Filtrando malware en Office365 – Parte 1

En los tiempos que corren cada vez son mas lo intentos de phishing que se reciben diariamente en servicios como Office365 en cualquier empresa.

Para ello el propio Office365 ofrece una buena base de protección, pero es muy recomendable potenciar esa seguridad que por defecto nos proporciona. Os enseñaré como lo hice yo y me funciona de maravillas.

Primero de todo debemos crear un buzón compartido donde recibiremos esos posibles correos phishing, por ejemplo «spam@midominio.com» y asignárnoslo a nuestro correo principal para ser nosotros los que podemos revisar su bandeja de entrada.

Ahora, nos vamos al centro de administración de Exchange y a la opción «Protección»

A mi personalmente me gusta editar la directiva que viene por defecto, pero podemos crear nuevas directivas. Aquí básicamente editamos la opciones por defecto y las dejamos como muestro a continuación:

  • Respuesta de detección de malware: «No» (no queremos que avisen a los usuarios cuando un correo dirigido a él se pone en cuarentena)
  • Filtro de tipos comunes de datos adjuntos: «Activado» (potenciamos el filtro de archivos no deseados, filtrando por extensiones)
  • Purga automática de malware: «Activado» (permitimos que el propio O365 elimine malware en correos)
  • Notificaciones: Aquí debemos introducir la dirección creada anteriormente para que no avise de todo lo que sucede en ese buzón.

Una vez terminamos de configurar la directiva de «filtro de malware» pasamos a editar «filtro de correo no deseado», vamos a ello:

Nos centramos en «acciones de correo masivo y no deseado» como podéis ver en la imagen de arriba. Básicamente le decimos que todo lo que califique como correo no deseado sea redireccionado al buzón creado anteriormente, con esto evitamos que reciban correos potencialmente peligrosos y seremos nosotros los encargados de filtrar o eliminar (se eliminan solos pasados 15 días, o los que configuremos).

La siguiente configuración la haremos en «listas de bloqueados»

Podemos añadir direcciones especificas o directamente bloquear todo el dominio completo. Yo recomiendo bloquear directamente el dominio, de esta forma evitamos nuevos intentos posibles. Cada situación y empresa es diferente con lo cual esta lista de dominios debéis crearla e ir moldeándola vosotros mismo con reportes de vuestros usuarios. También tenéis disponible las listas negras que proporciona en CCN-CERT al menos en estos tiempos de estafas por Coronavirus (Covid-19).

Continuamos en la segunda parte.

Deja un comentario