SPF y DKIM
El marco de directiva del remitente (SPF) y el correo identificado con clave de dominio (DKIM) son métodos de validación que comprueban que los mensajes de correo electrónico entrantes de dominios específicos estén autorizados por el propietario de ese dominio. Esto ayuda a proteger a los destinatarios de recibir mensajes de correo electrónico falsificado. ESET Mail Security usa también la evaluación Autenticación, informes y conformidad de mensajes basados en dominio (DMARC) para mejorar a SPF y DKIM aún más.
SPF
Una comprobación SPF verifica que un remitente legítimo haya enviado un correo electrónico. Se realiza una búsqueda de DNS para los registros del SPF del dominio del remitente para obtener una lista de direcciones IP. Si alguna de las direcciones IP de los registros del SPF coincide con la dirección IP real del remitente, el resultado de la comprobación del SPF es Aprobado. Si la dirección IP real del remitente no coincide, el resultado es Error. Sin embargo, no todos los dominios tienen registros del SPF especificados en DNS. Si no existen registros del SPF en DNS, el resultado es No disponible. En ocasiones, se podría exceder el tiempo de espera de la solicitud DNS; en ese caso, el resultado también es No disponible.
DKIM
Las organización lo usan para evitar la suplantación de mensajes de correo electrónico al agregar una firma digital a los mensajes salientes según el estándar DKIM. Esto implica usar una clave de dominio privado para cifrar los encabezados de correo saliente del dominio y agregar una versión pública de la clave a los registros DNS del dominio. ESET Mail Security puede luego recuperar la clave pública para descifrar encabezados entrantes y verificar que los mensajes realmente provienen de su dominio y que sus encabezados no han sufrido cambios en el camino.
Exchange Server 2010 y sus versiones anteriores no son totalmente compatibles con DKIM, porque los encabezados incluidos en los mensajes entrantes firmados digitalmente pueden ser modificados durante la validación de DKIM. |
DMARC
DMARC se basa en los mecanismos SPF y DKIM existentes. Puede usar reglas de protección de transporte de correo para evaluar los resultados de DMARC y aplicar la acción de políticas DMARC.
ARC
El protocolo de cadena de recepción autenticada (ARC) proporciona una "cadena de custodia" autenticada para un mensaje, lo que permite a cada entidad que controla el mensaje ver qué entidades lo controlaron antes y cuál fue la evaluación de autenticación del mensaje en cada paso. ARC aborda el desafío de los servidores de correo intermediarios que rompen los métodos de autenticación tradicionales como SPF o DKIM modificando el mensaje de correo electrónico.
ARC permite a los controladores de correo de Internet adjuntar aserciones de evaluación de autenticación de mensajes a mensajes individuales. A medida que los mensajes atraviesan los controladores de correo de Internet con ARC activado, se pueden adjuntar aserciones de ARC adicionales a los mensajes para formar conjuntos ordenados de aserciones de ARC que representan la evaluación de autenticación en cada paso de las rutas de acceso de control de mensajes.
Los controladores de correo de Internet con ARC activado pueden procesar conjuntos de aserciones de ARC para influir en las decisiones de disposición de mensajes, identificar los controladores de correo de Internet que podrían romper los mecanismos de autenticación existentes y transmitir evaluaciones de autenticación originales a través de los límites de confianza.
Consulte Casos de uso de la ARC para obtener más información sobre los casos de uso de ARC y control de mensajes que aborda.
Aceptar firma ARC
La función ARC está activada de forma predeterminada. La protección antispam ESET Mail Security evalúa los encabezados ARC como parte de reglas definidas para SPF, DKIM y DMARC y solo en los siguientes casos:
•El resultado de SPF es FAIL, SOFTFAIL
•El resultado de DKIM es FAIL
•El resultado de DMARC es FAIL
Sellador ARC de confianza
Solo se aceptan firmas ARC de selladores de confianza. La lista de selladores de confianza predeterminados es la siguiente: google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.
Detectar servidores DNS automáticamente
La detección automática usa la configuración del adaptador de red.
Dirección IP del servidor DNS
Si desea usar servidores DNS específicos para el SPF y DKIM, ingrese la dirección IP (en formato IPv4 o IPv6) del servidor DNS que desea usar.
Tiempo de espera de la consulta de DNS (en segundos)
Especifique un tiempo de espera para la respuesta DNS.
Rechazar mensajes automáticamente si falla la verificación de SPF
Si el resultado de la comprobación del SPF sea incorrecta al comienzo, se puede rechazar el mensaje de correo electrónico antes de la descarga.
La verificación SPF se realiza en la capa SMTP. Sin embargo, puede rechazarse automáticamente en la capa SMTP o durante la evaluación de reglas. Los mensajes rechazados no se pueden registrar en el Registro de eventos cuando se usa el rechazo automático en la capa SMTP. Esto se debe a que el registro se realiza por acción de regla y el rechazo automático se realiza directamente en la capa SMTP, que sucede antes de la evaluación de la regla. Dado que los mensajes serán rechazados antes de que se evalúen las reglas, no hay información para registrar en el momento de la evaluación de la regla. Puede registrar mensajes rechazados, pero solo si rechaza los mensajes por una acción de regla. Para rechazar los mensajes que no superaron el SPF, compruebe y registre dichos mensajes rechazados, deshabilite Rechazar automáticamente los mensajes si falla la verificación de SPF y cree la siguiente regla para la Protección de transporte de correo: Condición •Tipo: Resultado de SPF •Operación: es •Parámetro: Error Acciones •Tipo: Rechazar mensaje •Tipo: Registrar eventos |
Usar el dominio Helo en la evaluación de SPF
Esta característica usa el dominio HELO para la evaluación de SPF. Si no se especifica el dominio HELO, se usa el nombre de host del equipo.
Usar From: encabezado si MAIL FROM está vacío
El encabezado MAIL FROM puede estar vacío y también se puede falsificar fácilmente. Cuando esta opción está habilitada y MAIL FROM está vacío, se descarga el mensaje y, en cambio, se utiliza el encabezado From:.
Omitir automáticamente la lista gris si la verificación de SPF es correcta
No existe motivo para usar la lista gris para los mensajes que aprobaron la comprobación del SPF.
Respuesta de rechazo de SMTP
Puede especificar un Código de respuesta, un Código de estado y un Mensaje de respuesta, que defina la respuesta de rechazo temporal del SMTP enviada al servidor del SMTP si se rechaza un mensaje. Puede ingresar un mensaje de respuesta con el siguiente formato:
Código de respuesta |
Código de estado |
Mensaje de respuesta |
---|---|---|
550 |
5.7.1 |
Comprobación del SPF incorrecta |