Cómo configurar MailTips y evitar enviar información confidencial

En muchas organizaciones, el correo electrónico sigue siendo la vía principal para compartir documentos, datos personales y comunicaciones internas delicadas. Un simple despiste al escribir un mensaje puede acabar en una fuga de información confidencial: destinatarios equivocados, grupos demasiado grandes, contenido interno que sale fuera de la empresa, etc.

Para evitar estos sustos, Microsoft incorporó en Exchange y Microsoft 365 las llamadas MailTips, o sugerencias de correo electrónico. Son avisos automáticos que aparecen mientras redactas un mensaje y te advierten de problemas potenciales antes de pulsar Enviar, como que el buzón de alguien está lleno, que el mensaje saldrá fuera de la organización o que estás respondiendo a todos habiendo estado en copia oculta.

Qué son exactamente las MailTips y por qué te ayudan a evitar fugas

Las MailTips son mensajes informativos que Outlook y Outlook en la Web muestran de forma dinámica mientras redactas un correo. No son reglas ni NDR, sino avisos preventivos que se calculan en tiempo real según los destinatarios y el propio mensaje.

Cuando abres un nuevo correo, respondes, respondes a todos, reenvías o recuperas un borrador, el cliente se conecta al servidor de Exchange y le pregunta qué sugerencias deben mostrarse. Exchange revisa los destinatarios, las políticas de la organización, el estado de los buzones y otros parámetros y devuelve una lista de MailTips que el cliente enseña en la barra de información.

El objetivo es claro: avisarte antes de que cometas un error costoso o vergonzoso. Por ejemplo, evitar:

• Informes de no entrega (NDR) por enviar a buzones inexistentes o llenos.
• Correos accidentales a destinatarios externos o a grupos de distribución inadecuados.
• Mensajes sobredimensionados que chocarán con los límites de tamaño.
• Respuestas a todos indebidas cuando ibas en CCO, revelando destinatarios en copia oculta.

Todo esto repercute en productividad y en seguridad: menos NDR, menos llamadas al soporte y, sobre todo, menos posibilidades de sacar información sensible fuera de la organización sin querer.

Cómo funcionan internamente las MailTips en Exchange

Desde el punto de vista técnico, las MailTips están implementadas como un servicio web en los servidores de acceso de cliente (CAS) de Exchange (o sus equivalentes en Exchange Online). El flujo es más o menos así:

Cuando el usuario empieza a escribir un correo, el cliente (Outlook, Outlook en la Web, Outlook móvil) llama al servicio de MailTips del servidor pidiéndole sugerencias para la lista de destinatarios actual.

El servidor CAS recopila la información necesaria desde distintos sitios: consulta Active Directory para datos de destinatarios y grupos, revisa métricas de grupo y contacta con los servidores de buzones (MBX) para conocer estados como buzón lleno o respuestas automáticas. Si el buzón del destinatario está en otro sitio, el CAS local habla con el CAS remoto, que a su vez consulta a su servidor de buzones y devuelve el resultado.

Una vez que el CAS tiene todos los datos, devuelve en un único lote la lista de MailTips aplicables al mensaje, y el cliente las muestra en la barra de información. Esta consulta se vuelve a evaluar periódicamente: por ejemplo, estados como buzón lleno o respuestas automáticas se recalculan cada dos horas, incluso para mensajes guardados en Borradores y reabiertos más tarde.

No todos los clientes soportan MailTips. Actualmente están disponibles en Outlook en la Web, Outlook 2010 o posterior para Windows y Outlook para iOS y Android (con algunas limitaciones, especialmente en escenarios híbridos u on-premises).

Tipos de MailTips disponibles y cómo ayudan a proteger datos

Exchange Online y Exchange Server ofrecen un catálogo bastante amplio de sugerencias de correo, algunas integradas y otras personalizables. Cada tipo de MailTip cubre un escenario concreto que puede generar problemas de entrega o, lo que nos interesa aquí, riesgos de fuga de información.

Las principales MailTips que puedes encontrar son las siguientes:

Destinatario interno no válido

Esta sugerencia aparece cuando añades una dirección interna que no existe en la organización, pero que quizá siga en la caché de autocompletar de tu Outlook o en tus contactos personales.

En este caso, la MailTip destaca qué destinatario es inválido y te permite quitarlo antes de enviar. Así evitas un NDR y la consiguiente pérdida de tiempo, además de la confusión para el remitente.

Buzón lleno

Cuando agregas un destinatario interno cuyo buzón ha superado la cuota de ProhibitSendReceive, la MailTip te avisa de que ese buzón está lleno y que el mensaje no llegará. Outlook y Outlook en la Web muestran esta información y te sugieren eliminar o sustituir al destinatario.

Esta sugerencia es dinámica: se actualiza aproximadamente cada dos horas, también en correos que se han quedado en Borradores. De nuevo, el beneficio es más de productividad que de seguridad, pero evita reenvíos y reintentos innecesarios.

Respuestas automáticas activadas

Si uno de los destinatarios internos tiene configuradas respuestas automáticas (por ejemplo, está de vacaciones), Outlook puede mostrarte una MailTip con los primeros 175 caracteres del mensaje de fuera de la oficina. Esto se aplica en Outlook, Outlook en la Web y Outlook para iOS y Android.

Gracias a esto, puedes decidir si tiene sentido enviarle ese correo o si necesitas añadir a otra persona encargada en su ausencia. Igual que con Buzón lleno, el estado se reevalúa cada dos horas para mantener el aviso razonablemente al día.

MailTip personalizada por destinatario

Aquí entramos en la parte más interesante en cuanto a prevención de fugas: las MailTips personalizadas permiten mostrar un texto específico cada vez que alguien añade a determinado buzón, contacto o grupo.

Por ejemplo, puedes definir un aviso para un grupo de distribución sensible que diga algo tipo «Este grupo recibe información confidencial. Revisa bien los destinatarios antes de enviar a personas externas». O un buzón de soporte que indique el tiempo de respuesta comprometido.

Estas MailTips personalizadas se configuran a nivel de destinatario y no se muestran si el remitente no tiene permiso para enviar a ese destinatario; en ese caso, aparecerá la MailTip de destinatario restringido. Cada mensaje personalizado tiene un límite de 175 caracteres visibles.

Destinatario restringido

Cuando se han configurado restricciones de entrega para un destinatario (por ejemplo, sólo puede recibir de ciertos remitentes o grupos), la MailTip de destinatario restringido informa claramente de que ese usuario o grupo no puede recibir el mensaje y ofrece al remitente la opción de eliminarlo.

En el caso de grupos con anidamiento complejo o grupos dinámicos con límites de remitente, esta MailTip puede no generarse por razones de rendimiento. Además, si el destinatario restringido es externo o incluye externos, se muestra esta sugerencia pero no otras como Respuestas automáticas, Buzón lleno, MailTip personalizada, moderación o tamaño de mensaje.

Destinatarios externos

Esta es clave para evitar fugas de información: cuando el mensaje se dirige a destinatarios fuera de tu organización o a grupos que contienen externos, puede aparecer una MailTip avisando de que el correo saldrá fuera.

De forma predeterminada viene desactivada, pero puedes habilitarla con PowerShell para que tu gente vea claramente cuándo está compartiendo información con terceros. En simulaciones de phishing de Microsoft 365, también se recomienda activarla para entrenar a los usuarios.

Gran audiencia

Si añades un grupo de distribución que supera el umbral de «gran audiencia» (por defecto, más de 25 miembros), Exchange mostrará una MailTip avisando de que el mensaje va a llegar a muchos usuarios. Es una forma sencilla de evitar «responder a todos» masivos o anuncios que deberían ir por otros canales.

El número de miembros se toma de las métricas de grupo, no se recalcula cada vez expandiendo el grupo, lo que reduce el impacto en rendimiento.

Destinatario moderado

Cuando un destinatario está sujeto a moderación (sus mensajes requieren aprobación), el remitente verá una MailTip que indica que el envío puede retrasarse porque debe ser aprobado por un moderador. No se muestra si el remitente es moderador de ese destinatario o tiene permiso explícito para saltarse la moderación.

Responder a todos estando en CCO

Una MailTip muy útil desde el punto de vista de confidencialidad: si recibes un mensaje en copia oculta y, aun así, pulsas Responder a todos, Outlook te avisa de que vas a desvelar que estabas en CCO. Esto evita situaciones comprometidas en cadenas de correo sensibles.

Mensaje demasiado grande

Cuando el tamaño del mensaje (incluidos adjuntos) supera alguna de las restricciones configuradas, Outlook puede mostrar una MailTip advirtiendo de que el correo incumple los límites de tamaño de envío o recepción del remitente, del destinatario o de la organización. Esta verificación no tiene en cuenta límites que se apliquen en conectores.

Limitaciones y comportamiento de MailTips que conviene conocer

Aunque son muy útiles, las MailTips tienen una serie de límites y excepciones que es importante tener en cuenta al diseñar tu estrategia de protección.

En primer lugar, no funcionan en modo sin conexión de Outlook. Si el cliente no puede consultar el servicio de MailTips en el servidor, no se mostrarán sugerencias. Esto afecta sobre todo a usuarios que trabajan desconectados con frecuencia.

Cuando envías a grupos de distribución, Exchange no evalúa las MailTips de cada miembro individual. Sin embargo, sí muestra la de destinatarios externos indicando cuántos miembros del grupo son externos, lo que ya te da una idea del alcance fuera de la organización.

Si el mensaje se dirige a un grupo de distribución dinámica con restricciones de remitente, Exchange puede necesitar expandir varios grupos anidados para evaluar las sugerencias. Por motivos de rendimiento, si ese cálculo supone más de 150 consultas, no se genera MailTip.

También hay un límite en volumen: cuando el mensaje tiene más de 200 destinatarios, no se evalúan MailTips individuales de buzones, nuevamente para proteger el rendimiento del sistema.

En cuanto al contenido, las MailTips personalizadas tienen un máximo de 175 caracteres visibles y Exchange Online sólo mostrará hasta 1000 caracteres de texto en las sugerencias integradas. Además, el sistema añade automáticamente etiquetas HTML básicas (<html><body>…) al texto, y no admite HTML adicional: lo que escribas se trata como texto simple.

Configurar MailTips para destinatarios desde el Centro de administración de Exchange

Para sacarle partido de verdad a MailTips en la protección de información, es fundamental que los administradores configuren sugerencias personalizadas en buzones, contactos y grupos clave. Esto se puede hacer tanto desde el Centro de administración de Exchange (EAC) como desde PowerShell.

Si optas por el EAC, el proceso es bastante directo. Necesitarás contar con permisos adecuados sobre la característica de MailTips en Exchange Online, algo que se suele delegar al equipo de mensajería o seguridad.

Los pasos básicos en el EAC son:

1. Ir a Destinatarios > Buzones (o la pestaña de Recursos o Contactos, según el tipo de destinatario).
2. Seleccionar el objeto (buzón, grupo, contacto) que quieres configurar.
3. Abrir el panel flotante de detalles del destinatario y entrar en la sección Otros > Administrar sugerencia de correo.
4. Escribir el texto de la MailTip, por ejemplo: «Este buzón gestiona datos sensibles, comprueba bien los destinatarios externos antes de enviar».
5. Guardar los cambios para que se apliquen.

Al guardar, Exchange envuelve automáticamente tu texto en HTML básico y lo almacena también en la propiedad MailTipTranslations como valor por defecto. Si más adelante cambias el texto, la traducción predeterminada se actualiza sola.

Configurar MailTips mediante PowerShell y usar traducciones

Para configuraciones masivas o avanzadas, Exchange Online PowerShell es mucho más cómodo y flexible que el EAC. Con un par de comandos puedes aplicar MailTips a muchos destinatarios o añadir traducciones en distintos idiomas.

La sintaxis general para asignar una MailTip a un destinatario es:

Set-<RecipientType> <RecipientIdentity> -MailTip "<texto MailTip>"

Aquí, <RecipientType> puede ser Mailbox, MailUser, MailContact, DistributionGroup o DynamicDistributionGroup, y <RecipientIdentity> es el nombre, alias o correo del destinatario que quieres modificar.

Por ejemplo, si tienes un buzón de soporte llamado «Help Desk» y quieres que todos sepan el tiempo de respuesta aproximado, podrías hacer algo como:

Set-Mailbox "Help Desk" -MailTip "Un miembro de Help Desk responderá en un máximo de 2 horas."

Además, Exchange permite definir traducciones de MailTips en varios idiomas mediante la propiedad MailTipTranslations. Así puedes mantener un texto por defecto y añadir versiones localizadas sin machacar las existentes.

La sintaxis para añadir o quitar traducciones es aproximadamente:

Set-<RecipientType> <RecipientIdentity> -MailTipTranslations @{Add="es:Este buzón no se supervisa.","en:This mailbox is not monitored."; Remove="fr:Cette boîte n’est pas surveillée."}

Cada elemento tiene el formato códigoDeCultura:Texto, donde el código suele ser un identificador de cultura de dos letras (por ejemplo, es, en, fr). Usando el parámetro Add añades nuevas traducciones, y con Remove eliminas las que ya no quieres.

Habilitar y ajustar MailTips a nivel de organización

Además de configurarlas por destinatario, es importante revisar la configuración global de MailTips en la organización. Esto se hace exclusivamente con PowerShell, usando el cmdlet Set-OrganizationConfig.

Las sugerencias de correo vienen activadas por defecto, pero puedes habilitar o deshabilitar todas las MailTips de golpe, así como opciones concretas como las de destinatarios externos o el tamaño de gran audiencia.

Por ejemplo, para asegurarte de que la funcionalidad está encendida en toda la organización usarías algo como:

Set-OrganizationConfig -MailTipsAllTipsEnabled $true

Si te interesa reforzar la concienciación sobre envío a externos, puedes activar específicamente la MailTip de destinatarios externos con un comando similar a:

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

Y del mismo modo, es posible ajustar el umbral de Gran audiencia modificando el parámetro correspondiente en la configuración de organización, de forma que un aviso salte, por ejemplo, a partir de 50 o 100 miembros en lugar de 25.

MailTips y protección avanzada de información: IRM y DLP

Las MailTips son una primera línea de defensa basada en concienciación del usuario, pero no sustituyen a tecnologías de protección de datos como Information Rights Management (IRM) o las políticas de Prevención de Pérdida de Datos (DLP) de Microsoft 365, así como soluciones como Defender for Office 365.

IRM es una tecnología que cifra y aplica restricciones de uso a documentos y correos para evitar que usuarios no autorizados lean, copien, impriman o reenvíen contenido sensible. Está disponible en planes como Microsoft 365 E3 y superiores, y se integra con Exchange Online, SharePoint Online y las aplicaciones de Office.

Entre otras cosas, IRM permite:

• Restringir lectura, copia, modificación e impresión de documentos y correos sensibles.
• Bloquear capturas de pantalla o descargas de ciertos archivos, según la configuración del cliente.
• Aplicar expiración a documentos, impidiendo su uso pasado un plazo.
• Proteger correos para que no puedan reenviarse ni copiarse su contenido fuera de la organización.

En el correo electrónico, los administradores pueden combinar MailTips con IRM y DLP para crear políticas como: cuando el mensaje contiene datos personales o financieros y va a un destinatario externo, mostrar una MailTip de advertencia y además cifrar el correo automáticamente.

La idea es sencilla pero muy poderosa: MailTips avisa al usuario, DLP detecta y clasifica el contenido sensible e IRM aplica la protección técnica. Todo ello reduce al mínimo el riesgo de que la información salga sin control, incluso aunque alguien ignore el aviso.

Buenas prácticas con MailTips en buzones y buzones compartidos

Para que MailTips cumplan su función de evitar envíos indiscriminados y filtrar bien la información, no basta con activar la característica y olvidarse. Conviene acompañarla de algunas buenas prácticas en la gestión de buzones, especialmente los compartidos.

En primer lugar, es fundamental definir bien los permisos de acceso a los buzones compartidos: quién tiene acceso completo, quién puede enviar como, quién sólo puede leer. Menos gente con acceso directo significa menos exposición y menos posibilidades de que alguien envíe algo que no debería.

También es útil establecer convenciones claras para nombres de grupos y buzones que tratan información sensible (por ejemplo, incluyendo «confidencial» o «legal»), y acompañarlo de MailTips personalizadas que recuerden las políticas de la organización.

Además, merece la pena configurar reglas y filtros que clasifiquen automáticamente los mensajes en los buzones compartidos, de forma que los correos sensibles queden en carpetas concretas, con menos riesgo de reenvíos indiscriminados o errores al responder a cadenas largas.

Finalmente, conviene monitorizar y auditar periódicamente la actividad de los buzones más críticos, revisar las MailTips configuradas, hacer una copia de seguridad de tus correos en Outlook, actualizarlas si cambian las políticas internas y asegurarte de que los usuarios entienden qué significan esos avisos y cómo deben actuar cuando los ven.

Combinando estos elementos —MailTips bien configuradas, tecnologías como IRM y DLP y una gestión responsable de buzones y permisos—, las organizaciones pueden reducir drásticamente el riesgo de enviar por error información confidencial y, al mismo tiempo, mejorar la productividad en el uso diario del correo.