Protección de forma predeterminada en organizaciones en la nube

"Seguro de forma predeterminada" es un término que se usa para definir la configuración predeterminada más segura posible.

Sin embargo, la seguridad debe estar equilibrada con la productividad. Este saldo incluye:

• Facilidad de uso: la configuración no debe entrar en el camino de la productividad del usuario.
• Riesgo: la seguridad podría bloquear actividades importantes.
• Configuración heredada: es posible que sea necesario mantener algunas configuraciones de productos y características anteriores por motivos empresariales, aunque se mejore la configuración moderna nueva.

Todas las organizaciones con buzones de correo en la nube reciben automáticamente protección por correo electrónico. La protección incluye:

• Email con sospecha de malware se pone en cuarentena automáticamente. La directiva de cuarentena usada por la directiva antimalware controla si se notifica a los destinatarios. Para obtener más información, vea Configurar directivas antimalware.
• Email identificado como suplantación de identidad de alta confianza está en cuarentena de forma predeterminada.

Para obtener más información, consulte Características de seguridad integradas para todos los buzones de correo en la nube.

Dado que Microsoft quiere proteger a nuestros clientes de forma predeterminada, algunas invalidaciones de la organización no se aplican a malware ni suplantación de identidad de alta confianza. Estas invalidaciones incluyen:

• Listas de remitentes permitidas o listas de dominios permitidas en directivas contra correo no deseado.
• Remitentes seguros de Outlook.
• Lista de direcciones IP permitidas en la directiva de filtro de conexión predeterminada.
• Reglas de flujo de correo de Exchange (también conocidas como reglas de transporte).

Use envíos de administrador para permitir temporalmente mensajes específicos bloqueados por Microsoft 365.

Puede encontrar más información sobre estas invalidaciones en Crear listas de permitidos del remitente.

Proteger de forma predeterminada no es una configuración que pueda activar o desactivar. Así es como nuestro filtrado mantiene mensajes potencialmente peligrosos o no deseados fuera de sus buzones. Los mensajes de suplantación de identidad (phishing) de alto nivel y malware deben estar en cuarentena. De forma predeterminada, solo los administradores pueden administrar mensajes en cuarentena como malware o suplantación de identidad de alta confianza, y también pueden notificar falsos positivos a Microsoft desde la cuarentena. Para obtener más información, consulte Administración de mensajes y archivos en cuarentena como administrador.

Más información

Proteger de forma predeterminada significa que realizamos la misma acción en los mensajes que realizaría si supiera que el mensaje era malintencionado, incluso si configuró excepciones que, de lo contrario, permitirían la entrega del mensaje. Siempre usamos este enfoque en malware y ahora vamos a ampliar este enfoque a los mensajes de suplantación de identidad de alta confianza.

Nuestros datos indican que un usuario tiene 30 veces más probabilidades de hacer clic en un vínculo malintencionado en los mensajes de la carpeta Email de correo no deseado frente a cuarentena. Nuestros datos también indican que la tasa de falsos positivos (mensajes buenos marcados como incorrectos) para los mensajes de suplantación de identidad de alta confianza es baja. Los administradores pueden resolver los falsos positivos con envíos de administradores.

También determinamos que las listas de remitentes y dominios permitidos permitidas en las directivas contra correo no deseado y Los remitentes seguros en Outlook eran demasiado amplios y causaban más daños que buenos.

Para decirlo de otra manera: como servicio de seguridad, estamos actuando en su nombre para evitar que los usuarios se vean comprometidos.

Excepciones

Solo debe considerar el uso de invalidaciones en los escenarios siguientes:

• Simulaciones de phishing: los ataques simulados pueden ayudarle a identificar usuarios vulnerables antes de que un ataque real afecte a su organización. Para evitar que los mensajes de simulación de suplantación de identidad (phishing) se filtren, consulte Configuración de simulaciones de suplantación de identidad que no son de Microsoft en la directiva de entrega avanzada.
• Buzones de seguridad/SecOps: buzones dedicados que usan los equipos de seguridad para obtener mensajes sin filtrar (tanto buenos como incorrectos). A continuación, Los equipos pueden revisar para ver si contienen contenido malintencionado. Para obtener más información, vea Configurar buzones de SecOps en la directiva de entrega avanzada.
• Filtros que no son de Microsoft: La protección de forma predeterminada solo se aplica cuando el registro MX del dominio apunta a Microsoft 365 (por ejemplo, contoso.mail.protection.outlook.com). Si el registro MX de su dominio apunta a un servicio o dispositivo que no es de Microsoft, las directivas que incluyen, entre otros, los siguientes escenarios, pueden dar lugar a la entrega de mensajes detectados como suplantación de identidad de alta confianza mediante directivas antispam:
  • Reglas de flujo de correo de Exchange para omitir el filtrado de correo no deseado.
  • Remitentes identificados en la lista Remitentes seguros en buzones de usuario.
  • Permitir entradas en la lista de permitidos o bloqueados de inquilinos.
  • Remitentes identificados en la lista de remitentes permitidos y en la lista de dominios permitidos en las directivas contra correo no deseado.
  • Direcciones IP de origen permitidas por la directiva de filtro de conexión.
• Falsos positivos: para permitir temporalmente determinados mensajes bloqueados por Microsoft 365, use envíos de administrador. De forma predeterminada, permitir entradas para dominios y direcciones de correo electrónico, archivos y direcciones URL existen durante 30 días. Durante esos 30 días, Microsoft aprende de las entradas permitidas y las quita o las extiende automáticamente. De forma predeterminada, las entradas permitidas para remitentes suplantados nunca expiran.