Cómo deshabilitar Direct Send en Microsoft 365

Descubre qué es Reject direct send en Exchange Online

Descubre qué es Reject direct send en Exchange Online, cómo configurarlo correctamente y por qué es clave para mejorar la seguridad del correo en Microsoft 365 frente a amenazas como spoofing y abuso de servicios.

Introducción: la importancia de proteger Direct Send

En entornos Microsoft 365, el correo electrónico sigue siendo uno de los principales vectores de ataque. Funcionalidades como Direct Send, diseñadas para facilitar el envío de correos desde dispositivos y aplicaciones internas, pueden convertirse en un riesgo si no se gestionan adecuadamente.

La configuración de Reject direct send surge como un mecanismo para reforzar la postura de seguridad, evitando que actores no autorizados utilicen tu dominio para enviar correos sin autenticación.

¿Qué es Reject Direct Send y para qué sirve?

Reject direct send es una configuración de seguridad incluida por Microsoft en Exchange Online que permite bloquear el uso del método Direct Send para el envío de correos electrónicos desde sistemas no autenticados.

El método Direct Send permite a dispositivos como impresoras, escáneres o aplicaciones internas enviar correos directamente a través de Exchange Online sin autenticación, utilizando únicamente un conector y el dominio de la organización. Aunque útil en escenarios específicos, también puede ser explotado por atacantes para:

• Enviar correos fraudulentos aparentando ser internos.
• Evadir controles de autenticación como MFA.
• Realizar campañas de phishing.

Al habilitar Reject direct send, se impide que este tipo de envíos no autenticados sean aceptados, obligando a utilizar métodos más seguros como SMTP autenticado o conectores restringidos.

Requisitos para su configuración

Antes de implementar esta configuración, es importante revisar ciertos aspectos técnicos y operativos:

• Inventario de dispositivos y aplicaciones que utilizan Direct Send, como impresoras, sistemas legacy u otros servicios internos.
• Validación de alternativas seguras, como SMTP autenticado con credenciales seguras.
• Uso de conectores con restricción por IP.
• Configuración correcta de registros SPF, DKIM y DMARC para proteger el dominio.
• Revisión de dependencias en flujos de correo internos.

Un análisis previo evitará interrupciones en servicios críticos y permitirá una transición controlada.

Cómo configurar Reject Direct Send en Exchange Online

La configuración de Reject direct send se realiza mediante Exchange Online PowerShell. Una vez revisado qué dispositivos, aplicaciones y/o servicios pueden estar utilizando Direct Send, se puede habilitar el bloqueo con el siguiente comando:

Al establecer Reject Direct Send en True, Exchange Online rechazará los mensajes enviados mediante Direct Send que no cumplan con las condiciones permitidas.

Como el comando no devuelve una confirmación detallada en pantalla, es recomendable validar posteriormente la configuración con:

Si la configuración se ha aplicado correctamente, el resultado indicará:

Recomendaciones adicionales de seguridad

Para maximizar el impacto de Reject direct send, se recomienda complementar esta configuración con otras medidas:

• Implementar autenticación multifactor (MFA) en todas las cuentas.
• Configurar correctamente SPF, DKIM y DMARC para evitar suplantación de identidad.
• Aplicar políticas de Conditional Access en Microsoft Entra ID.
• Deshabilitar protocolos heredados que no soporten autenticación moderna.
• Auditar el uso de conectores y permisos en Exchange Online.

Estas acciones ayudan a fortalecer la seguridad global del entorno y reducir la superficie de ataque.

Contacta con Allbit

En Allbit te ayudamos a analizar tu entorno de Microsoft 365, identificar configuraciones inseguras y aplicar medidas como Reject direct send para mejorar tu postura de seguridad.

¿No estás seguro de si tu organización está expuesta?

Contacta con nuestro equipo para una revisión personalizada y asegura tu infraestructura frente a amenazas actuales.

👉 Contacta con Allbit aquí.