Los correos electrónicos de phishing son uno de los mayores hilos de seguridad en este momento.
Los correos electrónicos de phishing mejoran cada año, lo que dificulta bloquearlos por adelantado.
Por lo general, a los usuarios también les resulta difícil reconocerlos y hacen clic con demasiada frecuencia en los enlaces de los correos electrónicos.
Podemos evitar eso agregando una advertencia de correo electrónico externo o etiquetando correos electrónicos externos.
Básicamente, hay dos opciones, que ambos deben implementar. El primero es habilitar la etiqueta de correo electrónico externo en Exchange Online.
Esto habilitará una advertencia integrada entre el asunto y el cuerpo del correo electrónico cuando el correo electrónico se envíe desde fuera de su organización.
La segunda opción es agregar un banner de advertencia personalizado en la parte superior del correo electrónico.
Podemos mostrar la advertencia personalizada basada en palabras en el asunto o el cuerpo, lo que la hace realmente versátil.
Nos permite mostrar una advertencia para frases como “conserva tu contraseña” o “actualiza tu contraseña”

En este artículo, explicaré cómo puede habilitar la etiqueta externa de Exchange Online y crear advertencias de correo electrónico externas personalizadas en Office 365 y Outlook.
Habilitar etiqueta de correo electrónico externa
El etiquetado de correo electrónico externo es una capa de seguridad adicional que lo ayuda a protegerse contra los correos electrónicos de phishing.
Funciones como SPF, DKIM y DMARC ya hacen un gran trabajo en la prevención de la mayoría de los correos electrónicos de phishing, pero todos sabemos que aún no es suficiente.
Especialmente los correos electrónicos falsificados, que parecen haber sido enviados desde una fuente confiable en su organización, son un gran riesgo para la seguridad.
Microsoft lanzó recientemente una nueva característica en Exchange Online para ayudar a aumentar la conciencia del usuario al etiquetar automáticamente los correos electrónicos externos.
La etiqueta externa es compatible con las siguientes versiones de Outlook:
- Perspectiva en línea
- Outlook para Windows: la implementación comenzó en mayo de 2021
- Outlook para Mac: versión 16.47 y superior
- Aplicación Outlook Mobile – iOS y Android – versión 4.2111.0 y superior
Cómo habilitar el etiquetado de correo electrónico externo
Por el momento, solo podemos habilitar el etiquetado de correo electrónico externo a través de PowerShell.
Asegúrese de tener instalado el módulo Exchange Online antes de comenzar.
Pueden pasar hasta 48 horas antes de que la etiqueta externa aparezca en Outlook. Solo se etiquetarán los correos electrónicos nuevos después de habilitar la función, no así los correos electrónicos existentes.
Paso 1: conéctese a Exchange Online
El primer paso es conectarse a Exchange Online.
Connect-ExchangeOnline -userPrincipalName [email protected]
Paso 2: habilite el etiquetado externo
El siguiente paso es habilitar el etiquetado externo en Exchange Online.
Set-ExternalInOutlook -Enabled $true
Puede verificar la configuración con el siguiente cmdlet:
Get-ExternalInOutlook # Result: RunspaceId : 4b07eecc-34c5-4add-8ee4-80d25aa4aff4 Identity : 11e55098-68ad-4992-aaf8-c5fdceb3b6da Enabled : True # < External tagging enabled AllowList : {}
Paso 3: agregue dominios a la lista de permitidos (opcional)
Es posible excluir dominios de la etiqueta externa. Esto puede ser útil si su organización tiene diferentes inquilinos o si trabaja en estrecha colaboración con socios específicos.
Al usar el @{add=""}
sintaxis, nos aseguramos de que se conserve cualquier dominio existente en la lista. Sin él, se eliminarían todos los dominios existentes en la lista de permitidos.
Set-ExternalInOutlook -AllowList @{Add="lazyadmin.nl", "lazydev.nl"}
Para eliminar uno o varios dominios de la lista, puede utilizar la siguiente sintaxis
Set-ExternalInOutlook -AllowList @{Remove="lazyadmin.nl", "lazydev.nl"}
Podemos verificar la configuración con el siguiente cmdlet
Get-ExternalInOutlook # Result RunspaceId : 6468fcef-1cb9-4d6c-9cae-6b8dbc999971 Identity : 11e55098-68ad-4992-aaf8-c5fdceb3b6da Enabled : True AllowList : {lazyadmin.nl, lazydev.nl} # domains added to allow list
Etiquetar correos electrónicos externos en Outlook es una característica nueva en Microsoft Office 365.
Las características nuevas siempre se implementan primero para los usuarios internos y los inquilinos de versiones específicas.
Si no funciona después de 48 horas o si desea nuevas características más rápido para su arrendatario, asegúrese de cambiar las Preferencias de versión en el Centro de administración de Microsoft Office 365.

- Abre el centro de administración
- Ir Ajustes > Configuración de la organización
- Haga clic en Perfil de la organización y seleccione Preferencias de versión
- Asegúrate de eso Lanzamiento dirigido para todos es seleccionado.
Crear advertencia de correo electrónico externo
Las advertencias de correo electrónico externo son mensajes personalizados que puede agregar en la parte superior del correo electrónico.
Sigue siendo una buena idea advertir a los usuarios sobre correos electrónicos maliciosos, aunque ahora podemos etiquetar correos electrónicos externos en Exchange Online.
La advertencia personalizada nos permite advertir a los usuarios según el contenido o el asunto del correo electrónico.
Por lo tanto, no vamos a advertir a los usuarios por cada correo electrónico externo con esto, solo si el contenido o asunto contiene palabras o frases específicas.
Para crear la advertencia de correo electrónico externo, vamos a utilizar las reglas de transporte de Exchange.
Puede usar este método tanto en Exchange Online como en Exchange On-Premise.
Nota
También creé una secuencia de comandos que mostrará una advertencia cuando los usuarios reciban un correo electrónico externo con el mismo nombre para mostrar que un usuario de su organización (Suplantación de identidad). Lea más sobre esto en este artículo.
Primero vamos a usar el Centro de administración de Office 365 Exchange Online para configurar la advertencia de correo electrónico externo.
Al final del artículo, también tengo un script de PowerShell que puede usar.
Configurar advertencia de correo electrónico externo en Exchange Online
Si desea configurar la advertencia de correo electrónico externo solo para un inquilino único, entonces es más conveniente usar el Centro de administración de Exchange para esto.
Paso 1: cree una nueva regla de flujo de correo en el Centro de administración de Exchange
– Inicie sesión en el Centro de administración de Exchange
– Expandir flujo de correo
– Seleccione Normas
– Haga clic en el más y seleccione Crear una nueva regla

Paso 2: asigne un nombre a la regla
Ingrese un nombre para la regla para que pueda reconocerla fácilmente más tarde, por ejemplo, «advertencia de correo electrónico externo».
Paso 3: configurar Aplicar esta regla si
Solo queremos aplicar la regla cuando el correo electrónico proviene de una fuente externa. Y también queremos agregar un filtro para hacer coincidir el tema o el cuerpo con una lista de palabras.
- Haga clic en Aplicar esta regla si
- Elegir El remitente se encuentra…
- Seleccione Fuera de la organización
Necesitamos agregar condiciones adicionales, para hacer esto deberá hacer clic en Mas opciones…

Con más opciones habilitadas, ahora podemos agregar condiciones adicionales a las condiciones Aplicar esta regla si.
- Haga clic en Añadir condición en Aplicar esta regla si
- Elegir El destinatario se encuentra….
- Seleccione Dentro de esta organización

Vamos a agregar una condición más para que solo mostremos la advertencia cuando el asunto o el cuerpo coincidan con palabras o frases específicas:
- Haga clic en Añadir condición en Aplicar esta regla si
- Elegir El sujeto o cuerpo coincide…
- Seleccione Palabras o frases específicas.
Ahora puede agregar todas las palabras y frases manualmente o usar PowerShell para esto. Solo agregue una o dos frases por ahora y actualizaremos la lista más tarde con PowerShell.

La siguiente lista se basa en la lista Regex de SwiftOnSecurity que puede encontrar aquí en GitHub.
Password.*[expire|reset] Password access [reset|change|update].*password Change.*password \.odt E-Notification EMERGENCY Retrieve*.document Download*.document confirm ownership for word must be installed prevent further unauthorized prevent further unauthorised informations has been fallow our process confirm your informations failed to validate unable to verify delayed payment activate your account Update your payment submit your payment via Paypal has been compromised FRAUD NOTICE your account will be closed your apple id was used to sign in to was blocked for violation urged to download that you validate your account multiple login attempt trying to access your account suspend your account restricted if you fail to update informations on your account update your account information update in our security Unusual sign-in activity Account Was Limited verify and reactivate has.*been.*limited have.*locked has.*been.*suspended unusual.*activity notifications.*pending your\ (customer\ )?account\ has your\ (customer\ )?account\ was new.*voice(\ )?mail Periodic.*Maintenance refund.*not.*approved account.*(is\ )?on.*hold wire.*transfer secure.*update secure.*document temporar(il)?y.*deactivated verification.*required blocked\ your?\ online suspicious\ activit securely*.onedrive securely*.dropbox securely*.google drive view message view attachment
Paso 4: agregar la advertencia de correo electrónico externo
Con las condiciones establecidas, el siguiente paso es agregar la advertencia que queremos mostrar. Vamos a agregar el ejemplo de advertencia de correo electrónico externo a continuación. Pero puede personalizarlo según sus necesidades, por supuesto.
Al final del artículo, he agregado un par de otros ejemplos para el mensaje de advertencia.

Podemos usar algo de HTML básico para formatear el mensaje de advertencia:
<!-- Yellow caution banner --> <table border=0 cellspacing=0 cellpadding=0 align="left" width="100%"> <tr> <!-- Remove the next line if you don't want the Yellow bar on the left side --> <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td> <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word"> <div style="color:#222222;"> <span style="color:#222; font-weight:bold;">Caution:</span> This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department </div> </td> </tr> </table> <br />
- Haga clic en Haz lo siguiente
- Elegir Aplicar un descargo de responsabilidad al mensaje
- Seleccione Anteponer el descargo de responsabilidad…
- Haga clic en Ingrese texto…
- Pegue el código HTML desde arriba en el cuadro de texto
- Haga clic en Seleccione uno.. y establezca la acción de reserva en Envolver

Paso 5: agregar excepciones
Es posible que desee agregar algunas excepciones a la regla.
Puede tener, por ejemplo, una aplicación que envíe correos electrónicos con un enlace para restablecer la contraseña.
Podemos agregar múltiples excepciones bajo Excepto si.
La excepción puede basarse en dominios, remitente específico, palabras, direcciones IP, etc.
Paso 6: guarde la regla
Con la regla completada, puede guardarla para habilitarla. Si desea probar la regla primero, puede cambiar la Aplicar esta regla si condición Este Destinatario se encuentra a es esta persona e ingrese su propia dirección de correo electrónico.
De esta forma, la regla solo se aplicará a su buzón, lo que le permitirá probarla de forma segura antes de implementarla en la organización.
La regla completa debería ser similar a esto:

Paso 7: agregue todas las palabras y frases con PowerShell
La lista de palabras y frases es bastante larga, por lo que en lugar de agregarlas todas manualmente, actualizaremos la regla de transporte con PowerShell.
Primero, necesitamos obtener la regla de transporte basada en su nombre. Este es el mismo nombre que ingresamos en el paso 2. Si no está seguro, también puede enumerar todas las reglas de transporte con Get-TransportRule
Siempre hago un Get primero para asegurarme de que tengo la regla correcta antes de realizar cualquier cambio en la configuración de la regla.
# Connect to Exchange Online # Enter your userprincipalname to use SSON Connect-ExchangeOnline -userprincipalname [email protected] # Get the transport rule Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns
Esto debería devolver la regla que acabamos de crear con las palabras o frases que ingresó manualmente en el paso 3.
He guardado los patrones en un archivo de texto en mi carpeta temporal. De esta manera podemos importarlo fácilmente con PowerShell:
# Update the transport rule with all the patterns Set-TransportRule -Identity "External Email Warning" -SubjectOrBodyMatchesPatterns (Get-Content C:\temp\patterns.txt) # Check if the import was successful: Get-TransportRule -Identity "External Email Warning" | select -ExpandProperty SubjectOrBodyMatchesPatterns
Uso de PowerShell para crear la advertencia externa
Si desea agregar la advertencia de correo electrónico externo a varios inquilinos, entonces es más fácil usar PowerShell.
El siguiente script crea una regla de transporte de Exchange Online con todas las configuraciones descritas anteriormente.
Asegúrese de tener el archivo patterns.txt en la misma carpeta que el script.
# Connect to Exchange Online Write-Host "Connect to Exchange Online" -ForegroundColor Cyan Connect-ExchangeOnline $HTMLDisclaimer="<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%"> <tr> <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td> <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word"> <div style="color:#222222;"> <span style="color:#222; font-weight:bold;">Caution:</span> This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department </div> </td> </tr> </table> <br/>" Write-Host "Creating Transport Rule" -ForegroundColor Cyan # Create new Transport Rule New-TransportRule -Name "External Email Warning" ` -FromScope NotInOrganization ` -SentToScope InOrganization ` -SubjectOrBodyMatchesPatterns (Get-Content $PSScriptRoot\PhishingPatterns.txt) ` -ApplyHtmlDisclaimerLocation Prepend ` -ApplyHtmlDisclaimerText $HTMLDisclaimer ` -ApplyHtmlDisclaimerFallbackAction Wrap Write-Host "Transport rule created" -ForegroundColor Green
También puede encontrar el script completo, el código HTML de advertencia de correo electrónico externo y la lista de patrones aquí en mi repositorio de GitHub.
Ejemplos de advertencias de correo electrónico externo
He creado un par de ejemplos de advertencia de correo electrónico externo que puede usar. Algunas organizaciones tal vez quieran una pancarta más prominente que otras. Estos ejemplos se pueden usar directamente o pueden ayudarlo a crear su propia advertencia.
Asegúrese de dejar
al final de los carteles de advertencia. Porque esto agregará una entrada (línea blanca) entre la advertencia y el contenido real del correo.
Ejemplo 1: cartel de advertencia amarillo

Si no le gusta la barra amarilla oscura del lado izquierdo, puede eliminar la línea 5 del código HTML.
<!-- Yellow caution banner --> <table border=0 cellspacing=0 cellpadding=0 align="left" width="100%"> <tr> <!-- Remove the next line if you don't want the Yellow bar on the left side --> <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td> <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word"> <div style="color:#222222;"> <span style="color:#222; font-weight:bold;">Caution:</span> This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department </div> </td> </tr> </table> <br />
Ejemplo 2: barra de información azul

El código HTML para este banner de advertencia es:
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%"> <tr> <td style="background:#00A0d2;padding:5pt 2pt 5pt 2pt"></td> <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#e5f5fa;padding:5pt 4pt 5pt 12pt;word-wrap:break-word"> <div style="color:#222222;"> <span style="color:#222; font-weight:bold;">Caution:</span> This is an external email and has a suspicious subject or content. Please take care when clicking links or opening attachments. When in doubt, contact your IT Department </div> </td> </tr> </table> <br/>
Ejemplo 3: advertencia de fondo blanco

También puede usar solo una pequeña línea roja o amarilla oscura delante de la advertencia.
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%"> <tr> <td style="background:#dc3232;padding:3pt 1pt 3pt 1pt"></td> <td width="100%" cellpadding="3px 6px 3px 15px" style="background:#ffffff;padding:3pt 4pt 3pt 12pt;word-wrap:break-word"> <div style="color:#222222;"> <span style="color:#222; font-weight:bold;">Important:</span> This is contains a suspicious subject or content. Do not click any link and do not open attachments unless you have confirmed the sender. </div> </td> </tr> </table> <br />
Terminando
Espero que este artículo te haya ayudado a configurar tu propia advertencia de correo electrónico externo.
Asegúrese de habilitar la etiqueta de correo electrónico externo porque esto realmente puede ayudarlos a ustedes, los usuarios, a reconocer antes el correo de phishing falsificado.
La advertencia de correo electrónico externo personalizada que puede agregar a Office 365 y Outlook es realmente versátil.
No me gusta mostrar el banner en todos los correos electrónicos externos, porque los usuarios se familiarizarán demasiado con él y perderá su efecto.
Entonces, al agregar las condiciones adicionales, nos aseguramos de que solo se marque el correo con un alto riesgo.
Asegúrese de leer también esta lista con más de 18 consejos de seguridad para proteger a su arrendatario de Office 365 y consulte este script para la advertencia de suplantación de identidad en Outlook.
Si tiene alguna pregunta, simplemente deje un comentario a continuación.
Otros artículos relacionados

Deshabilitar Autoguardado para Office 365
Leer Más

Implementar conexión ODBC
Leer Más

Importar perfiles WLAN con Powershell (y PDQ Deploy)
Leer Más

Office 365 Empresa Premium frente a E3. Comparación en profundidad con el gráfico
Leer Más

Solucionar el error 0x41303 en el Programador de tareas de Windows
Leer Más

Cómo iniciar Windows 10 en modo seguro durante el arranque
Leer Más