Buscar contenido de ayuda

ESET Cloud Office Security – Tabla de contenido

Reglas de correo electrónico

Migas de pan

Ayuda en línea de ESET > ESET Cloud Office Security > Navegue por el ESET Cloud Office Security > Políticas > Reglas de correo electrónico

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Con esta característica, puede especificar las condiciones y asignar las acciones del correo electrónico filtrado. Puede definir las reglas personalizadas de verificación del remitente y contra la suplantación de identidad con condiciones que contengan métodos de autenticación, como SPF, DKIM, DMARC y ARC. Al crear una política > Reglas >, haga clic en Editar junto a Reglas de correo electrónico para crear una nueva regla o modificar una existente.

1.Para crear una nueva regla, haga clic en Crear para abrir un asistente.

2.Elija una plantilla predefinida o haga clic en Omitir y cree la Nueva regla.

3.Escriba un nombre para la regla (algo que reconocerá) y el nombre se mostrará en la lista de reglas. Si desea preparar la regla que planea usar más tarde, puede hacer clic en el botón de alternancia junto a Activa y desactivar la regla.

4.Siga el asistente para especificar las condiciones y las acciones. Cuando haga clic en Agregar nueva condición, seleccione la condición Origen en el menú desplegable y configure los valores adecuados.

5.Defina primero sus condiciones y, luego, especifique las acciones correspondientes. Puede agregar varias condiciones y acciones a una sola regla. Si lo hace, deben cumplirse todas las condiciones para aplicar la regla. Todas las condiciones se conectan mediante el operador lógico AND [Y]. Incluso si se cumple con la mayoría de las condiciones a excepción de una, el resultado de la evaluación de condiciones no se cumple y no se puede adoptar la acción de la regla.

Plantilla

Seleccione la plantilla previamente definida en el menú desplegable.

Plantilla	Descripción
Agregar el banner del remitente externo	Agrega un banner a los correos electrónicos que se originan fuera de su organización para que los usuarios puedan identificar rápidamente los mensajes externos.
Agregar el banner del remitente interno	Marca los correos electrónicos de los remitentes internos con un banner en el que se confirma que el mensaje proviene de su organización para reducir la confusión y generar confianza. Los problemas de SPF mal configurado o relés pueden impedir que aparezca el banner o causar una indicación incorrecta.
Mostrar los valores "De" y "Remitente" en el banner	Muestra tanto los encabezados "De" como "Remitente" en el banner para ofrecer mayor transparencia, lo que ayuda a los usuarios a detectar intentos de suplantación en los que los atacantes ocultan al remitente real. Algunos sistemas de correo legítimos (por ejemplo, boletines) usan valores diferentes de "Remitente", lo que podría causar confusión.
Alerta sobre el carácter homoglifo común en el encabezado "De".	Alerta a los usuarios cuando la dirección "De" contiene caracteres cirílicos o griegos que imitan letras latinas, lo cual es una táctica común de suplantación. De esta forma, se evitan los ataques de homoglifos. Es posible que los correos electrónicos internacionales legítimos también activen esta advertencia.
Alerta sobre el carácter homoglifo común en el encabezado "Remitente".	Alerta a los usuarios cuando la dirección "Remitente" contiene caracteres cirílicos o griegos que imitan letras latinas, lo cual es una táctica común de suplantación. De esta forma, se evitan los ataques de homoglifos. Es posible que los correos electrónicos internacionales legítimos también activen esta advertencia.
Filtro de palabras clave sospechosas	Señala correos electrónicos que contienen frases comunes de phishing o fraude como "Verifique su identidad inmediatamente" o "Ha ganado", que están muy asociadas con intentos de fraude. Los correos electrónicos de marketing o las alertas legítimas pueden usar en ocasiones un lenguaje similar, por lo que se recomienda precaución. Se recomienda para crear una lista de palabras clave sospechosas adaptada a las necesidades de su organización.
Filtro de correos electrónicos promocionales	Identifica los correos electrónicos promocionales y detecta enlaces de baja y dominios no empresariales, lo que ayuda a los usuarios a priorizar los mensajes importantes. Algunos correos electrónicos transaccionales (por ejemplo, facturas) incluyen enlaces de baja de suscripción y pueden marcarse de forma incorrecta.
Marcar dominios TLD de alto riesgo	Advierte a los usuarios sobre correos electrónicos de dominios con altas tasas de abuso (por ejemplo, .tk, .ml, .xyz). Estos TLD se usan con frecuencia para spam y phishing. Algunos servicios legítimos usan estos dominios, por lo que es importante verificar.
Incompatibilidad de encabezados de Responder a	Alerta a los usuarios cuando la dirección de Responder a difiere de la del remitente, una táctica común de phishing para redirigir respuestas. Algunos sistemas de correo usan diferentes direcciones de Responder a para soporte o elaboración de tickets, lo que puede causar falsos positivos.
Mover correos electrónicos no autenticados a correo no deseado (fallo en SPF)	Marca los correos electrónicos que fallan por completo o de forma parcial en las comprobaciones SPF, lo que indica una posible suplantación. El marco SPF valida la autenticidad del emisor. Los registros SPF mal configurados o los servicios de reenvío pueden causar falsos positivos.
Mover correos electrónicos no autenticados a correo no deseado (fallo leve de SPF)	Marca los correos electrónicos que fallan por completo o de forma parcial en las comprobaciones SPF, lo que indica una posible suplantación. El marco SPF valida la autenticidad del emisor. Los registros SPF mal configurados o los servicios de reenvío pueden causar falsos positivos.
Alerta sobre correos electrónicos urgentes sin SPF	Avisa a los usuarios cuando un correo electrónico de alta prioridad carece de validación SPF. Los atacantes suelen marcar los correos electrónicos de phishing como urgentes para presionar a los destinatarios. Es posible que, en algunos sistemas legítimos, el marco SPF no esté definido correctamente, por lo que se recomienda verificar antes de continuar.
Alerta sobre fallos en comprobaciones ARC y DMARC	Marca los correos electrónicos que fallan en las comprobaciones DMARC y ARC, que validan la identidad del remitente y la integridad del mensaje. Esto evita las suplantaciones y manipulaciones. Los correos electrónicos o listas de correo reenviados pueden fallar en estas comprobaciones, lo que causa falsos positivos.
Marcar correos electrónicos de PHP Mailer	Advierte a los usuarios sobre los correos electrónicos enviados por PHP Mailer, que a menudo explotan los spammers en configuraciones de baja seguridad. Aunque PHP Mailer se usa en general en aplicaciones web legítimas, los destinatarios deben verificar su autenticidad.
Banner de fallo de ARC	Avisa a los usuarios cuando falla la autenticación de ARC, lo que indica una posible manipulación durante el reenvío de mensajes. Con ARC, es posible preservar la autenticación mediante cadenas de reenvío. Algunos servicios de reenvío de correos electrónicos pueden causar fallos en ARC.
Correos electrónicos en cuarentena con archivos adjuntos habilitados por macros	Alerta a los usuarios cuando un correo electrónico contiene archivos de Office habilitados para macros, que pueden ejecutar código malicioso. Este es un método común de envío de malware. Algunos flujos de trabajo legítimos pueden usar archivos habilitados para macros, por lo que los administradores deben verificar antes de bloquearlos.
Correos electrónicos en cuarentena con archivos adjuntos ejecutables	Bloquea los correos electrónicos que contienen archivos ejecutables para evitar las infecciones de malware. Los ejecutables son un tipo de archivo de alto riesgo. Es posible que los casos de uso legítimos y poco comunes (por ejemplo, distribución de software) resulten afectados.
Correos electrónicos en cuarentena con archivos adjuntos protegidos por contraseña	Bloquea los correos electrónicos que contienen archivos protegidos con contraseña que podrían ocultar contenido malicioso. Los atacantes suelen usar cifrado para eludir la exploración. Las transferencias legítimas de archivos seguros también pueden bloquearse.
Correos electrónicos en cuarentena con archivos adjuntos de doble extensión	Bloquea los correos electrónicos que contienen archivos adjuntos con doble extensión (por ejemplo, invoice.pdf.exe), que es una táctica común de malware que se usa para disfrazar archivos ejecutables. Las convenciones de nombres legítimas y poco comunes también pueden activar esta regla.
Prevenir la suplantación interna de dominios (fallo de SPAF) Prevenir la suplantación interna de dominios (fallo de DKIM) Prevenir la suplantación interna de dominios (fallo de DMARC) Prevenir la suplantación interna de dominios (encabezado del remitente)	Pone en cuarentena los correos electrónicos que parecen provenir de su dominio, pero que no aprueban las comprobaciones de autenticación, lo que ayuda a evitar ataques internos de suplantación. Los registros DNS o sistemas de retransmisión mal configurados pueden causar falsos positivos.
Bloquear correos electrónicos urgentes con fallo de DKIM	Bloquea los correos electrónicos marcados como "urgentes" que no aprueban la autenticación DKIM, ya que los atacantes suelen usar la urgencia para presionar a los destinatarios y omitir las comprobaciones de seguridad. Con esta regla, se evitan los intentos de ingeniería social. Sin embargo, es posible que algunos correos electrónicos urgentes legítimos presenten fallos de DKIM debido a reenvíos o a servidores de correo mal configurados.

Condiciones

Seleccione la condición Origen en el menú desplegable. Los campos de parámetros cambiarán en función del origen seleccionado. De forma alternativa, puede especificar la expresión regular si selecciona Tipo de coincidencia: Coincidencia de regex.

Origen de la condición

Descripción

Remitente

Se aplica a los mensajes enviados por un remitente específico.

Dirección IP del remitente

Se aplica a los mensajes enviados desde una dirección IP específica. Si agrega una nueva dirección como condición, se aceptan tanto IPv4 como IPv6.

Dominio del remitente

Se aplica a los mensajes de un remitente con un dominio específico en la dirección de correo electrónico.

De/Nombre del remitente

"De:" valor contenido en los encabezados del mensaje. Esta es el nombre visible para el destinatario, pero no se hace ninguna comprobación que el sistema de envío esté autorizado a enviar mensajes en nombre de esa dirección. Comúnmente lo usan los atacantes cuando suplantan al remitente. Esta condición se usa para comparar los dominios incluidos en el campo "De" del encabezado de correo electrónico y del remitente del sobre con las listas de dominios.

Asunto

Se aplica a los mensajes que contengan o no una cadena específica (o una expresión regular) en el asunto.

Cuerpo

Se busca la frase específica en el cuerpo del mensaje. Puede usar la característica de etiquetas Strip HTML para quitar las etiquetas, los atributos y los valores de HTML, y conservar el texto solamente. Luego, se buscará en el cuerpo del texto.

Nombre del archivo adjunto

Se aplica a los mensajes que contienen datos adjuntos con un nombre específico. Esto incluye los archivos incluidos en un archivo.

Evaluar solo para datos adjuntos de nivel superior: cuando está activo, no se evaluarán los archivos dentro de un archivo.

Usar ruta completa para objetos dentro de datos adjuntos: cuando está activo, se evaluará la ruta completa del objeto, no solo el nombre de archivo.

Extensión del archivo adjunto

Se aplica a los mensajes que tengan datos adjuntos que no cumplan con un tamaño específico, que se encuentren dentro de un rango de tamaño específico o que superen un tamaño específico.

Tipo de datos adjuntos

Se aplica a los mensajes que tienen un tipo de archivo específico adjunto. Los tipos de archivo se clasifican en grupos para facilitar la selección. Puede seleccionar varios tipos de archivos o categorías completas. ESET Cloud Office Security detecta el tipo de archivo real sin importar la extensión. Lo mismo se aplica al contenido de un archivo.

Evaluar solo para datos adjuntos de nivel superior: cuando está activo, no se evaluarán los archivos dentro de un archivo.

La condición de regla de tipo de datos adjuntos tiene una limitación conocida en la que el motor de detección ESET Cloud Office Security no puede detectar archivos de texto extra pequeños de menos de 10 bytes de longitud en la codificación ASCII/ANSI.

Tiempo de recepción

Se aplica a los mensajes recibidos antes o después de una fecha específica o durante un rango de fechas específico.

SPF resultado
resultado de SPF: encabezado De
SPF resultado HELO

Se aplica a los mensajes con el resultado de la evaluación SPF (marco de directivas de remitente):

Aprobado: la dirección IP se encuentra autorizada para enviar desde el dominio (calificador SPF "+").

Reprobado: el registro SPF no contiene el servidor de envío o la dirección IP (calificador SPF "-").

Falla de software: la dirección IP puede estar autorizada o no para enviar desde el dominio (calificador SPF "~").

Neutro: significa que el propietario del dominio indicó en el registro SPF que no quiere que la dirección IP esté autorizada para enviar desde el dominio (calificador SPF "?").

Desconocido: el resultado de SPF de None significa que el dominio no publicó registros o que no pudo determinarse ningún dominio del remitente verificable para la identidad específica.

Lea RFC 4408 para obtener más información sobre SPF.

DMARC resultado

Se aplica a los mensajes que aprobaron o reprobaron la verificación de SPF, DKIM o ambas, de manera alternativa si se desconoce.

DKIM

Se aplica a los mensajes que aprobaron o reprobaron la verificación de DKIM, de manera alternativa si se desconoce.

ARC

Se aplica a los mensajes que aprobaron o reprobaron la verificación de ARC, de manera alternativa si se desconoce.

Encabezados

Los nombres y valores de los campos de encabezado de los mensajes de correo electrónico se usan como condición. Tipo de comparación:

Nombres de encabezado: nombres de encabezado que coinciden, la condición se cumple si existe el nombre de encabezado especificado.

Valores de encabezado: nombres y valores de encabezado que coinciden, el tipo de coincidencia solo se usa para los valores de encabezado de acuerdo con el tipo de coincidencia seleccionado. Para cumplir la condición, los nombres de encabezado especificados deben ser una coincidencia exacta (el tipo de coincidencia no afecta los valores de nombre de encabezado).

Resultado de la exploración de malware

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No explorado, Limpio, Infectado, Desactivado.

Resultado de la exploración de phishing

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No explorado, Limpio, Phishing, Desactivado.

Resultado de la exploración de spam

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No explorado, Limpio, Spam, Desactivado.

Explorar resultado

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: Desactivado, Malware, Phishing, Spam, Análisis, Error, Limpiar, No explorado.

Acciones

Puede agregar acciones para mensajes y/o datos adjuntos que coincidan con las condiciones de la regla.

Nombre de la acción	Descripción
Mensaje en cuarentena	El mensaje no se entregará al destinatario y se moverá a la cuarentena de correo.
Eliminar mensaje	Elimina el mensaje infectado.
Eliminar adjuntos	Elimina un archivo adjunto de mensaje. El mensaje se entregará al destinatario sin los datos adjuntos.
Saltar exploración	El mensaje no se explorará con la protección contra malware, phishing y spam.
Notificar al propietario	Defina el asunto y el texto del mensaje que se enviará al destinatario o propietario del correo electrónico como notificación. Todos los parámetros del texto del mensaje deben estar entre llaves, por ejemplo, {ParameterName}.
Notificar a los administradores	Ingrese los correos electrónicos del administrador, defina el asunto y el texto del mensaje que se enviará a los administradores como notificación. Todos los parámetros del texto del mensaje deben estar entre llaves, por ejemplo, {ParameterName}.
Añadir el prefijo del asunto	Agrega un prefijo a un asunto.
Evaluar las siguientes reglas	Permite la evaluación de otras reglas, habilita al usuario a definir varios grupos de condiciones y varias acciones a seguir, según las condiciones.
Mover a correo no deseado	El mensaje se colocará en la carpeta de correo no deseado o spam del buzón del usuario.
Agregar banner del cuerpo	Se agregará un banner a un mensaje de correo electrónico y se le mostrará al destinatario. Puede personalizar la apariencia del banner cuando este se incluye en el mensaje.

˄˅