El antispam en Exchange 2013 / 2016 incluye varios filtros, entre ellos el de contenido (content filtering).
El filtro de contenido evalúa correos entrantes y en base a una serie de patrones determina si un correo es legitimo o es spam.
Este filtro puede aplicar tanto a conexiones anónimas (externas) como autenticadas (internas), de forma predeterminada solo actúa en el caso de correos externos.
La configuración del filtro de contenido abarca lo siguiente:
1. Configuración de umbrales SCL (Spam Confidence Level).
En este sentido tenemos 3 posibles acciones:
- Eliminar
- Rechazar
- Enviar a cuarentena
El filtro de contenido analiza cada mensaje y asigna un puntaje o rating basado en la probabilidad de que el mensaje sea spam. Este puntaje es un valor numérico entre el 0 y el 9, donde el 0 indicaría que no es SPAM mientras que el 9 indicaría que seguramente lo sea. En base a monitoreo proactivo podemos ir optimizando estos umbrales.
2. Configuración de frases permitidas o bloqueadas.
3. Configuración de excepciones, incluyendo remitentes, destinatarios y dominios.
En caso de no contar con un servidor con el rol de Edge, este filtro debe ser configurado a nivel de rol de Mailbox (requiere instalación de los agentes antispam).
Para verificar si el filtro de contenido se encuentra habilitado podemos ejecutar el siguiente comando:
Get-ContentFilterConfig | FL enabled
De estar habilitado devolvería True.
Una vez confirmado esto podemos avanzar con la configuración del filtro, para esto debemos recurrir al shell de Exchange.
Configuración de filtro de contenido de Exchange
En este caso vamos a configurar el filtro de contenido de la siguiente manera:
a. Solo vamos a chequear correos externos
b. Umbrales SCL:
-
Eliminar si el SCL es igual o superior a 8
-
Rechazar si el SCL es 7
-
Enviar a cuarentena si el SCL es 6
-
Enviar a junk email si el SCL es 4 o 5
c. Marcar como spam todo correo que contenga la palabra “casino”
d. Mensaje de rechazo personalizado
Configuración de SCL
1. Para configurar los umbrales de SCL abrir el shell de Exchange y ejecutar:
Set-ContentFilterConfig –SCLDeleteEnabled $true –SCLDeleteThreshold 8 –SCLRejectEnabled $true –SCLRejectThreshold 7 –SCLQuarantineEnabled $true –SCLQuarantineThreshold 6
Para confirmar los cambios ejecutamos:
Get-ContentFilterConfig | fl scl*
2. Configuración de cuarentena (se debe crear un buzón para este propósito):
Set-ContentFilterConfig –QuarantineMailbox cuarentena@dominio.com
Nota: Reemplazar “cuarentena@dominio.com” por la dirección asignada al buzón de cuarentena
3. Configurar para que todo correo que incluya la palabra «casino» sea marcado como spam:
Add-ContentFilterPhrase –Influence BadWord –Phrase “casino”
4. Configuración de umbral para enviar a la carpeta de junk email de los clientes:
Set-OrganizationConfig –SCLJunkThreshold 4
Para confirmar el cambio ejecutamos:
Get-OrganizationConfig | fl scl*
5. Configuración de texto personalizado de rechazo:
Set-ContentFilterConfig –RejectionResponse “Mensaje rechazado por filtro antispam”
Por último, tener en cuenta que este filtro por si solo no es suficiente para evitar recibir spam pero puede resultar útil en complemento con otros agentes. En adición, Microsoft esta descontinuando las actualizaciones para este filtro desde noviembre de 2016.
Por info adicional sobre antispam en Exchange ver el siguiente artículo:
Hola Daniel,
Quisiera saber si es posible dejar a un buzón especifico sin aplicar las reglas del filtro antispam,
yo he intentado lo siguiente: Set-MailboxJunkEmailConfiguration -Enabled
pero eso al parecer solo deshabilita que los correos se vayan a la bandeja de correo no deseado.
Yo lo que necesito es que un buzón en especifico no se aplique el antispam.
Es posible y si es posible cual seria el comando o los pasos a seguir.
Hola Francisco, lo más sencillo para hacer el «bypass» del filtro antispam sería usando el cmdlet Set-Mailbox con el parámetro «AntispamBypassEnabled» en $true.
Por ejemplo: Set-mailbox usuario -AntispamBypassEnabled $true.
Buenas tardes Daniel.
Primero agradecido por tus post, me han sido de mucha utilidad.
Sin embargo en esta temática tengo un problema, un virus (emotet) ha aparecido saltando de correo en correo, obviamente él se aloja en las PCs pero ha sido difícil irlas descartando, mientras tanto configuré este filtro Antispam lo más agresivo que pude, sin embargo noto que los correos que trabajan vía OWA reciben la alerta de correo eliminado al detectar algún virus, pero los que funcionan en Microsoft Outlook vía exchange siguen recibiendo correos con el virus adjunto. Qué pudiese ser?
Hola Yetniel, no me queda clara la descripción del tema, lo que si te puedo decir es que no es recomendable usar el antispam de Exchange sin nada más, incluso filtros como por ejemplo el de contenido ya hace mucho tiempo que no se actualiza. Por fuera de esto lo primero sería resolver el tema de virus en los equipos y si originalmente este ingresó a la organización por el correo sería importante en paralelo tomar medidas para reducir la chance de que repita la situación.