Configuración recomendada de seguridad para EOP y Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Exchange Online Protection (EOP) es el núcleo de seguridad de las suscripciones de Microsoft 365 y ayuda a evitar que los correos electrónicos malintencionados lleguen a las bandejas de entrada de los empleados. Pero con nuevos ataques más sofisticados que aparecen cada día, a menudo se requieren protecciones mejoradas. Microsoft Defender para Office 365 Plan 1 o Plan 2 contienen características adicionales que proporcionan más niveles de seguridad, control e investigación.

Aunque se permite a los administradores de seguridad personalizar su configuración de seguridad, hay dos niveles de seguridad en EOP y Microsoft Defender para Office 365 que se recomiendan: Estándar y Estricto. Aunque los entornos y las necesidades de los clientes son diferentes, estos niveles de filtrado ayudan a evitar que el correo no deseado llegue a la Bandeja de entrada de los empleados en la mayoría de las situaciones.

Para aplicar automáticamente la configuración estándar o estricta a los usuarios, consulte Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

En este artículo se describen la configuración predeterminada y también la configuración estándar y estricta recomendada para ayudar a proteger a los usuarios. Las tablas contienen la configuración en el portal de Microsoft Defender y PowerShell (Exchange Online PowerShell o PowerShell Exchange Online Protection independiente para organizaciones sin buzones de Exchange Online).

Nota:

El módulo Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) para PowerShell puede ayudar a los administradores a encontrar los valores actuales de esta configuración. En concreto, el cmdlet Get-ORCAReport genera una evaluación de la configuración de protección contra el correo no deseado, la suplantación de identidad (phishing) y otras configuraciones de higiene de mensajes. Puede descargar el módulo ORCA en https://www.powershellgallery.com/packages/ORCA/.

En las organizaciones de Microsoft 365, se recomienda dejar el filtro de Email no deseado en Outlook establecido en Sin filtrado automático para evitar conflictos innecesarios (positivos y negativos) con los veredictos de filtrado de correo no deseado de EOP. Para más información, consulte los siguientes artículos:

Protección contra correo no deseado, antimalware y contra suplantación de identidad (phishing) en EOP

El antispam, el antimalware y la suplantación de identidad son características de EOP que pueden configurar los administradores. Se recomiendan las siguientes configuraciones Estándar o Estricta.

Configuración de directivas antimalware de EOP

Para crear y configurar directivas antimalware, consulte Configuración de directivas antimalware en EOP.

Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

La directiva denominada AdminOnlyAccessPolicy aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como malware, como se describe en la tabla aquí.

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Configuración de protección
Habilitar el filtro de datos adjuntos comunes (EnableFileFilter) Seleccionado ($true)* Seleccionado ($true) Seleccionado ($true) Para obtener la lista de tipos de archivo en el filtro de datos adjuntos comunes, consulte Filtro de datos adjuntos comunes en directivas antimalware.

* El filtro de datos adjuntos comunes está activado de forma predeterminada en las nuevas directivas antimalware que se crean en el portal de Defender o en PowerShell, y en la directiva antimalware predeterminada en las organizaciones creadas después del 1 de diciembre de 2023.
Notificaciones de filtro de datos adjuntos comunes: cuando se encuentran estos tipos de archivo (FileTypeAction) Rechazar el mensaje con un informe de no entrega (NDR) (Reject) Rechazar el mensaje con un informe de no entrega (NDR) (Reject) Rechazar el mensaje con un informe de no entrega (NDR) (Reject)
Habilitación de la purga automática de cero horas para malware (ZapEnabled) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Directiva de cuarentena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
notificaciones de Administración
Notificar a un administrador sobre los mensajes no entregados de remitentes internos (EnableInternalSenderAdminNotifications e InternalSenderAdminAddress) No seleccionado ($false) No seleccionado ($false) No seleccionado ($false) No tenemos ninguna recomendación específica para esta configuración.
Notificar a un administrador sobre los mensajes no entregados de remitentes externos (EnableExternalSenderAdminNotifications y ExternalSenderAdminAddress) No seleccionado ($false) No seleccionado ($false) No seleccionado ($false) No tenemos ninguna recomendación específica para esta configuración.
Personalización de notificaciones No tenemos recomendaciones específicas para esta configuración.
Usar texto de notificación personalizado (CustomNotifications) No seleccionado ($false) No seleccionado ($false) No seleccionado ($false)
From name (CustomFromName) En blanco En blanco En blanco
Desde la dirección (CustomFromAddress) En blanco En blanco En blanco
Personalización de notificaciones para mensajes de remitentes internos Esta configuración solo se usa si se selecciona Notificar a un administrador sobre mensajes no entregados de remitentes internos .
Subject (CustomInternalSubject) En blanco En blanco En blanco
Mensaje (CustomInternalBody) En blanco En blanco En blanco
Personalización de notificaciones para mensajes de remitentes externos Esta configuración solo se usa si se selecciona Notificar a un administrador acerca de los mensajes no entregados de remitentes externos .
Subject (CustomExternalSubject) En blanco En blanco En blanco
Mensaje (CustomExternalBody) En blanco En blanco En blanco

Configuración de directivas contra correo no deseado de EOP

Para crear y configurar directivas contra correo no deseado, consulte Configuración de directivas contra correo no deseado en EOP.

Dondequiera que seleccione Mensaje de cuarentena como acción para un veredicto de filtro de correo no deseado, está disponible un cuadro Seleccionar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Si cambia la acción de un veredicto de filtrado de correo no deseado a Mensaje de cuarentena al crear directivas contra correo no deseado en el portal de Defender, el cuadro Seleccionar directiva de cuarentena está en blanco de forma predeterminada. Un valor en blanco significa que se usa la directiva de cuarentena predeterminada para ese veredicto de filtrado de correo no deseado. Estas directivas de cuarentena predeterminadas aplican las funcionalidades históricas para el veredicto de filtro de correo no deseado que pone en cuarentena el mensaje como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva contra correo no deseado, se mostrará el nombre de la directiva de cuarentena.

Los administradores pueden crear o usar directivas de cuarentena con funcionalidades más restrictivas o menos restrictivas. Para obtener instrucciones, consulte Creación de directivas de cuarentena en el portal de Microsoft Defender.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Umbral de correo electrónico masivo & propiedades de correo no deseado
Umbral de correo electrónico masivo (BulkThreshold) 7 6 5 Para obtener más información, consulte Nivel de quejas masivas (BCL) en EOP.
Correo no deseado en masa (MarkAsSpamBulkMail) (On) (On) (On) Esta configuración solo está disponible en PowerShell.
Aumentar la configuración de puntuación de correo no deseado Todas estas configuraciones forman parte del filtro de correo no deseado avanzado (ASF). Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Marcar como configuración de correo no deseado La mayoría de estas configuraciones forman parte de ASF. Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Contiene idiomas específicos (EnableLanguageBlockList y LanguageBlockList) Desactivado ($false y En blanco) Desactivado ($false y En blanco) Desactivado ($false y En blanco) No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes en lenguajes específicos en función de sus necesidades empresariales.
De estos países (EnableRegionBlockList y RegionBlockList) Desactivado ($false y En blanco) Desactivado ($false y En blanco) Desactivado ($false y En blanco) No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes de países o regiones específicos en función de sus necesidades empresariales.
Modo de prueba (TestModeAction) Ninguna Ninguna Ninguna Esta configuración forma parte de ASF. Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Acciones
Acción de detección de correo no deseado (SpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para correo no deseado (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de correo no deseado están en cuarentena.
Acción de detección de spam de alta confianza (HighConfidenceSpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine) Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para spam de alta confianza (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de correo no deseado de alta confianza están en cuarentena.
Acción de detección de suplantación de identidad (PhishSpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)* Mensaje de cuarentena (Quarantine) Mensaje de cuarentena (Quarantine) *El valor predeterminado es Mover mensaje a la carpeta de Email no deseado en la directiva de correo no deseado predeterminada y en las nuevas directivas contra correo no deseado que cree en PowerShell. El valor predeterminado es Mensaje de cuarentena en las nuevas directivas de antispam que se crean en el portal de Defender.
Directiva de cuarentena para phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de phishing están en cuarentena.
Acción de detección de phishing de alta confianza (HighConfidencePhishAction) Mensaje de cuarentena (Quarantine) Mensaje de cuarentena (Quarantine) Mensaje de cuarentena (Quarantine) Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como suplantación de identidad de alta confianza, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de suplantación de identidad de alta confianza en cuarentena.
Directiva de cuarentena para phishing de alta confianza (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Nivel de cumplimiento masivo (BCL) cumplido o superado (BulkSpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para el nivel de cumplimiento masivo (BCL) cumplido o superado (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones masivas están en cuarentena.
Mensajes dentro de la organización en los que realizar acciones (IntraOrgFilterState) Valor predeterminado (predeterminado) Valor predeterminado (predeterminado) Valor predeterminado (predeterminado) El valor Predeterminado es el mismo que al seleccionar Mensajes de suplantación de identidad de alta confianza. Actualmente, en las organizaciones gubernamentales de Ee. UU. (Microsoft 365 GCC, GCC High y DoD), el valor Predeterminado es el mismo que al seleccionar Ninguno.
Conservar el correo no deseado en cuarentena durante estos días (QuarantineRetentionPeriod) 15 días 30 días 30 días Este valor también afecta a los mensajes que están en cuarentena mediante directivas anti phishing. Para obtener más información, consulte Retención de cuarentena.
Habilitar sugerencias de seguridad contra correo no deseado (InlineSafetyTipsEnabled) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Habilitación de la purga automática de cero horas (ZAP) para mensajes de suplantación de identidad (PhishZapEnabled) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Habilitar ZAP para mensajes de correo no deseado (SpamZapEnabled) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Permitir & lista de bloques
Remitentes permitidos (AllowedSenders) Ninguno Ninguno Ninguno
Dominios de remitente permitidos (AllowedSenderDomains) Ninguno Ninguno Ninguno Agregar dominios a la lista de dominios permitidos es una mala idea. Los atacantes podrían enviarle un correo electrónico que, de lo contrario, se filtraría.

Use la información de inteligencia de suplantación de identidad y la lista de permitidos o bloqueados de inquilinos para revisar todos los remitentes que suplantan las direcciones de correo electrónico del remitente en los dominios de correo electrónico de la organización o suplantan las direcciones de correo electrónico del remitente en dominios externos.
Remitentes bloqueados (BloqueadoSenders) Ninguno Ninguno Ninguno
Dominios de remitente bloqueados (BlockedSenderDomains) Ninguno Ninguno Ninguno

¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.

Configuración de ASF en directivas contra correo no deseado

Para obtener más información sobre la configuración del filtro de correo no deseado avanzado (ASF) en las directivas contra correo no deseado, consulte Configuración avanzada del filtro de correo no deseado (ASF) en EOP.

Nombre de la característica de seguridad Predeterminado Recomendado
Estándar
Recomendado
Estricto
Comentario
Vínculos de imagen a sitios remotos (IncreaseScoreWithImageLinks) Desactivado Desactivado Desactivado
Dirección IP numérica en la dirección URL (IncreaseScoreWithNumericIps) Desactivado Desactivado Desactivado
Redirección de dirección URL a otro puerto (IncreaseScoreWithRedirectToOtherPort) Desactivado Desactivado Desactivado
Vínculos a sitios web .biz o .info (IncreaseScoreWithBizOrInfoUrls) Desactivado Desactivado Desactivado
Mensajes vacíos (MarkAsSpamEmptyMessages) Desactivado Desactivado Desactivado
Insertar etiquetas en HTML (MarkAsSpamEmbedTagsInHtml) Desactivado Desactivado Desactivado
JavaScript o VBScript en HTML (MarkAsSpamJavaScriptInHtml) Desactivado Desactivado Desactivado
Etiquetas de formulario en HTML (MarkAsSpamFormTagsInHtml) Desactivado Desactivado Desactivado
Etiquetas frame o iframe en HTML (MarkAsSpamFramesInHtml) Desactivado Desactivado Desactivado
Errores web en HTML (MarkAsSpamWebBugsInHtml) Desactivado Desactivado Desactivado
Etiquetas de objeto en HTML (MarkAsSpamObjectTagsInHtml) Desactivado Desactivado Desactivado
Palabras confidenciales (MarkAsSpamSensitiveWordList) Desactivado Desactivado Desactivado
Registro SPF: error duro (MarkAsSpamSpfRecordHardFail) Desactivado Desactivado Desactivado
Error de filtrado de identificador de remitente (MarkAsSpamFromAddressAuthFail) Desactivado Desactivado Desactivado
Backscatter (MarkAsSpamNdrBackscatter) Desactivado Desactivado Desactivado
Modo de prueba (TestModeAction) Ninguno Ninguno Ninguno En el caso de las opciones de ASF que admiten Probar como una acción, puede configurar la acción del modo de prueba en Ninguno, Agregar texto de encabezado X predeterminado o Enviar mensaje cco (None, AddXHeadero BccMessage). Para obtener más información, vea Habilitar, deshabilitar o probar la configuración de ASF.

Nota:

ASF agrega X-CustomSpam: campos de encabezado X a los mensajes después de que las reglas de flujo de correo de Exchange hayan procesado los mensajes (también conocidas como reglas de transporte), por lo que no puede usar reglas de flujo de correo para identificar y actuar en los mensajes filtrados por ASF.

Configuración de la directiva de correo no deseado saliente de EOP

Para crear y configurar directivas de correo no deseado saliente, consulte Configuración del filtrado de correo no deseado saliente en EOP.

Para obtener más información sobre los límites de envío predeterminados en el servicio, consulte Límites de envío.

Nota:

Las directivas de correo no deseado saliente no forman parte de las directivas de seguridad preestablecidas Estándar o Estricta. Los valores Estándar y Estricto indican nuestros valores recomendados en la directiva de correo no deseado saliente predeterminada o en las directivas de correo no deseado de salida personalizadas que cree.

Nombre de la característica de seguridad Predeterminado Recomendado
Estándar
Recomendado
Estricto
Comentario
Establecer un límite de mensajes externos (RecipientLimitExternalPerHour) 0 500 400 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecer un límite de mensajes interno (RecipientLimitInternalPerHour) 0 1000 800 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecer un límite de mensajes diario (RecipientLimitPerDay) 0 1000 800 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Restricción impuesta a los usuarios que alcanzan el límite de mensajes (ActionWhenThresholdReached) Restringir al usuario el envío de correo hasta el día siguiente (BlockUserForToday) Impedir que el usuario envíe correo (BlockUser) Impedir que el usuario envíe correo (BlockUser)
Reglas de reenvío automático (AutoForwardingMode) Automático: controlado por el sistema (Automatic) Automático: controlado por el sistema (Automatic) Automático: controlado por el sistema (Automatic)
Enviar una copia de mensajes salientes que superen estos límites a estos usuarios y grupos (BccSuspiciousOutboundMail y BccSuspiciousOutboundAdditionalRecipients) No seleccionado ($false y En blanco) No seleccionado ($false y En blanco) No seleccionado ($false y En blanco) No tenemos ninguna recomendación específica para esta configuración.

Esta configuración solo funciona en la directiva de correo no deseado saliente predeterminada. No funciona en las directivas de correo no deseado de salida personalizadas creadas por usted.
Notificar a estos usuarios y grupos si un remitente está bloqueado debido al envío de correo no deseado saliente (NotifyOutboundSpam y NotifyOutboundSpamRecipients) No seleccionado ($false y En blanco) No seleccionado ($false y En blanco) No seleccionado ($false y En blanco) La directiva de alerta predeterminada denominada User restricted from sending email already send email notifications to members of the TenantAdmins group (Global Administrator members) when users are blocked due to exceeding the limits in policy(Usuarios restringidos al envío de correo electrónico ya envía notificaciones por correo electrónico a los miembros del grupo TenantAdmins (miembros de administrador global ) cuando los usuarios se bloquean debido a que superan los límites de la directiva. Se recomienda encarecidamente usar la directiva de alertas en lugar de esta configuración en la directiva de correo no deseado saliente para notificar a los administradores y a otros usuarios. Para obtener instrucciones, consulte Comprobación de la configuración de alertas para usuarios restringidos.

Configuración de la directiva contra suplantación de identidad (EOP)

Para obtener más información sobre esta configuración, consulte Configuración de suplantación de identidad. Para configurar estas opciones, consulte Configuración de directivas contra suplantación de identidad en EOP.

La configuración de suplantación de identidad está relacionada entre sí, pero la opción Mostrar la sugerencia de seguridad de primer contacto no depende de la configuración de suplantación.

Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Aunque el valor aplicar directiva de cuarentena aparece sin seleccionar al crear una directiva anti-phishing en el portal de Defender, la directiva de cuarentena denominada DefaultFullAccessPolicy¹ se usa si no selecciona una directiva de cuarentena. Esta directiva aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como suplantación de identidad, como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva de cuarentena, se muestra el nombre de la directiva de cuarentena.

Los administradores pueden crear o usar directivas de cuarentena con funcionalidades más restrictivas o menos restrictivas. Para obtener instrucciones, consulte Creación de directivas de cuarentena en el portal de Microsoft Defender.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Protección & umbral de suplantación de identidad
Habilitar la inteligencia de suplantación de identidad (EnableSpoofIntelligence) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Acciones
Respetar la directiva de registros DMARC cuando el mensaje se detecta como suplantación de identidad (HonorDmarcPolicy) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Cuando esta configuración está activada, se controla lo que sucede con los mensajes en los que el remitente produce un error en las comprobaciones de DMARC explícitas cuando la acción de directiva en el registro TXT de DMARC está establecida p=quarantine en o p=reject. Para obtener más información, consulte Protección contra suplantación de identidad y directivas DMARC de remitente.
Si el mensaje se detecta como suplantación de identidad y la directiva DMARC se establece como p=quarantine (DmarcQuarantineAction) Poner en cuarentena el mensaje (Quarantine) Poner en cuarentena el mensaje (Quarantine) Poner en cuarentena el mensaje (Quarantine) Esta acción solo es significativa cuando se activa la directiva de registro de Honor DMARC cuando se detecta el mensaje como suplantación de identidad .
Si el mensaje se detecta como suplantación de identidad y la directiva DMARC se establece como p=reject (DmarcRejectAction) Rechazar el mensaje (Reject) Rechazar el mensaje (Reject) Rechazar el mensaje (Reject) Esta acción solo es significativa cuando se activa la directiva de registro de Honor DMARC cuando se detecta el mensaje como suplantación de identidad .
Si el mensaje se detecta como suplantación por inteligencia de suplantación de identidad (AuthenticationFailAction) Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf) Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf) Poner en cuarentena el mensaje (Quarantine) Esta configuración se aplica a los remitentes suplantados que se bloquearon automáticamente como se muestra en la información de inteligencia sobre suplantación de identidad o que se bloquearon manualmente en la lista de permitidos o bloqueados de inquilinos.

Si selecciona Poner en cuarentena el mensaje como acción para el veredicto de suplantación de identidad, está disponible un cuadro Aplicar directiva de cuarentena .
Directiva de cuarentena para la suplantación de identidad (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de suplantación de identidad están en cuarentena.
Mostrar la primera sugerencia de seguridad de contactos (EnableFirstContactSafetyTips) No seleccionado ($false) Seleccionado ($true) Seleccionado ($true) Para obtener más información, consulte Sugerencia de seguridad ante un primer contacto.
Mostrar (?) para remitentes no autenticados para suplantación de identidad (EnableUnauthenticatedSender) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Agrega un signo de interrogación (?) a la foto del remitente en Outlook para remitentes suplantados no identificados. Para obtener más información, consulte Indicadores de remitente no autenticados.
Mostrar etiqueta "via" (EnableViaTag) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Agrega una etiqueta via (chris@contoso.com a través de fabrikam.com) a la dirección From si es diferente del dominio de la firma DKIM o de la dirección MAIL FROM .

Para obtener más información, consulte Indicadores de remitente no autenticados.

¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.

seguridad de Microsoft Defender para Office 365

Las ventajas de seguridad adicionales incluyen una suscripción Microsoft Defender para Office 365. Para obtener las últimas noticias e información, puede ver las novedades de Defender para Office 365.

Importante

Si la suscripción incluye Microsoft Defender para Office 365 o si ha comprado Defender para Office 365 como complemento, establezca las siguientes configuraciones Estándar o Estricta.

Configuración de directivas contra suplantación de identidad (phishing) en Microsoft Defender para Office 365

Los clientes de EOP obtienen anti-phishing básico como se describió anteriormente, pero Defender para Office 365 incluye más características y control para ayudar a prevenir, detectar y corregir ataques. Para crear y configurar estas directivas, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Configuración avanzada en las directivas contra suplantación de identidad en Microsoft Defender para Office 365

Para obtener más información sobre esta configuración, consulte Umbrales avanzados de suplantación de identidad en las directivas contra suplantación de identidad en Microsoft Defender para Office 365. Para configurar esta configuración, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Umbral de correo electrónico de suplantación de identidad (PhishThresholdLevel) 1 - Estándar (1) 3 - Más agresivo (3) 4 - Más agresivo (4)

Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365

Para obtener más información sobre esta configuración, consulte Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365. Para configurar estas opciones, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Dondequiera que seleccione Poner en cuarentena el mensaje como acción para un veredicto de suplantación, está disponible un cuadro Aplicar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

Aunque el valor aplicar directiva de cuarentena aparece sin seleccionar al crear una directiva anti-phishing en el portal de Defender, la directiva de cuarentena denominada DefaultFullAccessPolicy se usa si no selecciona una directiva de cuarentena. Esta directiva aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como suplantación, como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva de cuarentena, se muestra el nombre de la directiva de cuarentena.

Los administradores pueden crear o usar directivas de cuarentena con funcionalidades más restrictivas o menos restrictivas. Para obtener instrucciones, consulte Creación de directivas de cuarentena en el portal de Microsoft Defender.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Protección & umbral de suplantación de identidad
Protección de suplantación de usuario: permitir que los usuarios protejan (EnableTargetedUserProtection y TargetedUsersToProtect) No seleccionado ($false y ninguno) Seleccionado ($true y <lista de usuarios>) Seleccionado ($true y <lista de usuarios>) Se recomienda agregar usuarios (remitentes de mensajes) en roles clave. Internamente, los remitentes protegidos pueden ser su director general, director financiero y otros líderes sénior. Externamente, los remitentes protegidos podrían incluir miembros del consejo o su consejo de administración.
Protección de suplantación de dominio: habilitación de dominios para proteger No seleccionada Seleccionado Seleccionado
Incluir dominios propios (EnableOrganizationDomainsProtection) Desactivado ($false) Seleccionado ($true) Seleccionado ($true)
Incluir dominios personalizados (EnableTargetedDomainsProtection y TargetedDomainsToProtect) Desactivado ($false y ninguno) Seleccionado ($true y <lista de dominios>) Seleccionado ($true y <lista de dominios>) Se recomienda agregar dominios (dominios de remitente) que no posea, pero que interactúe con frecuencia.
Agregar remitentes y dominios de confianza (ExcludedSenders y ExcludedDomains) Ninguno Ninguno Ninguno En función de su organización, se recomienda agregar remitentes o dominios que se identifiquen incorrectamente como intentos de suplantación.
Habilitar la inteligencia de buzones (EnableMailboxIntelligence) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Habilitar la inteligencia para la protección contra suplantación (EnableMailboxIntelligenceProtection) Desactivado ($false) Seleccionado ($true) Seleccionado ($true) Esta configuración permite la acción especificada para las detecciones de suplantación por parte de la inteligencia del buzón de correo.
Acciones
Si se detecta un mensaje como suplantación de usuario (TargetedUserProtectionAction) No aplique ninguna acción (NoAction) Poner en cuarentena el mensaje (Quarantine) Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de usuario (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de suplantación de usuario están en cuarentena.
Si se detecta un mensaje como suplantación de dominio (TargetedDomainProtectionAction) No aplique ninguna acción (NoAction) Poner en cuarentena el mensaje (Quarantine) Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de dominio (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de suplantación de dominio están en cuarentena.
Si la inteligencia de buzones detecta un usuario suplantado (MailboxIntelligenceProtectionAction) No aplique ninguna acción (NoAction) Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf) Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de inteligencia de buzón (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La directiva de cuarentena solo es significativa si las detecciones de inteligencia del buzón están en cuarentena.
Mostrar sugerencia de seguridad de suplantación de usuario (EnableSimilarUsersSafetyTips) Desactivado ($false) Seleccionado ($true) Seleccionado ($true)
Mostrar sugerencia de seguridad de suplantación de dominio (EnableSimilarDomainsSafetyTips) Desactivado ($false) Seleccionado ($true) Seleccionado ($true)
Mostrar sugerencia de seguridad de caracteres inusuales de suplantación de usuario (EnableUnusualCharactersSafetyTips) Desactivado ($false) Seleccionado ($true) Seleccionado ($true)

¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.

Configuración de directivas contra phishing de EOP en Microsoft Defender para Office 365

Estas son las mismas opciones que están disponibles en la configuración de directivas contra correo no deseado en EOP.

Configuración de datos adjuntos seguros

Datos adjuntos seguros en Microsoft Defender para Office 365 incluye la configuración global que no tiene ninguna relación con las directivas de datos adjuntos seguros y la configuración específica de cada directiva de vínculos seguros. Para obtener más información, vea Datos adjuntos seguros en Defender para Office 365.

Aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios que no están definidos en las directivas de seguridad preestablecidas Estándar o Estricto o en directivas de datos adjuntos seguros personalizadas. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

Configuración global de datos adjuntos seguros

Nota:

La configuración global de Datos adjuntos seguros se establece mediante la directiva de seguridad preestablecida de protección integrada , pero no por las directivas de seguridad preestablecidas Estándar o Estricta . En cualquier caso, los administradores pueden modificar esta configuración global de datos adjuntos seguros en cualquier momento.

La columna Predeterminado muestra los valores antes de la existencia de la directiva de seguridad preestablecida de protección integrada . La columna Protección integrada muestra los valores establecidos por la directiva de seguridad preestablecida de protección integrada , que también son nuestros valores recomendados.

Para configurar estas opciones, vea Activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams y Documentos seguros en Microsoft 365 E5.

En PowerShell, se usa el cmdlet Set-AtpPolicyForO365 para esta configuración.

Nombre de la característica de seguridad Predeterminado Protección integrada Comentario
Activar Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams (EnableATPForSPOTeamsODB) Desactivado ($false) Activado ($true) Para evitar que los usuarios descarguen archivos malintencionados, consulte Uso de PowerShell de SharePoint Online para evitar que los usuarios descarguen archivos malintencionados.
Activar documentos seguros para clientes de Office (EnableSafeDocs) Desactivado ($false) Activado ($true) Esta característica solo está disponible y es significativa con licencias que no se incluyen en Defender para Office 365 (por ejemplo, Microsoft 365 A5 o Seguridad de Microsoft 365 E5). Para obtener más información, consulte Documentos seguros en Microsoft 365 A5 o E5 Security.
Permitir a los usuarios hacer clic en la vista protegida incluso si documentos seguros identificaron el archivo como malintencionado (AllowSafeDocsOpen) Desactivado ($false) Desactivado ($false) Esta configuración está relacionada con documentos seguros.

Configuración de directiva de datos adjuntos seguros

Para configurar estas opciones, consulte Configuración de directivas de datos adjuntos seguros en Defender para Office 365.

En PowerShell, se usan los cmdlets New-SafeAttachmentPolicy y Set-SafeAttachmentPolicy para esta configuración.

Nota:

Como se describió anteriormente, aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios que no están definidos en la directiva de seguridad preestablecida Estándar, la directiva de seguridad preestablecida Estricta o en directivas de datos adjuntos seguros personalizadas.

La columna Predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de datos adjuntos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.

Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.

La directiva denominada AdminOnlyAccessPolicy aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como malware, como se describe en la tabla aquí.

Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante datos adjuntos seguros, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.

Nombre de la característica de seguridad Valor predeterminado en personalizado Protección integrada Estándar Estricto Comentario
Respuesta de malware desconocida de Datos adjuntos seguros (Habilitar y Acción) Desactivado (-Enable $false y -Action Block) Bloquear (-Enable $true y -Action Block) Bloquear (-Enable $true y -Action Block) Bloquear (-Enable $true y -Action Block) Cuando se $false el parámetro Enable , el valor del parámetro Action no importa.
Directiva de cuarentena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Datos adjuntos de redireccionamiento con datos adjuntos detectados : Habilitar redirección (Redirect y RedirectAddress) No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco) No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco) No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco) No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco) El redireccionamiento de mensajes solo está disponible cuando el valor de respuesta de malware desconocido datos adjuntos seguros es Monitor (-Enable $true y -Action Allow).

Para obtener más información sobre la protección de vínculos seguros, consulte Vínculos seguros en Defender para Office 365.

Aunque no hay ninguna directiva de vínculos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de vínculos seguros a todos los destinatarios que no están definidos en la directiva de seguridad preestablecida estándar, la directiva de seguridad preestablecida estricta o en directivas de vínculos seguros personalizadas. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

Para configurar la configuración de directivas de vínculos seguros, consulte Configuración de directivas de vínculos seguros en Microsoft Defender para Office 365.

En PowerShell, se usan los cmdlets New-SafeLinksPolicy y Set-SafeLinksPolicy para la configuración de la directiva vínculos seguros.

Nota:

La columna Valor predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de vínculos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.

Nombre de la característica de seguridad Valor predeterminado en personalizado Protección integrada Estándar Estricto Comentario
Configuración de la protección & hacer clic en la dirección URL
Correo electrónico La configuración de esta sección afecta a la reescritura de direcciones URL y a la hora de la protección de clics en los mensajes de correo electrónico.
Activado: Vínculos seguros comprueba una lista de vínculos conocidos y malintencionados cuando los usuarios hacen clic en vínculos de correo electrónico. Las direcciones URL se vuelven a escribir de forma predeterminada. (EnableSafeLinksForEmail) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Aplicar vínculos seguros a los mensajes de correo electrónico enviados dentro de la organización (EnableForInternalSenders) Seleccionado ($true) No seleccionado ($false) Seleccionado ($true) Seleccionado ($true)
Aplicar el examen de direcciones URL en tiempo real en busca de vínculos sospechosos y vínculos que apunten a archivos (ScanUrls) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Espere a que se complete el examen de direcciones URL antes de entregar el mensaje (DeliverMessageAfterScan) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
No reescribir direcciones URL, realizar comprobaciones solo a través de la API de vínculos seguros (DisableURLRewrite) Seleccionado ($false)* Seleccionado ($true) No seleccionado ($false) No seleccionado ($false) * En las nuevas directivas de vínculos seguros que cree en el portal de Defender, esta configuración se selecciona de forma predeterminada. En las nuevas directivas de vínculos seguros que se crean en PowerShell, el valor predeterminado del parámetro DisableURLRewrite es $false.
No vuelva a escribir las siguientes direcciones URL en el correo electrónico (DoNotRewriteUrls) En blanco En blanco En blanco En blanco No tenemos ninguna recomendación específica para esta configuración.

Nota: Las entradas de la lista "No volver a escribir las siguientes direcciones URL" no se examinan ni encapsulan mediante vínculos seguros durante el flujo de correo. Informe de la dirección URL como he confirmado que está limpia y, a continuación, seleccione Permitir esta dirección URL para agregar una entrada de permiso a la lista de permitidos o bloqueados de inquilinos para que la dirección URL no se examine ni ajuste mediante vínculos seguros durante el flujo de correo y en el momento de hacer clic. Para obtener instrucciones, consulte Notificar direcciones URL correctas a Microsoft.
Teams La configuración de esta sección afecta al tiempo de protección de clics en Microsoft Teams.
Activado: Vínculos seguros comprueba una lista de vínculos conocidos y malintencionados cuando los usuarios hacen clic en vínculos en Microsoft Teams. Las direcciones URL no se reescriben. (EnableSafeLinksForTeams) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
aplicaciones de Office 365 La configuración de esta sección afecta al tiempo de protección de clics en las aplicaciones de Office.
Activado: Vínculos seguros comprueba una lista de vínculos malintencionados conocidos cuando los usuarios hacen clic en vínculos en aplicaciones de Microsoft Office. Las direcciones URL no se reescriben. (EnableSafeLinksForOffice) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Use Vínculos seguros en aplicaciones compatibles Office 365 de escritorio y móviles (iOS y Android). Para obtener más información, vea Configuración de vínculos seguros para aplicaciones de Office.
Configuración de protección de clics
Seguimiento de clics de usuario (TrackClicks) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true) Seleccionado ($true)
Permitir a los usuarios hacer clic en la dirección URL original (AllowClickThrough) Seleccionado ($false)* Seleccionado ($true) No seleccionado ($false) No seleccionado ($false) * En las nuevas directivas de vínculos seguros que cree en el portal de Defender, esta configuración se selecciona de forma predeterminada. En las nuevas directivas de vínculos seguros que se crean en PowerShell, el valor predeterminado del parámetro AllowClickThrough es $false.
Mostrar la personalización de marca de la organización en las páginas de notificación y advertencia (EnableOrganizationBranding) No seleccionado ($false) No seleccionado ($false) No seleccionado ($false) No seleccionado ($false) No tenemos ninguna recomendación específica para esta configuración.

Antes de activar esta configuración, debe seguir las instrucciones de Personalización del tema de Microsoft 365 para que su organización cargue el logotipo de la empresa.
Notificación
¿Cómo desea notificar a los usuarios? (CustomNotificationText y UseTranslatedNotificationText) Use el texto de notificación predeterminado (En blanco y $false) Use el texto de notificación predeterminado (En blanco y $false) Use el texto de notificación predeterminado (En blanco y $false) Use el texto de notificación predeterminado (En blanco y $false) No tenemos ninguna recomendación específica para esta configuración.

Puede seleccionar Usar texto de notificación personalizado (-CustomNotificationText "<Custom text>") para escribir y usar texto de notificación personalizado. Si especifica texto personalizado, también puede seleccionar Usar Microsoft Translator para la localización automática (-UseTranslatedNotificationText $true) para traducir automáticamente el texto al idioma del usuario.