Aplicación SpamStop
El correo electrónico es el principal canal utilizado para los ciberataques.
La suplantación de la dirección del remitente puede detectarse mediante la información de autenticación del correo electrónico.
La aplicación «spamstop» de RealSender muestra los resultados de las comprobaciones de autenticidad
directamente en el asunto de los mensajes recibidos.
Es una solución eficaz contra el spam cuando se combina con un filtro
que clasifica los mensajes según los remitentes que NO figuran en tu libreta de direcciones.
Se puede activar para todo el dominio o incluso solo para unas pocas direcciones de correo electrónico.
Características principales:
Comprobación del remitente del correo electrónico basada en SPF
Comprobación del remitente y del sello de correo electrónico basada en DKIM
al menos uno de los dominios debe coincidir con el dominio del remitente
Se han añadido dos etiquetas de SPAM al asunto para señalar el fraude
para recibir en tu bandeja de entrada solo los mensajes de los remitentes que hayas autorizado previamente
para recibir mensajes de correo electrónico únicamente de los remitentes que hayas autorizado previamente
para proteger tus buzones de correo electrónico de remitentes no deseados y archivos adjuntos peligrosos
Secciones de la aplicación SpamStop
1 - Comprobación del SPF
Queremos asegurarnos de que la dirección del remitente no haya sido falsificada*.
* = hacer que el mensaje parezca provenir de alguien distinto del remitente real
La autenticación SPF nos ayuda a determinar si el mensaje se ha enviado a través de un servidor SMTP autorizado.
Esta información se almacena en el DNS del dominio, que es un lugar seguro, ajeno al mensaje de correo electrónico.
Solo si el mensaje NO se ha autenticado correctamente:
se añade el símbolo !! (atención) al asunto,
se inserta una de las siguientes notas explicativas en el encabezado del mensaje, en la línea «X-RealSender»:
:: spf-none :: el dominio del remitente no contiene información para autenticar el correo electrónico
:: spf-softfail :: el servidor SMTP no figura entre los autorizados, pero este caso debe tratarse como un «softfail»
:: spf-fail :: el servidor SMTP no figura entre los autorizados y el correo electrónico debe rechazarse o descartarse
A veces, la información registrada a nivel de dominio no es correcta o no se entiende bien.
:: spf-permerror :: Se ha producido un error permanente (por ejemplo, un registro SPF mal formateado)
La comprobación SPF se realiza con la dirección de correo electrónico «Mail From», que está oculta en los encabezados del correo electrónico.
Solo es visible la dirección de correo electrónico «De». Si sus dominios raíz son diferentes, aparece esta advertencia:
:: spf-diff :: los dominios raíz de «Mail From» y «From» son diferentes
Cuéntame más
2 - Comprobación de DKIM
DKIM (DomainKeys Identified Mail) permite a los remitentes demostrar que el correo electrónico ha sido enviado realmente por ellos y que no ha sido modificado tras su envío.
Para ello, añade una firma digital (sello), vinculada a un nombre de dominio, a cada mensaje de correo electrónico saliente.
Solo si el mensaje NO se ha firmado correctamente:
se añade el símbolo !! (atención) al asunto,
se inserta una de las siguientes notas explicativas en el encabezado del mensaje, en la línea «X-RealSender»:
:: dkim-none :: No se han encontrado encabezados DKIM-Signature (ni válidos ni no válidos)
:: dkim-fail :: Se ha encontrado un encabezado DKIM-Signature válido, pero la firma no contiene un valor correcto para el mensaje
A veces no es posible realizar la comprobación:
:: dkim-invalid :: hay un problema en la propia firma o en el registro de la clave pública. Es decir, no se ha podido procesar la firma
:: dkim-temperror :: se ha detectado algún error que probablemente sea de carácter transitorio, como una imposibilidad temporal de recuperar una clave pública
Cuando el mensaje se ha firmado utilizando un dominio diferente, se añade un aviso de «diferencia»:
Esta advertencia NO aparecerá si el remitente supera la comprobación SPF:
:: dkim-diff :: el mensaje NO ha sido firmado por el dominio del remitente
Cuéntame más
3 - Alineación de DMarc
DMARC (Domain-based Message Authentication, Reporting and Conformance),
es un estándar de autenticación del correo electrónico, desarrollado para combatir el correo electrónico que suplantaba dominios.
En el capítulo «3.1. Alineación de identificadores» se dice:
Las tecnologías de autenticación de correo electrónico verifican diversos (y
dispares) aspectos de un mensaje concreto. Por ejemplo, [DKIM]
autentifica el dominio que ha añadido una firma al mensaje,
mientras que [SPF] puede autentificar bien el dominio que aparece en la
sección RFC5321.MailFrom (MAIL FROM) de [SMTP], bien el dominio RFC5321.EHLO/
HELO, o ambos. Estos pueden ser dominios diferentes y,
por lo general, no son visibles para el usuario final.
DMARC autentica el uso del dominio RFC5322.From exigiendo que
coincida (esté alineado con) un identificador autenticado.
-- https://tools.ietf.org/html/rfc7489#section-3.1
Simplemente significa:
cuando un remitente autentica su correo electrónico mediante SPF o DKIM,
al menos uno de los dominios debe coincidir con el dominio «De» del mensaje
Este enfoque goza de una amplia aceptación y, en general, se considera
una buena práctica para identificar dominios de remitentes de confianza.
**RealSender MX Protect comprueba la alineación «flexible» predeterminada de DMARC:**
-
En el caso de la autenticación SPF
el dominio raíz de la dirección «Mail From» debe coincidir con el dominio raíz de la dirección «From».
La alineación flexible permite utilizar cualquier subdominio y seguir cumpliendo el requisito de alineación de dominios.
-
Para la autenticación DKIM
la raíz del dominio de firma DKIM debe coincidir con el dominio del campo «De».
La alineación flexible permite utilizar cualquier subdominio y seguir cumpliendo el requisito de alineación de dominios.
**Posibles resultados:**
-
se cumplen ambas reglas
el dominio del remitente es totalmente fiable,
el mensaje llega sin modificaciones
-
solo se cumple una de las dos reglas
se añade el símbolo ~ (tilde) al asunto,
se inserta una de las siguientes notas explicativas en el encabezado del mensaje
~ ... asunto ...
X-RealSender: ~ | spf=aprobado (dominio NO alineado) | dkim=aprobado | ~
~ ... asunto ...
X-RealSender: ~ | spf=aprobado | dkim=aprobado (dominio NO alineado) | ~
- No hay alineación alguna
Las advertencias «:: spf-diff ::» y «:: dkim-diff ::»
aparecen en el asunto
Cuéntame más
Cada vez más empresas utilizan DMARC para proteger a sus remitentes contra la suplantación de identidad.
Su uso requiere una autenticación adecuada mediante SPF o DKIM, así como la coincidencia de los dominios «From» y «Mail-From».
For more information:
<dmarc> act on fraudulent email
Los mensajes de remitentes con el registro _dmarc,
si NO están autenticados, se resaltan con dos etiquetas [ SPAM ] en el asunto:
[ SPAM ] ... asunto del mensaje ... [ SPAM ]
Los mensajes que no incluyen el registro _dmarc, cuando fallan tanto la autenticación SPF como la DKIM,
se notifican con la etiqueta [sospechoso] en el asunto:
[sospechoso] ... asunto del mensaje ...
Solicita una prueba gratuita
filtro de remitentes del lado del cliente
La aplicación «spamstop» de RealSender es una eficaz solución antispam
cuando se combina con un filtro que clasifica los mensajes
en función de los remitentes que NO figuran en tu libreta de direcciones.
La mayoría de los clientes de correo electrónico modernos ofrecen esta función.
A continuación se muestran algunos ejemplos de configuración:
En la configuración de Outlook, activa la opción: «Confiar en el correo electrónico de mis contactos».
En Thunderbird, crea un filtro con la regla «El remitente no está en mi libreta de direcciones».
Subsecciones del filtro de remitentes del lado del cliente
Microsoft 365 Outlook
A continuación se muestra la pantalla «Configuración» de Outlook.
En «Correo no deseado», marca la casilla «Confiar en el correo de mis contactos».
Pulsa [Guardar] para guardar los cambios.
Solicita una prueba gratuita
Mozilla Thunderbird
A continuación se muestra una captura de pantalla de la herramienta «Filtro de mensajes» de Thunderbird.
Añade condiciones con la opción «Coincidir con TODAS las siguientes»:
- El remitente no figura en mi libreta de direcciones, Libreta de direcciones personal
- El remitente no figura en mi libreta de direcciones, Direcciones guardadas
Realiza estas acciones:
Mueve el mensaje a: Spam.
Solicita una prueba gratuita
filtro de remitentes del lado del servidor
No todos los clientes de correo electrónico ofrecen funciones avanzadas para filtrar los mensajes.
En estos casos, es posible actuar desde el origen.
La función «Remitentes autorizados» te permite recibir mensajes
solo de los remitentes que hayas autorizado previamente
(también puedes especificar todo el dominio, por ejemplo, @example.com):
Todos los mensajes normales llegarán como de costumbre a tu bandeja de entrada.
Todos los mensajes de spam se enviarán a una bandeja de entrada diferente:
o a la carpeta de correo no deseado de Microsoft 365 Exchange del usuario.
No se perderá ningún correo electrónico.
Puedes consultar el buzón de mensajes descartados una o varias veces al día.
Ahorrarás mucho tiempo valioso.
Solicita una prueba gratuita
Subsecciones del filtro de remitentes del lado del servidor
Microsoft 365 Exchange
Esta configuración permite desviar correctamente el correo
procedente de remitentes no autorizados a la carpeta de correo no deseado del usuario
Los mensajes filtrados por la aplicación SpamStop llegarán a
con los siguientes encabezados y valores antispam:
Informe de X-Forefront-Antispam: SFV:SKB
(mensaje marcado como spam por el filtro antispam
debido a que la dirección de correo electrónico del remitente o el dominio de correo electrónico
NO figuran en la lista de remitentes autorizados)
Se debe activar la siguiente acción:
Establecer el nivel de confianza de spam (SCL) de estos mensajes en 6 (spam)
El valor predeterminado del parámetro SCLJunkThreshold es 4, lo que significa
que un SCL de 5 o superior debería enviar el mensaje a la carpeta de correo no deseado del usuario.
-
En el Centro de administración de Exchange (EAC), ve a Flujo de correo > Reglas.
-
En la página «Reglas», selecciona «Añadir» > «Crear una nueva regla» en la lista desplegable.
-
En la página «Nueva regla» que se abre, configura los siguientes ajustes:
Nombre: SpamStop
Aplica esta regla si: el encabezado del mensaje «X-Forefront-Antispam-Report-Untrusted»
coincide con: «SFV:SKB»
Haz lo siguiente:
Modifica las propiedades del mensaje
Establece el nivel de confianza de spam «SCL» en: «6»
Guarda y activa la regla.
Solicita una prueba gratuita
configuración de seguridad
Aportan una capa adicional de seguridad a tus correos electrónicos.
Para proteger tus buzones de correo electrónico
de remitentes falsos y archivos adjuntos peligrosos.
Opciones de seguridad que se activan previa solicitud:
para recibir correos electrónicos únicamente de remitentes que hayan superado los controles de autenticación
para eliminar todos los archivos adjuntos potencialmente dañinos de los correos electrónicos
Subsecciones de la configuración de seguridad
solo remitentes autenticados
Esto resulta útil cuando solo quieres recibir mensajes de remitentes verificados.
Todos los correos electrónicos que no superan las comprobaciones se eliminan o se devuelven.
Debes asegurarte de que la dirección de correo electrónico del remitente no haya sido falsificada.
Este control se puede llevar a cabo combinando la autenticación SPF y DKIM.
El SPF confirma la dirección del remitente y su relación con el servidor que envió el mensaje.
El DKIM garantiza que los mensajes de correo electrónico (incluidos los archivos adjuntos) no se modifiquen
una vez que han sido «firmados» durante el envío.
En teoría es así de sencillo, pero en la práctica tanto el SPF como el DKIM pueden hacer referencia
a un dominio distinto al de la dirección de correo electrónico del remitente.
Comprobamos que la autenticación SPF y la firma DKIM correspondan al dominio de la dirección del remitente.
De este modo, solo el remitente original puede autenticar el correo electrónico. Esto garantiza su origen.
Solicita una prueba gratuita
eliminar archivos adjuntos peligrosos
La opción «Eliminar archivos adjuntos peligrosos» bloquea todos los archivos adjuntos potencialmente dañinos
,salvo algunas extensiones seguras como pdf, txt, gif, jpg y png.
El destinatario recibe el mensaje sin el archivo adjunto.
Se añade una advertencia al principio del contenido, de la siguiente manera:
ADVERTENCIA: Este correo electrónico infringía la política de seguridad de correo electrónico de su empresa y
ha sido modificado. Para obtener más información, póngase en contacto con su administrador de TI.
Se ha eliminado de este documento un archivo adjunto denominado «example.zip», ya que
suponía un riesgo para la seguridad. Si necesita este documento, póngase en contacto
con el remitente y acuerde otra forma de recibirlo.
Hay un interesante estudio de caso publicado en Internet que termina con esta frase:
«Para nosotros, el filtrado de archivos adjuntos ha sido todo un éxito»
– web.mit.edu/net-security/Camp/2004/presentations/reillyb-mit2004.ppt (presentación en PowerPoint)
Solicita una prueba gratuita