Cómo hacer una lista blanca por Header en Exchange 2013, 2016
Esta configuración es una alternativa en caso de que la configuración por IP no sea posible de realizar.
Esto generalmente sucede cuando al verificar el flujo de correo se detecta que los emails no están llegando con las IPs de SMARTFENSE, las cuales se encuentran en la sección de la plataforma Configuración > Seguridad > Whitelist, debido a tecnologías como antispam, etc.
Aquí mostramos donde ver si la IP recibida en el correo no es de SMARTFENSE, desde la opción Flujo de correo > Seguimientos de mensaje de su Exchange, iniciar un seguimiento, luego establecer datos como el destinatario o remitente, establecer un tiempo, luego del listado de correos arrojados, seleccionar el correo deseado y en la ventana de información que se abre a la derecha, al final en la opción de Mas información ver la IP de correo, si no coincide con una de nuestras IPs, se debe proceder con la configuración mediante header explicada en este instructivo. A continuación se muestra un ejemplo de como se visualiza en Office 365.
Nuestras IPs las puede encontrar en la sección de nuestra plataforma en Configuración > Seguridad > Whitelist:
Para poder crear las reglas por Header, Exchange permite alrededor de 100 caracteres por lo que deberá acortar el Header por defecto que se encuentra en la plataforma de SMARTFENSE para poder utilizarlo en las reglas de Header.
Pasos para acortar Header en la plataforma de SMARTFENSE:
- Ingrese a su plataforma de SMARTFENSE.
- En la sección Configuración > Seguridad > Whitelist vaya al apartado de "Header de correos de Phishing y Ransomware".
- Haga clic en el botón "Personalizar Header".
- Quítele caracteres desde el final hacia adelante hasta que quede aproximadamente un Header de 100 caracteres. Puede copiar el header en el programa Bloc de notas para quitar los caracteres necesarios.
- Luego pegar el header modificado en la plataforma.
- Haga clic en "Guardar" al final de la sección.
Omitir Clutter y el filtrado de correo no deseado
- Inicie sesión en el portal de administración de su servidor de correo y haga clic en Admin.
-
Haga clic en el menú en Exchange.
- Haga clic en la sección de Flujo de correo.
-
Haga clic en (+) Botón Crear nueva regla debajo de Flujo de correo > Reglas.
- Asígnele un nombre a la regla, como "Omitir Clutter y el filtrado de correo no deseado por Encabezado".
- Haga clic en Más opciones.
- Seleccione Apply this rule if… luego elija A message header > includes any of these words.
- En el lado derecho de esa regla, verá Enter text y Enter words…
- Haga clic en Enter text y escriba X-PHISHINGSIMULATION y haga clic en Enter words… y escriba el encabezado que se encuentra en la sección de Whitelist dentro de su plataforma de SMARTFENSE y haga clic en el signo + grande.
Cómo establecer la configuración del encabezado del mensaje:
- A continuación, en Do the following… asegúrese de que este campo esté configurado en Set the spam confidence level (SCL) to… y Bypass spam filtering esté configurado en el lado derecho.
- Agregue una segunda acción en Do the following… para modificar las propiedades del mensaje > establezca un encabezado de mensaje y asegúrese de establecer el encabezado del mensaje en X-MS-Exchange-Organization-BypassClutter, luego haga clic en Enter text... y escriba true.
Como fue explicado, ejemplo de la regla final configurada:
Omitir la carpeta de correo no deseado
- Haga clic en (+) Botón Crear nueva regla debajo de Flujo de correo > Reglas.
- Asígnele un nombre a la regla, como "Omitir la carpeta de correo no deseado".
- Haga clic en Más opciones.
- Seleccione Apply this rule if… luego elija A message header > includes any of these words.
- En el lado derecho de esa regla, verá Enter text y Enter words…
- Haga clic en Enter text y escriba X-PHISHINGSIMULATION y haga clic en Enter words… y escriba el encabezado que se encuentra en la sección de Whitelist dentro de su plataforma de SMARTFENSE y haga clic en el signo + grande.
- A continuación, en Do the following… para modificar las propiedades del mensaje > establezca un encabezado de mensaje y asegúrese de establecer el encabezado del mensaje en "X-Forefront-Antispam-Report", luego haga clic en Enter text... y escriba "SFV:SKI;".
Reglas para Omitir la protección de Advanced Threat Protection
Esta sección muestra cómo proceder cuando se está utilizando Advanced Threat Protection (ATP) en su entorno de correos electrónicos y está recibiendo falsos clicks o falsas aperturas de archivos adjuntos.
Lo que se debe hacer es configurar reglas de flujo de correo para omitir Safe Link/Attachment Processing de ATP para correos electrónicos de simulaciones de phishing y ransomware desde las direcciones IP de SMARTFENSE.
Nota: Le recomendamos que espere al menos dos horas para que las reglas se propaguen a todos sus usuarios. Además, recomendamos probar la efectividad de las reglas con un pequeño grupo de prueba antes de lanzar las campañas de simulaciones de phishing o ransomware a todos sus usuarios nuevamente.
Regla para Omitir ATP Link
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Link Processing (Procesamiento de Enlaces de ATP):
- Haga clic en (+) Botón Crear nueva regla debajo de Flujo de correo > Reglas.
- Asígnele un nombre a la regla, como "Omitir ATP Links".
- Haga clic en Más opciones.
- Seleccione Apply this rule if… luego elija A message header > includes any of these words.
- En el lado derecho de esa regla, verá Enter text y Enter words…
- Haga clic en Enter text y escriba X-PHISHINGSIMULATION y haga clic en Enter words… y escriba el encabezado que se encuentra en la sección de Whitelist dentro de su plataforma de SMARTFENSE y haga clic en el signo + grande.
- A continuación, en Do the following… para modificar las propiedades del mensaje > establezca un encabezado de mensaje y asegúrese de establecer el encabezado del mensaje en "X-MS-Exchange-Organization-SkipSafeLinksProcessing", luego haga clic en Enter text... y escriba "1".
Regla para Omitir ATP Attachment
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Attachment Processing (Procesamiento de Archivos Adjuntos de ATP):
- Haga clic en (+) Botón Crear nueva regla debajo de Flujo de correo > Reglas.
- Asígnele un nombre a la regla, como "Omitir ATP Attachments".
- Haga clic en Más opciones.
- Seleccione Apply this rule if… luego elija A message header > includes any of these words.
- En el lado derecho de esa regla, verá Enter text y Enter words…
- Haga clic en Enter text y escriba X-PHISHINGSIMULATION y haga clic en Enter words… y escriba el encabezado que se encuentra en la sección de Whitelist dentro de su plataforma de SMARTFENSE y haga clic en el signo + grande.
- A continuación, en Do the following… para modificar las propiedades del mensaje > establezca un encabezado de mensaje y asegúrese de establecer el encabezado del mensaje en "X-MS-Exchange-Organization-SkipSafeAttachmentProcessing", luego haga clic en Enter text... y escriba "1".
Una vez que haya completado esta configuración, espere a que se apliquen y propaguen las nuevas reglas y luego configure una campaña de simulación de phishing de prueba para usted o para un pequeño grupo de usuarios, para probar su nueva regla de inclusión en la lista blanca.
Nota: Para las mejores prácticas, recomendamos dejar las otras opciones en su configuración predeterminada.