Buscar contenido de ayuda

Reglas de correo electrónico

Direcciones

Ayuda en línea de ESET > ESET Cloud Office Security > Navegar por ESET Cloud Office Security > Políticas > Reglas de correo electrónico

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Esta función le permite especificar condiciones y asignar acciones de correo electrónico filtradas. Puede definir sus reglas personalizadas de verificación del remitente y de prevención de suplantación con condiciones que contengan métodos de autenticación (SPF, DKIM, DMARC y ARC). Al crear una política > Reglas >, haga clic en Editar junto a Reglas de correo electrónico para crear una nueva regla o modificar una existente.

1.Si desea crear una nueva regla, haga clic en Crear para abrir un asistente.

2.Elige la plantilla predefinida o haz clic en Saltar y crea nueva regla.

3.Escriba un Nombre para la regla (algo que vaya a reconocer) y el nombre se mostrará en la lista de reglas. Si desea preparar la regla y tiene previsto utilizarla más tarde, puede hacer clic en el interruptor junto a Activa para desactivar la regla.

4.Siga el asistente para especificar las condiciones y las acciones. Al hacer clic en Añadir nueva condición, seleccione el origen de la condición en el menú desplegable y configure los valores correspondientes.

5.Defina primero sus condiciones y luego especifique las acciones correspondientes. Puede agregar varias condiciones y acciones a una sola regla. Si lo hace, deben cumplirse todas las condiciones para que se aplique la regla. Todas las condiciones se conectan mediante el operador lógico AND. Aunque se cumplan la mayoría de las condiciones y sea solo una la que no se cumpla, el resultado de la evaluación de las condiciones será que no se cumplen y no se podrá realizar la acción de la regla.

Plantilla

Selecciona la plantilla predefinida en el menú desplegable.

Plantilla	Descripción
Añadir banner de remitente externo	Añade un banner a los correos electrónicos que se originan fuera de tu organización para que los usuarios puedan identificar rápidamente los mensajes externos.
Añadir banner interno del remitente	Marca los correos electrónicos de los remitentes internos con un banner confirmando que el mensaje proviene de tu organización para reducir la confusión y generar confianza. Problemas mal configurados con SPF o relés pueden impedir que aparezca el banner o causar una señalización incorrecta.
Mostrar los valores "De" y "Remitente" en el banner	Muestra tanto los encabezados "From" como "Sender" en el banner para mayor transparencia, ayudando a los usuarios a detectar intentos de suplantación donde los atacantes ocultan al remitente real. Algunos sistemas de correo legítimos (por ejemplo, boletines) utilizan valores diferentes de "Remitente", lo que podría causar confusión.
Alerta sobre el carácter homoglifo común en la cabecera "From".	Avisa a los usuarios cuando la dirección "De" contiene caracteres cirílicos o griegos que imitan letras latinas, lo cual es una táctica común de suplantación. Esto ayuda a prevenir ataques de homoglifos. Los correos electrónicos internacionales legítimos también pueden activar esta advertencia.
Alerta sobre el carácter homoglifo común en la cabecera "Sender".	Alerta a los usuarios cuando la dirección "Remitente" contiene caracteres cirílicos o griegos que imitan letras latinas, lo cual es una táctica común de suplantación. Esto ayuda a prevenir ataques de homoglifos. Los correos electrónicos internacionales legítimos también pueden activar esta advertencia.
Filtro de palabras clave sospechosas	Señala correos electrónicos que contienen frases comunes de phishing o estafa como "Verifica tu identidad inmediatamente" o "Has ganado", que están fuertemente asociadas con intentos de fraude. Los correos electrónicos de marketing o las alertas legítimas pueden usar ocasionalmente un lenguaje similar, por lo que se recomienda precaución. Se recomienda crear una lista de palabras clave sospechosas adaptada a las necesidades de tu organización.
Filtrar correos promocionales	Identifica los correos promocionales detectando enlaces de baja y dominios no empresariales, ayudando a los usuarios a priorizar mensajes importantes. Algunos correos transaccionales (por ejemplo, facturas) incluyen enlaces de baja y pueden estar marcados incorrectamente.
Marcar dominios TLD de alto riesgo	Advierte a los usuarios sobre correos electrónicos de dominios con altas tasas de abuso (por ejemplo, .tk, .ml, .xyz). Estos TLD se usan frecuentemente para spam y phishing. Algunos servicios legítimos utilizan estos dominios, por lo que la verificación es importante.
Incompatibilidad de cabezas en Respondimiento a	Alerta a los usuarios cuando la dirección de Respuesta-A difiere de la del remitente, una táctica común de phishing para redirigir respuestas. Algunos sistemas de correo utilizan diferentes direcciones de respuesta para soporte o ticketing, lo que puede causar falsos positivos.
Mover correos no autenticados a correo no deseado (fallo en SPF)	Señala los correos que fallan o fallan parcialmente en las comprobaciones SPF, indicando posible suplantación. El SPF valida la autenticidad del emisor. Registros SPF mal configurados o servicios de reenvío pueden causar falsos positivos.
Mover correos no autenticados a correo no deseado (fallo suave de SPF)	Señala los correos que fallan o fallan parcialmente en las comprobaciones SPF, indicando posible suplantación. El SPF valida la autenticidad del emisor. Registros SPF mal configurados o servicios de reenvío pueden causar falsos positivos.
Alerta en correos urgentes sin SPF	Avisa a los usuarios cuando un correo electrónico de alta prioridad carece de validación SPF. Los atacantes suelen marcar los correos electrónicos de phishing como urgentes para presionar a los destinatarios. Algunos sistemas legítimos pueden no configurar correctamente el SPF, por lo que se recomienda verificar antes de continuar.
Alerta por fallos en comprobaciones ARC y DMARC	Marca los correos electrónicos que fallan en las comprobaciones DMARC y ARC, que validan la identidad del remitente y la integridad del mensaje. Esto evita suplantaciones y manipulaciones. Los correos electrónicos o listas de correo reenviados pueden fallar estas comprobaciones, causando falsos positivos.
Marcar correos PHP en el correo	Advierte a los usuarios sobre los correos electrónicos enviados por correo PHP, que a menudo son explotados por spammers en configuraciones de baja seguridad. Aunque el correo PHP se usa comúnmente en aplicaciones web legítimas, los destinatarios deben verificar su autenticidad.
Banner de fallo ARC	Avisa a los usuarios cuando falla la autenticación ARC, indicando posible manipulación en el reenvío de mensajes. ARC ayuda a preservar la autenticación mediante cadenas de reenvío. Algunos servicios de reenvío de correos electrónicos pueden causar fallos en el ARC.
Correos de cuarentena con archivos adjuntos habilitados por macros	Alerta a los usuarios cuando un correo electrónico contiene archivos Office habilitados para macros, que pueden ejecutar código malicioso. Este es un método común de entrega de malware. Algunos flujos de trabajo legítimos pueden usar archivos habilitados para macros, por lo que los administradores deben verificar antes de bloquear.
Correos de cuarentena con archivos adjuntos ejecutables	Bloquea correos electrónicos que contienen archivos ejecutables para prevenir infecciones de malware. Los ejecutables son un tipo de archivo de alto riesgo. Casos de uso legítimos raros (por ejemplo, distribución de software) pueden verse afectados.
Correos electrónicos de cuarentena con archivos adjuntos protegidos por contraseña	Bloquea correos electrónicos que contienen archivos protegidos con contraseña que podrían ocultar contenido malicioso. Los atacantes suelen usar cifrado para eludir el escaneo. Las transferencias legítimas de archivos seguros también pueden ser bloqueadas.
Correos electrónicos de cuarentena con adjuntos de doble extensión	Bloquea correos electrónicos que contienen archivos adjuntos con doble extensión (por ejemplo, invoice.pdf.exe), que es una táctica común de malware utilizada para disfrazar ejecutables. Convenciones de nombres legítimas y poco comunes también pueden activar esta regla.
Prevenir la suplantación interna del dominio (fallo SPAF) Prevenir la suplantación interna de dominio (fallo DKIM) Prevenir la suplantación interna de dominio (fallo DMARC) Prevenir la suplantación interna de dominio (cabecera del remitente)	Pone en cuarentena los correos electrónicos que parecen provenir de tu dominio pero no superan las comprobaciones de autenticación, ayudando a prevenir ataques internos de suplantación. Registros DNS o sistemas de retransmisión mal configurados pueden causar falsos positivos.
Bloquear correos urgentes con fallo en DKIM	Bloquea los correos electrónicos marcados como "urgentes" que no superan la autenticación DKIM, ya que los atacantes suelen usar urgencia para presionar a los destinatarios y saltarse las comprobaciones de seguridad. Esta norma ayuda a prevenir intentos de ingeniería social. Sin embargo, algunos correos urgentes legítimos pueden fallar en DKIM debido a reenvíos o a servidores de correo mal configurados.

Condiciones

Seleccione el origen de la condición en el menú desplegable. Los campos de parámetros cambiarán en función del origen seleccionado. Como alternativa, puede especificar la expresión regular si selecciona el tipo de coincidencia: Coincidencia de RegEx.

Origen de la condición

Descripción

Remitente

Se aplica a los mensajes enviados por un remitente específico.

Dirección IP del remitente

Se aplica a los mensajes enviados desde una dirección IP concreta. Si agrega una nueva dirección como condición, se aceptan tanto IPv4 como IPv6.

Dominio del remitente

Se aplica a los mensajes de un remitente con un dominio específico en la dirección de correo electrónico.

De/De nombre

"De:" valor contenido en los encabezados de mensajes. Esta es el nombre visible para el destinatario, pero no se hace ninguna comprobación que el sistema de envío esté autorizado a enviar mensajes en nombre de esa dirección. Los atacantes suelen utilizarlo cuando suplantan al remitente. Esta condición se usa para comparar los dominios incluidos en el campo del encabezado de correo electrónico “De:” y el remitente del sobre con las listas de dominios.

Asunto

Se aplica a los mensajes que contengan o no una cadena específica (o una expresión regular) en el asunto.

Cuerpo

Se busca la frase específica en el cuerpo del mensaje. Puede utilizar la función Eliminar etiquetas HTML para eliminar atributos, valores y etiquetas HTML, de modo que conserve solo el texto. Luego, se buscará en el cuerpo del texto.

Nombre del archivo adjunto

Se aplica a los mensajes que contienen archivos adjuntos con un nombre concreto. Esto incluye los archivos incluidos en un archivo comprimido.

Evaluar solo para archivos adjuntos de nivel superior: cuando está activado, no se evalúan los archivos que contiene un archivo comprimido.

Usar ruta completa para los objetos dentro del archivo adjunto: cuando está activado, se evalúa la ruta de acceso completa del objeto, no solo el nombre de archivo.

Extensión de archivo adjunto

Se aplica a los mensajes que tengan datos adjuntos que no cumplan con un tamaño específico, que se encuentren dentro de un rango de tamaño específico o que superen un tamaño específico.

Tipo de archivo adjunto

Se aplica a los mensajes que tienen un tipo de archivo concreto adjunto. Los tipos de archivo se clasifican en grupos para facilitar la selección. Puede seleccionar varios tipos de archivo o categorías completas. ESET Cloud Office Security detecta el tipo de archivo real independientemente de su extensión. Lo mismo se aplica al contenido de un archivo comprimido.

Evaluar solo para archivos adjuntos de nivel superior: cuando está activado, no se evalúan los archivos que contiene un archivo comprimido.

La condición de regla de tipo de datos adjuntos tiene una limitación conocida en la que el motor de detección ESET Cloud Office Security no puede detectar archivos de texto extra pequeños de menos de 10 bytes de longitud en la codificación ASCII/ANSI.

Tiempo de recepción

Se aplica a los mensajes recibidos antes o después de una fecha específica o durante un rango de fechas específico.

SPF resultado
resultado de SPF: encabezado De
SPF resultado HELO

Se aplica a los mensajes con el resultado de la evaluación SPF (Sender Policy Framework):

Superado: la dirección IP está autorizada a enviar desde el dominio (calificador de SPF "+").

No superado: el registro de SPF no contiene el servidor o la dirección IP de envío (calificador de SPF "-").

Fallo parcial: la dirección puede estar o no IP autorizada a enviar desde el dominio (calificador de SPF "~").

Neutro: significa que el propietario del dominio indicó en el registro de SPF que no desea afirmar que la dirección IP está autorizada a enviar desde el dominio (calificador de SPF "?")

Desconocido: el resultado de SPF None significa que el dominio no publicó ningún registro o que no se pudo determinar ningún dominio del remitente comprobable a partir de la identidad dada.

Puede leer RFC 4408 si desea más detalles acerca de SPF.

DMARC resultado

Se aplica a los mensajes que aprobaron o reprobaron la verificación de SPF, DKIM o ambas, de manera alternativa si no se conoce.

DKIM

Se aplica a los mensajes que aprobaron o no aprobaron la verificación de DKIM, de manera alternativa si no se conoce.

ARC

Se aplica a los mensajes que aprobaron o no aprobaron la verificación de ARC, de manera alternativa si no se conoce.

Encabezados

Los nombres y valores de los campos del encabezado de correo electrónico se utilizan como condición. Tipo de comparación:

Nombres del encabezado: si coinciden con los nombres del encabezado, la condición se cumple si existe el nombre del encabezado especificado.

Valores del encabezado: si coinciden con los nombres y los valores del encabezado, el tipo de coincidencia solo se usa para los valores del encabezado según el tipo de coincidencia seleccionado. Para cumplir la condición, los nombres del encabezado especificados deben ser una coincidencia exacta (el tipo de coincidencia no afecta a los valores de nombre del encabezado).

Resultado del análisis de malware

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No analizado, Limpio, Infectado, Desactivado.

Resultado del análisis de phishing

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No analizado, Limpio, Phishing, Desactivado.

Resultado del análisis de spam

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: No escaneado, Limpio, Spam, Desactivado.

Resultado del análisis

Elija en el menú desplegable a qué mensajes se aplicará la regla. Opción: Desactivado, Malware, Phishing, Spam, Analizando, Error, Limpio, No analizado.

Acciones

Puede agregar acciones para mensajes y/o datos adjuntos que coincidan con las condiciones de la regla.

Nombre de la acción	Descripción
Mensaje en cuarentena	El mensaje no se entregará al destinatario y se moverá a la cuarentena de correo.
Eliminar mensaje	Elimina un mensaje infectado.
Eliminar archivos adjuntos	Elimina un archivo adjunto de mensaje. El mensaje se entregará al destinatario sin el archivo adjunto.
Omitir análisis	La protección contra malware, phishing y spam no analizará el mensaje.
Notificar al propietario	Defina el asunto y el texto del mensaje que se enviará al destinatario/propietario del correo electrónico para que se le notifique. Todos los parámetros del texto del mensaje deben estar entre llaves, como {ParameterName}.
Notificar a los administradores	Escriba los correos electrónicos de administrador, e indique el asunto y el texto del mensaje que se enviará a los administradores como notificación. Todos los parámetros del texto del mensaje deben estar entre llaves, como {ParameterName}.
Agregar prefijo del sujeto	Agrega un prefijo al asunto.
Evaluar reglas siguientes	Permite la evaluación de otras reglas, habilita al usuario a definir varios grupos de condiciones y varias acciones a seguir, según las condiciones.
Mover a correo no deseado	El mensaje se colocará en la carpeta de correo no deseado del buzón del usuario.
Agregar banner de cuerpo	Se agregará un banner a un mensaje de correo electrónico y se mostrará al destinatario. Puede personalizar el aspecto del banner cuando se incluye en el mensaje.

˄˅