Este artículo describe la configuración del Conector Cyber Guru en Exchange Online, basada en la autenticación mediante certificado TLS y limitada a los dominios remitentes de simulación.
Esta configuración es la solución recomendada por la documentación oficial de Microsoft para evitar el throttling que aplica Exchange Online Protection a los correos de simulación de phishing.
Por qué es necesario el conector
Las campañas de simulación de phishing implican, por su naturaleza, el envío de grandes volúmenes de correos desde una infraestructura externa al tenant del cliente. El motor antiabuso de Microsoft Exchange Online Protection (EOP) reevalúa continuamente y de forma automática la reputación de las IP remitentes y puede aplicar un throttling reputacional (ralentización de la entrega) a los remitentes no autenticados.
Cuando esto ocurre, los correos de simulación no son rechazados ni bloqueados en el tenant del cliente, sino que Microsoft los retrasa previamente con el siguiente código de respuesta:
451 4.7.500 Server busy. Please try again later from [85.235.135.191].
Características importantes de este fenómeno:
- Es un retraso temporal (soft-defer), no un bloqueo definitivo ni una inclusión en lista negra: los mensajes permanecen en cola y se reintentan.
- Es cross-tenant: afecta a la IP de envío hacia todos los destinatarios de Microsoft 365, por lo que no hay nada que desbloquear en el tenant del cliente (los correos no aparecen en cuarentena ni en los registros del tenant).
- Las posibles mitigaciones solicitadas a Microsoft (delisting) son temporales: la reputación se reevalúa automáticamente y el throttling puede volver a aparecer.
Para este error específico, la documentación oficial de Microsoft (Solucionar el error NDR 451 4.7.500-699 (ASxxx) en Exchange Online) indica como solución, para el administrador del tenant receptor, precisamente la configuración de un conector.
Con el conector, el servidor de envío de Cyber Guru se autentica ante el tenant presentando su certificado TLS: el tráfico deja de considerarse "anónimo" y el throttling — reservado a remitentes no autenticados — no se aplica. La efectividad es inmediata y no depende de intervenciones ni plazos de Microsoft.
Por qué esta configuración también es más segura
La autenticación mediante certificado TLS supone un endurecimiento de los controles:
- El perímetro está limitado: el conector se restringe únicamente a los dominios usados para simulaciones de phishing.
- La identificación se realiza mediante certificado TLS emitido por una CA pública, con TLS obligatorio: un criterio más fuerte y verificable que la confianza basada en dirección IP.
- Anti-spoofing: con la restricción activa, cualquier mensaje que declare uno de los dominios de simulación sin presentar el certificado de Cyber Guru será rechazado por el tenant.
- Un solo certificado cubre todos los dominios de simulación y sigue siendo válido incluso si cambia la IP de envío: la configuración se realiza una sola vez.
- Se trata de una única configuración, documentada, desactivable en cualquier momento y completamente trazable en las herramientas de administración del tenant.
Requisitos previos
- Acceso a la Consola de Administración de Exchange con permisos de administrador
- Listado de los dominios remitentes de Cyber Guru
- Nombre de dominio del certificado TLS del servidor de envío de Cyber Guru:
pmail.cyberguru.report
|
DÓNDE ENCONTRAR EL LISTADO COMPLETO DE DOMINIOS REMITENTES
|
Procedimiento detallado
1. Accede a la Consola de Administración de Microsoft
2. Ve a "Flujo de correo > Conectores" y selecciona "+ Agregar un conector"
3. Selecciona la opción "Organización asociada" y conexión a "Office 365", luego haz clic en "Siguiente"
4. Añade el nombre del conector "Cyber Guru Connector", deja marcada la casilla "Habilitar" y haz clic en "Siguiente"
5. Selecciona "Verificando que el dominio del remitente coincida con uno de los siguientes dominios" e introduce los dominios remitentes de Cyber Guru
Introduce todos los dominios remitentes (disponibles en la plataforma en la sección "Ayuda > Support - Knowledge"), haciendo clic en el símbolo "+" después de cada dominio, luego haz clic en "Siguiente".
Nota: los dominios deben introducirse exactamente como se comunican, sin comodines ni prefijos.
6. Activa la verificación del certificado TLS
En la pantalla de restricciones de seguridad:
- Deja activada la opción "Rechazar los mensajes de correo electrónico si no se envían mediante TLS" (por defecto)
- Selecciona la opción "Y exigir que el nombre del sujeto en el certificado utilizado por el socio para autenticarse con Office 365 coincida con este nombre de dominio" e introduce:
pmail.cyberguru.report
7. Revisa el resumen y haz clic en "Crear Conector"
8. Verificación final
Al finalizar la configuración, solicita el envío de un correo de prueba desde la plataforma para comprobar la correcta entrega. Si lo necesitas, contacta con el soporte de Cyber Guru para una sesión conjunta de configuración y prueba.
Notas importantes
- El conector no sustituye la Entrega Avanzada en Microsoft Defender, que sigue siendo la configuración más importante de todo el proceso de whitelisting: 1. Entrega Avanzada (Microsoft Defender).
- Si ya existe el conector de Cyber Guru identificado por dirección IP, debe actualizarse con la verificación del certificado descrita en este artículo: la identificación por IP no exime del throttling.