Los buzones de Microsoft 365 pueden quedar bloqueados de forma automática cuando el sistema detecta picos anómalos o patrones que se asemejan al envío de correo no deseado. A continuación encontrarás una guía completa para entender la causa, desbloquear la cuenta y prevenir futuras incidencias.
Descripción del problema
Varios usuarios de Exchange Online reportan que, al intentar enviar mensajes, reciben un rechazo similar al siguiente:
This message couldn't be delivered because the sending email address was not recognized as a valid sender… The most common reason for this error is that the email address is, or was, suspected of sending spam.
Aunque el texto exacto puede variar, el hilo conductor es siempre el mismo: el sistema concluye que el remitente muestra comportamiento de spam. Se ha observado en escenarios como:
- Campañas de prospección con combinación de correspondencia que envían decenas de correos en segundos.
- Buzones compartidos o alias dentro del mismo inquilino que respetan los límites declarados (10 000 mensajes/día y 30 mensajes/minuto) pero resultan igualmente bloqueados.
- Interrupciones graves en procesos de venta, atención al cliente o selección de personal.
Por qué Microsoft 365 bloquea a un remitente
Microsoft emplea varias capas de detección (heurística, reputación, aprendizaje automático y firmas) para proteger su infraestructura y la de sus clientes. Cuando el modelo identifica un patrón sospechoso, coloca la identidad (dirección SMTP o incluso la cuenta entera) en la lista de Restricted entities de Microsoft Defender. Los factores más habituales son:
- Volumen repentino: un número elevado de mensajes en un periodo demasiado corto, aunque el total diario no sobrepase la cuota.
- Contenido casi idéntico: plantillas con variables mínimas que generan cientos de mensajes prácticamente iguales.
- Falsificación potencial de identidad: registros SPF, DKIM o DMARC mal alineados, lo que sugiere spoofing.
- Historial previo: la dirección, dominio o IP ha sido informada como origen de spam en el pasado y la reputación aún no se ha recuperado.
- Destinatarios desconocidos: alto porcentaje de NDR por buzones inexistentes (hard bounces).
Una vez en la lista, el bloqueo es global dentro del inquilino: cualquier intento de salida se descarta en el perímetro antes de llegar a la cola de envío.
Cómo diagnosticar que se trata de “Restricted entities”
El mensaje de error es la primera pista, pero conviene confirmar el estado en Microsoft Defender:
- Inicia sesión con un rol de administrador global o Administrador de Seguridad.
- Abre Email & collaboration › Review › Restricted entities (ruta actual en el portal de seguridad de Microsoft).
- Filtra por Users y busca la dirección afectada. Si aparece listada, el bloqueo está confirmado.
También puedes utilizar PowerShell con el módulo ExchangeOnlineManagement:
Connect-ExchangeOnline
Get-BlockedSenderAddress | Where-Object {$_.SenderAddress -eq "usuario@contoso.com"}
Si el cmdlet devuelve resultados, la entidad está restringida.
Paso a paso para desbloquear la cuenta
| Paso | Descripción |
|---|---|
| Desbloquear la cuenta | Un administrador global debe ir a Microsoft Defender, seleccionar la entidad en Restricted entities y hacer clic en Unblock. El cambio se replica en pocos minutos. |
| Si no eres admin | Contacta al administrador interno y facilítale el mensaje de error íntegro. Si no hay respuesta, abre un caso desde el Centro de administración con “Get support” solicitando reactivación. |
| Comprobar límites y políticas | Verifica que el envío real no excede 10 000 mensajes/día ni 30/minuto por buzón. Revisa reglas de flujo de correo (transport rules) y directivas antispam personalizadas que puedan imponer umbrales inferiores. |
| Ajustar prácticas de envío | Escalona los lotes (p. ej. 30–50 mensajes cada 2 min). Varía asuntos y cuerpos para aumentar unicidad. Alinea SPF, DKIM y DMARC. Considera servicios de marketing externos cuando la actividad sea constante. |
| Supervisar | Revisa los informes de Defender y los registros de auditoría al menos una vez por semana. Configura alertas automáticas sobre nuevos bloqueos para actuar antes de que impacten al negocio. |
Buenas prácticas para prevenir futuros bloqueos
Planificación de volúmenes
Aunque Microsoft documenta los límites máximos, la reputación se basa en tendencias. Un buzón que envía 50 correos al día y, de repente, lanza 800 mensajes en 5 minutos genera un outlier que se marca como riesgoso. Programa los envíos masivos en ventanas de varias horas y distribúyelos entre varios buzones si es necesario.
Personalización del contenido
Los motores de detección calculan una “huella” de cada mensaje. Si cien destinatarios reciben un texto idéntico, basta con que uno lo reporte como spam para que todos los envíos similares se asocien a esa etiqueta. Personaliza:
- Asunto (añade el nombre de la empresa o del destinatario).
- Cuerpo (menciona datos específicos del contacto).
- Firma (usa variaciones o plantillas con elementos dinámicos).
Autenticación robusta
Configura los registros SPF, DKIM y DMARC para que solo los servidores autorizados puedan enviar en nombre de tu dominio. Un registro DMARC con política p=quarantine (o mejor, p=reject) muestra a Microsoft que el dominio se toma en serio la higiene de correo, lo que mejora la reputación global.
Higiene de listas
Mantén una base de datos limpia. Los “hard bounces” reiterados son señal de base desactualizada y constituyen un factor de riesgo. Implementa procesos de confirmación (doble opt‑in) y limpieza periódica. Elimina direcciones inactivas tras N rebotados consecutivos.
Uso de servicios especializados
Si realizas campañas periódicas, evalúa plataformas dedicadas (por ejemplo, Dynamics 365 Marketing o herramientas SaaS de terceros) con sus propios rangos de IP y mecanismos de reputación. Así separas la mensajería corporativa del marketing masivo y reduces bloqueos en la infraestructura principal.
Monitorización continua
No esperes al bloqueo para actuar. Activa alertas en Microsoft Defender y configura reglas de umbral en el Centro de cumplimiento para detectar:
- Picos de envíos por minuto.
- Incrementos en reportes de phish o spam.
- Tasas de rebote superiores al 5 %.
Al identificar comportamientos anómalos con antelación, puedes aplazar o segmentar una campaña antes de que se convierta en incidente.
Preguntas frecuentes (FAQ)
¿Cuánto tarda el desbloqueo en hacerse efectivo?
En la mayoría de los casos, entre 5 y 15 minutos tras pulsar Unblock. Si tras 30 minutos el buzón sigue bloqueado, comprueba que no existan otras restricciones (políticas de transporte, directivas de phishing, etc.).
¿Se pierden los correos enviados mientras el buzón estaba bloqueado?
No; los mensajes se rechazan instantáneamente y el cliente recibe el NDR. Debes reenviarlos tras el desbloqueo.
¿El bloqueo afecta también a la recepción?
No, solo al envío. Los destinatarios pueden seguir enviando mensajes al buzón afectado.
¿Puedo solicitar a Microsoft que aumente mis límites?
Solo en muy contadas ocasiones, generalmente relacionadas con acuerdos de licenciamiento Enterprise y compromisos de cumplimiento. Para la mayoría de organizaciones, la recomendación es repartir la carga en varios buzones o usar servicios de marketing.
¿Qué diferencias hay entre un bloqueo por “Restricted entities” y un bloqueo por “Outbound spam” tradicional?
“Restricted entities” es más granular: se aplica a la identidad (dirección o cuenta) y no a todo el tenant. Un bloqueo por “Outbound spam” puede afectar al conector saliente y paralizar todos los envíos del inquilino.
¿Cómo afecta Microsoft Copilot for Security a la detección?
Copilot no modifica los algoritmos de reputación, pero puede ayudarte a investigar más rápido: explica los registros, sugiere remediaciones y genera informes listos para compartir.
¿Puedo automatizar el desbloqueo?
Sí. La API de seguridad de Microsoft Graph expone el endpoint /security/attackSimulation/restrictedEntities. Con la autenticación adecuada, puedes integrar un flujo de runbook en Azure Automation o Power Automate para resolver incidencias fuera de horario laboral.
¿Volveré a ser bloqueado si reanudo el envío con el mismo ritmo?
Probablemente sí. El sistema aprende del comportamiento reciente. Reanuda siempre de forma progresiva y monitoriza la tasa de entrega.
¿Existe un informe que muestre mi reputación global?
Dentro de Defender › Email & collaboration › Reports encontrarás “Outbound spam detections” y “Spoof detections”. Estos paneles revelan tendencias de reputación y te permiten exportar datos históricos.
¿Cuál es el impacto de las directivas de retención en este contexto?
Ninguno directo. Las etiquetas de retención afectan al almacenamiento y cumplimiento, no a la salida de mensajes.
Conclusiones
Los bloqueos de Microsoft 365 por supuesta actividad de spam suelen pillar por sorpresa, pero se resuelven rápido cuando se conocen los pasos: identificar el estado en Restricted entities, desbloquear, ajustar las prácticas de envío y monitorizar. Adoptar un enfoque preventivo —higiene de listas, autenticación sólida, escalado de volúmenes— reduce drásticamente la probabilidad de recurrencia y mantiene la comunicación crítica del negocio a salvo.