El Botón de reporte de phishing para Outlook On-Premise permite a los usuarios reportar correos sospechosos directamente desde Outlook en entornos corporativos que no utilizan Exchange Online ni Azure AD.
Cuando un usuario reporta un correo, el sistema envía la información a Whalemate para su análisis o la reenvía al correo configurado por la organización.
Permitir que los usuarios reporten correos sospechosos directamente desde Outlook.
Centralizar los reportes de phishing dentro del programa de concientización.
Facilitar el análisis de incidentes por parte del equipo de seguridad.
Integrar el reporte de phishing con herramientas internas como SOC o SIEM.
Medir el comportamiento de reporte en campañas de phishing.
El diseño del complemento se basa en una arquitectura simple cliente–servidor, sin dependencias de servicios cloud de Microsoft.
Componentes principales
Outlook Add-in (Cliente)
Backend Whalemate (Servidor)
No existen componentes intermedios ni servicios de terceros.
Tipo: Office Add-in (MailApp)
UI: Task Pane
Tecnología: Office.js
Ejecución: Cliente Outlook (On-Premise)
El add-in se activa mediante una acción manual del usuario (“Report Phishing”) sobre un correo seleccionado.
El complemento puede acceder únicamente a la información expuesta por Office.context.mailbox.item, incluyendo:
Dirección de correo del remitente
Dominio del remitente
Dirección de correo del usuario que reporta
Fecha y hora del reporte
Fecha y hora de envío del correo sospechoso
Cuerpo del correo (HTML y texto plano)
Links contenidos en el cuerpo del correo
Debido al contexto On-Premise:
❌ No hay acceso a headers completos del email
❌ No hay acceso a attachments en binario
❌ No hay Microsoft Graph
❌ No hay Azure AD / MSAL
❌ No se generan tokens JWT de identidad fuerte
Estas restricciones impiden, por ejemplo, correlacionar el reporte con campañas previas basadas en headers personalizados.
Endpoint de recepción
POST https://back.whalemate.com/api/public/reported-email-microsoft-webhookResponsabilidades del backend
Al recibir un reporte, el backend:
Registra el evento de reporte.
Almacena la información del correo reportado.
Muestra el reporte en la interfaz SIEM de Whalemate.
Reenvía la información a los correos configurados por la organización si así se requiere
Flujo lógico del reporte:
El usuario selecciona un correo sospechoso en Outlook.
Presiona el botón Report Phishing.
El add-in:
Obtiene el item seleccionado.
Extrae metadatos y contenido permitido.
Envía el payload al backend de Whalemate vía HTTPS.
El backend procesa y registra el reporte.
El usuario recibe feedback visual de éxito o error.
[Usuario]
|
v
[Outlook On-Prem]
|
| Office Add-in (Office.js)
v
[Botón Report Phishing]
|
| HTTPS POST
v
[Backend Whalemate]
|
+--> SOC / UI
+--> Reenvío a correos configurados
Plataforma / Cliente | Add-in On-Premise | Add-in con MSAL (M365) |
|---|---|---|
Outlook Windows 2010 o anterior | ❌ No compatible | ❌ No compatible |
Outlook 2013 (SP1) | ✅ Compatible | ❌ No compatible |
Outlook 2016 | ✅ Compatible | ✅ Compatible |
Outlook 2019 | ✅ Compatible | ✅ Compatible |
Outlook 2021 | ✅ Compatible | ✅ Compatible |
Outlook Microsoft 365 (Windows) | ✅ Compatible | ✅ Compatible |
Outlook en la Web (OWA) | ✅ Compatible | ✅ Compatible |
Outlook Mac (Office 2016+) | ❌ No compatible | ✅ Compatible |
Windows Mail / Correo Windows 10–11 | ❌ No compatible | ❌ No compatible |
Apple Mail / Clientes POP–IMAP genéricos | ❌ No compatible | ❌ No compatible |
Requerimientos del cliente
Outlook con soporte Office Add-ins (Office.js)
Permitir instalación de add-ins personalizados
Conectividad HTTPS saliente hacia el backend de Whalemate
Requerimientos del backend
Endpoint HTTPS accesible públicamente
Soporte para recepción de payloads JSON
Almacenamiento seguro de la información reportada
El add-in no ejecuta código nativo en el cliente.
No persiste información localmente.
La comunicación se realiza exclusivamente por HTTPS.
No se utilizan credenciales Microsoft ni tokens de autenticación.
El acceso a datos está limitado al correo seleccionado por el usuario.
‼️Este complemento fue diseñado específicamente para entornos On-Premise, priorizando simplicidad, compatibilidad y seguridad, dentro de las limitaciones técnicas impuestas por el modelo de extensibilidad de Outlook en dichos entornos.
¿Qué información se envía cuando un usuario reporta un correo?
En la implementación Outlook On-Premise, el reporte incluye los siguientes datos del correo:
Dirección de correo del remitente
Dominio del remitente
Dirección de correo del usuario que reporta
Fecha y hora del reporte
Fecha y hora de envío del correo sospechoso
Cuerpo del correo (HTML y raw)
Links presentes en el correo
Debido a las limitaciones del entorno on-premise, no se incluyen headers completos ni attachments, ya que estas APIs no están disponibles sin Microsoft Graph.
¿Los reportes siempre se vinculan con una campaña de phishing?
No necesariamente. En la versión On-Premise, el add-in no tiene acceso a los headers del correo.
Esto impide identificar el campaign_id que Whalemate inserta en el header X-Mailgun-Tag, que es el mecanismo utilizado para vincular un reporte con una campaña específica.
Por este motivo:
El evento de reporte del usuario puede registrarse correctamente.
Pero no siempre puede asociarse automáticamente a una campaña, por lo que puede no reflejarse como “Reportado” en las analíticas de esa campaña.
Esto es una limitación propia del modo On-Premise sin Microsoft Graph.
¿El botón puede eliminar el correo reportado del inbox del usuario?
No. En la implementación On-Premise, el add-in no tiene acceso a Microsoft Graph ni a APIs de Exchange, por lo que no puede ejecutar acciones sobre el mailbox del usuario, como:
eliminar correos
mover correos a spam
aplicar acciones remotas sobre el mensaje
Por esta razón, el borrado físico del correo desde el SIEM no está disponible en la versión On-Premise.
Esta funcionalidad requiere integración con Microsoft Graph o Exchange Online.