Cada día (por suerte), más corporaciones tienen configurada la opción de reportes de correos maliciosos en Outlook App y OWA. Pero lo que no todas tienen configurada es una opción muy interesante: enviar copia de ese aviso al equipo de TI, para que den una respuesta aún más rápida.

Pongamos el contexto…

Los complementos Report Message y Report Phishing para Outlook y Outlook en la Web (anteriormente conocidos como Outlook Web App) permiten a los usuarios notificar fácilmente falsos positivos (correo electrónico bueno marcado como negativo) o falsos negativos (correo electrónico no permitido) a Microsoft y sus filiales para su análisis.

Microsoft usa estos envíos para mejorar la eficacia de las tecnologías de protección de correo electrónico. Por ejemplo, supongamos que los usuarios están informando de muchos mensajes mediante el complemento Detección de suplantación de identidad de informes. Esta información se muestra en el Panel de Seguridad y otros informes. El equipo de seguridad de la organización puede usar esta información como una indicación de que es posible que sea necesario actualizar las directivas contra suplantación de identidad.

El complemento Mensaje de Informe proporciona la opción de notificar mensajes de correo no deseado y de suplantación de identidad. Los administradores pueden habilitar el complemento Mensaje de Informe para la organización y los usuarios individuales pueden instalarlo por sí mismos.

Seria muy útil como respuesta rápida a incidentes, si los administradores de TI reciben también esas notificaciones, ya que, en ataques dirigidos, la respuesta de Microsoft puede demorarse.

Si el administrador de TI recibe copias de los avisos que han hecho varios usuarios de su corporación, puede tomar la determinación de bloquear esos correos a nivel de su dominio. Recibir una copia le permite buscar un vector común y bloquearlo por ese vector, algunos ejemplos de vectores serian: dominio que envía, Dirección Ip, texto común, etc.

En cambio, si esos avisos no se producen, el administrador de TI no tendrá conocimiento de ello, y esos correos pueden seguir recibiéndose de forma indefinida.

Aunque hay mucha literatura al respecto, vamos a realizar el proceso completo incluyendo un bonus Track muy interesante. Si necesita solo configurar los avisos no debe repetir la configuración de nuevo, y solo ejecutar el apartado de Exchange Online que está al final del documento en el paso 3.

Para realizar esta configuración necesitamos ser administradores globales, para realizar la configuración de entrega a TI, solo hay que ser Exchange Admin, o global admin.

Paso 1: Obtener el complemento

Para obtener el complemento debemos acceder al administrador de Microsoft 365 y dirigirnos al apartado configuración Aplicaciones Integradas:

En la ventana de la derecha, pinchamos en «obtener aplicaciones» y se nos abre un acceso en la Appsource, como ésta:

Debemos buscar Report, elegir Report Message y pinchar en «obtener ahora»:

Aceptamos las condiciones legales y damos a continuar:

Paso 2: Configurar el complemento

En nuestro caso, y como estamos en un entorno de desarrollo, lo implementaremos para toda la organización. El proceso es similar en todos los casos, pero si decidimos crear un grupo en el que ir agregando los usuarios, podríamos hacerlo decidiendo otra opción en el siguiente paso. También se puede cambiar con posterioridad, por lo que un ejemplo de prudencia será marcar la “solo yo” y cuando revisemos que está correcto cambiar el ámbito a un grupo o a todos los usuarios.

Tras ello el resumen y los permisos que necesita la aplicación:

Tras eso toca esperar unos minutos mientras se despliega:

Y ya la tenemos:

En las siguientes horas se irá desplegando en las Apps de los usuarios y les irá apareciendo este icono en la parte superior derecha:

Con este botón,  el usuario puede denunciar correos que considere maliciosos, y esa notificación llega a Microsoft que recopilará la información y tomará las medidas que considere.

Bonus Track. Paso 3: Informar al equipo de IT

Antes de nada, indicar que este proceso no forma parte de la configuración original, sino que es un plus apoyándonos en el potencial de las herramientas de Office 365 y en concreto de Exchange Online.

Para poder configurar un reenvío del correo que genera el complemento, lo más fácil era configurar una regla de Exchange que dejara una copia en el buzón de TI o grupo de distribución. El inconveniente es que no conocemos la direción del destinatario y, por lo tanto, no podemos configurar esa regla.

Lo que hicimos fue usar el seguimiento de mensajes y descubrimos que los mensajes se enviaban a 2 direcciones: ‘junk@office365.microsoft.com’ y ‘phish@office365.microsoft.com’

Pues bien, ya tenemos lo necesario, manos a la obra.

Nos dirigimos al administrador de Exchange y accedemos a flujo de correo:

Creamos una nueva regla:

Y solo nos queda configurarla.

Solo hay que prestar atención a la dirección donde copia, y poner el buzón o lista de distribución de TI para que lo reciban.

Nota: No hemos incluido deliberadamente cómo se configura la regla, debido a que es básico para cualquier administrador. Recomendamos que, si tiene dudas de cómo configurarla, no debería hacerlo. Esta parte de la configuración, aún siendo simple, puede tener una repercusión importantísima en el flujo de correo.