ÍNDICE DE CONTENIDOS




Reglas de Mail Flow


Versión de Powershell


En primer lugar, conecte con PowerShell a una nueva sesión de administrador en Exchange. Lo siguiente funcionará con Exchange Online (Office 365). Para más información, consulte la documentación:


Install-Module -Name ExchangeOnlineManagement

Import-Module ExchangeOnlineManagement

Connect-ExchangeOnline -UserPrincipalName <ADMIN EMAIL>

A continuación, después de la autenticación, cree dos nuevas reglas de transporte con los siguientes comandos:


New-TransportRule SecurePracticeBypassATPLinks -Comments "Disable M365 link filter for ATTACK Simulator Header" -Priority -0 -HeaderContainsMessageHeader "x-ats-simulation" -HeaderContainsWords "true" -SetHeaderName "X-MS-Exchange-Organization-SkipSafeLinksProcessing" -SetHeaderValue "1" -SetSCL -1

New-TransportRule SecurePracticeBypassATPAttachments -Comments "Disable M365 attachment filter for ATTACK Simulator Header" -HeaderContainsMessageHeader "x-ats-simulation" -HeaderContainsWords "true" -SetHeaderName "X-MS-Exchange-Organization-SkipSafeAttachmentProcessing" -SetHeaderValue "1"

Finalmente, revise las prioridades de sus reglas para asegurarse de que no hay otras reglas personalizadas que bloqueen los correos electrónicos de phishing simulados.


Get-TransportRule

Si es necesario realizar ajustes, consulte la documentación oficial mencionada anteriormente o utilice el Centro de administración de Exchange, como se muestra a continuación, para reordenar las reglas a través de un portal web.


Felicitaciones, ¡hemos terminado con las listas blancas en Exchange!


P.D. Si en algún momento necesitas un script para eliminar nuestras reglas de nuevo, lo siguiente funcionará:


Remove-TransportRule -Identity "SecurePracticeBypassATPLinks" -Confirm:$false

Remove-TransportRule -Identity "SecurePracticeBypassATPAttachments" -Confirm:$false


Versión de la consola

https://admin.exchange.microsoft.com/#/transportrules


Por favor, asegúrese de que tiene la siguiente configuración. 


Si no es así, siga estos pasos:


  1. Haz clic en el + bajo el subtítulo de Reglas y selecciona Anular filtro de spam. Aparecerá una nueva ventana emergente donde podrá configurar la lista blanca para nuestra ip.
  2. En la ventana emergente de empieza por darle un nombre a la regla. Puedes llamarla "ATTACK Simulator" para poder encontrarla fácilmente más tarde.
  3. En "*Aplicar esta regla si..." elija "The message headers..." y "matches these text patterns". Escriba x-ats-simulation en el campo de cabecera del mensaje y true como valor.
  4. En la sección "Haz lo siguiente..." deja la configuración actual como está: "Modificar las propiedades del mensaje" y "Establezca el nivel de confianza del spam"
  5. Pulse el botón + para añadir otra acción
  6. Seleccione "Modificar las propiedades del mensaje..." en la primera casilla y "establecer una cabecera de mensaje" en la segunda.
  7. Haga clic en el primer botón "Introducir texto" y escriba X-MS-Exchange-Organization-SkipSafeLinksProcessing en la ventana emergente del encabezado del mensaje.
  8. Haga clic en el segundo botón "Introducir texto" y escriba simplemente 1 en la ventana emergente del valor de la cabecera.
  9. Compruebe que sus ajustes son similares a los de la imagen
  10. En la página Establecer la configuración de la regla, asegúrese de que el "Modo de regla" está establecido en "Aplicar (Enforce)" y haga clic en Siguiente.
  11. En el último paso compruebe de nuevo los ajustes y pulse Finalizar.
  12. En la lista de reglas, asegúrese de que la nueva regla está activada. Si está desactivada, haga clic en la regla y active el interruptor de activación en la barra lateral.
  13. Asegúrese de que la regla tiene una prioridad alta. Recomendamos establecer la prioridad en 0.



Microsoft 365 Defender


Vaya a la página de políticas y reglas de Microsoft 365 Defender o haga clic aquí para ir directamente a la página https://security.microsoft.com/threatpolicy



Configuración antispam - política de entrada

  1. Haga clic en Antispam para revisar las reglas existentes.
  2. Haga clic en Política de entrada antispam (predeterminada) o cree una nueva si no la encuentra.
  3. En la barra lateral de detalles de la regla, asegúrese de que tiene nuestros dominios en la sección "Dominios permitidos".
  4. Si no es así, haz clic en "Editar remitentes y dominios permitidos y bloqueados".
  5. En la siguiente sección, haga clic en el botón "Permitir dominios".
  6. Añade los siguientes dominios en la sección "Gestionar dominios permitidos":

    securityawareness.pro, nospamplus.com, inbox-guardian.com, mail-defender.com, proxysecurefilter.com, onemailfilter.com, notificationspace.com, mailsmtpfilter.com, gmailgateway.com, forwardfrom.com, outlookgateway.com, smtpemaillist.com, spamshieldplus.com, attacksimulator.com

  7. Haz clic en "Hecho" y luego en "Guardar".
  8. Revisa la regla para asegurarte de que la configuración se ha guardado correctamente y de que ves 14 dominios en la sección "Dominios permitidos".

    Graphical user interface, text, application, email Description automatically generated

Configuración antispam - política de filtro de conexión


Graphical user interface, text, application, email Description automatically generated

  1. Haga clic en "Política de filtro de conexión (predeterminada)" o cree una nueva.
  2. En la barra lateral de la política de filtro de conexión, haga clic en "Editar política de filtro de conexión"
  3. En la sección "Permitir siempre los mensajes de las siguientes direcciones IP o rango de direcciones" escriba 168.245.96.234
  4. Haga clic en "Guardar" y luego en "Cerrar".


Graphical user interface, text, application Description automatically generated


Entrega avanzada - Simulaciones de terceros

https://security.microsoft.com/advanceddelivery?viewid=PhishingSimulation 


Graphical user interface, text, application Description automatically generated

  1. Haga clic en el botón azul Añadir
  2. En la barra lateral de la simulación de phishing, añada la siguiente configuración:
    1. Dominios de envío: ats.securityawareness.pro, ats.nospamplus.com, ats.inbox-guardian.com, ats.mail-defender.com, ats.proxysecurefilter.com, ats.onemailfilter.com, ats.notificationspace.com, ats.mailsmtpfilter.com, ats.gmailgateway.com, ats.forwardfrom.com, ats.outlookgateway.com, ats.smtpemaillist.com, ats.spamshieldplus.com, ats.attacksimulator.com.
    2. En la IP de envío, escriba: 168.245.96.234
    3. En Simulación de URLs a permitir, escriba:
      ~guardme.site/*
      ~mail-link.dev/*
      ~linkedto.us/*
      ~safeserver.top/*
      ~safe-link.us/*
      ~shortiee.us/*
      ~protectize.us/*
      ~maxspeed.link/*
      ~websafe.link/*
      ~gofast.link/*
      ~webshield.us/*
      ~onlinefilter.eu/*
      ~insta-proxy.com/*
      ~safegateway.pro/*
      ~safeonline.pro/*
      ~server-defender.com/*
      ~pro-shield.one/*
      ~massive-storage.com/*
      ~aisecurezone.com/*
      ~alphasecurespace.com/*
      ~betaedition.com/*
      ~cdnsecurefilter.com/*
      ~ezsecurespace.com/*
      ~let-on.com/*
      ~secure-version.com/*

      Nota: Si hay un límite de 10 URLs, escriba las 10 primeras de la lista anterior.

    4. Por último, haz clic en guardar.