Bloqueos de correos no deseados por patrones de texto en Exchange Online

Bloqueos de correos no deseados por patrones de texto en Exchange Online

(Artículo escrito por Jose Manuel Castillo para la Comunidad de Office 365)

Días atrás nos informaron que uno de nuestros clientes estaba recibiendo una campaña masiva de correos con Malware.

Comprobamos que Office 365 los estaba bloqueando pero, quisimos adelantarnos a 2 posibles cuestiones.

La primera es que al antispam de Exchange Online podría dejar pasar algún correo (falso negativo) y ese acabe penetrando en la organización. La segunda es el alto volumen de alertas y correos que estaba generando.

En estos casos es casi imprescindible encontrar un patrón de coincidencia en todos los correos, con el objeto de decirle a Exchange Online que los bloquee por ese patrón.

En el análisis descartamos hacerlo por IP, ya que provenían de varios lugares del mundo. Comprobamos que tampoco provenían del mismo dominio, por lo que ese bloqueo tampoco era efectivo. Los correos estaban en Castellano, (traductor de google pero en castellano). El enlace de descarga tampoco era un posible patrón válido. La única coincidencia que encontramos era que el texto era el mismo en todos los correos.  En este caso además tuvimos la suerte de una palabra mal escrita en castellano, en concreto Bienbenido.

Si miramos en el apartado protección de Exchange Online no existe la posibilidad de bloquear por texto. Hay un apartado que se llama aplicar lista de palabras confidenciales, pero no tenemos acceso a la modificación de esa lista:

Entonces ¿cómo podemos bloquear por texto?. Ese es el motivo de mi articulo por que me parece que es poco intuitivo como se puede hacer a no ser que se tenga un manejo con Exchange bastante frecuente; desde las reglas de correo.

Como crear una regla de correo que nos bloquee cualquier correo con la palabra Bienbenido.

En este caso y al ser una palabra más escrita en nuestro idioma nos viene fantástico para bloquear, por que no vamos a encontrar falsos positivos. En cambio, si queremos bloquear texto debemos de tener en cuenta que podemos impedir la entrada correos legítimos, por lo que habría que filtrar por una cadena de texto mayor que incluya palabras poco comunes.

Para configurar esto debemos ir al centro de administración de Exchange y a flujo de correo:

Una vez dentro vamos en la parte central a reglas:

Pinchamos en el desplegable del botón +

Y se nos despliega una serie de opciones:

En el desplegable detectamos que existen reglas mas o menos preconfiguradas o para usos muy concretos, ninguna de ellas se acomoda a nuestras necesidades. Así que pinchamos en la primera. Crear una nueva regla y la configuramos como aparece a continuación:

La forma de configurar es fácil, En nombre es texto Libre pondremos un texto descriptivo. En aplicar esta regla si… y en hacer lo siguiente es un desplegable en el que tendremos que elegir las opciones que vemos y al pinchar se abren cuadros de trabajo para rellenar los campos.

Esta es la configuración mínima, luego podemos agregar un montón de variables, por ejemplo:

  • Rechazar sin dar explicaciones
  • Programarlo para empiece en un momento concreto,
  • Auditar la regla para ver impacto, pero no bloquear.
  • Evitar que se bloquee si el correo es interno.

Solo un detalle más, si deseamos en otro momento bloquear por otro patrón, por ejemplo “I´m from Russia”, no tendremos que crear otra regla, a esta podemos agregarle tantos patrones como se desee. Para ello pinchamos en la regla y al abrirse pinchamos en el texto del patrón anterior:

Y en la ventana pinchando en + podemos agregar mas patrones:

Ya tendríamos configurada la regla, ahora si probamos a enviar un mensaje comprobamos que funciona, y comprobamos el mensaje que le llegará al remitente:

El mensaje como se puede comprobar es tremendamente explicativo, y yo personalmente prefiero ponerlo antes que configurar para que rechace sin aviso, para que en caso de un falso positivo y bloqueemos un correo legítimo, informemos porqué, ya que, si el destinatario contacta con nuestro remitente, este nos pueda informar del motivo. Hay que tener en cuenta que pueden pasar meses y casi con toda probabilidad, no recordemos que hicimos esta configuración.

Desde aquí la recomendación de que se analice bien las reglas. Desde mi punto de vista es una herramienta potentísima que nos permite configurar infinidad de condiciones que se ejecutaran cuando un correo coincida con la regla.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *