• Nivel de confianza de spam (SCL) -1 Omisión: qué significa y cómo gestionarlo

Nivel de confianza de spam (SCL) -1 Omisión: qué significa y cómo gestionarlo

Blog, DMARC

¿Ve correos electrónicos con un nivel de confianza de spam (SCL) de -1? Descubra qué significa el bypass de SCL -1 en Microsoft 365, por qué se produce y cuándo supone un riesgo para la seguridad.

por YunesTarada

Última actualización:
7 Tiempo de lectura: 7 minutos
Nivel de confianza de spam (SCL) -1 Omisión: qué significa y cómo gestionarlo
Índice-

Puntos clave

  • SCL -1 significa que el filtro de spam se ha omitido por completo, no que el correo electrónico sea seguro.
  • Microsoft 365 asigna puntuaciones SCL de -1 a 9 para determinar las acciones de gestión del correo electrónico.
  • Los correos electrónicos autenticados internos reciben automáticamente SCL -1 dentro del mismo inquilino.
  • Las reglas de flujo de correo que establecen «Omitir filtrado de spam» son la causa más común de SCL -1.
  • Las listas de remitentes seguros de Outlook pueden activar SCL -1 para direcciones específicas.
  • Las listas blancas de IP amplias y las reglas de omisión basadas en conectores aumentan el riesgo de phishing.
  • DMARC Pass no justifica establecer SCL en -1 porque los atacantes pueden autenticar sus propios dominios.

Cuando un sofisticado cebo de phishing llega al buzón de correo electrónico de su director general, suele ser porque lleva una etiqueta SCL -1. Esta etiqueta es el equivalente digital de un pase VIP que permite al remitente pasar todos los controles de seguridad. En Microsoft 365, un SCL de -1 no es una garantía de seguridad, sino un bypass total del filtro de spam. Aunque están pensadas para el tráfico de confianza, las reglas o conectores mal configurados pueden, sin quererlo, tender una alfombra roja a los atacantes, entregando contenido malicioso directamente a sus usuarios más sensibles.

¿Qué es el nivel de confianza de spam (SCL)?

El nivel de confianza de spam es un valor asignado a un mensaje después de que haya sido procesado por las capas de filtrado de Microsoft (Exchange Online Protection o Microsoft Defender para Office 365) que indica la probabilidad de que el mensaje sea spam.

Cómo se utilizan las puntuaciones SCL

El servicio utiliza diversas señales, como la reputación del remitente, el análisis del contenido y el estado de autenticación, para puntuar un correo electrónico. La puntuación determina entonces qué ocurre con ese mensaje en función de las políticas antispam de su organización.

Rangos típicos de puntuación SCL

Puntuación SCLSignificadoMedidas adoptadas (estándar)
-1DerivaciónFiltro omitido; mensaje entregado en la bandeja de entrada.
0, 1No es spamMensaje entregado en la bandeja de entrada.
5, 6SpamMensaje enviado a la carpeta de correo no deseado.
9Spam de alta confianzaMensaje enviado a la carpeta de correo no deseado o puesto en cuarentena.

¿Qué significa SCL -1?

SCL -1 como indicador de derivación

Un SCL de -1 es único porque no es una «puntuación» basada en el análisis del contenido. En cambio, es un estado determinado por políticas. Indica que el mensaje quedó exento del filtrado de spam antes de que el escáner de contenido pudiera siquiera evaluarlo.

¿SCL -1 es bueno o malo?

  • Lo bueno: garantiza que las comunicaciones internas críticas o las alertas automatizadas de seguridad conocida (como las notificaciones del servidor) nunca se eliminen accidentalmente.
  • Lo malo: Crea un enorme punto ciego en la seguridad. Si un atacante logra activar una omisión de SCL -1, mediante suplantación de identidad o aprovechando una lista de «Permitidos» mal configurada, su carga maliciosa llegará directamente a la bandeja de entrada del usuario sin ningún tipo de control.

Por qué es importante ahora: los atacantes modernos utilizan cada vez más el phishing generado por IA y el spam autenticado desde dominios de socios comprometidos para parecer «legítimos». Cuando estos sofisticados señuelos superan un bypass SCL -1, evaden el análisis de comportamiento necesario para detener el compromiso del correo electrónico empresarial (BEC). Para cuando un humano se da cuenta de que el correo electrónico es falso, el bypass «de confianza» ya ha allanado el camino para una brecha.

Puede comprobar si su dominio tiene actualmente estas vulnerabilidades con un análisis gratuito del estado del dominio.

¿Por qué los correos electrónicos obtienen un SCL -1 Bypass?

Varias configuraciones administrativas activan un valor SCL -1:

Remitentes de confianza o incluidos en la lista blanca

  • Listas de remitentes seguros: si un usuario individual añade una dirección a su lista de «Remitentes seguros» en Outlook, puede activarse un SCL -1.
  • Reglas de transporte (reglas de flujo de correo): la causa más común. Un administrador crea una regla que establece: «Si el remitente es X, establece el SCL en -1».

Autenticación y omisiones basadas en políticas

  • Correo interno autenticado: los correos electrónicos enviados desde un buzón interno a otro dentro del mismo inquilino se consideran automáticamente de confianza y se les asigna un SCL -1.
  • DMARC/SPF/DKIM: Aunque superar estas pruebas no garantiza automáticamente un SCL -1, muchos administradores configuran incorrectamente las reglas para eludir el filtrado de cualquier dominio que simplemente supere DMARC. Para evitar errores de configuración, utilice un generador automático de registros SPF y un generador DKIM para asegurarse de que sus registros son válidos.

Escenarios basados en terceros y conectores

  • Conectores de socios: si tiene un conector seguro configurado con una organización asociada, el correo enviado a través de esa ruta puede eludir el filtrado.
  • Puerta de enlace de correo electrónico: si utiliza una puerta de enlace de seguridad de terceros antes de que el correo llegue a Microsoft 365, es probable que tenga una regla para omitir el filtrado de EOP para la dirección IP de esa puerta de enlace con el fin de evitar problemas de «doble filtrado».

¿Es SCL-1 un riesgo para la seguridad?

SCL -1 puede ser o no un riesgo para la seguridad.

Cuando se espera SCL -1

Es perfectamente normal ver SCL -1 para:

  • Anuncios internos de RR. HH.
  • Alertas del sistema procedentes de servidores internos (utilizando SMTP autenticado).
  • Mensajes de conectores asociados verificados y de alta seguridad.

Cuando SCL -1 es peligroso

Se convierte en un riesgo cuando los correos electrónicos externos llevan esta puntuación. Los atacantes suelen utilizar la suplantación del nombre de usuario o dominios similares. Si las reglas de flujo de correo son demasiado amplias (por ejemplo, incluir en la lista blanca todo un dominio de nivel superior), un atacante puede burlar sus defensas.

  • Advertencia: un «bypass» significa que el correo electrónico omite el filtrado de spam, pero aún así puede ser escaneado por Zero-hour Auto Purge (ZAP) o motores antimalware, dependiendo de la configuración específica de Defender. Sin embargo, nunca debe confiar en ellos como segunda línea de defensa para el correo omitido.

Cómo afectan DMARC y la autenticación del correo electrónico a SCL

Cómo afectan DMARC y la autenticación del correo electrónico a SCL

Señales de autenticación fuertes como SPF, DKIM y DMARC son la base de la confianza.

  • Alineación DMARC: cuando un correo electrónico «supera DMARC», se demuestra que el remitente es quien dice ser.
  • La trampa: los administradores suelen cometer el error de establecer una regla: «Si DMARC = Aprobado, establecer SCL = -1». Esto es peligroso porque un spammer puede ser propietario de un dominio legítimo, configurar DMARC a la perfección y enviar spam «autenticado». Evite que el spam «autenticado» abuse de su reputación supervisando sus informes agregados de DMARC en tiempo real.

Nota: Es importante comprender que DMARC y los protocolos de autenticación de correo electrónico no sustituyen a los filtros de spam. DMARC evita la suplantación de dominios, pero no puede proteger contra contenidos maliciosos.

El uso de una solución como PowerDMARC le ayuda a aplicar una política de «rechazo», lo que garantiza que solo los remitentes autorizados puedan utilizar su dominio. Aunque PowerDMARC garantiza que su dominio no sea suplantado, actúa como un control preventivo; no sustituye la necesidad del filtrado de spam de Microsoft para el análisis del contenido entrante.

Cómo investigar un correo electrónico SCL-1

Comprobación de los encabezados de los mensajes

Para saber por qué se ha omitido un mensaje, debe consultar los encabezados del mensaje (utilizando el Analizador de encabezados de mensajes de Microsoft). Busque:

  • X-MS-Exchange-Organization-SCL: -1
  • Informe X-Forefront-Antispam: Busque las etiquetas SFV:SKN (Spam Filtering Verdict: Skip) o SFV:SKI (Skip Internal).

La buena noticia es que puedes analizar tus encabezados al instante. Utiliza el analizador de encabezados de correo electrónico de PowerDMARC para descodificar las puntuaciones SCL y los veredictos de seguridad en cuestión de segundos.

Revisión de las reglas de flujo de correo

Vaya al Centro de administración de Exchange (EAC) > Flujo de correo > Reglas. Busque cualquier regla que tenga la acción «Establecer el nivel de confianza de spam (SCL) en... Omitir el filtrado de spam».

Cómo prevenir el abuso del bypass SCL-1

Cómo prevenir el abuso de SCL: 1. Derivar.

Un valor SCL -1 debería ser una excepción poco frecuente, no la norma. Si los encabezados de su flujo de correo muestran con frecuencia este bypass para remitentes externos, su «puerta principal» está efectivamente abierta. Para reforzar la seguridad sin bloquear el correo legítimo, siga estas prácticas recomendadas:

1. Evite las listas blancas generales de direcciones IP y dominios.

Uno de los errores más comunes que cometen los administradores es incluir en la lista blanca todo un rango de direcciones IP o un dominio de nivel superior para resolver un problema puntual de entrega. Esto es una mina de oro para los atacantes. Si un atacante envía un correo electrónico desde una plataforma que usted ha incluido en la lista blanca (como un ESP compartido o un servidor asociado comprometido), la omisión de SCL -1 permitirá que su intento de phishing pase directamente por los filtros de Microsoft.

  • Solución: utilice la lista de permitidos/bloqueados del inquilino en el portal de Microsoft Defender para remitentes específicos en lugar de reglas de transporte generales.

2. Habilite «Filtrado mejorado para conectores».

Si utiliza una puerta de enlace de seguridad de correo electrónico de terceros antes de que el correo llegue a Microsoft 365, es probable que tenga una regla de omisión, por lo que Microsoft no bloquea la IP de la puerta de enlace. Sin embargo, esto a menudo oculta la IP real del remitente original.

  • Solución: habilite el filtrado mejorado para conectores (también conocido como «omitir listado»). Esto permite a Microsoft «ver a través» de su puerta de enlace hasta la IP de origen original, lo que garantiza que las comprobaciones de reputación sigan funcionando incluso si técnicamente existe una derivación.

3. Implemente una política DMARC estricta con PowerDMARC

Los atacantes suelen suplantar su propio dominio interno para engañar al sistema y hacerle creer que un mensaje es «interno», lo que activa automáticamente un SCL -1. Sin una política DMARC estricta, es posible que Microsoft no pueda distinguir entre su director general y un hacker.

  • La solución: utilice PowerDMARC para cambiar su dominio a una política p=reject. Esto garantiza que cualquier correo electrónico que afirme provenir de su dominio y que no supere la autenticación sea bloqueado al instante. Al proteger su propio dominio, evita el abuso de confianza «interno» que conduce a peligrosas elusiones de SCL -1.

4. Utilice configuraciones de «mínima confianza».

En lugar de un bypass total, utilice controles más granulares. Si los correos electrónicos de un socio específico están siendo capturados como spam, no se limite a establecer su SCL en -1.

  • Solución: cree una regla de flujo de correo que marque al remitente como «seguro», pero que permita que se ejecuten la purga automática de cero horas (ZAP) y el análisis de malware de Microsoft. Como alternativa, ajuste el umbral de correo electrónico masivo (BCL) específicamente para ese remitente, de modo que no se marque como spam, pero se siga inspeccionando su contenido en busca de amenazas.

Resumen

Ver un SCL -1 en tus encabezados es como darle a alguien un «pase VIP para el backstage» de tu bandeja de entrada. Aunque es genial para asegurarte de que los memorandos internos de tu director general no acaben en la carpeta de correo no deseado, supone un enorme agujero de seguridad si lo activa un correo externo.

Si tienes reglas generales de «Permitir» o listas blancas obsoletas, básicamente le estás diciendo a Microsoft 365 que cierre los ojos y espere lo mejor. A los atacantes les encanta encontrar estas vulnerabilidades porque significa que sus enlaces de phishing llegan directamente a los ojos de tus usuarios.

La mejor manera de evitar que los piratas informáticos suplanten su dominio para activar estas omisiones «de confianza» es contar con una política DMARC hermética. política DMARC.

PowerDMARC le ayuda a alejarse de las arriesgadas listas de «Permitidos» y a adoptar una política de «Rechazar» que realmente se cumple. Al automatizar la gestión de DMARC, SPF y DKIM, se asegura de que solo el «usted» real reciba un trato VIP, mientras que los suplantadores son detenidos en la puerta antes de llegar al escáner SCL.

¿Listo para dejar de adivinar quién está enviando mensajes a tu bandeja de entrada? Comienza hoy mismo tu prueba gratuita de PowerDMARC y convierte la autenticación de tu correo electrónico de un «tal vez» a un «definitivamente».

Preguntas frecuentes

¿SCL -1 significa que el correo electrónico es seguro?

No. Solo significa que se ha omitido el filtro de spam. El correo electrónico podría seguir conteniendo enlaces de phishing o archivos adjuntos maliciosos.

¿Pueden los atacantes aprovechar la elusión de SCL -1?

Sí, especialmente si tienes reglas generales de «Permitir» basadas en nombres de dominio o conectores mal configurados.

¿Cómo elimino SCL -1 para un remitente?

Busque la regla de flujo de correo o la entrada en la «Lista de permitidos/bloqueados del inquilino» en el Centro de seguridad y cumplimiento y elimínela o modifíquela.

¿Deberían los correos electrónicos externos tener alguna vez SCL -1?

Rara vez. Solo en casos específicos, como un auditor de seguridad externo de confianza o un socio SaaS estrechamente integrado.

Últimos mensajes de Yunes Tarada (ver todos)
Última actualización:
Ataques de ingeniería social quid pro quo: cómo funcionan y cómo detenerlosAtaques de ingeniería social quid pro quoIdentidad del remitente del correo electrónico: qué es y por qué es importanteIdentidad del remitente del correo electrónico: qué es y por qué es importante