Prácticas recomendadas para configurar FOPE

  • Artículo

 

Se aplica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tema modificado por última vez: 2013-05-17

Nuestros clientes han comprobado que conocer lo que se muestra a continuación acerca de su servicio de Forefront Online Protection para Exchange (FOPE) los ha ayudado a aprovechar al máximo el servicio y a asegurar que funciona del mejor modo posible. Para ver una demostración en vídeo de cómo configurar las opciones que se describen en este tema, vea Prácticas recomendadas para la configuración de Forefront Online Protection for Exchange (solo en inglés).

Herramienta de sincronización de directorios

La Herramienta de sincronización de directorios gratuita constituye un buen modo de sincronizar de forma segura y automática las direcciones proxy válidas del usuario final (y de su Lista de remitentes seguros, si está disponible) entre un servicio local de Active Directory, los servicios de FOPE y de Exchange Hosted Archive. La Herramienta de sincronización de directorios se encuentra en la siguiente dirección:https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

Cuando haya descargado la Herramienta de sincronización de directorios, puede cargar una lista de usuarios (y sus direcciones de correo electrónico) a la red de Hosted Services a través de la Herramienta de sincronización de directorios. La lista de usuarios que se ha cargado se puede utilizar posteriormente para el Bloqueo perimetral basado en directorios (si se configura el bloqueo perimetral basado en directorios del dominio en modo Rechazar), para el acceso a Cuarentena o para los servicios de archivo.

Si su compañía no cuenta con un entorno de Microsoft Windows Active Directory, puede asignar como origen de la Lista de usuarios al Centro de administración o a un FTP seguro (opciones alternativas para cargar listas de usuarios).

Para obtener más información, tal como información general conceptual, instrucciones de instalación e información de soporte sobre DST de FOPE, consulte La Herramienta de sincronización de directorios.

Configuración del registro SPF

SPF se emplea para impedir el uso no autorizado de un nombre de dominio al enviar comunicaciones por correo electrónico, técnica que se conoce también como suplantación de identidad, proporcionando un mecanismo que valida los hosts remitentes. Si desea configurar el registro SPF, los siguientes consejos le pueden servir de guía:

  1. Para los dominios que envían mensajes a través de la red de filtrado, puede incluir "spf.messaging.microsoft.com" en su registro SPF junto con sus direcciones IP de servidor de correo saliente. SPF se emplea para impedir el uso no autorizado de un nombre de dominio al enviar comunicaciones por correo electrónico, técnica que se conoce también como suplantación de identidad, proporcionando un mecanismo que valida los hosts remitentes.

    Importante

    Estas instrucciones solo se aplican a los dominios que envían correo electrónico saliente a través de la red de filtrado.

  2. Como SPF se usa para validar que una dirección IP determinada tiene autorización para enviar correo de un dominio específico, también deben incluirse las direcciones IP de salida de la red de filtrado en el registro SPF. La manera más sencilla de agregar el conjunto completo de direcciones IP es usar la instrucción "include: spf.messaging.microsoft.com" en su registro SPF.

  3. Además, puede incluir todas las direcciones IP del servidor de correo saliente. Estas direcciones IP son necesarias para garantizar la entrega de correo a otros clientes de FOPE. Cada dirección IP debe agregarse a través de una instrucción ip4: . Por ejemplo, para incluir "127.0.0.1" como una dirección IP de envío saliente aceptada, se añadiría "ip4:127.0.0.1" a su registro SPF. Si conoce todas las direcciones IP autorizadas, estas deben agregarse mediante el calificador –all (Fail). Si no conoce la lista completa de direcciones IP, debe usar el calificador ~all (SoftFail).

    Por ejemplo:

    Contoso.com tiene los tres servidores de correo saliente siguientes:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    El registro SPF original de Contoso tendría una apariencia similar a la siguiente:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Después de enrutar el correo a través de FOPE, el registro SPF de Contoso es similar al siguiente:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

Configuración de conexión de red

Los siguientes consejos le ayudarán a asegurar una transferencia de datos sin interrupciones y de forma continuada al servicio Hosted Filtering.

  • Configure el servidor SMTP con un tiempo de espera de conexión de 60 segundos.

  • Una vez restringidas las reglas del firewall de forma que solamente permitan conexiones SMTP entrantes de las direcciones IP utilizadas por el servicio Hosted Filtering, es recomendable que el servidor SMTP se configure para que acepte el número mayor de conexiones entrantes simultáneas del servicio con las que se sienta cómodo.

  • Si el servidor envía correo electrónico saliente a través del servicio Hosted Filtering, también es recomendable configurarlo para que envíe un máximo de 50 mensajes por conexión y use menos de 50 conexiones simultáneas. En circunstancias normales, esta configuración ayudará a asegurar que el servidor transfiera los datos sin interrupciones y de forma continuada al servicio.

Seguridad

restricciones de direcciones IP

El acceso a los servicios suscritos puede restringirse a los usuarios que se conectan a los sitios web desde las direcciones IP especificadas. Con esta configuración no se permitirá el acceso desde otras direcciones IP, con lo que se reduce la probabilidad del acceso no autorizado. La configuración de restricciones de direcciones IP está disponible en el ámbito de compañía, el ámbito de dominio y el ámbito de usuario.

directivas de contraseñas

En todo momento se deben usar contraseñas seguras para todas las cuentas, especialmente para las de administrador. Las siguientes directrices pueden ayudarle a crear contraseñas seguras:

  • Requieren letras en mayúsculas y minúsculas, números y caracteres especiales (?, !, @, $).

  • Establezca contraseñas que expiren frecuentemente, por ejemplo, cada tres, cuatro o seis meses.

Opciones de filtrado de correo no deseado adicional

También hay disponibles opciones de filtrado de correo no deseado adicional. En forma predeterminada, se recomienda que desactive todas las opciones de ASF, con las siguientes excepciones posibles:

  • Vínculos de imagen a sitios remotos: esta opción está recomendada para los usuarios que reciben gran cantidad de correo de marketing, publicidad o boletines que incluyen contenido con características de correo no deseado.

  • Generación de error del registro SPF: esta opción se recomienda para las organizaciones preocupadas por la recepción de mensajes de suplantación de identidad (phishing).

  • Desde autenticación de direcciones: se recomienda activar esta opción a las organizaciones preocupadas por los la suplantación de identidad (phishing), especialmente si se han falsificado sus propios usuarios. Sin embargo, generalmente recomendamos que los usuarios activen esta opción en respuesta a una escalación en lugar de tenerla activada en forma predeterminada.

Para obtener información detallada sobre estas opciones de ASF y otras, consulte Configuración de opciones adicionales del filtrado de correo no deseado.

Sugerencia

Considere la posibilidad de habilitar estas opciones ASF en modo Prueba para identificar otras opciones de envío agresivo de correo no deseado y ampliar el bloqueo de este tipo de correo en su entorno. Para los clientes con un alto porcentaje de correo no deseado, se recomienda probar primero estas opciones antes de implementarlas en el entorno de producción.

Los clientes deben enviar cualquier mensaje de correo no deseado que reciba a través de su escritorio al equipo de correo no deseado del servicio Hosted Filtering a la dirección abuse@messaging.microsoft.com para analizarlo.

También tienen la opción de permitir que los usuarios finales instalen la herramienta Junk E-mail Reporting. La herramienta Junk E-mail Reporting, que se usa con Microsoft® Office Outlook®, permite a los usuarios finales enviar mensajes sobre correo electrónico no deseado a abuse@messaging.microsoft.com para su análisis, a fin de mejorar la eficacia del filtrado de correo no deseado.

Esta herramienta se puede descargar desde: https://go.microsoft.com/fwlink/?LinkID=147248

También es posible configurar el dominio para que muestre el vínculo de descarga de la herramienta Junk E-mail Reporting a los usuarios finales cuando inicien sesión en el sitio web de cuarentena.

Para obtener información detallada acerca de la herramienta de informes de correo no deseado, consulte Complemento para el informe de correo no deseado para Microsoft Office Outlook.

Envío de falsos positivos

La gran mayoría de los mensajes enviados como falsos positivos son en realidad mensajes de correo no deseado que se filtraron correctamente, pero que aun así los destinatarios a los que van dirigidos desean recibirlos.

Para conocer el tipo y el número de mensajes registrados en el servicio Hosted Filtering como falsos positivos, los administradores deben configurar la característica de copia de envío de falsos positivos del filtro de correo no deseado para disponer de una copia de los mensajes con el fin de analizarlos.

Importante

Antes de realizar un envío de falsos positivos, los usuarios finales deben iniciar sesión en el sitio web de cuarentena para ver primero el mensaje o recuperar el mensaje para verlo y, a continuación, reenviarlo a false_positive@messaging.microsoft.com.

Los mensajes que sean falsos positivos deben enviarse reenviando todo el mensaje y todos los encabezados de Internet al buzón de correo false_positive.

Filtros de directiva:

Reglas de directiva

Además del filtrado de correo no deseado y virus, las reglas de directiva del Centro de administración de FOPE permiten aplicar las directivas de la compañía mediante la configuración de reglas de filtrado personalizables. Puede crear un conjunto específico de reglas que identifiquen mensajes y realicen acciones específicas con los mensajes mientras los procesa el servicio Hosted Filtering. Por ejemplo, puede crear una regla de directiva que rechace todos los mensajes de correo electrónico entrantes que contengan una determinada palabra o frase en el campo Asunto. Además, los filtros de reglas de directiva permiten agregar y administrar listas de valores de gran tamaño (como direcciones de correo electrónico, dominios y palabras clave) para varias reglas de directiva mediante la carga de un archivo (Diccionario).

Se pueden configurar reglas de directiva para diferentes criterios de coincidencia de correo electrónico:

  • Nombres y valores del campo Encabezado

  • Direcciones IP, dominios y direcciones de correo electrónico del Remitente

  • Dominios y direcciones de correo electrónico de destinatarios

  • Nombres y extensiones de archivos de datos adjuntos

  • Asunto, cuerpo y otras propiedades de mensaje de correo electrónico (tamaño, número de destinatarios)

Para obtener más información acerca de las reglas de directiva, consulte Reglas de directiva.

prevención de la suplantación de identidad ("phishing")

El filtro de directiva puede utilizarse para ayudar a defender las redes corporativas frente a los ataques de correo electrónico y proteger la información confidencial de los usuarios finales.

Se puede aplicar una protección contra suplantación de identidad ("anti-phishing") adicional mediante la detección de información personal de los mensajes de correo electrónico enviados desde la organización. Se pueden usar, por ejemplo, las siguientes expresiones regulares para detectar la transmisión de datos financieros personales o información que ponga en peligro la privacidad:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard, Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (cualquier número de 16 dígitos)

  • \d\d\d\-\d\d\-\d\d\d\d (Números de la seguridad social)

El correo no deseado y la suplantación de identidad se pueden prevenir bloqueando los mensajes de correo electrónico de salida que parecen haber sido enviados desde su propio dominio. Cree una regla de rechazo de mensajes desde su dominio de compañía enviado al mismo dominio de compañía yourdomain.com para bloquear este tipo de falsificación de remitentes.

Importante

Esta regla solo debe crearse si está seguro de que se envía correo electrónico no legítimo de su dominio desde Internet al servidor de correo.

Bloqueo de extensiones

El filtro de directiva puede utilizarse de varias formas distintas para defender las redes corporativas frente a los ataques de correo electrónico y proteger la información confidencial de los usuarios finales.

La prevención de amenazas a través del bloqueo de extensión de archivos debe bloquear, como mínimo, las siguientes extensiones: EXE, PIF, SCR, VBS

Para una mayor protección, se recomienda el bloqueo de algunas de las extensiones siguientes o de todas ellas: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

Vea también

Conceptos

Primer inicio de sesión en el centro de administración de FOPE

Otros recursos

Vídeo: Prácticas recomendadas para configurar Forefront Online Protection for Exchange