Flujo de correo

Se describe cómo se configura el servicio de correo en Exchange Online para disponer del flujo
adecuado de envío y recepción de mensajes y otros elementos. También se estudia la posibilidad
de modificarlo a través de las reglas de flujo de correo, que se aplican antes de que los mensajes
lleguen a los buzones de los usuarios. Finalmente, se introduce el servicio de protección contra
amenzas incluido en Exchange Online. Contenido:
1. Configuración básica del flujo de correo.
2. Reglas de flujo de correo (transport rules).
3. Regla de ejemplo: añadir un disclaimer.
4. Presentando la Protección de Exchange Online (EOP).

1. CONFIGURACIÓN BÁSICA DEL FLUJO DE CORREO

Durante esta lección vamos a conocer conceptos y características que utiliza Office 365 para
proteger y asegurar que el flujo del correo electrónico sea el esperado. Esto, que parece una
necesidad obvia, implica configurar adecuadamente muchas características de Office 365. Sin
embargo, la buena noticia es que Microsoft lo ha hecho por nosotros en Office 365 y que, en la
mayoría de ocasiones, no tendremos que modificar prácticamente nada. Lo que sí que
necesitaremos es conocer todo lo que implica el buen funcionamiento del flujo del correo
electrónico de la empresa. Y para ello, vamos a empezar revisando la configuración básica.
Dicha configuración básica se realiza al añadir un dominio personalizado de nuestra empresa en
Office 365 y consiste en la creación de una serie de registros DNS.
Pulsa en el apartado Instalación del menú principal del Centro de administración de
Microsoft 365. Y ahora en Dominios. Selecciona el dominio predeterminado, que es el que
nuestra empresa tiene en propiedad. Pulsa en la parte inferior de la barra de desplazamiento.
Nos interesa revisar la configuración establecida para el funcionamiento de Exchange Online.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Pues bien, simplemente tenemos que verificar que tenemos configurados correctamente al menos
dos registros: un registro de tipo MX y un registro de tipo TXT. El registro MX está indicando
quién se encarga de encaminar el correo electrónico de este dominio. Al agregar el dominio en
Office 365, lo que conseguimos es que ese servicio sea realizado a través de la infraestructura de
Office 365. El valor de este registro se construye atendiendo al nombre del dominio
personalizado y el sufijo mail.protection.outlook.com.
Por su parte, el registro TXT se conoce como un registro SPF y sirve para proteger nuestro
correo de la suplantación de identidad (spoofing).
Por ahora debes entender que SPF (Sender Policy Framework) es una medida para verificar que
Office 365 puede enviar de forma legítima mensajes de tu dominio de correo corporativo.
No se trata de un registro obligatorio para el funcionamiento del correo electrónico, pero sí
conveniente para verificar su autenticidad. Por eso, Office 365 lo incorpora de forma
predeterminada.
El valor que se debe incluir es el que aparece aquí: v=spf1 include:spf.protection.outlook.com -
all
Por lo tanto, la configuración básica del flujo de correo de Exchange Online consiste en verificar
que, al menos, tenemos un registro DNS de tipo MX y otro de tipo TXT que hace referencia al
servicio SPF .

Es posible añadir otros servidores como legítimos para enviar correo electrónico en
nombre de nuestro dominio.
Por ejemplo, imagina que el departamento de marketing de tu empresa utiliza una aplicación
para realizar campañas de información o publicidad a través del correo electrónico (un
ejemplo habitual es la aplicación MailChimp).
Pues bien, en ese caso, sería conveniente ampliar el valor almacenado en el registro SPF
para indicarlo. De esta forma, los mensajes enviados desde dicha aplicación en nombre de tu
dominio tendrían menos posibilidades de acabar en la carpeta de correo no deseado o
phishing de los destinatarios, ya que estaríamos indicando que son correos legítimos.

Durante la incorporación y verificación del dominio personalizado en Office 365, Microsoft lo

hace por nosotros, por lo que normalmente no tenemos que modificar nada.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

2. REGLAS DE FLUJO DE CORREO (TRANSPORT RULES)

Disponiendo de la configuración básica del flujo de correo, Exchange Online utiliza un conector
para el correo de entrada y otro conector para el correo de salida predeterminados. Esto quiere
decir que no tenemos que configurar nada más (si no existen necesidades especiales, como
podría ocurrir en un entorno híbrido) para enviar y recibir mensajes de nuestro correo
corporativo. Sin embargo, en ocasiones desearemos poder modificar ese flujo normal del correo
electrónico. Para ello, Exchange Online nos proporciona la herramienta "reglas de flujo de
correo", también conocidas habitualmente como "reglas de transporte", ya que se aplican durante
el tránsito de los mensajes a través de los servidores de correo electrónico, es decir, antes de que
los mensajes lleguen a los buzones de los usuarios.

En Exchange Online una organización puede crear hasta un máximo de 300 reglas de
flujo de correo, por lo que se garantiza prácticamente cualquier necesidad de la
empresa.

Estas reglas de flujo de correo permiten, por ejemplo:

Añadir un aviso legal o "disclaimer" en todos los mensajes enviados por la empresa.
Evitar aplicar el filtro de spam de Office 365 a determinados mensajes recibidos.
Redirigir el correo de un buzón a otro.
Bloquear mensajes que incluyan determinadas palabras o que provengan de remitentes
maliciosos conocidos.
Etc.

Existen otros tipos de reglas que se pueden aplicar en los buzones, configurándolas en
los clientes que utilizan los usuarios, pero en este caso los mensajes ya habrán sido
entregados.

Lo importante es entender que las reglas de flujo de correo se aplican sobre los mensajes antes de
llegar al buzón de los usuarios, por lo que realmente puede que no sean entregados a los usuarios
si así lo decidimos. Lo mismo si es una regla que afecta a los mensajes enviados, ya que en ese
caso se aplican antes de encaminarlos a los servidores correspondientes según su destinatario.

También es posible utilizar PowerShell, aunque puede ser más difícil que en un
entorno gráfico.

Muchas de las características de protección se pueden aplicar en el Centro de administración de

Exchange o en el Centro de seguridad y cumplimiento de Office 365. En esos casos, la
recomendación de Microsoft es hacerlo en el Centro de seguridad y cumplimiento, ya que en un
futuro solo estarán disponibles a través de este. Sin embargo, en el caso de las reglas de flujo de

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

correo solo se pueden configurar en el centro específico de Exchange.

Repliega el apartado Instalación del menú de la izquierda. Pulsa en Centros de
administración. Y ahora en Exchange. Pulsa en el apartado flujo de correo del menú de la
izquierda.
Aquí podemos crear las reglas de flujo de correo. Para ello, podremos partir de una regla vacía o
elegir una plantilla adecuada a lo que necesitemos y personalizarla.

Pulsa en el botón para crear una regla.

Aquí puedes ver lo que te digo. Fíjate que podemos elegir una regla para aplicar encriptación o
cifrado de los mensajes (si disponemos de la infraestructura para ello), aplicar disclaimers, omitir
el filtrado de correo electrónico no deseado, modificar los mensajes enviados, etc.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Para crear una regla desde cero, elige Create a new rule.
Una regla de flujo de correo consta de tres características básicas: condiciones, acciones y
posibles excepciones.
Las condiciones establecen cuándo se aplicará la regla.
Las acciones determinan qué hacer entonces.
Y las excepciones establecen casos en los que no debe aplicarse la regla.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Vamos a verlo brevemente y después estudiaremos una regla específica para entenderlo todo
mejor.
Despliega la lista Aplicar esta regla si.

Para aplicar una regla en cualquier caso, se puede elegir la opción [Aplicar a todos los
mensajes].

Aquí establecemos la condición que debe cumplirse para que se aplique la regla. Fíjate en las
opciones que tenemos: aplicar la regla si el remitente es, si el destinatario es, si el asunto o cuerpo
del mensaje incluye, etc.
Repliega la lista.
Despliega la lista Hacer lo siguiente.
En esta lista determinaremos qué acción debe ocurrir al aplicar la regla. Observa las opciones que
tienes.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Repliega la lista.
Para establecer excepciones, debes pulsar en Más opciones.
Pulsa en Más opciones.
Fíjate que ahora podemos añadir más de una condición o acción y, además, excepciones.

Pulsa en agregar excepción.

Despliega la lista Excepto si...
Observa las opciones y repliega la lista.
La opción de Auditar esta regla es útil a la hora de obtener informes sobre cuándo se ha
aplicado.
Podremos establecer un nivel de gravedad, que no afecta en nada al funcionamiento de la regla,
sino que solo tiene el propósito de clasificar su aplicación en los informes.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Pulsa en la parte inferior de la barra de desplazamiento vertical para ver más opciones que
podemos establecer en una regla de flujo de correo.
También podemos elegir el modo en que se aplique la regla:
Exigir: la regla se aplica inmediatamente tras su creación.
Probar con sugerencias de directivas: no se realizan las acciones de la regla, pero permite
saber que la regla se habría aplicado a través de un informe que se envía indicando el mensaje
que cumpliría la condición o condiciones establecidas.
Probar sin sugerencias de directivas: sirve para suspender la aplicación de la regla en un
momento dado, ya que la regla no se aplicará realmente y tampoco se generará ningún informe
al respecto.
Seguidamente vemos que podemos establecer una fecha para activar la regla y desactivarla. Es
decir, podríamos crear un período para la vigencia de la regla.
Y otras opciones:
Detener el procesamiento de más reglas: por defecto, Exchange Online aplica todas las
reglas establecidas, una tras otra, según el orden en que aparecen en la lista de reglas (lo que
determina su prioridad). Sin embargo, con esta opción estamos indicando que no se debe
aplicar ninguna otra regla posteriormente a esta.
Por ejemplo, si tenemos una regla para rechazar mensajes que incluyan un número de tarjeta de
crédito; y otra regla en la que se solicita la aprobación de un moderador, entonces tendremos que
situar la regla para rechazar los mensajes primero y detener el procesamiento de la siguiente, ya
que no será necesaria la moderación.
Aplazar el mensaje si no se completa el procesamiento de la regla.
Permite especificar cómo debería ser manejado el mensaje que activó la regla si su procesamiento
no ha podido completarse. Por defecto, la regla será ignorada, pero activando esta opción, el
mensaje se intentará volver a procesar más tarde.
La dirección del remitente debe coincidir con el siguiente elemento del mensaje.
En el caso de que la condición de la regla haga referencia a la dirección del remitente, permite
elegir que se utilice el encabezado y/o contenido del mensaje.
Finalmente, puedes escribir cualquier comentario que ayude a entender la regla.
Pulsa en el botón Cancelar.
Como puedes comprobar, las reglas de flujo de correo pueden ser tremendamente completas para
especificar exactamente qué mensajes deberían activarlas y qué ocurre con esos mensajes. Todo
esto antes de que puedan ser entregados en los buzones de los usuarios.
Recuerda que se aplican en el orden en que aparecen en esta lista, siendo la prioridad 0 la más
alta.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

3. REGLA DE EJEMPLO: AÑADIR UN DISCLAIMER

Vamos a utilizar una plantilla de una regla para entender mejor todo lo que hemos visto sobre las
características de una regla de flujo de correo. En este caso, veremos cómo crear una regla de
salida, es decir, que se aplicará a los mensajes que son enviados por los usuarios, antes de que
realmente se realice el envío.
Y el ejemplo que vamos a utilizar es crear una regla para incluir un aviso legal o disclaimer al
final de esos mensajes.
De esta forma, el administrador se puede asegurar de que se incluye ese texto y no tiene que
confiar en que lo hagan los usuarios personalmente.
Pulsa en el botón para crear una regla. Elige Apply disclaimers.
Fíjate que, al elegir esta plantilla, ya tenemos parte del trabajo realizado.

Escribe el nombre: Aviso legal para todos los mensajes

Despliega la lista Aplicar esta regla si y elige El remitente está ubicado.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Despliega la lista y elige Dentro de la organización.

Acepta.

El mensaje que establecemos como disclaimer puede incluir etiquetas HTML e

incluso CSS para configurar el aspecto deseado.
Eso sí, tiene un tamaño máximo de 5000 caracteres.

Fíjate que la acción elegida ya es la de Anexar un aviso de exención de responsabilidades que

podemos personalizar.
Pulsa en el enlace Escribir texto.
Escribe el siguiente mensaje:
Este mensaje se dirige exclusivamente a su destinatario y puede contener información
CONFIDENCIAL. Si no es usted el destinatario, queda notificado que la utilización,
divulgación y/o copia sin autorización están prohibidas en virtud de la legislación vigente.
Acepta.
Pulsa en el enlace Seleccionar uno para la acción de reserva.
Aquí podemos indicar qué queremos realizar si no se ha podido anexar el texto anterior en el
mensaje del usuario:
Encapsular: el mensaje original se encapsula en un nuevo mensaje y el texto del disclaimer
se inserta en este último.
Ignorar: la regla es ignorada, por lo que el mensaje se envía sin el disclaimer.
Rechazar: el mensaje es rechazado y devuelto al remitente con un aviso de que no se ha
podido enviar.
Elige rechazar.
Acepta.
Pulsa en Más opciones.
Pulsa en agregar excepción.
Despliega la lista Excepto si.
Elige El asunto o el cuerpo - el asunto o el cuerpo coindice con estos patrones de texto.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Escribe:
Este mensaje se dirige exclusivamente a su destinatario
De esta forma, evitaremos incluir el texto de disclaimer si ya lo hemos hecho antes en el mensaje.
Por ejemplo, si se trata de una cadena de respuestas del mismo mensaje.
Pulsa en el botón + y acepta.
Pulsa en Guardar.
Si ahora enviamos un mensaje desde el correo corporativo de la organización, se anexará,
automáticamente, el texto del disclaimer establecido, siempre que no se haya hecho con
anterioridad en esa misma conversación de mensajes.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

4. PRESENTANDO LA PROTECCIÓN DE EXCHANGE ONLINE (EOP)

Las imágenes que se muestran en este capítulo pertenecen a una conferencia de

Microsoft en Ignite 2016:
https://channel9.msdn.com/Events/Ignite/2016/BRK3222

Administrar el flujo de correo no solo hace referencia a establecer la configuración adecuada para
enviar y recibir mensajes, sino que también implica asegurar o proteger dicho correo. Eso
significa que debemos asegurar nuestro correo corporativo frente a amenazas, como el malware,
phishing, spoofing o correos masivos.
Pues bien, Office 365 proporciona todo lo que necesitamos para ello a través del servicio de
Protección de Exchange Online (EOP).
Cualquier correo corporativo licenciado en Office 365 tiene activado este servicio
automáticamente.
Protección de Exchange Online está compuesto por una serie de filtros que permiten detectar y
actuar ante un gran número de amenazas. Como ocurre con el flujo de correo, la buena noticia es
que la configuración inicial que obtenemos al contratar el correo corporativo en Office 365 es
casi siempre suficiente, por lo que no tendremos que modificar ni establecer prácticamente nada.
Sin embargo, como administradores sí que debemos conocer y entender cómo utilizar este
servicio de protección del correo electrónico. Y para ello, lo primero es conocer cómo se
procesa el correo a través de EOP . En esta imagen puedes verlo para el caso del correo
entrante, es decir, el que se recibe en los buzones de los usuarios de nuestro tenant.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

1) El servidor de correo del remitente busca el registro DNS de tipo MX de nuestro dominio para
conocer hacia dónde encaminarlo.
De esta forma averigua que nuestro correo es mantenido por los servidores de Office 365.
2) El servidor de correo de Office 365 responsable de nuestro correo acepta esos mensajes a
través del conector predeterminado de correo entrante.
3) Una vez el mensaje está dentro de la infraestructura de Office 365, es cuando se pasa al
componente Protección de Exchange Online, donde va pasando por varios filtros para detectar
amenazas:
Filtro de conexión: es el primer nivel de defensa y comprueba la reputación del remitente.
Como veremos, podremos crear una lista de direcciones IP permitidas o bloqueadas en este
nivel.
Filtro antimalware: este filtro inspecciona el mensaje en búsqueda de virus y malware, lo
que puede provocar que el mensaje sea eliminado.
Filtro de reglas de flujo de correo: aquí es donde se aplican las reglas que hemos estudiado
durante la lección.
De esta forma los mensajes que se vean afectados por estas reglas, seguirán el flujo que en ellas
se establezca.
Filtro de correo no deseado o spam: seguidamente el contenido de los mensajes es
revisado para determinar si se trata de correo no deseado.

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

4) Si el tenant de Office 365 tiene contratado el servicio adicional ATP (Advanced Threat
Protection), en este momento todavía se realizarán más pruebas; en caso contrario, si el mensaje
no ha sido eliminado o situado en cuarentena, se entregará en el buzón del usuario destinatario.
En cuanto al correo de salida, es decir, los mensajes que envían nuestros usuarios, el sistema
tiene que protegerlo igualmente para evitar que nuestro dominio sea marcado como spam o
malicioso, ya que en ello va la reputación de toda nuestra empresa:

1) Primero se pasa el filtro antimalware para determinar si pudieran tener virus o malware.
2) Seguidamente se aplican las reglas de flujo de correo que sean adecuadas.
3) A continuación, el filtro de correo no deseado actúa para decidir si los mensajes son spam.
4) Si el mensaje pasa todos estos filtros, se envía al correspondiente servidor de correo del
destinatario.
Conocido el flujo de correo electrónico en Exchange Online, deberemos estudiar los
componentes de EOP , pero lo haremos en la siguiente lección.
La configuración básica del flujo de correo consiste en tener, al menos, dos registros DNS
configurados: un registro MX y un registro TXT para el SPF .

Copyright © Computer Aided Elearning, S.A.

 Flujo de correo

Exchange Online configura automáticamente dos conectores predeterminados para el flujo

de correo: uno para el correo entrante y otro para el correo saliente.

Las reglas de flujo de correo se aplican durante el tránsito de los mensajes entre los servidores
de correo, antes de que los mensajes lleguen a los buzones de los usuarios.

Las reglas de flujo de trabajo constan de tres características básicas: condiciones, acciones y
exclusiones.

Todos los planes de Office 365 que incluyen el correo corporativo tienen configurado
automáticamente la Protección de Exchange Online (EOP).

Estos son los filtros incluidos en EOP: filtro de conexión, filtro antimalware, filtro de reglas
de flujo de correo y filtro de correo no deseado o spam.

Copyright © Computer Aided Elearning, S.A.