Habilitar advertencia y etiqueta de correo electrónico externo en Office 365 y Outlook

Los correos electrónicos de phishing son uno de los mayores hilos de seguridad en este momento.

Los correos electrónicos de phishing mejoran cada año, lo que dificulta bloquearlos por adelantado.

Por lo general, a los usuarios también les resulta difícil reconocerlos y hacen clic con demasiada frecuencia en los enlaces de los correos electrónicos.

Podemos evitar eso agregando una advertencia de correo electrónico externo o etiquetando correos electrónicos externos.

Básicamente, hay dos opciones, que ambos deben implementar. El primero es habilitar la etiqueta de correo electrónico externo en Exchange Online.

Esto habilitará una advertencia integrada entre el asunto y el cuerpo del correo electrónico cuando el correo electrónico se envíe desde fuera de su organización.

La segunda opción es agregar un banner de advertencia personalizado en la parte superior del correo electrónico.

Podemos mostrar la advertencia personalizada basada en palabras en el asunto o el cuerpo, lo que la hace realmente versátil.

Nos permite mostrar una advertencia para frases como “conserva tu contraseña” o “actualiza tu contraseña”

En este artículo, explicaré cómo puede habilitar la etiqueta externa de Exchange Online y crear advertencias de correo electrónico externas personalizadas en Office 365 y Outlook.

Habilitar etiqueta de correo electrónico externa

El etiquetado de correo electrónico externo es una capa de seguridad adicional que lo ayuda a protegerse contra los correos electrónicos de phishing.

Funciones como SPF, DKIM y DMARC ya hacen un gran trabajo en la prevención de la mayoría de los correos electrónicos de phishing, pero todos sabemos que aún no es suficiente.

Especialmente los correos electrónicos falsificados, que parecen haber sido enviados desde una fuente confiable en su organización, son un gran riesgo para la seguridad.

Microsoft lanzó recientemente una nueva característica en Exchange Online para ayudar a aumentar la conciencia del usuario al etiquetar automáticamente los correos electrónicos externos.

La etiqueta externa es compatible con las siguientes versiones de Outlook:

• Perspectiva en línea
• Outlook para Windows: la implementación comenzó en mayo de 2021
• Outlook para Mac: versión 16.47 y superior
• Aplicación Outlook Mobile – iOS y Android – versión 4.2111.0 y superior

Cómo habilitar el etiquetado de correo electrónico externo

Por el momento, solo podemos habilitar el etiquetado de correo electrónico externo a través de PowerShell.

Asegúrese de tener instalado el módulo Exchange Online antes de comenzar.

Pueden pasar hasta 48 horas antes de que la etiqueta externa aparezca en Outlook. Solo se etiquetarán los correos electrónicos nuevos después de habilitar la función, no así los correos electrónicos existentes.

Paso 1: conéctese a Exchange Online

El primer paso es conectarse a Exchange Online.

Connect-ExchangeOnline -userPrincipalName [email protected]

Paso 2: habilite el etiquetado externo

El siguiente paso es habilitar el etiquetado externo en Exchange Online.

Set-ExternalInOutlook -Enabled $true

Puede verificar la configuración con el siguiente cmdlet:

Get-ExternalInOutlook

# Result:
RunspaceId : 4b07eecc-34c5-4add-8ee4-80d25aa4aff4
Identity   : 11e55098-68ad-4992-aaf8-c5fdceb3b6da
Enabled    : True   # < External tagging enabled
AllowList  : {}

Paso 3: agregue dominios a la lista de permitidos (opcional)

Es posible excluir dominios de la etiqueta externa. Esto puede ser útil si su organización tiene diferentes inquilinos o si trabaja en estrecha colaboración con socios específicos.

Al usar el @{add=""} sintaxis, nos aseguramos de que se conserve cualquier dominio existente en la lista. Sin él, se eliminarían todos los dominios existentes en la lista de permitidos.

Set-ExternalInOutlook -AllowList  @{Add="lazyadmin.nl", "lazydev.nl"}

Para eliminar uno o varios dominios de la lista, puede utilizar la siguiente sintaxis

Set-ExternalInOutlook -AllowList  @{Remove="lazyadmin.nl", "lazydev.nl"}

Podemos verificar la configuración con el siguiente cmdlet

Get-ExternalInOutlook

# Result
RunspaceId : 6468fcef-1cb9-4d6c-9cae-6b8dbc999971
Identity   : 11e55098-68ad-4992-aaf8-c5fdceb3b6da
Enabled    : True
AllowList  : {lazyadmin.nl, lazydev.nl} # domains added to allow list

Etiquetar correos electrónicos externos en Outlook es una característica nueva en Microsoft Office 365.

Las características nuevas siempre se implementan primero para los usuarios internos y los inquilinos de versiones específicas.

Si no funciona después de 48 horas o si desea nuevas características más rápido para su arrendatario, asegúrese de cambiar las Preferencias de versión en el Centro de administración de Microsoft Office 365.

1. Abre el centro de administración
2. Ir Ajustes > Configuración de la organización
3. Haga clic en Perfil de la organización y seleccione Preferencias de versión
4. Asegúrate de eso Lanzamiento dirigido para todos es seleccionado.

Crear advertencia de correo electrónico externo

Las advertencias de correo electrónico externo son mensajes personalizados que puede agregar en la parte superior del correo electrónico.

Sigue siendo una buena idea advertir a los usuarios sobre correos electrónicos maliciosos, aunque ahora podemos etiquetar correos electrónicos externos en Exchange Online.

La advertencia personalizada nos permite advertir a los usuarios según el contenido o el asunto del correo electrónico.

Por lo tanto, no vamos a advertir a los usuarios por cada correo electrónico externo con esto, solo si el contenido o asunto contiene palabras o frases específicas.

Para crear la advertencia de correo electrónico externo, vamos a utilizar las reglas de transporte de Exchange.

Puede usar este método tanto en Exchange Online como en Exchange On-Premise.

Nota

También creé una secuencia de comandos que mostrará una advertencia cuando los usuarios reciban un correo electrónico externo con el mismo nombre para mostrar que un usuario de su organización (Suplantación de identidad). Lea más sobre esto en este artículo.

Primero vamos a usar el Centro de administración de Office 365 Exchange Online para configurar la advertencia de correo electrónico externo.

Al final del artículo, también tengo un script de PowerShell que puede usar.

Configurar advertencia de correo electrónico externo en Exchange Online

Si desea configurar la advertencia de correo electrónico externo solo para un inquilino único, entonces es más conveniente usar el Centro de administración de Exchange para esto.

Paso 1: cree una nueva regla de flujo de correo en el Centro de administración de Exchange

– Inicie sesión en el Centro de administración de Exchange
– Expandir flujo de correo
– Seleccione Normas
– Haga clic en el más y seleccione Crear una nueva regla

Paso 2: asigne un nombre a la regla

Ingrese un nombre para la regla para que pueda reconocerla fácilmente más tarde, por ejemplo, «advertencia de correo electrónico externo».

Paso 3: configurar Aplicar esta regla si

Solo queremos aplicar la regla cuando el correo electrónico proviene de una fuente externa. Y también queremos agregar un filtro para hacer coincidir el tema o el cuerpo con una lista de palabras.

• Haga clic en Aplicar esta regla si
• Elegir El remitente se encuentra…
• Seleccione Fuera de la organización

Necesitamos agregar condiciones adicionales, para hacer esto deberá hacer clic en Mas opciones…

Con más opciones habilitadas, ahora podemos agregar condiciones adicionales a las condiciones Aplicar esta regla si.

• Haga clic en Añadir condición en Aplicar esta regla si
• Elegir El destinatario se encuentra….
• Seleccione Dentro de esta organización

Vamos a agregar una condición más para que solo mostremos la advertencia cuando el asunto o el cuerpo coincidan con palabras o frases específicas:

• Haga clic en Añadir condición en Aplicar esta regla si
• Elegir El sujeto o cuerpo coincide…
• Seleccione Palabras o frases específicas.

Ahora puede agregar todas las palabras y frases manualmente o usar PowerShell para esto. Solo agregue una o dos frases por ahora y actualizaremos la lista más tarde con PowerShell.

La siguiente lista se basa en la lista Regex de SwiftOnSecurity que puede encontrar aquí en GitHub.

Password.*[expire|reset]
Password access
[reset|change|update].*password
Change.*password
\.odt
E-Notification
EMERGENCY
Retrieve*.document
Download*.document
confirm ownership for
word must be installed
prevent further unauthorized
prevent further unauthorised
informations has been
fallow our process
confirm your informations
failed to validate
unable to verify
delayed payment
activate your account
Update your payment
submit your payment
via Paypal
has been compromised
FRAUD NOTICE
your account will be closed
your apple id was used to sign in to
was blocked for violation
urged to download
that you validate your account
multiple login attempt
trying to access your account
suspend your account
restricted if you fail to update
informations on your account
update your account information
update in our security
Unusual sign-in activity
Account Was Limited
verify and reactivate
has.*been.*limited
have.*locked
has.*been.*suspended
unusual.*activity
notifications.*pending
your\ (customer\ )?account\ has
your\ (customer\ )?account\ was
new.*voice(\ )?mail
Periodic.*Maintenance
refund.*not.*approved
account.*(is\ )?on.*hold
wire.*transfer
secure.*update
secure.*document
temporar(il)?y.*deactivated
verification.*required
blocked\ your?\ online
suspicious\ activit
securely*.onedrive
securely*.dropbox
securely*.google drive
view message
view attachment

Paso 4: agregar la advertencia de correo electrónico externo

Con las condiciones establecidas, el siguiente paso es agregar la advertencia que queremos mostrar. Vamos a agregar el ejemplo de advertencia de correo electrónico externo a continuación. Pero puede personalizarlo según sus necesidades, por supuesto.

Al final del artículo, he agregado un par de otros ejemplos para el mensaje de advertencia.

Podemos usar algo de HTML básico para formatear el mensaje de advertencia:

<!-- Yellow caution banner -->
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <!-- Remove the next line if you don't want the Yellow bar on the left side -->
    <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>

    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br />

• Haga clic en Haz lo siguiente
• Elegir Aplicar un descargo de responsabilidad al mensaje
• Seleccione Anteponer el descargo de responsabilidad…
• Haga clic en Ingrese texto…
• Pegue el código HTML desde arriba en el cuadro de texto
• Haga clic en Seleccione uno.. y establezca la acción de reserva en Envolver

Paso 5: agregar excepciones

Es posible que desee agregar algunas excepciones a la regla.

Puede tener, por ejemplo, una aplicación que envíe correos electrónicos con un enlace para restablecer la contraseña.

Podemos agregar múltiples excepciones bajo Excepto si.

La excepción puede basarse en dominios, remitente específico, palabras, direcciones IP, etc.

Paso 6: guarde la regla

Con la regla completada, puede guardarla para habilitarla. Si desea probar la regla primero, puede cambiar la Aplicar esta regla si condición Este Destinatario se encuentra a es esta persona e ingrese su propia dirección de correo electrónico.

De esta forma, la regla solo se aplicará a su buzón, lo que le permitirá probarla de forma segura antes de implementarla en la organización.

La regla completa debería ser similar a esto:

Paso 7: agregue todas las palabras y frases con PowerShell

La lista de palabras y frases es bastante larga, por lo que en lugar de agregarlas todas manualmente, actualizaremos la regla de transporte con PowerShell.

Primero, necesitamos obtener la regla de transporte basada en su nombre. Este es el mismo nombre que ingresamos en el paso 2. Si no está seguro, también puede enumerar todas las reglas de transporte con Get-TransportRule

Siempre hago un Get primero para asegurarme de que tengo la regla correcta antes de realizar cualquier cambio en la configuración de la regla.

# Connect to Exchange Online
# Enter your userprincipalname to use SSON
Connect-ExchangeOnline -userprincipalname [email protected]

# Get the transport rule
Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns

Esto debería devolver la regla que acabamos de crear con las palabras o frases que ingresó manualmente en el paso 3.

He guardado los patrones en un archivo de texto en mi carpeta temporal. De esta manera podemos importarlo fácilmente con PowerShell:

# Update the transport rule with all the patterns
Set-TransportRule -Identity "External Email Warning" -SubjectOrBodyMatchesPatterns (Get-Content C:\temp\patterns.txt)

# Check if the import was successful:
Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns

Uso de PowerShell para crear la advertencia externa

Si desea agregar la advertencia de correo electrónico externo a varios inquilinos, entonces es más fácil usar PowerShell.

El siguiente script crea una regla de transporte de Exchange Online con todas las configuraciones descritas anteriormente.

Asegúrese de tener el archivo patterns.txt en la misma carpeta que el script.

# Connect to Exchange Online
Write-Host "Connect to Exchange Online" -ForegroundColor Cyan
Connect-ExchangeOnline

$HTMLDisclaimer="<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
	<tr>
		<td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>
		<td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
			<div style="color:#222222;">
				<span style="color:#222; font-weight:bold;">Caution:</span>
				This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
			</div>
		</td>
	</tr>
</table>
<br/>"


Write-Host "Creating Transport Rule" -ForegroundColor Cyan

# Create new Transport Rule
New-TransportRule -Name "External Email Warning" `
									-FromScope NotInOrganization `
									-SentToScope InOrganization `
									-SubjectOrBodyMatchesPatterns (Get-Content $PSScriptRoot\PhishingPatterns.txt) `
									-ApplyHtmlDisclaimerLocation Prepend `
									-ApplyHtmlDisclaimerText $HTMLDisclaimer `
									-ApplyHtmlDisclaimerFallbackAction Wrap

Write-Host "Transport rule created" -ForegroundColor Green

También puede encontrar el script completo, el código HTML de advertencia de correo electrónico externo y la lista de patrones aquí en mi repositorio de GitHub.

Ejemplos de advertencias de correo electrónico externo

He creado un par de ejemplos de advertencia de correo electrónico externo que puede usar. Algunas organizaciones tal vez quieran una pancarta más prominente que otras. Estos ejemplos se pueden usar directamente o pueden ayudarlo a crear su propia advertencia.

Asegúrese de dejar
al final de los carteles de advertencia. Porque esto agregará una entrada (línea blanca) entre la advertencia y el contenido real del correo.

Ejemplo 1: cartel de advertencia amarillo

Si no le gusta la barra amarilla oscura del lado izquierdo, puede eliminar la línea 5 del código HTML.

<!-- Yellow caution banner -->
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <!-- Remove the next line if you don't want the Yellow bar on the left side -->
    <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>

    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br />

Ejemplo 2: barra de información azul

El código HTML para este banner de advertencia es:

<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <td style="background:#00A0d2;padding:5pt 2pt 5pt 2pt"></td>
    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#e5f5fa;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Caution:</span>
        This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department
      </div>
    </td>
  </tr>
</table>
<br/>

Ejemplo 3: advertencia de fondo blanco

También puede usar solo una pequeña línea roja o amarilla oscura delante de la advertencia.

<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <td style="background:#dc3232;padding:3pt 1pt 3pt 1pt"></td>
    <td width="100%" cellpadding="3px 6px 3px 15px" style="background:#ffffff;padding:3pt 4pt 3pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Important:</span>
        This is contains a suspicious subject or content. Do not click any link and do not open attachments unless you have confirmed the sender.
      </div>
    </td>
  </tr>
</table>
<br />

Terminando

Espero que este artículo te haya ayudado a configurar tu propia advertencia de correo electrónico externo.

Asegúrese de habilitar la etiqueta de correo electrónico externo porque esto realmente puede ayudarlos a ustedes, los usuarios, a reconocer antes el correo de phishing falsificado.

La advertencia de correo electrónico externo personalizada que puede agregar a Office 365 y Outlook es realmente versátil.

No me gusta mostrar el banner en todos los correos electrónicos externos, porque los usuarios se familiarizarán demasiado con él y perderá su efecto.

Entonces, al agregar las condiciones adicionales, nos aseguramos de que solo se marque el correo con un alto riesgo.

Asegúrese de leer también esta lista con más de 18 consejos de seguridad para proteger a su arrendatario de Office 365 y consulte este script para la advertencia de suplantación de identidad en Outlook.

Si tiene alguna pregunta, simplemente deje un comentario a continuación.

Otros artículos relacionados