Hace unos años Microsoft puso en marcha en sus servicios de correo electrónico (Hotmail, MSN, Live, Outlook, …) el filtro Smartscreen, el cual se encarga de analizar los correos que recibe y, según las directrices de SCL (Spam Confidece Level), decide si es un correo que debe ir a la bandeja de correo no deseado o no.

Estos tipos de filtros para analizar el spam suelen ser muy efectivos, pero no son perfectos, puede que más de algún correo que recibe y que sea legítimo, acabe en la carpeta de correo no deseado (SPAM).

Para averiguar por qué Microsoft nos está marcando como spam, primero debemos de acceder a las cabeceras (headers) del correo marcado como no deseado. En la imagen de abajo tenéis un ejemplo de las cabeceras:

Para saber que puntuación nos está dando el filtro antispam a nuestro correo, debemos buscar lo siguiente X-Forefront-Antispam y ver el valor que se asigna a SCL:

X-Forefront-Antispam-Report: EFV:NLI;SFV:NSPM;SFS(98901004);DIR:INB;SFP:;SCL:1;SRVR:BN3NAM

Esta es la tabla de valores de SCL:

Clasificación de SCL Interpretación de confianza de correo no deseado Acción predeterminada
-1 Mensajes seguros provenientes de un remitente seguro, de un destinatario seguro o de una dirección IP permitida (socio de confianza) Se entrega el mensaje a la bandeja de entrada de los destinatarios.
0, 1 Mensaje seguro debido a que se examinó el mensaje y se determinó como limpio Se entrega el mensaje a la bandeja de entrada de los destinatarios.
5, 6 Correo no deseado El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios.
9 Correo no deseado de alta confianza El mensaje se entrega a la carpeta de Correo no deseado de los destinatarios.

Como se puede ver en el ejemplo de arriba, el valor de SCL es 1, comprobando este valor en la tabla vemos que el correo del ejemplo es considerado como seguro y se entrega en la bandeja de entrada.

El valor SCL nos dice si el correo es spam o no, pero en caso de que el correo sea marcado como spam, también podemos ver en sus cabeceras cual fue la razón para marcarlo como spam con el valor SFV. Para verlo debemos buscar X-Forefront-Antispam-Report en las cabeceras del correo:

X-Forefront-Antispam-Report: SFV:SPM;SFS:28900001);DIR:INB;SFP:;SCL:5;SRVR:DB5EUR03HT195;

Esta es la tabla de valores para SFV:

Campo de encabezado
Descripción
CIP: [dirección IP] La dirección IP de conexión. Quizás quiera especificar esta dirección IP cuando cree una lista de direcciones IP permitidas o una lista de direcciones IP bloqueadas en el filtro de conexión.
CTRY El país desde el que el mensaje se conectó al servicio. Está determinado por la dirección IP de conexión, que puede no ser la misma que la dirección IP de envío original.
LANG El idioma en que se redactó el mensaje, que está definido por el código de país (por ejemplo, ru_RU indica ruso).
SCL El valor del nivel de confianza contra correo no deseado (SCL) del mensaje.
PCL El valor del nivel de confianza de protección antiphishing (PCL) del mensaje.
SRV:BULK El mensaje se identificó como mensaje de correo masivo. Si la opción avanzada de filtrado de correo no deseado Bloquear todos los mensajes de correo masivo está habilitada, se marcará como correo no deseado. Si no lo está, solo se marcará como correo no deseado en el caso de que el resto de las reglas de filtrado determinen que el mensaje es correo no deseado.
SFV:SFE Se omitió el filtrado y se permitió el mensaje porque se envió desde una dirección de una lista de remitentes seguros del individuo.
SFV:BLK Se omitió el filtrado y se bloqueó el mensaje porque se envió desde una dirección de una lista de remitentes bloqueados del individuo.
IPV:CAL El mensaje se permitió a través de los filtros de correo no deseado porque la dirección IP estaba incluida en una lista de direcciones IP permitidas en el filtro de conexión.
IPV:NLI La dirección IP no aparecía en ninguna lista de reputación de IP.
SFV:SPM El filtro de contenido marcó el mensaje como correo no deseado.
SFV:SKS El mensaje se marcó como correo no deseado antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo no deseado y omite otros tipos de filtrado.
SFV:SKA El mensaje omitió el filtrado y se entregó a la bandeja de entrada porque coincidía con una lista de permitidos en la directiva de filtro de correo no deseado, como la lista de remitentes permitidos.
SFV:SKB El mensaje se marcó como correo no deseado porque coincidía con una lista de bloqueados en la directiva de filtro de correo no deseado, como la lista de remitentes bloqueados.
SFV:SKN El mensaje se marcó como correo seguro antes de que el filtro de contenido lo procesara. Esto incluye los mensajes que coinciden con una regla de transporte que marca el mensaje automáticamente como correo seguro y omite otros tipos de filtrado.
SFV:SKI Similar a SFV:SKN, el mensaje omitió el filtrado por otra razón, por ejemplo, ser un mensaje de correo electrónico dentro un inquilino de la organización.
SFV:SKQ El mensaje fue publicado desde la cuarentena y se ha enviado a los destinatarios.
SFV:NSPM El mensaje se marcó como correo seguro y se envió a los destinatarios correspondientes.
H: [helostring] Cadena HELO o EHLO del servidor de correo que realiza la conexión.
PTR: [ReverseDNS] Registro PTR, o registro de marcador, de la dirección IP de envío, también denominado dirección DNS inversa.
X-CustomSpam: [ASFOption] El mensaje coincide con una opción de filtrado de correo no deseado (ASF) avanzada. Por ejemplo, X-CustomSpam: Vínculos de imagen a sitios remotos indica que la opción Vínculos de imagen a sitios remotos de ASF coincidía.

Como se puede comprobar revisando la tabla, el ejemplo de arriba (X-Forefront-Antispam-Report: SFV:SPM…..) es marcado como spam por el filtro de contenido, algo en el contenido del correo no le gustó al filtro Smartscreen.

También podemos comprobar si nuestro correo es marcado por el filtro «antiphising», esto es muy interesante si usamos correo masivo o newletters para comunicarnos. Para ver si es considerado o no como phising nuestro correo debemos buscar en las cabeceras X-Microsoft-Antispam y ver los valores BCL y PCL

X-Microsoft-Antispam: BCL:0;PCL:0;RULEID:(300000500095)(300135000095)(300000501095)

Valores PCL:

PCL El nivel de confianza de protección antiphishing (PCL) del
mensaje, que indica si se trata de un mensaje de suplantación de
identidad.Este estado se puede devolver con uno de los siguientes valores
numéricos:

  • 0-3 No es probable que el contenido del
    mensaje represente una suplantación de identidad.
  • 4-8 Es probable que el contenido del
    mensaje represente una suplantación de identidad.
  • -9990 (solo en Exchange Online Protection)
    Es probable que el contenido del mensaje represente una
    suplantación de identidad.

 

El valor PCL marca el nivel de confianza con el filtro Antiphising.

Valores BCL:

Valor de BCL Descripción
0 El mensaje no es de un remitente de correo masivo.
1, 2, 3 El mensaje proviene de un remitente de correo masivo que genera pocas quejas.
4, 5, 6, 7 El mensaje proviene de un remitente de correo masivo que genera un número mixto de quejas.
8, 9 El mensaje proviene de un remitente de correo masivo que genera un número elevado de quejas.

El valor BCL muestra como estamos en la escala de correo masivo.

Si los emails que enviamos van a la carpeta de correo no deseado, con la información de las cabeceras podemos ver cuales son las razones, por ejemplo si tenemos un valor BCL:8, tenemos que revisar nuestra lista de usuarios porque se están generando muchas quejas.

Si tenemos el valor SFV:BLK, esto no dice que nuestro email está en una lista de remitentes bloqueados por el usuario.

Es muy importante conocer las cabeceras para ver las causas de los problemas de entregas de correo.