La función Blocklist de PhishER lo ayuda a evitar que lleguen correos electrónicos maliciosos o no deseados (spam) a las bandejas de entrada de sus usuarios. Cuando revisa los correos electrónicos reportados por los usuarios, puede actualizar su lista de bloqueo para enviar información sobre amenazas o correo no deseado (spam) a su servidor de correo de Microsoft 365.

Una vez que habilite la lista de bloqueo y la conecte a su servidor de correo, podrá crear y administrar las entradas de su lista de bloqueo. Cada entrada contiene información que su servidor de correo utilizará para filtrar mensajes futuros. Por ejemplo, si crea una entrada para una dirección de correo electrónico maliciosa, su servidor de correo moverá automáticamente los correos electrónicos futuros de esa dirección de correo electrónico a las carpetas de correo no deseado de sus usuarios.

Para obtener más información sobre la Blocklist de PhishER, lea las siguientes secciones.

Habilitar y autorizar la Blocklist de PhishER

Para crear entradas, primero deberá habilitar la Blocklist de PhishER. También deberá autorizar la lista de bloqueo asignando la función de administrador de Exchange a la aplicación Blocklist de PhishER en su cuenta de Microsoft 365 con Microsoft Entra ID.

Para habilitar y autorizar la lista de bloqueo, siga estos pasos:

1. En su consola PhishER, navegue hasta Settings (Configuración) > Blocklist (Lista de bloqueo).
2. Si un servidor de correo de Microsoft 365 no está conectado a su lista de bloqueo, haga clic en Connect to Microsoft 365 (Conectar a Microsoft 365) y agregue una conexión.
3. Active el botón junto a Disabled (Deshabilitado) en la parte superior de la página y luego haga clic en Save (Guardar).
4. En su portal de Microsoft Entra ID, asigne la función de Administrador de Exchange a la aplicación Blocklist de PhishER.
   
   
   Nota:Para obtener más información sobre cómo habilitar la lista de bloqueo, visite la sección Blocklist de nuestro artículo Configuración de PhishER: Integraciones. Para obtener más información sobre cómo asignar la función, visite nuestro artículo Cómo asignar la función de administrador de Exchange a la aplicación Blocklist de PhishER.

Crear entradas de la Blocklist de PhishER

Puede crear entradas para agregar a su lista de bloqueo desde la pestaña Blocklist o la página Message Details (Detalles del mensaje). Si habilitó PhishML, también puede usar etiquetas de PhishML para priorizar los mensajes con valores que desea agregar a la lista de bloqueo.

Para obtener más información sobre cómo crear entradas desde la pestaña Blocklist o la página Message Details (Detalles del mensaje), lea las subsecciones que aparecen a continuación.

Crear entradas desde la pestaña Blocklist

Para crear una nueva entrada desde la pestaña Blocklist, siga estos pasos:

1. Inicie sesión en su consola de PhishER.
2. Vaya a Blocklist > Your Syncing Entries (Sus entradas sincronizadas).
3. Haga clic en el botón Create Blocklist Entry (Crear entrada de la lista de bloqueo) en la esquina superior derecha de la página. Se abrirá la ventana emergente Create Blocklist Entry (Crear entrada de la lista de bloqueo).
4. En la ventana emergente, complete los campos para crear su entrada. Para obtener más información, vea la captura de pantalla y la lista a continuación:
   
   1. Attribute (Atributo): Seleccione el atributo que le gustaría utilizar para su entrada. El atributo es el tipo de información que desea que filtre su servidor de correo. Seleccione la opción Remitente para utilizar la dirección de correo electrónico o el dominio de un remitente como valor. Por ejemplo, puede ingresar una dirección de correo electrónico completa como “nombredeusuario@dominio.com” o un nombre de dominio como “dominio.com” para su Value (Valor). Seleccione la opción URL para utilizar una URL completa o un nombre de host como valor. Por ejemplo, puede ingresar “www.nombredelsitio.com/paginadelsitio” o “www.nombredelsitio.com” como Value (Valor). Seleccione la opción Hash de archivo para utilizar un hash de archivo SHA-256 como valor.
   2. Value (Valor): En este campo, ingrese la información específica que hará que el servidor de correo filtre un mensaje. Por ejemplo, si selecciona Sender (Remitente) para el campo Attribute (Atributo), deberá ingresar la dirección de correo electrónico del remitente en este campo.
   3. Duración: En este menú desplegable, seleccione la cantidad de tiempo que desea que la entrada permanezca en su lista de bloqueo. Después de este tiempo, las entradas se eliminarán automáticamente de su lista de bloqueo. De forma predeterminada, se selecciona una duración de 30 días, que es similar a la duración predeterminada de la Lista de inquilinos permitidos/bloqueados de Microsoft.
      Nota: Cuando se habilita la configuración Allow Blocklist entries without an expiration date (Permitir entradas de la lista de bloqueo sin fecha de vencimiento) en la subpestaña Preferences (Preferencias) de la configuración de PhishER , la opción Never Expire (Nunca caduca) pasa a estar disponible.
      Los ciberdelincuentes pueden cambiar sus métodos de ataque rápidamente, por lo que es importante mantener actualizada su lista de bloqueo. Establecer una duración le permite actualizar su lista de bloqueo con información de los mensajes reportados recientemente por los usuarios.
5. Haga clic en Save (Guardar) para agregar la entrada a su lista de bloqueo.

Una vez que haya creado la entrada, puede controlar su estado y otros detalles. Para obtener más información, lea la sección Monitorear las entradas de su lista de bloqueo de este artículo.

Crear entradas desde la página Detalles del mensaje

Para crear una nueva entrada desde la página Message Details (Detalles del mensaje), siga estos pasos:

1. Inicie sesión en su consola de PhishER.
2. Vaya a la pestaña Inbox (Bandeja de entrada).
3. Haga clic en un mensaje para abrir la página Message Details (Detalles del mensaje).
4. Haga clic en el ícono de bloque rojo al lado de un atributo. Se abrirá la ventana emergente Create Blocklist Entry (Crear entrada de la lista de bloqueo).
5. En la ventana emergente, complete los campos para crear su entrada. Para obtener más información, vea la captura de pantalla y la lista a continuación:
   
   1. Attribute (Atributo): Seleccione el atributo que le gustaría utilizar para su entrada. El atributo es el tipo de información que desea que filtre su servidor de correo. Seleccione la opción Remitente para utilizar la dirección de correo electrónico o el dominio de un remitente como valor. Por ejemplo, puede ingresar una dirección de correo electrónico completa como “nombredeusuario@dominio.com” o un nombre de dominio como “dominio.com” para su Value (Valor). Seleccione la opción URL para utilizar una URL completa o un nombre de host como valor. Por ejemplo, puede ingresar “www.nombredelsitio.com/paginadelsitio” o “www.nombredelsitio.com” como Value (Valor). Seleccione la opción Hash de archivo para utilizar un hash de archivo SHA-256 como valor.
   2. Value (Valor): En este campo, ingrese la información específica que hará que el servidor de correo filtre un mensaje. Por ejemplo, si selecciona Sender (Remitente) para el campo Attribute (Atributo), deberá ingresar la dirección de correo electrónico del remitente en este campo.
   3. Duración: En este menú desplegable, seleccione la cantidad de tiempo que desea que la entrada permanezca en su lista de bloqueo. Después de este tiempo, las entradas se eliminarán automáticamente de su lista de bloqueo. De forma predeterminada, se selecciona una duración de 30 días, que es similar a la duración predeterminada de la Lista de inquilinos permitidos/bloqueados de Microsoft.
      Nota: Cuando se habilita la configuración Allow Blocklist entries without an expiration date (Permitir entradas de la lista de bloqueo sin fecha de vencimiento) en la subpestaña Preferences (Preferencias) de la configuración de PhishER , la opción Never Expire (Nunca caduca) pasa a estar disponible.
      Los ciberdelincuentes pueden cambiar sus métodos de ataque rápidamente, por lo que es importante mantener actualizada su lista de bloqueo. Establecer una duración le permite actualizar su lista de bloqueo con información de los mensajes reportados recientemente por los usuarios.
6. Haga clic en Save (Guardar) para agregar la entrada a su lista de bloqueo.

Una vez que haya creado la entrada, puede controlar su estado y otros detalles. Para obtener más información, lea la sección Monitorear las entradas de su lista de bloqueo de este artículo.

Monitorear entradas de Blocklist de PhishER

Desde la subpestaña Your Syncing Entries (Sus entradas de sincronización), puede monitorear las entradas de su lista de bloqueo. Las entradas se ordenan por sus valores.

Una vez creadas las entradas, se mostrarán en la subpestaña Your Syncing Entries (Sus entradas de sincronización) de la pestaña Blocklist. También puede eliminar entradas y ver el estado de sincronización de cada entrada en sus servidores de correo.

Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

1. Filter by Attribute (Filtrar por atributo): Puede utilizar estos filtros para ver entradas con un atributo específico.
   Nota: La Blocklist de PhishER tiene un máximo de 500 entradas por atributo de Sender (Remitente), URL y File Hash (Hash de archivo).
2. Filter by Status (Filtrar por estado): Puede utilizar estos filtros para ver entradas con un estado específico.
3. Filter by Entry Type (Filtrar por tipo de entrada): Si ha habilitado Global Blocklist, puede usar estos filtros para ver las entradas de Global Blocklist o las entradas personalizadas en la Blocklist de PhishER únicamente.
4. Value (Valor): Esta columna muestra el valor de la entrada. Los valores pueden ser la dirección del remitente, la URL o el hash de archivo. Su servidor de correo utilizará este valor para filtrar cualquier correo electrónico que tenga el mismo valor. Para obtener más información sobre cómo se filtrarán los correos electrónicos, consulte la lista que aparece a continuación:
   • URL or File Hash (URL o hash de archivo): Si un correo electrónico contiene una URL o un valor hash de archivo que coincide con una entrada, su servidor de correo moverá el correo electrónico a la carpeta Quarantine (Cuarentena) automáticamente.
   • Sender (Remitente): Si un correo electrónico contiene un valor de remitente que coincide con una entrada, el servidor de correo mueve el correo electrónico a la carpeta de correo no deseado automáticamente.
   Consejo:También puede hacer clic en un valor en la columna para ver la página Blocklist Audit Log (Registro de auditoría de Blocklist). Para obtener más información, lea la sección Revisar el registro de auditoría de este artículo.
5. Estado: Esta columna muestra el estado de la entrada. Para obtener más información sobre los estados, consulte la lista que aparece a continuación:
   • Pending (Pendiente): Este estado indica que la entrada está en proceso de agregarse o eliminarse de la lista de bloqueo.
   • Active (Activa): Este estado indica que la entrada se agregó a la lista de bloqueo y se sincronizó con el servidor de correo conectado.
   • Incomplete (Incompleta): Este estado indica que se agregó y sincronizó una entrada con uno o más servidores de correo conectados, pero no con todos.
   • Failed (Fallida): Este estado indica que la entrada no se agregó ni se sincronizó correctamente. Si tiene varios servidores de correo conectados a su lista de bloqueo y una entrada no se sincroniza con todos ellos correctamente, la entrada se mostrará como Fallida.
6. Created By (Creado por): Esta columna indica quién creó la entrada. El Administrador mostrará si un administrador de PhishER creó la entrada para su Blocklist de PhishER. KnowBe4 mostrará si el equipo del Laboratorio de investigación de amenazas de KnowBe4 creó la entrada para Global Blocklist.
7. Created On (Creado el): en esta columna se muestra la fecha y la hora en que se agregó la entrada a la lista de bloqueo.
8. Expires On (Caduca el): en esta columna se muestra la fecha y la hora en que la entrada se eliminará automáticamente de la lista de bloqueo.
   Nota:La Blocklist de PhishER se sincronizará con su servidor de correo de Microsoft 365 cada 10 minutos. Durante este tiempo, las entradas pendientes en su Lista de inquilinos permitidos/bloqueados de Microsoft 365 se agregarán a la subpestaña Your Syncing Entries (Sus entradas de sincronización) en su consola de PhishER. Las entradas existentes en su Lista de inquilinos permitidos/bloqueados pueden tardar hasta 24 horas en sincronizarse con su Blocklist de PhishER. En la columna Expires On (Caduca el), una entrada sincronizada mostrará la fecha y la hora en que la entrada se eliminará de ambas listas de bloqueo. Si las entradas de la Lista de inquilinos permitidos/bloqueados o de la Blocklist de PhishER no incluían una fecha de caducidad, la columna Expires On (Caduca el) se mostrará como Never Expires (Nunca caduca).
9. Actions (Acciones): En esta columna, puede hacer clic en el ícono de la papelera para abrir la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo). Luego, puede eliminar una entrada de la Blocklist de PhishER. O puede eliminar e ignorar una entrada para evitar que se agregue a su Blocklist de PhishER. Para obtener información sobre las entradas ignoradas, lea la subsección Ignorar entradas a continuación.

Ignorar entradas

Si desea evitar que se bloqueen entradas en sus servidores de correo, puede agregarlas a sus entradas ignoradas. Las entradas ignoradas no se pueden agregar a la Blocklist de PhishER. El dominio de su organización se ignora de forma automática y no se puede añadir manualmente a sus entradas ignoradas.

Cuando ignora una entrada, cualquier entrada coincidente en su Blocklist de PhishER estará en estado Pendiente para indicar que se eliminará. No puede crear una entrada coincidente en su lista de bloqueo, a menos que la entrada ignorada se elimine en la subpestaña Your Ignored Entries (Sus entradas ignoradas).

Para ignorar una entrada existente en la lista de bloqueo, siga estos pasos:

1. Inicie sesión en su consola de PhishER.
2. Vaya a Blocklist > Your Syncing Entries (Sus entradas sincronizadas).
3. Busque la entrada que desea ignorar.
4. Haga clic en el ícono de la papelera en la columna Actions (Acciones) para esa entrada. Se abrirá la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo).
5. En la ventana emergente, haga clic en Delete and Ignore (Eliminar e ignorar). Una entrada ignorada se agregará a la subpestaña Your Ignored Entries (Sus entradas ignoradas) y la entrada de la lista de bloqueo estará en estado pendiente para indicar que se eliminará.

Para crear una entrada ignorada desde la subpestaña Your Ignored Entries (Sus entradas ignoradas), siga estos pasos:

1. Inicie sesión en su consola de PhishER.
2. Vaya a Blocklist > Your Ignored Entries (Sus entradas ignoradas).
3. Haga clic en el botón Create Ignored Entry (Crear entrada ignorada) en la esquina superior derecha de la página. Se abrirá la ventana emergente Create Ignored Entry (Crear entrada ignorada).
4. En la ventana emergente, cree su entrada ignorada. Para obtener más información, vea la captura de pantalla y la lista a continuación:
   1. Attribute (Atributo): Seleccione el tipo de atributo que le gustaría usar para su entrada ignorada. Seleccione la opción Remitente para utilizar la dirección de correo electrónico o el dominio de un remitente como valor. Por ejemplo, puede ingresar una dirección de correo electrónico completa como “nombredeusuario@dominio.com” o un nombre de dominio como “dominio.com” para su Value (Valor). Seleccione la opción URL para utilizar una URL completa o un nombre de host como valor. Por ejemplo, puede ingresar “www.nombredelsitio.com/paginadelsitio” o “www.nombredelsitio.com” como Value (Valor). Seleccione la opción Hash de archivo para utilizar un hash de archivo SHA-256 como valor.
   2. Value (Valor): En este campo, ingrese el valor específico que desea evitar que se bloquee en su servidor de correo. Por ejemplo, si selecciona Sender (Remitente) para el campo Attribute (Atributo), deberá ingresar la dirección de correo electrónico del remitente en este campo.
   
5. Haga clic en Save (Guardar) para agregar la entrada a las entradas ignoradas.

Puede monitorear todas sus entradas ignoradas en la subpestaña Your Ignored Entries (Sus entradas ignoradas). Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

1. Search... (Buscar...): Puede utilizar este campo para filtrar entradas ignoradas mediante consultas de Lucene.
   
   
   Nota:Para buscar entradas con valores similares, debe utilizar comodines. Por ejemplo, puede buscar “*yahoo.com” para encontrar todos los valores que contengan “yahoo.com”. Para obtener más información, lea nuestro artículo Cómo usar la sintaxis de consulta de Lucene.
2. Filter by Attribute (Filtrar por atributo): Puede utilizar estos filtros para ver entradas con un tipo de atributo específico.
3. Value (Valor): Esta columna muestra el valor de la entrada.
4. Created On (Creado el): Esta columna muestra la fecha y la hora en que se agregó la entrada ignorada.
5. Actions (Acciones): En esta columna, puede hacer clic en el ícono de la papelera para eliminar una entrada ignorada. Si elimina una entrada ignorada, puede usar el valor de la entrada para crear una nueva entrada en su Blocklist de PhishER.

Revisar el registro de auditoría

En su consola de PhishER, puede navegar a la subpestaña Blocklist (Lista de bloqueo) > Audit Log (Registro de auditoría) para ver su registro de auditoría. Su registro de auditoría incluye la actividad de la Blocklist de PhishER y Global Blocklist, como cuándo se crean, eliminan y sincronizan entradas con sus servidores de correo.

Para obtener más información sobre esta subpestaña, vea la captura de pantalla y la lista que aparecen a continuación:

1. Timestamp (Marca de tiempo): Esta columna muestra la fecha y la hora en que ocurrió la acción en la columna Event Action (Acción de evento).
2. Event type (Tipo de evento): Esta columna muestra el tipo de acción que ocurrió. Para obtener más información sobre los tipos de eventos, consulte la lista que aparece a continuación:
   • Entry Updated (Entrada actualizada): Este tipo indica que se ha creado o eliminado una entrada.
   • Entry Synced (Entrada sincronizada): Este tipo indica que se ha sincronizado una entrada con la Blocklist de PhishER.
   • Blocklist Synced (Lista de bloqueo sincronizada): Este tipo indica que se han sincronizado todas las entradas de todos los servidores de correo conectados.
3. Value (Valor): Esta columna muestra el valor de la entrada afectada.
4. Updated by (Actualizado por): Esta columna muestra el origen de la acción. Cuando se actualice una entrada, esta columna mostrará la dirección de correo electrónico del usuario que la actualizó. Cuando se sincroniza una entrada individual o la lista de bloqueo, esta columna mostrará el Id. del servidor de correo o el nombre del servidor de correo. Si el sistema realizó la acción, la fila estará en blanco.
5. Event Action (Acción de evento): Esta columna indica qué acción se ha realizado para una entrada específica o para la lista de bloqueo. Created (Creado) se mostrará cuando se cree una entrada Synced (Sincronizado) se mostrará cuando una entrada o lista de bloqueo se sincronice con los servidores de correo conectados. Deleted (Eliminado) se mostrará cuando se elimine una entrada.
6. Estado: Esta columna indica si la acción se ha realizado correctamente o no.