Como parte de la creciente lista de diagnósticos de autoayuda para problemas en Exchange Online y Outlook, Microsoft anuncia una nueva herramienta que puede ayudar a resolver o explicar problemas relacionados con las listas de remitentes seguros/bloqueados de Microsoft 365.
Está diseñada para ayudar a los administradores a resolver estos problemas de forma independiente, sin necesidad de ponerse en contacto con el servicio de asistencia.
Permitir o bloquear remitentes en Microsoft 365
Exchange Online Protection (EOP) y Microsoft Defender para Office 365 (MDO) proporcionan métodos para que los usuarios se aseguren de recibir correos electrónicos de remitentes de confianza y bloqueen los correos electrónicos de remitentes no deseados. En conjunto, estas opciones se conocen como listas de remitentes seguros y listas de remitentes bloqueados. Los usuarios (destinatarios) administran sus listas de remitentes seguros/bloqueados a nivel del buzón, lo que afecta solo a su buzón específico. Una colección de listas seguras del buzón incluye la lista de remitentes seguros, la lista de destinatarios seguros y la lista de remitentes bloqueados.
Cómo funcionan las listas seguras:
Las entradas de las listas seguras se someten a un proceso de hash (SHA-256) antes de almacenarse como conjuntos de matrices en los atributos de los objetos de usuario del buzón. Cuando se recibe un mensaje, Exchange aplica un hash a la dirección de correo electrónico del remitente y la compara con los hash almacenados en nombre del buzón de correo de destino. Si el remitente coincide con el hash de remitentes seguros, el mensaje omite el filtrado de contenido (permitido). Si el remitente coincide con el hash de remitentes bloqueados, el mensaje se bloquea.
- Los usuarios configuran la colección de listas seguras en Outlook o Outlook en la web para sus propios buzones de correo.
- Los administradores ejecutan los cmdlets de PowerShell Get-/Set-MailboxJunkEmailConfiguration para ver y configurar la colección de listas seguras en el buzón de correo de cualquier usuario.
Nuevo: Diagnóstico de la lista de remitentes seguros/bloqueados del buzón
Requisitos: dirección de correo electrónico del destinatario, dirección de correo electrónico del remitente o dominio del remitente
El diagnóstico de la lista de remitentes seguros/bloqueados del buzón proporciona detalles completos sobre si la dirección SMTP de un remitente figura en la lista de remitentes de confianza o bloqueados, gracias al cmdlet Get-MailboxJunkEmailConfiguration de PowerShell. En el caso de Exchange Online, también verifica la exactitud y la presencia de estos valores en Microsoft Entra ID (anteriormente, Azure Active Directory o AAD). Si se detecta alguna discrepancia, se iniciará una sincronización de los valores.
El diagnóstico se puede utilizar para:
- Confirmar si un remitente está permitido o bloqueado por un destinatario.
- Confirmar si un permiso o un bloqueo se debe a que las listas no están sincronizadas con Microsoft Entra ID.
- El diagnóstico intentará sincronizar la lista de seguros/bloqueados con el valor hash de remitentes seguros/bloqueados en Microsoft Entra ID.
- Proporcionar información sobre problemas de configuración que impiden la sincronización, como cuando el tamaño de las listas de seguros/bloqueados o el hash de Microsoft Entra ID son demasiado grandes.
Importante: Se aceptan como parámetros tanto direcciones individuales como dominios. Si introduce el dominio del remitente, el diagnóstico realizará todas las comprobaciones mencionadas anteriormente, pero solo los dominios de la lista de bloqueados se sincronizarán con Microsoft Entra ID. La sincronización de dominios permitidos puede dar lugar a la entrega de mensajes potencialmente dañinos o no deseados.
Ejecutar el diagnóstico
Como administrador global, de Exchange o del servicio de asistencia técnica, ejecute el diagnóstico de la lista de seguridad/bloqueo del buzón en cualquier portal de administración (Centro de administración de Microsoft 365, Microsoft Defender XDR, Centro de administración de Exchange, Cumplimiento de Purview, etc.).
Utilice el enlace rápido https://aka.ms/safeblockdiag para:
- Abrir el Centro de administración de Microsoft 365.
- Rellenar previamente el campo Obtener ayuda con la consulta de diagnóstico.
Proporcionar una dirección de correo electrónico del destinatario y una dirección de correo electrónico o dominio del remitente para comprobar si la dirección SMTP del remitente está en la lista de remitentes de confianza o bloqueados, o si hay alguna discrepancia en Microsoft Entra ID.
Ejemplos y escenarios
Ejemplo 1: Compruebe la lista en busca de problemas de sincronización
[email protected], de su organización, incluyó al [email protected] como remitente permitido. Sin embargo, los correos electrónicos de este remitente se bloquean como spam. Necesitaremos estos dos datos:
Los resultados indican que, aunque el remitente estaba incluido en las listas de remitentes permitidos del destinatario, se produjo un problema de sincronización entre las listas de bloqueo/permiso del buzón y Microsoft Entra ID. Una vez que las listas se sincronizaron correctamente, el problema se resolvió. Las pruebas posteriores muestran que cuando [email protected] envía un correo electrónico a [email protected], los mensajes ya no se marcan como spam.
Ejemplo 2: Compruebe la lista segura/bloqueada del buzón para detectar problemas de límite
Su organización tiene un buzón en [email protected]. El administrador ha utilizado recientemente PowerShell para añadir la dirección del remitente [email protected] a la lista segura mediante el cmdlet Set-MailboxJunkEmailConfiguration. Utilizaremos este par de remitente y destinatario como entrada para este proceso y revisaremos el resultado:
Hay dos resultados clave: la lista de bloqueo/permiso del buzón se sincroniza con Microsoft Entra ID, y la lista de remitentes permitidos del buzón se está acercando a su límite máximo de 1024 entradas. Actualmente, tiene 1002 entradas, por lo que es recomendable reducir el número para evitar problemas.
Ejemplo 3: Compruebe la lista en busca de problemas de sincronización de hash con Microsoft Entra ID
En otro ejemplo, el [email protected] de su organización había bloqueado [email protected], pero los correos electrónicos del remitente siguen llegando a la bandeja de entrada del destinatario. Introduce el remitente/destinatario como entrada y descubre que el problema es que el valor hash del remitente bloqueado no se sincroniza con Microsoft Entra ID debido a que se ha superado el límite de 1000 entradas (actualmente hay 1004). Para garantizar la sincronización, elimina las entradas redundantes y limita la lista a menos de 1000 entradas, y vuelve a ejecutar el diagnóstico.
Ejemplo 4: Compruebe la lista en busca de problemas de sincronización de dominios
El [email protected] de su organización incluyó el dominio remitente contoso.com en su lista de dominios permitidos. Sin embargo, los correos electrónicos de este dominio remitente siguen siendo puestos en cuarentena como spam de alta confianza. Introduzca la dirección del destinatario y el dominio remitente como entradas de diagnóstico y revise los resultados:
Como se ha indicado anteriormente, en lo que respecta a los dominios, el diagnóstico solo sincronizará aquellos que se encuentren en la lista de bloqueados con Microsoft Entra ID, y el destinatario podrá permitir que la dirección de correo electrónico del remitente pase.
