla si: Seleccione Cualquier dato adjunto>tiene contenido ejecutable.

   • Haga lo siguiente: Seleccione Bloquear el mensaje y, a continuación, elija la acción que desee:

     • rechazar el mensaje e incluir una explicación: en el cuadro de diálogo Especificar motivo de rechazo que aparece, escriba el texto que desea que aparezca en el informe de no entrega (también conocido como NDR o mensaje de devolución). El código de estado mejorado que se usa es 5.7.1.

     • rechace el mensaje con el código de estado mejorado de: en el cuadro de diálogo Escribir código de estado mejorado que aparece, escriba el código de estado mejorado que desea que aparezca en el NDR. Los valores válidos son 5.7.1 o un valor de 5.7.900 a 5.7.999. El texto de rechazo predeterminado es: Entrega no autorizada, mensaje rechazado.

     • elimine el mensaje sin notificar a nadie (si elige esta opción, no obtendrá el botón Guardar , pero obtendrá el botón Siguiente ).

4. Cuando termine, seleccione Guardar. La regla de bloqueo de datos adjuntos ya está en vigor.

Uso de PowerShell para crear una regla que bloquee los mensajes con datos adjuntos ejecutables

Use la sintaxis siguiente para crear una regla para bloquear los mensajes que contienen datos adjuntos ejecutables:

New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]

Notas:

• Si usa el parámetro RejectMessageEnhancedStatusCode sin el parámetro RejectMessageReasonText , el texto predeterminado es: Entrega no autorizada, mensaje rechazado.

• Si usa el parámetro RejectMessageReasonText sin el parámetro RejectMessageEnhancedStatusCode , el código predeterminado es 5.7.1.

En el ejemplo siguiente se crea una nueva regla denominada Bloquear datos adjuntos ejecutables que elimina de forma silenciosa los mensajes que contienen datos adjuntos ejecutables.

New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true

Para obtener información detallada acerca de la sintaxis y los parámetros, vea New-TransportRule.

¿Cómo saber si el proceso se completó correctamente?

Para comprobar que ha creado correctamente una regla de flujo de correo para bloquear los mensajes que contienen datos adjuntos ejecutables, siga estos pasos:

• En el EAC, vaya aReglas> de flujo> de correo y seleccione la regla> editar , seleccione la pestaña Configuración y compruebe la configuración.

• En PowerShell, ejecute el siguiente comando para comprobar la configuración:

  Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage