Protección contra la suplantación de identidad del remitente
La suplantación de remitentes de correo electrónico es habitual cuando un atacante falsifica el nombre o la dirección de correo electrónico del remitente para engañar al destinatario. Para el destinatario del correo electrónico, este tipo de correo electrónico de suplantación no puede distinguirse de uno auténtico, lo que supone un riesgo. Un tipo de suplantación de remitente se llama fraude CEO (el atacante suplanta al CEO).
Los empleados no cuestionarían los correos electrónicos de este tipo, lo que permitiría que el atacante tuviera éxito. Esto no es exclusivo del CEO. La suplantación de remitentes a menudo suplanta a cualquier remitente real, generalmente alguien de Active Directory de su organización. En tal sentido, un mensaje de correo electrónico suplantado parece muy convincente para un destinatario que no sospecha, lo que le permite ganar fácilmente confianza.
ESET Mail Security le proporciona protección contra la suplantación de remitentes de correo electrónico. La protección contra la suplantación de remitente verifica si la información del remitente es válida utilizando varios métodos.
La protección contra la suplantación de remitente busca el dominio contenido en el campo del encabezado del correo electrónico «Desde:» y el remitente del sobre y, a continuación, compara el dominio encontrado con las listas de dominio. Si el dominio Diferencia, el mensaje se considera válido (no suplantado) y otras capas de protección de ESET Mail Security lo procesan. Sin embargo, si el dominio coincide con un dominio de la lista, podría estar suplantado y requerir una verificación posterior.
En función de la configuración, se realiza una verificación posterior: una comprobación de SPF, la dirección IP del sobre se comprueba con las listas de IP o el mensaje se considera automáticamente como suplantado. Si se aprueba el resultado de la comprobación de SPF o la IP del sobre coincide con una IP de la lista, el mensaje será válido. De no ser así, está suplantado. Se inicia una acción con el mensaje suplantado.
Puede utilizar la protección contra la suplantación de remitente de dos maneras:
•Active Protección contra suplantación de remitente, configure sus ajustes y, si lo desea, especifique dominios y listas de IP. La acción predeterminada con los mensajes de correo electrónico suplantados es Poner mensaje en cuarentena. Para cambiar la acción que se está haciendo, vaya a la configuración avanzada de Protección del transporte de correo.
•Usar reglas de protección del transporte de correo electrónico: resultado SPF del remitente del encabezado o Remitente del sobre envolvente y de la condición del resultado de la comparación del encabezado De con la acción que elija. Las reglas le ofrecen más opciones y combinaciones si desea lograr un comportamiento específico en relación con los mensajes de correo electrónico suplantados.
Cuando se utiliza la Protección contra la suplantación de identidad del remitente o se especifica el tipo de acción de una regla Registrar en eventos, todos los mensajes evaluados por la Protección contra la suplantación de identidad del remitente se registran en los Archivos de registro. Del mismo modo, puede encontrar mensajes de correo electrónico suplantados en Cuarentena de correo cuando se configura una acción como Mensaje en cuarentena en Protección del transporte de correo o se define en reglas.
Activar protección contra la suplantación de identidad del remitente
Active la protección contra la suplantación de remitente para evitar ataques de correo electrónico que intenten engañar a los destinatarios sobre el origen del mensaje (remitente suplantado).
Activar correos electrónicos entrantes con mi propio dominio en la dirección del remitente
Permita que se verifiquen los mensajes que contengan su propio dominio en el encabezado de correo electrónico "From:" o en el remitente del sobre (por lo que se sospecha que está siendo suplantado):
•Solo cuando pasan la verificación de SPF: se basa en que SPF esté habiltado. Si se aprueba el resultado de SPF, el mensaje se considera válido y se procesa para su entrega. Si el resultado de SPF falla, el mensaje se considera suplantado (tiene lugar una acción). De manera opciona, puede habilitar Rechazar mensajes automáticamente si falla la verificación de SPF.
•Solo cuando la IP está en la lista de IP de infraestructura: compara la dirección IP del sobre con las listas de IP (una lista de sus propias direcciones IP y la lista de IP ignoradas marcadas como Es parte de la infraestructura interna). Si la IP coincide, el mensaje es válido y se procesa para su entrega. Si la IP no coincide, el mensaje se considera suplantado y se realiza una acción.
•Nunca: si un mensaje entrante contiene su propio dominio en el encabezado de correo electrónico o en el remitente del sobre, se considerará automáticamente como suplantado sin verificarlo. Se inicia una acción con el mensaje; consulte Protección del transporte de correo para conocer las opciones de acción.
Cargar mis propios dominios automáticamente desde la lista de dominios aceptados
Se recomienda encarecidamente activar esta opción para mantener el máximo nivel de protección. De esta forma, la protección contra la suplantación del remitente que tiene lugar durante la evaluación tiene en cuenta los dominios y las direcciones IP de su infraestructura.
Lista de mis propios dominios
Estos dominios se consideran propios. Agregue los dominios que se utilizarán durante la evaluación, además de los dominios cargados automáticamente desde Active Directory. Los dominios del remitente se compararán con los dominios de estas listas. Si el dominio no coincide, el mensaje es válido. Si el dominio coincide, se realiza una verificación posterior de acuerdo con la opción Activar correo electrónico entrante con mi propio dominio en la dirección del remitente.
Lista de mis propias direcciones IP
Direcciones IP que se consideran creíbles. Agregue las direcciones IP que se utilizarán durante la evaluación, además de las direcciones IP de la lista de IP ignoradas marcadas como Es parte de la infraestructura interna. La dirección IP del sobre del remitente se compara con las direcciones IP de estas listas. Si la dirección IP del sobre coincide, el mensaje será válido. Si la IP no coincide, el mensaje se considera suplantado y se realiza una acción.