Estos tipos de filtros para analizar el spam suelen ser muy efectivos, pero no son perfectos, puede que más de algún correo que recibe y que sea legítimo, acabe en la carpeta de correo no deseado (SPAM).
Para averiguar por qué Microsoft nos está marcando como spam, primero debemos de acceder a las cabeceras (headers) del correo marcado como no deseado. En la imagen de abajo tenéis un ejemplo de las cabeceras:
Para saber que puntuación nos está dando el filtro antispam a nuestro correo, debemos buscar lo siguiente X-Forefront-Antispam
y ver el valor que se asigna a SCL:
X-Forefront-Antispam-Report: EFV:NLI;SFV:NSPM;SFS(98901004);DIR:INB;SFP:;SCL:1;SRVR:BN3NAM
Esta es la tabla de valores de SCL:
Clasificación de SCL | Interpretación de confianza de correo no deseado | Acción predeterminada |
-1 | Mensajes seguros provenientes de un remitente seguro, de un destinatario seguro o de una dirección IP permitida (socio de confianza) | Se entrega el mensaje a la bandeja de entrada de los destinatarios. |
0, 1 | Mensaje seguro debido a que se examinó el mensaje y se determinó como limpio | Se entrega el mensaje a la bandeja de entrada de los destinatarios. |
5, 6 | Correo no deseado | El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios. |
9 | Correo no deseado de alta confianza | El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios. |
Como se puede ver en el ejemplo de arriba, el valor de SCL es 1, comprobando este valor en la tabla vemos que el correo del ejemplo es considerado como seguro y se entrega en la bandeja de entrada.
El valor SCL nos dice si el correo es spam o no, pero en caso de que el correo sea marcado como spam, también podemos ver en sus cabeceras cual fue la razón para marcarlo como spam con el valor SFV. Para verlo debemos buscar X-Forefront-Antispam-Report
en las cabeceras del correo:
X-Forefront-Antispam-Report: SFV:SPM;SFS:28900001);DIR:INB;SFP:;SCL:5;SRVR:DB5EUR03HT195;
Esta es la tabla de valores para SFV:
Campo de encabezado | Descripción |
CIP: [dirección IP] | La dirección IP de conexión. Quizás quiera especificar esta dirección IP cuando cree una lista de direcciones IP permitidas o una lista de direcciones IP bloqueadas en el filtro de conexión. |
CTRY | El país desde el que el mensaje se conectó al servicio. Está determinado por la dirección IP de conexión, que puede no ser la misma que la dirección IP de envío original. |
LANG | El idioma en que se redactó el mensaje, que está definido por el código de país (por ejemplo, ru_RU indica ruso). |
SCL | El valor del nivel de confianza contra correo no deseado (SCL) del mensaje. |
PCL | El valor del nivel de confianza de protección antiphishing (PCL) del mensaje. |
SRV:BULK | El mensaje se identificó como mensaje de correo masivo. Si la opción avanzada de filtrado de correo no deseado Bloquear todos los mensajes de correo masivo está habilitada, se marcará como correo no deseado. Si no lo está, solo se marcará como correo no deseado en el caso de que el resto de las reglas de filtrado determinen que el mensaje es correo no deseado. |
SFV:SFE | Se omitió el filtrado y se permitió el mensaje porque se envió desde una dirección de una lista de remitentes seguros del individuo. |
SFV:BLK | Se omitió el filtrado y se bloqueó el mensaje porque se envió desde una dirección de una lista de remitentes bloqueados del individuo. |
IPV:CAL | El mensaje se permitió a través de los filtros de correo no deseado porque la dirección IP estaba incluida en una lista de direcciones IP permitidas en el filtro de conexión. |
IPV:NLI | La dirección IP no aparecía en ninguna lista de reputación de IP. |
SFV:SPM | El filtro de contenido marcó el mensaje como correo no deseado. |
SFV:SKS | El mensaje se marcó como correo no deseado antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo no deseado y omite otros tipos de filtrado. |
SFV:SKA | El mensaje omitió el filtrado y se entregó a la bandeja de entrada porque coincidía con una lista de permitidos en la directiva de filtro de correo no deseado, como la lista de remitentes permitidos. |
SFV:SKB | El mensaje se marcó como correo no deseado porque coincidía con una lista de bloqueados en la directiva de filtro de correo no deseado, como la lista de remitentes bloqueados. |
SFV:SKN | El mensaje se marcó como correo seguro antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo seguro y omite otros tipos de filtrado. |
SFV:SKI | Similar a SFV:SKN, el mensaje omitió el filtrado por otra razón, por ejemplo, ser un mensaje de correo electrónico dentro un inquilino de la organización. |
SFV:SKQ | El mensaje fue publicado desde la cuarentena y se ha enviado a los destinatarios. |
SFV:NSPM | El mensaje se marcó como correo seguro y se envió a los destinatarios correspondientes. |
H: [helostring] | Cadena HELO o EHLO del servidor de correo que realiza la conexión. |
PTR: [ReverseDNS] | Registro PTR, o registro de marcador, de la dirección IP de envío, también denominado dirección DNS inversa. |
X-CustomSpam: [ASFOption] | El mensaje coincide con una opción de filtrado de correo no deseado (ASF) avanzada. Por ejemplo, X-CustomSpam: Vínculos de imagen a sitios remotos indica que la opción Vínculos de imagen a sitios remotos de ASF coincidía. |
Como se puede comprobar revisando la tabla, el ejemplo de arriba (X-Forefront-Antispam-Report: SFV:SPM
…..) es marcado como spam por el filtro de contenido, algo en el contenido del correo no le gustó al filtro Smartscreen.
También podemos comprobar si nuestro correo es marcado por el filtro “antiphising”, esto es muy interesante si usamos correo masivo o newletters para comunicarnos. Para ver si es considerado o no como phising nuestro correo debemos buscar en las cabeceras X-Microsoft-Antispam
y ver los valores BCL y PCL
X-Microsoft-Antispam: BCL:0;PCL:0;RULEID:(300000500095)(300135000095)(300000501095)
Valores PCL:
PCL | El nivel de confianza de protección antiphishing (PCL) del mensaje, que indica si se trata de un mensaje de suplantación de identidad.Este estado se puede devolver con uno de los siguientes valores numéricos:
|
El valor PCL marca el nivel de confianza con el filtro Antiphising.
Valores BCL:
Valor de BCL | Descripción |
0 | El mensaje no es de un remitente de correo masivo. |
1, 2, 3 | El mensaje proviene de un remitente de correo masivo que genera pocas quejas. |
4, 5, 6, 7 | El mensaje proviene de un remitente de correo masivo que genera un número mixto de quejas. |
8, 9 | El mensaje proviene de un remitente de correo masivo que genera un número elevado de quejas. |
El valor BCL muestra como estamos en la escala de correo masivo.
Si los emails que enviamos van a la carpeta de correo no deseado, con la información de las cabeceras podemos ver cuales son las razones, por ejemplo si tenemos un valor BCL:8, tenemos que revisar nuestra lista de usuarios porque se están generando muchas quejas.
Si tenemos el valor SFV:BLK, esto no dice que nuestro email está en una lista de remitentes bloqueados por el usuario.
Es muy importante conocer las cabeceras para ver las causas de los problemas de entregas de correo.