Preguntas más frecuentes sobre mensajes en cuarentena

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Se aplica a

En este artículo se proporcionan preguntas y respuestas más frecuentes sobre los mensajes de correo electrónico en cuarentena para organizaciones de Microsoft 365 con buzones en Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin Exchange Online buzones de correo.

Nota:

En Microsoft 365 operado por 21Vianet, la cuarentena no está disponible actualmente en el portal de Microsoft Defender. La cuarentena solo está disponible en el Centro de administración de Exchange clásico (EAC clásico).

Para obtener preguntas y respuestas sobre la protección contra correo no deseado, consulte Preguntas más frecuentes sobre la protección contra correo no deseado.

Para obtener preguntas y respuestas sobre la protección contra malware, consulte Preguntas más frecuentes sobre la protección contra malware.

Para obtener preguntas y respuestas sobre la protección contra la suplantación de identidad, consulte Preguntas más frecuentes sobre la protección contra la suplantación de identidad.

Cómo administrar los mensajes que se pusieron en cuarentena para el malware?

De forma predeterminada, solo los administradores pueden administrar los mensajes que se pusieron en cuarentena para el malware. Para obtener más información, consulte Administración de mensajes y archivos en cuarentena como administrador.

Sin embargo, los administradores pueden crear y aplicar directivas de cuarentena a directivas antimalware que definen más funcionalidades para los usuarios. Para obtener más información, consulte Creación de directivas de cuarentena.

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante directivas antimalware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de su malware en cuarentena o mensajes de suplantación de identidad de alta confianza.

Cómo correo no deseado en cuarentena?

De forma predeterminada, los mensajes que se clasifican como correo no deseado o masivo se entregan y mueven a la carpeta de Email no deseado mediante las siguientes directivas de antispam:

  • Directiva antispam predeterminada.
  • Directivas de correo no deseado personalizadas.
  • Directiva de seguridad preestablecida estándar.

Los administradores pueden configurar las directivas personalizadas o antispam predeterminadas para poner en cuarentena los mensajes de correo no deseado o de correo electrónico masivo en su lugar. Para más información, consulte Configurar directivas contra correo electrónico no deseado en EOP.

La directiva de seguridad preestablecida estricta pone en cuarentena los mensajes clasificados como correo no deseado o masivo.

Para más información, consulte los siguientes artículos:

Cómo conceder a los usuarios acceso a la cuarentena?

Un usuario debe tener una cuenta válida para acceder a sus propios mensajes en cuarentena. EOP independiente requiere que los usuarios se representen como usuarios de correo en EOP (creados o creados manualmente mediante la sincronización de directorios). Para obtener más información sobre cómo administrar usuarios en entornos de EOP independientes, consulte Administración de usuarios de correo en EOP independiente.

Las directivas de cuarentena determinan si los usuarios pueden acceder a sus mensajes en cuarentena y qué pueden hacer con ellos. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Si la directiva de cuarentena requiere que los usuarios soliciten la liberación de mensajes o que los administradores liberen mensajes, un administrador debe aprobar la solicitud de versión o liberar el mensaje antes de que el mensaje esté disponible para los usuarios.

No se pueden personalizar las directivas de cuarentena en las directivas de seguridad preestablecidas.

¿A qué mensajes pueden acceder los usuarios finales en cuarentena?

Las directivas de cuarentena definen si los usuarios pueden acceder a los mensajes en cuarentena en función de por qué se puso en cuarentena el mensaje.

Para obtener el acceso predeterminado a los mensajes en cuarentena, consulte la tabla Buscar y liberar mensajes en cuarentena como usuario en EOP.

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante directivas antimalware o datos adjuntos seguros, ni como suplantación de identidad de alta confianza por directivas antispam, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de su malware en cuarentena o mensajes de suplantación de identidad de alta confianza.

¿Cómo puedo impedir que los usuarios accedan a los mensajes en cuarentena?

La directiva de cuarentena predeterminada denominada AdminOnlyAccessPolicy impide cualquier interacción del usuario con sus mensajes en cuarentena. De forma predeterminada, esta directiva de cuarentena se usa para los mensajes que se pusieron en cuarentena como malware o phishing de alta confianza. En las directivas personalizadas o la directiva predeterminada para las características de protección que admiten mensajes de cuarentena, los administradores pueden especificar AdminOnlyAccessPolicy como la directiva de cuarentena que se va a usar.

No puede impedir que los usuarios finales vean o accedan a la página Cuarentena en https://security.microsoft.com/quarantine.

Cómo averiguar por qué se puso en cuarentena un mensaje?

Columna Motivo de cuarentena que está disponible en la pestaña Email de la página Cuarentena del portal de Defender en https://security.microsoft.com/quarantine?viewid=Email. Las razones comunes son la regla de transporte, el envío masivo, el correo no deseado, el malware, el phishing, la suplantación de identidad de alta confianza o la acción de Administración: bloque de tipo de archivo. Para obtener más información, consulte Visualización del correo electrónico en cuarentena.

Faltan mensajes en cuarentena. ¿Qué les pasó?

Antes de abrir una incidencia de soporte técnico sobre esto, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

Los mensajes en cuarentena también expiran y finalmente se quitan de la cuarentena, en función de por qué se puso en cuarentena el mensaje. Para obtener más información, consulte Retención de cuarentena.

El filtro de datos adjuntos comunes en las directivas antimalware identifica los datos adjuntos del mensaje con las extensiones de archivo especificadas (se pudo usar la coincidencia de tipos verdaderos). La acción predeterminada para estas detecciones en la directiva antimalware predeterminada y en las directivas de seguridad preestablecidas estándar y estricta es rechazar el mensaje en un informe de no entrega (también conocido como NDR o mensaje de rebote). Si el mensaje publicado contiene uno de los tipos de datos adjuntos de archivo especificados, es posible que el mensaje se devuelva al remitente en un NDR.

Cuando un mensaje expira de la cuarentena, no se puede recuperar.

De forma predeterminada, los mensajes de los remitentes bloqueados están ocultos de la vista en cuarentena (la cuarentena está filtrada por No mostrar remitentes bloqueados). Para ver los mensajes de todos los remitentes, seleccione Filtrar y, a continuación, seleccione Mostrar todos los remitentes.

Sugerencia

Si un remitente está bloqueado y No mostrar remitentes bloqueados está seleccionado (valor predeterminado), los mensajes de esos remitentes se muestran en la página Cuarentena y se incluyen en las notificaciones de cuarentena cuando el valor de motivo de invalidación de dirección del remitente es Ninguno. Este comportamiento se produce porque los mensajes se bloquearon debido a razones distintas de las invalidaciones de direcciones del remitente.

Se ha liberado un mensaje de la cuarentena, pero el destinatario original no lo encuentra. ¿Cómo puedo determinar qué pasó con el mensaje?

  • Las soluciones antivirus de terceros, los servicios de seguridad o los conectores salientes pueden causar los siguientes problemas para los mensajes que se liberan de la cuarentena:

    • El mensaje se pone en cuarentena después de su liberación.
    • El contenido se quita del mensaje publicado antes de que llegue a la Bandeja de entrada del destinatario.
    • El mensaje publicado nunca llega a la Bandeja de entrada del destinatario.

    Compruebe que no usa el filtrado de terceros antes de abrir una incidencia de soporte técnico sobre estos problemas.

    Si un filtro de terceros no impide que el mensaje llegue a la Bandeja de entrada del usuario y el primer intento de versión no funcionó, los administradores pueden intentar usar el cmdlet Release-QuarantineMessage en Exchange Online PowerShell con el modificador Force para liberar el mensaje.

    Si Release-QuarantineMessage con el modificador Force no funciona, los administradores deben intentar liberar el mensaje en un buzón alternativo después de desactivar el filtrado por el servicio de terceros. La versión forzada puede hacer que los mensajes se publiquen varias veces.

    Recibirá un error si intenta liberar de forma masiva varios mensajes a todos los destinatarios y se ha realizado una eliminación de mensajes de nivel de destinatario en cualquiera de los mensajes. El administrador debe liberar ese mensaje específico solo para el destinatario donde no se ha producido la eliminación de la cuarentena.

  • Las reglas de bandeja de entrada (creadas por usuarios en Outlook o por administradores que usan los cmdlets *-InboxRule en Exchange Online PowerShell) pueden mover o eliminar mensajes de la Bandeja de entrada.

  • Algunas reglas de flujo de correo que ponen en cuarentena un mensaje pueden hacer que el mensaje publicado se vuelva a poner en cuarentena.

  • Informe a los administradores de que el enrutamiento de los mensajes de cuarentena publicados a los destinatarios de onpremises puede hacer que los mensajes pierdan encabezados antispam, lo que hace que los mensajes vuelvan a ponerse en cuarentena después de su lanzamiento.

Los administradores pueden usar el seguimiento de mensajes para determinar si se entregó un mensaje publicado en la Bandeja de entrada del destinatario.

Los mensajes se liberan inesperadamente desde cuarentena. ¿Por qué ocurre esto?

Los servicios de seguridad o las soluciones antivirus de terceros pueden seleccionar aleatoriamente botones de acción en las notificaciones de cuarentena.

Compruebe que no usa el filtrado de terceros antes de abrir una incidencia de soporte técnico sobre este problema.

Los mensajes en cuarentena que se han liberado tienen el valor Estadoliberado y la propiedad Liberado por disponible en la página Cuarentena .

Los administradores también pueden usar el registro de auditoría para ver quién publicó un mensaje de Cuarentena. Use el valor Mensaje de cuarentena publicada en Actividades: nombres descriptivos. Para obtener instrucciones relacionadas, consulte Búsqueda de quién eliminó un mensaje en cuarentena.

¿Puedo liberar o informar de más de un mensaje en cuarentena a la vez?

En el portal de Microsoft Defender, puede seleccionar y liberar hasta 100 mensajes a la vez.

Los administradores pueden usar los cmdlets Get-QuarantineMessage y Release-QuarantineMessage en Exchange Online PowerShell o PowerShell de EOP independiente para buscar y liberar mensajes en cuarentena de forma masiva y notificar falsos positivos de forma masiva.

Para ver las acciones masivas que están disponibles en la página Cuarentena , consulte Acción en varios mensajes de correo electrónico en cuarentena.

En Defender para Office 365 plan 2, puede usar el Explorador (Explorador de amenazas) para realizar operaciones de versión masiva más grandes (un máximo de 200 000 mensajes).

¿Se admiten caracteres comodín al buscar mensajes en cuarentena? ¿Puedo buscar mensajes en cuarentena para un dominio específico?

Los caracteres comodín no se admiten en el portal de Microsoft Defender. Por ejemplo, al buscar un remitente, debe especificar la dirección de correo electrónico completa. Sin embargo, puede usar caracteres comodín en Exchange Online PowerShell o PowerShell EOP independiente.

Por ejemplo, copie el siguiente código de PowerShell en el Bloc de notas y guarde el archivo como .ps1 en una ubicación que sea fácil de encontrar (por ejemplo, C:\Data\QuarantineRelease.ps1).

A continuación, después de conectarse a Exchange Online PowerShell o Exchange Online Protection PowerShell, ejecute el siguiente comando para ejecutar el script:

& C:\Data\QuarantineRelease.ps1

El script realiza las siguientes acciones:

  • Busque mensajes no publicados que se pusieron en cuarentena como correo no deseado de todos los remitentes del dominio fabrikam. El número máximo de resultados es de 50 000 (50 páginas de 1000 resultados).
  • Guarde los resultados en un archivo CSV.
  • Libere los mensajes en cuarentena coincidentes para todos los destinatarios originales.
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Después de publicar un mensaje, no puede volver a publicarlo.

Cómo notificar a los usuarios finales sus mensajes en cuarentena? ¿Con qué frecuencia se envían las notificaciones de cuarentena?

Si las notificaciones de cuarentena están habilitadas en la directiva de cuarentena asociada, puede configurar las notificaciones de cuarentena para que se envíen cada cuatro horas, diariamente o semanalmente. Para obtener más información, consulte Personalización de todas las notificaciones de cuarentena.

Sugerencia

La programación de notificaciones más rápida y frecuente que está disponible es cada cuatro horas.

Si selecciona cada cuatro horas y un mensaje se pone en cuarentena justo después de la última generación de notificaciones, el destinatario recibirá la notificación de cuarentena ligeramente más de cuatro horas después.

En el caso de los mensajes en cuarentena por purga automática de cero horas (ZAP), las notificaciones de cuarentena se generan en función de cuándo se puso en cuarentena el mensaje, no cuando el mensaje se entregó en el buzón.

También puede configurar notificaciones de cuarentena para mensajes internos (dentro de la organización) solo en las directivas de cuarentena.

¿Por qué los usuarios no reciben notificaciones sobre sus mensajes en cuarentena?

Si la directiva de cuarentena definida para la acción de cuarentena admitida no tiene las notificaciones activadas, no se envían las notificaciones de cuarentena.

Para obtener más información, consulte la última tabla de Anatomía de una directiva de cuarentena y las tablas de características individuales en Configuración recomendada para EOP y Microsoft Defender para Office 365 para ver qué directivas de cuarentena predeterminadas tienen activadas las notificaciones de cuarentena.

Además, las directivas de protección de las directivas de seguridad preestablecidas siempre se aplican antes que las directivas de protección personalizadas. Un usuario definido en la directiva de seguridad preestablecida estándar o estricta nunca obtendrá una directiva de protección personalizada en la que la directiva de cuarentena esté personalizada para activar las notificaciones de cuarentena. Para obtener más información, consulte Configuración de directivas en directivas de seguridad preestablecidas.

Las notificaciones de cuarentena no están habilitadas para los mensajes en cuarentena por reglas de flujo de correo de Exchange (reglas de transporte) o prevención de pérdida de datos (DLP). Estos mensajes tienen la directiva de cuarentena AdminOnly. Las notificaciones de cuarentena tampoco se generan para los mensajes con la directiva de cuarentena DefaultFullAccess.

Cómo personalizar las notificaciones de cuarentena para agregar un logotipo personalizado?

¿Qué permisos son necesarios para que los administradores descarguen o liberen mensajes de la cuarentena?

Consulte la entrada de permisos aquí.

Sugerencia

La capacidad de administrar mensajes en cuarentena mediante permisos de Exchange Online finalizó en febrero de 2023 por MC447339.

Los administradores invitados de otras organizaciones no pueden administrar los mensajes en cuarentena. El administrador debe estar en la misma organización que los destinatarios.

He creado una notificación de cuarentena personalizada para un idioma específico, pero los usuarios no la ven. ¿Qué sucede?

Una notificación de cuarentena personalizada para un idioma diferente se muestra a los usuarios solo cuando su idioma de cuenta o buzón coincide con el idioma de la notificación de cuarentena personalizada.

No puedo obtener una vista previa de un mensaje de Microsoft Teams en cuarentena. ¿Qué sucede?

Si un usuario elimina el mensaje del cliente de Teams, el mensaje ha desaparecido, por lo que la versión preliminar no está disponible en cuarentena para el mensaje eliminado.

No veo el botón **Bloquear remitente** en las notificaciones de cuarentena o en la página **Cuarentena**. Tampoco veo el botón **Aprobar versión** en la página **Cuarentena**. ¿Qué sucede?

El remitente de bloque está deshabilitado de forma predeterminada para los mensajes en cuarentena.

Para los usuarios finales, los administradores pueden crear y asignar una directiva de cuarentena personalizada que incluya la acción Bloquear remitente . Para obtener más información, consulte [Directivas de cuarentena](directivas de cuarentena).

Los administradores solo ven Bloquear remitente si filtran los resultados de cuarentena por Solo el destinatario>yo en lugar del valor predeterminado Todos los usuarios.

La versión de aprobación se ha retirado y ahora se incluye en La versión.

**Filter** y **Search** no funcionan. ¿Qué sucede?

El cuadro Buscar se aplica a los resultados visibles en cuarentena. De forma predeterminada, solo se muestran las primeras 100 entradas hasta que se desplaza hacia abajo hasta la parte inferior de la lista, lo que carga más resultados.

Para filtrar los mensajes en cuarentena por identificador de mensaje de Internet, el valor debe incluir corchetes angulares (<>), incluso en PowerShell.

Los mensajes de cuarentena publicados siguen apareciendo en cuarentena. ¿Qué sucede?

Los mensajes publicados permanecen visibles en cuarentena con el valor Estadopublicado, hasta que:

Las alertas de solicitud de versión no se generan. ¿Qué sucede?

El registro de auditoría debe estar activado (está activado de forma predeterminada). Para obtener más información, vea Activar o desactivar la auditoría.

Las notificaciones de cuarentena duplicadas o múltiples se envían al mismo usuario.

Se envían varias notificaciones de cuarentena o duplicadas al mismo usuario si el parámetro SendFromAliasEnabled del cmdlet Set-OrganizationConfig de Exchange Online PowerShell está establecido en el valor $true.

No puedo ver a todos los destinatarios de un mensaje en cuarentena. ¿Qué sucede?

Los administradores pueden usar el mensaje de vista previa o el encabezado ver mensaje para ver la lista completa de destinatarios.