Buscar contenido de ayuda

Reglas de correo electrónico

Direcciones

Ayuda en línea de ESET > ESET Cloud Office Security > Navegar por ESET Cloud Office Security > Políticas > Reglas de correo electrónico

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Esta función le permite especificar condiciones y asignar acciones de filtrado de correo electrónico. Puede definir sus reglas personalizadas de verificación del remitente y de prevención de suplantación de identidad con condiciones que incluyen métodos de autenticación como SPF, DKIM, DMARC y ARC. Al crear una política > Reglas >, haga clic en Editar junto a Reglas de correo electrónico para crear una nueva regla o modificar una existente.

1.Si desea crear una nueva regla, haga clic en Crear para abrir un asistente.

2.Seleccione Plantilla para usar una plantilla predefinida o haga clic en Omitir para crear una nueva regla con Nuevo.

3.Escriba un Nombre para la regla (algo que vaya a reconocer) y el nombre se mostrará en la lista de reglas. Si desea preparar la regla y tiene previsto utilizarla más tarde, puede hacer clic en el interruptor junto a Activa para desactivar la regla.

4.Siga el asistente para especificar las condiciones y las acciones. Al hacer clic en Añadir nueva condición, seleccione el origen de la condición en el menú desplegable y configure los valores correspondientes.

5.Defina primero sus condiciones y luego especifique las acciones correspondientes. Puede agregar varias condiciones y acciones a una sola regla. Si lo hace, deben cumplirse todas las condiciones para que se aplique la regla. Todas las condiciones se conectan mediante el operador lógico AND. Aunque se cumplan la mayoría de las condiciones y sea solo una la que no se cumpla, el resultado de la evaluación de las condiciones será que no se cumplen y no se podrá realizar la acción de la regla.

Plantilla

Seleccione Plantilla en el menú desplegable para usar una plantilla predefinida.

Plantilla	Descripción
Agregar banner de remitente externo	Agrega un banner a los correos electrónicos que se originan fuera de su organización para que los usuarios puedan identificar rápidamente los mensajes externos.
Agregar banner de remitente interno	Marca los correos electrónicos de los remitentes internos con un banner para confirmar que el mensaje proviene de su organización, lo que reduce la confusión y genera confianza. Si el SPF está mal configurado o la retransmisión de correo electrónico tiene algún problema, es posible que el banner no aparezca o que las marcas sean incorrectas.
Mostrar los valores de "De" y "Remitente" en el banner	Muestra las cabeceras "De" y "Remitente" en el banner para ofrecer transparencia, lo que ayuda a los usuarios a detectar intentos de suplantación de identidad en los que los atacantes ocultan el remitente real. Algunos sistemas de correo legítimos (como los boletines) utilizan valores diferentes de "Remitente", lo que puede causar confusión.
Alerta sobre homoglifo habitual en la cabecera "De".	Alerta a los usuarios cuando la dirección de "De" contiene caracteres cirílicos o griegos que imitan letras del alfabeto latino, táctica habitual de suplantación. Ayuda a impedir ataques con homoglifos. Los correos electrónicos internacionales legítimos también pueden desencadenar esta advertencia.
Alerta sobre homoglifo habitual en la cabecera "Remitente".	Alerta a los usuarios cuando la dirección de "Remitente" contiene caracteres cirílicos o griegos que imitan letras del alfabeto latino, táctica habitual de suplantación. Ayuda a impedir ataques con homoglifos. Los correos electrónicos internacionales legítimos también pueden desencadenar esta advertencia.
Filtro de palabras clave sospechosas	Marca los correos electrónicos que contienen frases habituales de phishing o estafas, como "Verifique su identidad inmediatamente" o "Ha ganado", muy asociadas a intentos de fraude. Los correos electrónicos de marketing o las alertas legítimas pueden usar lenguaje similar, por lo que se recomienda precaución. Se recomienda crear una lista de palabras clave sospechosas adaptada a las necesidades de cada organización.
Filtro de correos electrónicos promocionales	Identifica los correos electrónicos promocionales detectando vínculos para darse de baja y dominios no empresariales, lo que ayuda a los usuarios a priorizar los mensajes importantes. Algunos correos electrónicos transaccionales (como las facturas) incluyen vínculos para darse de baja y pueden marcarse incorrectamente.
Marcar dominios TLD de alto riesgo	Advierte a los usuarios sobre correos electrónicos de dominios con altas tasas de abuso (por ejemplo, .tk, .ml y .xyz). Estos TLD se usan frecuentemente en el spam y el phishing. Algunos servicios legítimos utilizan estos dominios, por lo que la verificación es importante.
La cabecera Responder a no coincide	Alerta a los usuarios cuando la dirección de Responder a es diferente del remitente, táctica habitual de phishing para redirigir las respuestas. Algunos sistemas de correo utilizan diferentes direcciones de Responder a en la asistencia técnica o los tickets, lo que puede causar falsos positivos.
Mover los correos electrónicos no autenticados a Correo no deseado (fallo de SPF)	Marca los correos electrónicos con fallo o fallo parcial de las verificaciones de SPF, lo que indica una posible suplantación de identidad. SPF valida la autenticidad del remitente. Una mala configuración de los registros SPF o los servicios de reenvío puede causar falsos positivos.
Mover los correos electrónicos no autenticados a Correo no deseado (fallo leve de SPF)	Marca los correos electrónicos con fallo o fallo parcial de las verificaciones de SPF, lo que indica una posible suplantación de identidad. SPF valida la autenticidad del remitente. Una mala configuración de los registros SPF o los servicios de reenvío puede causar falsos positivos.
Alerta sobre correos electrónicos urgentes sin SPF	Advierte a los usuarios cuando un correo electrónico de alta prioridad carece de validación SPF. Los atacantes suelen marcar los correos electrónicos de phishing como urgentes para presionar a los destinatarios. Algunos sistemas legítimos pueden no tener SPF correctamente configurado, por lo que se recomienda realizar una verificación antes de continuar.
Alerta sobre fallos de comprobaciones ARC y DMARC	Marca los correos electrónicos con fallos en las comprobaciones DMARC y ARC, que validan la identidad del remitente y la integridad del mensaje. Impide la suplantación de identidad y la manipulación. Las listas de correo y los correos electrónicos reenviados pueden tener fallos en estas comprobaciones y causar falsos positivos.
Marcar correos electrónicos de PHPMailer	Advierte a los usuarios sobre los correos electrónicos enviados mediante PHPMailer, que los spammers suelen explotar en configuraciones de baja seguridad. Como PHPMailer se suele usar en aplicaciones web legítimas, los destinatarios deben verificar la autenticidad.
Banner de fallo de ARC	Alerta a los usuarios cuando falla la autenticación ARC, lo que indica posible manipulación en el reenvío de mensajes. ARC ayuda a preservar la autenticación en las cadenas de reenvío. Algunos servicios de reenvío de correo electrónico pueden causar fallos de ARC.
Poner en cuarentena los correos electrónicos que tienen archivos adjuntos con macros habilitadas	Alerta a los usuarios cuando un correo electrónico contiene archivos de Office con macros habilitadas, que pueden ejecutar código malicioso. Es un método habitual de distribución de malware. Algunos flujos de trabajo legítimos pueden usar archivos con macros habilitadas, por lo que los administradores deben verificarlos antes de bloquearlos.
Poner en cuarentena los correos electrónicos con archivos adjuntos ejecutables	Bloquea los correos electrónicos que contienen archivos ejecutables, lo que impide infecciones por malware. Los ejecutables son un tipo de archivo de alto riesgo. Casos de uso legítimos raros (como la distribución de software) pueden verse afectados.
Poner en cuarentena los correos electrónicos con archivos adjuntos protegidos por contraseña	Bloquea los correos electrónicos que contienen archivos protegidos por contraseña, que podrían ocultar contenido malicioso. Los atacantes suelen usar cifrado para eludir el análisis. Las transferencias legítimas de archivos seguros también se pueden bloquear.
Poner en cuarentena los correos electrónicos con archivos adjuntos de doble extensión	Bloquea los correos electrónicos que contienen archivos adjuntos con dobles extensiones (por ejemplo, factura.pdf.exe), táctica habitual de malware utilizada para ocultar ejecutables. Convenciones de nombres legítimas raras también pueden desencadenar esta regla.
Impedir la suplantación de dominios internos (fallo de SPAF) Impedir la suplantación de dominios internos (fallo de DKIM) Impedir la suplantación de dominios internos (fallo de DMARC) Impedir la suplantación de dominios internos (cabecera Remitente)	Pone en cuarentena los correos electrónicos que parecen provenir de su dominio, pero no superan las comprobaciones de autenticación, lo que ayuda a impedir ataques internos de suplantación de identidad. Sistemas de retransmisión o registros DNS mal configurados pueden causar falsos positivos.
Bloquear correos electrónicos urgentes con fallo de DKIM	Bloquea los correos electrónicos marcados como "urgentes" que no superan la autenticación DKIM, ya que los atacantes suelen usar la urgencia para presionar a los destinatarios y eludir las comprobaciones de seguridad. Esta regla ayuda a impedir los intentos de ingeniería social. Sin embargo, algunos correos electrónicos urgentes legítimos pueden presentar fallo de DKIM por causa de servidores de correo mal configurados o de reenvío.

Condiciones

Seleccione el origen de la condición en el menú desplegable. Los campos de parámetros cambiarán en función del origen seleccionado. Como alternativa, puede especificar la expresión regular si selecciona el tipo de coincidencia: Coincidencia de RegEx.

Origen de la condición

Descripción

Remitente

Se aplica a los mensajes enviados por un remitente específico.

Dirección IP del remitente

Se aplica a los mensajes enviados desde una dirección IP concreta. Si agrega una nueva dirección como condición, se aceptan tanto IPv4 como IPv6.

Dominio del remitente

Se aplica a los mensajes de un remitente con un dominio específico en la dirección de correo electrónico.

De/De nombre

"De:" valor contenido en los encabezados de mensajes. Esta es el nombre visible para el destinatario, pero no se hace ninguna comprobación que el sistema de envío esté autorizado a enviar mensajes en nombre de esa dirección. Los atacantes suelen utilizarlo cuando suplantan al remitente. Esta condición se usa para comparar los dominios incluidos en el campo del encabezado de correo electrónico “De:” y el remitente del sobre con las listas de dominios.

Asunto

Se aplica a los mensajes que contengan o no una cadena específica (o una expresión regular) en el asunto.

Cuerpo

Se busca la frase específica en el cuerpo del mensaje. Puede utilizar la función Eliminar etiquetas HTML para eliminar atributos, valores y etiquetas HTML, de modo que conserve solo el texto. Luego, se buscará en el cuerpo del texto.

Nombre del archivo adjunto

Se aplica a los mensajes que contienen archivos adjuntos con un nombre concreto. Esto incluye los archivos incluidos en un archivo comprimido.

Evaluar solo para archivos adjuntos de nivel superior: cuando está activado, no se evalúan los archivos que contiene un archivo comprimido.

Usar ruta completa para los objetos dentro del archivo adjunto: cuando está activado, se evalúa la ruta de acceso completa del objeto, no solo el nombre de archivo.

Extensión de archivo adjunto

Se aplica a los mensajes que tengan datos adjuntos que no cumplan con un tamaño específico, que se encuentren dentro de un rango de tamaño específico o que superen un tamaño específico.

Tipo de archivo adjunto

Se aplica a los mensajes que tienen un tipo de archivo concreto adjunto. Los tipos de archivo se clasifican en grupos para facilitar la selección. Puede seleccionar varios tipos de archivo o categorías completas. ESET Cloud Office Security detecta el tipo de archivo real independientemente de su extensión. Lo mismo se aplica al contenido de un archivo comprimido.

Evaluar solo para archivos adjuntos de nivel superior: cuando está activado, no se evalúan los archivos que contiene un archivo comprimido.

La condición de regla de tipo de datos adjuntos tiene una limitación conocida en la que el motor de detección ESET Cloud Office Security no puede detectar archivos de texto extra pequeños de menos de 10 bytes de longitud en la codificación ASCII/ANSI.

Tiempo de recepción

Se aplica a los mensajes recibidos antes o después de una fecha específica o durante un rango de fechas específico.

SPF resultado
resultado de SPF: encabezado De
SPF resultado HELO

Se aplica a los mensajes con el resultado de la evaluación SPF (Sender Policy Framework):

Superado: la dirección IP está autorizada a enviar desde el dominio (calificador de SPF "+").

No superado: el registro de SPF no contiene el servidor o la dirección IP de envío (calificador de SPF "-").

Fallo parcial: la dirección puede estar o no IP autorizada a enviar desde el dominio (calificador de SPF "~").

Neutro: significa que el propietario del dominio indicó en el registro de SPF que no desea afirmar que la dirección IP está autorizada a enviar desde el dominio (calificador de SPF "?")

Desconocido: el resultado de SPF None significa que el dominio no publicó ningún registro o que no se pudo determinar ningún dominio del remitente comprobable a partir de la identidad dada.

Puede leer RFC 4408 si desea más detalles acerca de SPF.

DMARC resultado

Se aplica a los mensajes que aprobaron o reprobaron la verificación de SPF, DKIM o ambas, de manera alternativa si no se conoce.

DKIM

Se aplica a los mensajes que aprobaron o no aprobaron la verificación de DKIM, de manera alternativa si no se conoce.

ARC

Se aplica a los mensajes que aprobaron o no aprobaron la verificación de ARC, de manera alternativa si no se conoce.

Encabezados

Los nombres y valores de los campos del encabezado de correo electrónico se utilizan como condición. Tipo de comparación:

Nombres del encabezado: si coinciden con los nombres del encabezado, la condición se cumple si existe el nombre del encabezado especificado.

Valores del encabezado: si coinciden con los nombres y los valores del encabezado, el tipo de coincidencia solo se usa para los valores del encabezado según el tipo de coincidencia seleccionado. Para cumplir la condición, los nombres del encabezado especificados deben ser una coincidencia exacta (el tipo de coincidencia no afecta a los valores de nombre del encabezado).

Resultado del análisis de malware

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No analizado, Limpio, Infectado, Desactivado.

Resultado del análisis de phishing

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No analizado, Limpio, Phishing, Desactivado.

Resultado del análisis de spam

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No escaneado, Limpio, Spam, Desactivado.

Resultado del análisis

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: Desactivado, Malware, Phishing, Spam, Analizando, Error, Limpio, No analizado.

Acciones

Puede agregar acciones para mensajes y/o datos adjuntos que coincidan con las condiciones de la regla.

Nombre de la acción	Descripción
Mensaje en cuarentena	El mensaje no se entregará al destinatario y se moverá a la cuarentena de correo.
Eliminar mensaje	Elimina un mensaje infectado.
Eliminar archivos adjuntos	Elimina un archivo adjunto de mensaje. El mensaje se entregará al destinatario sin el archivo adjunto.
Omitir análisis	La protección contra malware, phishing y spam no analizará el mensaje.
Notificar al propietario	Defina el asunto y el texto del mensaje que se enviará al destinatario/propietario del correo electrónico para que se le notifique. Todos los parámetros del texto del mensaje deben estar entre llaves, como {ParameterName}.
Notificar a los administradores	Escriba los correos electrónicos de administrador, e indique el asunto y el texto del mensaje que se enviará a los administradores como notificación. Todos los parámetros del texto del mensaje deben estar entre llaves, como {ParameterName}.
Agregar prefijo del sujeto	Agrega un prefijo al asunto.
Evaluar reglas siguientes	Permite la evaluación de otras reglas, habilita al usuario a definir varios grupos de condiciones y varias acciones a seguir, según las condiciones.
Mover a correo no deseado	El mensaje se colocará en la carpeta de correo no deseado del buzón del usuario.
Agregar banner de cuerpo	Se agregará un banner a un mensaje de correo electrónico y se mostrará al destinatario. Puede personalizar el aspecto del banner cuando se incluye en el mensaje.

˄˅