Protección contra correo no deseado

  • Artículo

Se aplica a: Exchange Server 2013

Los spammers, o remitentes malintencionados, usan diversas técnicas para enviar correo electrónico no deseado a una organización. Ninguna herramienta o proceso puede eliminar por sí solo todo el correo electrónico no deseado. Sin embargo, Microsoft Exchange Server 2013 proporciona un enfoque en capas, multiprongidos y multifacético para reducir estos mensajes no deseados. Exchange usa agentes de transporte para proporcionar protección contra correo no deseado y los agentes integrados que están disponibles en Exchange 2013 están relativamente sin cambios a partir de Microsoft Exchange Server 2010.

Para obtener más características contra correo no deseado y una administración más sencilla, puede optar por comprar Microsoft Exchange Online Protection (EOP). Para ver una comparación de las características de EOP y Exchange 2013, consulte Ventajas de las características contra correo no deseado en Exchange Online Protection a lo largo de Exchange Server 2013. Para obtener más información sobre Microsoft 365 o Office 365 protección contra correo no deseado, consulte Protección contra correo no deseado en EOP.

Para obtener información sobre las funcionalidades integradas de antimalware en Exchange 2013, consulte Protección contra malware.

Agentes contra correo no deseado en servidores de buzones de correo

Normalmente, habilitaría los agentes antispam en un servidor de buzón de correo si su organización no tiene un servidor de transporte perimetral o no realiza ningún filtrado antispam anterior antes de aceptar los mensajes entrantes. Para obtener más información, consulte Habilitar la funcionalidad contra correo electrónico no deseado en un servidor Buzón de correo.

Al igual que todos los agentes de transporte, a cada agente antispam se le asigna un valor de prioridad. Un valor inferior indica una prioridad más alta, por lo que normalmente, un agente antispam con prioridad 1 actuará en un mensaje antes que un agente antispam con prioridad 9. Sin embargo, el evento SMTP donde está registrado el agente antispam también es muy importante para determinar el orden en que los agentes antispam actúan en los mensajes. Un agente antispam de prioridad baja registrado en un evento SMTP al principio de la canalización de transporte actuará en un mensaje antes de un agente antispam de prioridad alta registrado en un evento SMTP más adelante en la canalización de transporte.

En función del valor de prioridad predeterminado del agente antispam y del evento SMTP en la canalización de transporte donde está registrado el agente antispam, en la lista siguiente se describen los agentes y el orden predeterminado en el que se aplican a los mensajes de un servidor de buzones:

  1. Agente de filtro de remitente: el filtrado de remitentes compara el remitente en el comando MAIL FROM: SMTP con una lista definida por el administrador de remitentes o dominios de remitente que tienen prohibido enviar mensajes a la organización para determinar qué acción, si existe, realizar un mensaje entrante. Para obtener más información, consulte Filtrado de remitentes.

  2. Agente de id. de remitente: el identificador de remitente se basa en la dirección IP del servidor de envío y en la dirección responsable (PRA) del remitente para determinar si el remitente está suplantado o no. Para obtener más información, consulte Id. del remitente.

  3. Agente de filtro de contenido: el filtrado de contenido evalúa el contenido de un mensaje. Para obtener más información, consulte Filtrado de contenido.

    La cuarentena de correo electrónico no deseado es una función del agente de filtro de contenido que reduce el riesgo de pérdida de mensajes legítimos que se clasifican incorrectamente como correo electrónico no deseado. La cuarentena de correo no deseado proporciona una ubicación de almacenamiento temporal para los mensajes identificados como correo no deseado y que no deben ser entregados a un buzón de usuario dentro de la organización. Para más información, vea Cuarentena de correo electrónico no deseado.

    El filtrado de contenido también actúa sobre la característica de agregación de lista segura. La agregación safelist recopila datos de las listas seguras contra correo no deseado que Microsoft Outlook y Outlook Web App usuarios configuran y pone estos datos a disposición del agente de filtro de contenido. Para más información, vea Agregación de lista segura.

  4. Agente de análisis de protocolos: el agente de análisis de protocolos es el agente subyacente que implementa la funcionalidad de reputación del remitente. La reputación del remitente se basa en datos que se conservan acerca de la dirección IP del servidor de envío para determinar qué acción ejecutar, si procede, ante un mensaje entrante. El nivel de reputación del remitente (SRL) se calcula a partir de varias características del remitente obtenidas del análisis del mensaje y de pruebas externas. Para más información, vea Reputación del remitente y agente de análisis de protocolo.

Agentes contra correo no deseado en servidores de transporte perimetral

Si su organización tiene instalado un servidor de transporte perimetral en la red perimetral, todos los agentes contra correo no deseado que están disponibles en un servidor de buzones de correo se instalan y habilitan de forma predeterminada en el servidor de transporte perimetral. Sin embargo, los siguientes agentes contra correo no deseado solo están disponibles en un servidor de transporte perimetral:

  • Agente de filtrado de conexiones: el filtrado de conexiones inspecciona la dirección IP del servidor remoto que intenta enviar mensajes para determinar qué acción, si existe, debe realizarse en un mensaje entrante. El filtrado de conexiones usa una lista de direcciones IP bloqueadas, una lista de direcciones IP permitidas, servicios de proveedor de listas de direcciones IP bloqueadas y servicios de proveedor de listas de direcciones IP permitidas para determinar si se debe bloquear o permitir la dirección IP de conexión. Para obtener más información, consulte Filtrado de conexiones en servidores de transporte perimetral.

  • Agente de filtro de destinatarios: el filtrado de destinatarios compara los destinatarios del mensaje en el comando RCPT TO: SMTP con una lista de bloques de destinatarios definida por el administrador. Si se encuentra una coincidencia, no se permite que el mensaje entre en la organización. El filtro de destinatario también compara los destinatarios de los mensajes entrantes con el directorio de destinatarios local para determinar si el mensaje se dirige a destinatarios válidos. Cuando un mensaje no se dirige a destinatarios válidos, el mensaje se rechaza. Para obtener más información, consulte Filtrado de destinatarios en servidores de transporte perimetral.

    Nota:

    Aunque el agente de filtrado de destinatarios está disponible en los servidores de buzones de correo, no debe configurarlo. Cuando el filtrado de destinatarios en un servidor de buzones de correo detecta un destinatario bloqueado o no válido en un mensaje que incluye otros destinatarios válidos, el mensaje se rechaza. Si instala agentes contra el correo no deseado en un servidor de buzones de correo, el agente de filtrado de destinatarios se habilita de manera predeterminada. Sin embargo, no está configurado para bloquear ningún destinatario.

  • Agente de filtrado de datos adjuntos: el filtrado de datos adjuntos bloquea los mensajes en función del nombre de archivo adjunto, la extensión de nombre de archivo o el tipo de contenido MIME del archivo. Puede configurarlo para bloquear un mensaje y sus datos adjuntos, para quitar los datos adjuntos y permitir el paso del mensaje o para eliminar el mensaje y sus datos adjuntos sin avisar. Para obtener más información, consulte Filtrado de datos adjuntos en servidores de transporte perimetral.

En función del valor de prioridad predeterminado del agente antispam y del evento SMTP en la canalización de transporte donde está registrado el agente antispam, este es el orden predeterminado en el que se aplican los agentes antispam en un servidor de transporte perimetral:

  1. Agente de filtro de conexión

  2. Agente de filtro de remitentes

  3. Agente de filtro de destinatarios

  4. Agente de Id. de remitente

  5. Agente de filtro de contenido

  6. Agente de análisis de protocolo para la reputación del remitente

  7. Agente de filtrado de datos adjuntos

Marcas de correo no deseado

Las marcas de correo electrónico no deseado le ayudan a diagnosticar los problemas relacionados con el correo no deseado mediante la aplicación de metadatos de diagnóstico, o marcas, como información específica del remitente, resultados de la validación del puzzle y resultados del filtrado de contenido, a los mensajes, mientras pasan a través de las características contra correo electrónico no deseado que filtran los mensajes entrantes de Internet. Para obtener más información, consulte Marcas de correo no deseado.

Estrategia para el enfoque contra el correo no deseado

Es necesario planear y calcular cuidadosamente la estrategia para configurar las características contra correo electrónico no deseado y establecer la agresividad de la configuración de los agentes contra correo electrónico no deseado. Si establece todos los filtros de las características contra correo electrónico no deseado en sus niveles más agresivos y configura dichas características para rechazar los mensajes sospechosos, hay una mayor probabilidad de que también rechace mensajes que no son correo electrónico no deseado. Por otro lado, si no establece los filtros contra correo electrónico no deseado en un nivel lo suficientemente agresivo, y no establece el umbral del nivel de confianza contra correo no deseado (SCL) lo suficientemente bajo, es probable que no disminuya el correo electrónico no deseado que entra en la organización.

Se recomienda rechazar un mensaje cuando Exchange detecta un mensaje incorrecto a través del agente de filtrado de conexiones, el agente de filtro de destinatarios o el agente de filtro de remitente. Esta opción es mejor que poner dichos mensajes en cuarentena o asignar metadatos a los mismos, como soluciones contra correo electrónico no deseado. El agente de filtrado de conexiones y el agente de filtro de destinatarios bloquean automáticamente los mensajes identificados por los filtros respectivos. El agente de filtrado de remitente se puede configurar.

Se recomienda esta práctica dado que el SCL subyacente en el filtrado de conexión, filtrado de remitente o filtrado de destinatario es relativamente alto. Por ejemplo, con el filtrado de remitente, en el que el administrador ha configurado el bloqueo de determinados remitentes, no hay razón alguna para asignar los datos del filtrado de remitente a tales mensajes y continuar procesándolos. En la mayoría de las organizaciones, se deben rechazar los mensajes bloqueados. (Si no desea rechazar los mensajes, no debe colocarlos en la lista de remitentes bloqueados).

La misma lógica se aplica a los servicios de la lista de bloqueo en tiempo real y al filtrado de destinatario, si bien la confianza subyacente no es tan alta como en la lista de direcciones IP bloqueadas. Tenga en cuenta que cuanto más avanza un mensaje en la ruta del flujo de correo, mayor es la probabilidad de falsos positivos, porque las características contra correo electrónico no deseado están evaluando más variables. Por tanto, es posible que observe que si configura las primeras características contra correo electrónico no deseado en la cadena contra correo electrónico no deseado de forma más agresiva, puede reducir la mayor parte del correo electrónico no deseado. En consecuencia, se ahorrarán recursos de procesamiento, de ancho de banda y de disco de modo que se puedan procesar más mensajes ambiguos.

En última instancia, deberá organizar la supervisión de la efectividad general de las características contra correo electrónico no deseado. Una supervisión cuidadosa le permitirá seguir ajustando dichas características para que funcionen bien juntas en su entorno. Con este enfoque, al empezar deberá diseñar una configuración no muy agresiva de las características contra correo electrónico no deseado. Esto permite reducir el número de falsos positivos. A medida que supervise y ajuste las características contra correo electrónico no deseado, determinará mejor el tipo y los ataques de correo electrónico no deseado que experimenta la organización.

Consulta también

Protección contra correo no deseado en EOP