3. Comprobar Cabeceras
Para combatir el problema del Spam, Microsoft aplica unos filtros de manera automática en los que determina si el correo electrónico que llega a una de sus cuentas es legítimo o se trata de Spam.
Para saber porqué un email enviado llega a la carpeta de Spam, es necesario acceder a las cabeceras del email que ha terminado en la carpeta Spam. En todo el código del encabezado buscaremos la siguiente información:
X-Forefront-Antispam
Copiamos dicha linea de código y la examinamos.
Lo que nos interesa de esta parte es el valor que se asigna a SCL:
Clasificación de SCL | Interpretación de confianza de correo no deseado | Acción predeterminada |
-1 | Mensajes seguros provenientes de un remitente seguro, de un destinatario seguro o de una dirección IP permitida (socio de confianza) | Se entrega el mensaje a la bandeja de entrada de los destinatarios. |
0, 1 | Mensaje seguro debido a que se examinó el mensaje y se determinó como limpio. | Se entrega el mensaje a la bandeja de entrada de los destinatarios. |
5, 6 | Correo no deseado. | El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios. |
9 | Correo no deseado de alta confianza. | El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios. |
Aquí hay muchas más opciones, por ejemplo, si tu email llega a spam y pone este código: SFV:SPM es que hay algo en el contenido del mensaje que no le gusta a Microsoft.
URL a Microsoft con más información:https://docs.microsoft.com/es-es/microsoft-365/security/office-365-security/anti-spam-message-headers
Campo de encabezado | Descripción |
CIP: [dirección IP] | La dirección IP de conexión. Quizás quiera especificar esta dirección IP cuando cree una lista de direcciones IP permitidas o una lista de direcciones IP bloqueadas en el filtro de conexión. |
CTRY | El país desde el que el mensaje se conectó al servicio. Está determinado por la dirección IP de conexión, que puede no ser la misma que la dirección IP de envío original. |
LANG | El idioma en que se redactó el mensaje, que está definido por el código de país (por ejemplo, ru_RU indica ruso). |
SCL | El valor del nivel de confianza contra correo no deseado (SCL) del mensaje. |
SRV:BULK | El mensaje se identificó como mensaje de correo masivo. Si la opción avanzada de filtrado de correo no deseado Bloquear todos los mensajes de correo masivo está habilitada, se marcará como correo no deseado. Si no lo está, solo se marcará como correo no deseado en el caso de que el resto de las reglas de filtrado determinen que el mensaje es correo no deseado. |
SFV:SFE | Se omitió el filtrado y se permitió el mensaje porque se envió desde una dirección de una lista de remitentes seguros del individuo. |
SFV:BLK | Se omitió el filtrado y se bloqueó el mensaje porque se envió desde una dirección de una lista de remitentes bloqueados del individuo. |
IPV:CAL | El mensaje se permitió a través de los filtros de correo no deseado porque la dirección IP estaba incluida en una lista de direcciones IP permitidas en el filtro de conexión. |
IPV:NLI | La dirección IP no aparecía en ninguna lista de reputación de IP. |
SFV:SPM | El filtro de contenido marcó el mensaje como correo no deseado. |
SFV:SKS | El mensaje se marcó como correo no deseado antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo no deseado y omite otros tipos de filtrado. |
SFV:SKA | El mensaje omitió el filtrado y se entregó a la bandeja de entrada porque coincidía con una lista de permitidos en la directiva de filtro de correo no deseado, como la lista de remitentes permitidos. |
SFV:SKB | El mensaje se marcó como correo no deseado porque coincidía con una lista de bloqueados en la directiva de filtro de correo no deseado, como la lista de remitentes bloqueados. |
SFV:SKN | El mensaje se marcó como correo seguro antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo seguro y omite otros tipos de filtrado. |
SFV:SKI | Similar a SFV:SKN, el mensaje omitió el filtrado por otra razón, por ejemplo, ser un mensaje de correo electrónico dentro un inquilino de la organización. |
SFV:SKQ | El mensaje fue publicado desde la cuarentena y se ha enviado a los destinatarios. |
SFV:NSPM | El mensaje se marcó como correo seguro y se envió a los destinatarios correspondientes. |
H: [helostring] | Cadena HELO o EHLO del servidor de correo que realiza la conexión. |
PTR: [ReverseDNS] | Registro PTR, o registro de marcador, de la dirección IP de envío, también denominado dirección DNS inversa. |
CAT: | La categoría de la directiva de protección que se aplica al mensaje: MALW: malware PHSH: phishing HSPM: correo no deseado de confianza elevada SPOOF: suplantación de identidad SPM: correo no deseado BULK: masivo DIMP: suplantación de dominio UIMP: suplantación de usuario GIMP: inteligencia de buzón Es posible que un mensaje entrante aparezca marcado por múltiples formas de protección y múltiples análisis de detección. Las directivas tienen diferentes prioridades y se aplica la que tenga la prioridad más alta. |
SFTY | El mensaje se identificó como suplantación de identidad (phishing) y también se marcará con uno de los siguientes valores: 9.1: valor predeterminado. El mensaje contiene una dirección URL de suplantación de identidad (phishing), puede tener otro contenido de suplantación de identidad (phishing) o se ha marcado como suplantación de identidad por otro filtro de correo, como una versión local de Exchange Server, antes de transmitir el mensaje a Office 365. 9.11: el mensaje no ha superado las comprobaciones de suplantación de identidad donde el dominio de envío en el encabezado De: es el mismo, o se alinea con, o es parte de la misma organización que el dominio de recepción. Esto indica que se agregará una sugerencia de seguridad sobre la suplantación de la organización al mensaje. 9.19: La suplantación del dominio del mensaje falló cuando el dominio remitente intentó hacerse pasar por un dominio que es propiedad del receptor o un dominio personalizado protegido por la directiva de protección contra la suplantación de identidad (anti-phishing). Esto indica que se agregará una sugerencia de seguridad de suplantación al mensaje si se habilitó a través de la directiva de protección contra la suplantación de identidad. 9.20: El mensaje no superó las comprobaciones de suplantación del usuario cuando el usuario remitente intenta hacerse pasar por un usuario que pertenece a la organización del receptor o un usuario personalizado protegido por la directiva de protección contra la suplantación de identidad (anti-phishing). Esto indica que se agregará una sugerencia de seguridad de suplantación al mensaje si se habilitó a través de la directiva de protección contra la suplantación de identidad. 9.21: El mensaje no superó las comprobaciones contra suplantaciones y el dominio remitente en el encabezado De: no se autentica y procede de un dominio externo. Se utiliza en combinación con un CompAuth (consulte Authentication-Results). 9.22: Es lo mismo que el 9.21, pero el usuario tiene un remitente seguro que se reemplazó. 9.23: Es lo mismo que el 9.22, pero la organización tiene un remitente o un dominio permitido que se reemplazó. 9.24: Es lo mismo que el 9.23, pero el usuario tiene una regla de flujo de correo de Exchange que se reemplazó. |
X-CustomSpam: [ASFOption] | El mensaje coincide con una opción de filtrado de correo no deseado (ASF) avanzada. Por ejemplo, X-CustomSpam: Vínculos de imagen a sitios remotos indica que la opción Vínculos de imagen a sitios remotos de ASF coincidía. |
También podemos comprobar el valor de un mensaje. Si este, por ejemplo, está marcado como phising o el nivel de correo masivo en el que se encuentra.
Esta vez tenemos que fijarnos en la parte del código del encabezado que empieza con este texto:
X-Microsoft-Antispam
Y las los valores que debemos buscar son los de BCL y PCL.
El valor PCL marca el nivel de confianza antiphishing, emails que nos envía con la intención de averiguar cualquiera de nuestras contraseñas, como la de nuestro banco, la de nuestra cuenta de correo, etc.
Y esta es la lista de Microsoft para determinarlo:
| |
PCL | El nivel de confianza de protección antiphishing (PCL) del mensaje, que indica si se trata de un mensaje de suplantación de identidad.Este estado se puede devolver con uno de los siguientes valores numéricos:- 0-3 No es probable que el contenido del
mensaje represente una suplantación de identidad.
- 4-8 Es probable que el contenido del
mensaje represente una suplantación de identidad. - -9990 (solo en Exchange Online Protection)
Es probable que el contenido del mensaje represente una suplantación de identidad.
|
El valor BCL nos cuenta cómo estamos en la escala de correo masivo.
URL Microsoft: https://docs.microsoft.com/es-es/microsoft-365/security/office-365-security/bulk-complaint-level-values
Valor de BCL | Descripción |
0 | El mensaje no es de un remitente de correo masivo. |
1, 2, 3 | El mensaje proviene de un remitente de correo masivo que genera pocas quejas. |
4, 5, 6, 7 | El mensaje proviene de un remitente de correo masivo que genera un número mixto de quejas. |
8, 9 | El mensaje proviene de un remitente de correo masivo que genera un número elevado de quejas. |