ÍNDICE DE CONTENIDOS


Reglas de Mail Flow


Versión de Powershell


En primer lugar, conecte con PowerShell a una nueva sesión de administrador en Exchange. Lo siguiente funcionará con Exchange Online (Office 365). Para más información, consulte la documentación:


Install-Module -Name ExchangeOnlineManagement

Import-Module ExchangeOnlineManagement

Connect-ExchangeOnline -UserPrincipalName <ADMIN EMAIL>

A continuación, después de la autenticación, cree dos nuevas reglas de transporte con los siguientes comandos:


New-TransportRule SecurePracticeBypassATPLinks -Comments "Disable M365 link filter for ATTACK Simulator Header" -Priority -0 -HeaderContainsMessageHeader "x-ats-simulation" -HeaderContainsWords "true" -SetHeaderName "X-MS-Exchange-Organization-SkipSafeLinksProcessing" -SetHeaderValue "1" -SetSCL -1

New-TransportRule SecurePracticeBypassATPAttachments -Comments "Disable M365 attachment filter for ATTACK Simulator Header" -HeaderContainsMessageHeader "x-ats-simulation" -HeaderContainsWords "true" -SetHeaderName "X-MS-Exchange-Organization-SkipSafeAttachmentProcessing" -SetHeaderValue "1"

Finalmente, revise las prioridades de sus reglas para asegurarse de que no hay otras reglas personalizadas que bloqueen los correos electrónicos de phishing simulados.


Get-TransportRule

Si es necesario realizar ajustes, consulte la documentación oficial mencionada anteriormente o utilice el Centro de administración de Exchange, como se muestra a continuación, para reordenar las reglas a través de un portal web.


Felicitaciones, ¡hemos terminado con las listas blancas en Exchange!


P.D. Si en algún momento necesitas un script para eliminar nuestras reglas de nuevo, lo siguiente funcionará:


Remove-TransportRule -Identity "SecurePracticeBypassATPLinks" -Confirm:$false

Remove-TransportRule -Identity "SecurePracticeBypassATPAttachments" -Confirm:$false

Versión de la consola

https://admin.exchange.microsoft.com/#/transportrules


Por favor, siga estos pasos:


  1. Haga clic en el botón + Añadir una regla bajo el subtítulo Reglas y seleccione Modificar mensaje. Aparecerá una nueva ventana emergente donde podrá configurar la lista blanca para nuestra header.
  2. En la ventana emergente «Nueva regla», empiece por darle un nombre a la regla. Puede llamarla «ATTACK Simulator» para encontrarla fácilmente más adelante.
  3. En «*Aplicar esta regla si...» elija «Las cabeceras de los mensajes...» (the message headers...) y luego «coincide con estos patrones de texto» (matches these text patterns). Haga clic en el botón Introducir texto (Enter Text) y escriba x-ats-simulation como nombre de la cabecera del mensaje en la ventana abierta de la barra lateral. Pulse el botón Introducir palabras (Enter words), escriba true en la sección Especificar palabras o frases y pulse el botón AÑADIR. A continuación, escriba 1 en el mismo campo y pulse el botón AÑADIR. Haga clic en Guardar para cerrar la ventana de la barra lateral.
  4.  Asegúrese de que la regla tiene un aspecto similar al de la captura de pantalla siguiente: 
  5. En la sección «Haga lo siguiente...», seleccione: «Modificar las propiedades del mensaje» y «Establecer el nivel de confianza de spam (SCL)». Seleccione «Anular el filtrado de spam» (Bypass spam filtering) en la ventana de la barra lateral y haga clic en Guardar.
  6. Asegúrese de que la regla tiene un aspecto similar al de la captura de pantalla siguiente: 
  7. En la sección «Haga lo siguiente...», pulse el botón +.
  8. Aparecerá una nueva regla vacía. Configure esta nueva regla eligiendo «Modificar las propiedades del mensaje» en la primera opción de selección y «Establecer una cabecera de mensaje» en el segundo campo. Haga clic en el primer botón «Introducir texto», escriba X-MS-Exchange-Organization-SkipSafeLinksProcessing en la ventana de la barra lateral que aparece y pulse Guardar. Haga clic en el segundo botón «Introducir texto», escriba simplemente 1 en la ventana de la barra lateral que aparece y pulse Guardar.
  9. Asegúrese de que la regla tiene un aspecto similar al de la captura de pantalla siguiente:
  10. Compruebe que su configuración es similar a la de la imagen inferior y pulse Siguiente si todo es correcto.
  11. En la página «Establecer la configuración de las reglas», seleccione la opción Aplicar (Enforce) y haga clic en Siguiente
  12. Revise la configuración y haga clic en Finalizar.



Versión de la consola (versión antigua)

https://admin.exchange.microsoft.com/#/transportrules


Por favor, siga estos pasos:


  1. Haz clic en el + bajo el subtítulo de Reglas y selecciona Anular filtro de spam. Aparecerá una nueva ventana emergente donde podrá configurar la lista blanca para nuestra header.
  2. En la ventana emergente de empieza por darle un nombre a la regla. Puedes llamarla "ATTACK Simulator" para poder encontrarla fácilmente más tarde.
  3. En "*Aplicar esta regla si..." elija "The message headers..." y "matches these text patterns". Escriba x-ats-simulation en el campo de cabecera del mensaje y true como valor.
  4. En la sección "Haz lo siguiente..." deja la configuración actual como está: "Modificar las propiedades del mensaje" y "Establezca el nivel de confianza del spam"
  5. Pulse el botón + para añadir otra acción
  6. Seleccione "Modificar las propiedades del mensaje..." en la primera casilla y "establecer una cabecera de mensaje" en la segunda.
  7. Haga clic en el primer botón "Introducir texto" y escriba X-MS-Exchange-Organization-SkipSafeLinksProcessing en la ventana emergente del encabezado del mensaje.
  8. Haga clic en el segundo botón "Introducir texto" y escriba simplemente 1 en la ventana emergente del valor de la cabecera.
  9. Compruebe que sus ajustes son similares a los de la imagen
  10. En la página Establecer la configuración de la regla, asegúrese de que el "Modo de regla" está establecido en "Aplicar (Enforce)" y haga clic en Siguiente.
  11. En el último paso compruebe de nuevo los ajustes y pulse Finalizar.
  12. En la lista de reglas, asegúrese de que la nueva regla está activada. Si está desactivada, haga clic en la regla y active el interruptor de activación en la barra lateral.
  13. Asegúrese de que la regla tiene una prioridad alta. Recomendamos establecer la prioridad en 0.



Microsoft 365 Defender


Vaya a la página de políticas y reglas de Microsoft 365 Defender o haga clic aquí para ir directamente a la página https://security.microsoft.com/threatpolicy



Configuración antispam - política de entrada

  1. Haga clic en Antispam para revisar las reglas existentes.
  2. Haga clic en Política de entrada antispam (predeterminada) o cree una nueva si no la encuentra.
  3. En la barra lateral de detalles de la regla, asegúrese de que tiene nuestros dominios en la sección "Dominios permitidos".
  4. Si no es así, haz clic en "Editar remitentes y dominios permitidos y bloqueados".
  5. En la siguiente sección, haga clic en el botón "Permitir dominios".
  6. Añade los siguientes dominios en la sección "Gestionar dominios permitidos":

    securityawareness.pro, nospamplus.com, inbox-guardian.com, mail-defender.com, proxysecurefilter.com, onemailfilter.com, notificationspace.com, mailsmtpfilter.com, gmailgateway.com, forwardfrom.com, outlookgateway.com, smtpemaillist.com, spamshieldplus.com, attacksimulator.com

  7. Haz clic en "Hecho" y luego en "Guardar".
  8. Revisa la regla para asegurarte de que la configuración se ha guardado correctamente y de que ves 14 dominios en la sección "Dominios permitidos".

    Graphical user interface, text, application, email

Description automatically generated

Configuración antispam - política de filtro de conexión


Graphical user interface, text, application, email

Description automatically generated

  1. Haga clic en "Política de filtro de conexión (predeterminada)" o cree una nueva.
  2. En la barra lateral de la política de filtro de conexión, haga clic en "Editar política de filtro de conexión"
  3. En la sección "Permitir siempre los mensajes de las siguientes direcciones IP o rango de direcciones" escriba 168.245.96.234
  4. Haga clic en "Guardar" y luego en "Cerrar".


Graphical user interface, text, application

Description automatically generated


Entrega avanzada - Simulaciones de terceros

https://security.microsoft.com/advanceddelivery?viewid=PhishingSimulation 


Graphical user interface, text, application

Description automatically generated

  1. Haga clic en el botón azul Añadir
  2. En la barra lateral de la simulación de phishing, añada la siguiente configuración:
    1. Dominios de envío: ats.securityawareness.pro, ats.nospamplus.com, ats.inbox-guardian.com, ats.mail-defender.com, ats.proxysecurefilter.com, ats.onemailfilter.com, ats.notificationspace.com, ats.mailsmtpfilter.com, ats.gmailgateway.com, ats.forwardfrom.com, ats.outlookgateway.com, ats.smtpemaillist.com, ats.spamshieldplus.com, ats.attacksimulator.com.
    2. En la IP de envío, escriba: 168.245.96.234
    3. En Simulación de URLs a permitir, escriba:
      ~guardme.site/*
      ~mail-link.dev/*
      ~linkedto.us/*
      ~safeserver.top/*
      ~safe-link.us/*
      ~shortiee.us/*
      ~protectize.us/*
      ~maxspeed.link/*
      ~websafe.link/*
      ~gofast.link/*
      ~webshield.us/*
      ~onlinefilter.eu/*
      ~insta-proxy.com/*
      ~safegateway.pro/*
      ~safeonline.pro/*
      ~server-defender.com/*
      ~pro-shield.one/*
      ~massive-storage.com/*
      ~aisecurezone.com/*
      ~alphasecurespace.com/*
      ~betaedition.com/*
      ~cdnsecurefilter.com/*
      ~ezsecurespace.com/*
      ~let-on.com/*
      ~secure-version.com/*

      Nota: Si hay un límite de 10 URLs, escriba las 10 primeras de la lista anterior.
    4. Por último, haz clic en guardar.