Cómo hacer una lista blanca por Header en Office 365
Esta configuración es una alternativa en caso de que la configuración por IP no sea posible de realizar.
Esto generalmente sucede cuando al verificar el flujo de correo se detecta que los emails no están llegando con las IPs de SMARTFENSE, las cuales se encuentran en la sección de la plataforma Configuración > Seguridad > Whitelist, debido a tecnologías como antispam, etc.
Aquí mostramos donde ver si la IP recibida en el correo no es de SMARTFENSE, ingresar al Centro de Administración de Exchange https://admin.exchange.microsoft.com/#/ desde la opción Flujo de correo > Seguimientos de mensaje > iniciar un seguimiento, luego establecer datos como el destinatario o remitente, establecer un tiempo, luego del listado de correos arrojados, seleccionar el correo deseado y en la ventana de información que se abre a la derecha, al final en la opción de Mas información ver la IP de correo, si no coincide con una de nuestras IPs, se debe proceder con la configuración mediante header explicada en este instructivo:
Nuestras IPs las puede encontrar en la sección de nuestra plataforma en Configuración > Seguridad > Whitelist:
Para poder crear las reglas por Header, Office 365 permite alrededor de 100 caracteres por lo que deberá acortar el Header por defecto que se encuentra en la plataforma de SMARTFENSE para poder utilizarlo en las reglas de Header.
Pasos para acortar Header en la plataforma de SMARTFENSE:
- Ingrese a su plataforma de SMARTFENSE.
- En la sección Configuración > Seguridad > Whitelist vaya al apartado de "Header de correos de Phishing y Ransomware".
- Haga clic en el botón "Personalizar Header".
- Quítele caracteres desde el final hacia adelante hasta que quede aproximadamente un Header de 100 caracteres. Puede copiar el header en el programa Bloc de notas, para quitar los caracteres necesarios.
- Luego pegar el header modificado en la plataforma de SMARTFENSE.
- Haga clic en "Guardar" al final de la sección.
Omitir Clutter y el filtrado de correo no deseado
- Ingresar en el siguiente link: https://admin.exchange.microsoft.com/#/
- Ir a Flujo de correo > Reglas.
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "Omitir Clutter y el filtrado de correo no deseado por Encabezado".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- A continuación, en Haga lo siguiente… en "Seleccionar uno" seleccione Modificar propiedades del mensaje. en "Seleccionar uno" de al lado seleccione Establecer el nivel de confianza de correo no deseado (SCL) en "Select one" y seleccione Omitir el filtrado de correo no deseado (Bypass spam filtering), luego clic en "Guardar".
- Agregue una segunda acción en Haga lo siguiente… desde el signo + vuelva a seleccionar Modificar las propiedades del mensaje en "Seleccionar uno" de al lado seleccione "un encabezado de mensaje" y en "Enter words" y escriba "X-MS-Exchange-Organization-BypassClutter", luego haga clic en Enter text... y escriba true.
- Luego clic en "Guardar" para guardar la regla. Así debe quedar la Regla:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Omitir la carpeta de correo no deseado
Esta regla permitirá que únicamente SMARTFENSE envíe correos electrónicos de simulación de phishing que eviten la carpeta de correo no deseado para garantizar que sus usuarios reciban los correos electrónicos de phishing simulados en sus bandejas de entrada.
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "SMARTFENSE - Omitir filtrado de correo basura".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- Debajo en "Haga lo siguiente", seleccione Modificar propiedades del mensaje y en "Seleccionar uno" seleccione "establecer un encabezado de mensaje".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-Forefront-Antispam-Report" luego "Guardar".
- Y en "valor" hacer clic en "Enter text" y escribir "SFV:SKI;", luego "Guardar". Así debe quedar la Regla:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Reglas para Omitir la protección de Advanced Threat Protection
Esta sección muestra cómo proceder cuando se está utilizando Advanced Threat Protection (ATP) en su entorno de correos electrónicos y está recibiendo falsos clicks o falsas aperturas de archivos adjuntos.
Lo que se debe hacer es configurar reglas de flujo de correo para omitir Safe Link/Attachment Processing de ATP para correos electrónicos de simulaciones de phishing y ransomware desde las direcciones IP de SMARTFENSE.
Nota: Le recomendamos que espere al menos dos horas para que las reglas se propaguen a todos sus usuarios. Además, recomendamos probar la efectividad de las reglas con un pequeño grupo de prueba antes de lanzar las campañas de simulaciones de phishing o ransomware a todos sus usuarios nuevamente.
Regla para Omitir ATP Link
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Link Processing (Procesamiento de Enlaces de ATP):
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "Omitir ATP Links".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- Debajo en "Haga lo siguiente", seleccione Modificar propiedades del mensaje y en "Seleccionar uno "seleccione "establecer un encabezado de mensaje".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-MS-Exchange-Organization-SkipSafeLinksProcessing" luego "Guardar".
- Y en "valor" hacer clic en "Enter text" y escribir "1", luego "Guardar". Así debe quedar la Regla de:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Regla para Omitir ATP Attachment
A continuación, se encuentran detallados los pasos para configurar una regla de flujo para omitir el ATP Attachment Processing (Procesamiento de Archivos Adjuntos de ATP):
- Haga clic en (+) Agregar una regla > Crear una nueva regla.
- Asígnele un nombre a la regla, como "Omitir ATP Attachments".
- En la condición Aplicar esta regla si... Seleccione Los encabezados del mensaje luego haga clic sobre "Seleccionar uno" y seleccione "incluye cualquiera de esta palabras".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-PHISHINGSIMULATION" luego "Guardar".
- Y en "Enter words" escriba/copie el encabezado que se encuentra en la sección Configuración > Seguridad > Whitelist en el apartado de "Header de correos de Phishing y Ransomware" dentro de su plataforma de SMARTFENSE. Haga clic en "Agregar" y luego en "Guardar".
- Debajo en "Haga lo siguiente", seleccione Modificar propiedades del mensaje y en "Seleccionar uno "seleccione "establecer un encabezado de mensaje".
- Haga clic en "Escribir texto" o "Enter text" para establecer el encabezado del mensaje en este valor: "X-MS-Exchange-Organization-SkipSafeAttachmentProcessing", luego "Guardar".
- Y en "valor" hacer clic en "Enter text" y escribir "1", luego "Guardar". Así debe quedar la Regla:
- Hacer clic en "Siguiente".
- En "Establecer la configuración de regla" dejar los valores por defecto y hacer clic en "Siguiente".
- En "Revisar y finalizar" dejar los valores por defecto y hacer clic en "Finalizar".
Habilitación y Prioridad de las Reglas
Una vez finalizadas las reglas se las debe habilitar y dar la siguiente prioridad y detener el procesamiento en la ultima regla de Omitir ATP Attachments.
Esto se hace ingresando a editar cada regla, ir a "Editar configuración de regla".
Tildamos que quede habilitada la regla.
Establecer el orden desde 0 a 3.
Y para la última regla de Omitir ATP Attachments, tildar "Detener el procesamiento de más reglas". Luego Guardar.
Una vez que haya completado esta configuración, espere a que se apliquen y propaguen las nuevas reglas y luego configure una campaña de simulación de phishing de prueba para usted o para un pequeño grupo de usuarios, para probar su nueva regla de inclusión en la lista blanca.
Nota: Para las mejores prácticas, recomendamos dejar las otras opciones en su configuración predeterminada.