Ayuda en línea de ESET

Búsqueda Español (España)
Seleccione el tema

Protección contra la suplantación de remitente

La suplantación de remitentes de correo electrónico es una práctica habitual cuando un atacante falsifica el nombre o la dirección de correo electrónico del remitente para intentar engañar al destinatario. Para el destinatario del mensaje de correo electrónico, este tipo de correo electrónico no se puede distinguir de un mensaje de correo electrónico original, lo que supone un riesgo. Un tipo de falsificación de remitente se llama fraude de CEO (el atacante suplanta al director general de la empresa).

Los empleados no cuestionan un mensaje de correo electrónico que tenga esta procedencia, lo que permite que el atacante tenga éxito. Este mensaje no solo se limita al puesto de director general; la suplantación de remitentes suele suplantar a cualquier remitente real, normalmente normalmente una persona dentro del Active Directory de su organización. Un mensaje de correo electrónico suplantado tiene la apariencia de ser muy convincente para un destinatario que tiene poca sospechas de su remitente, lo que lleva a conseguir la confianza del destinatario rápidamente.

ESET Mail Security le ofrece protección frente a este tipo de amenaza. La protección contra la suplantación de remitente verifica si la información del remitente es válida utilizando varios métodos.

La protección contra la suplantación de remitente busca el dominio contenido en el campo "From:" del encabezado del correo electrónico y el remitente del sobre y, a continuación, coteja el dominio encontrado con las listas de dominio. Si el dominio es diferente, el mensaje se considera válido (no suplantado) y otras capas de protección de ESET Mail Security lo procesan. Sin embargo, si el dominio coincide con un dominio de la lista, puede estar suplantado y requiere una verificación posterior.

En función de la configuración, se realiza una verificación posterior. En la comprobación de SPF, la dirección IP del sobre se coteja con las listas de IP o el mensaje se considera automáticamente suplantado. Si se supera el resultado de la comprobación de SPF o la IP del sobre coincide con una IP de la lista, el mensaje es válido. De lo contrario, está suplantado. Se realiza una acción en el mensaje suplantado.

Puede utilizar la protección contra la suplantación de remitente de dos maneras:

Activar la Protección contra la suplantación de remitente, configurar sus ajustes y, si lo desea, especificar dominios y listas de IP. La acción predeterminada con los mensajes de correo electrónico suplantados es Mensaje en cuarentena. Para cambiar la acción que se realiza, vaya a la configuración avanzada de Protección del correo electrónico.

Utilizar reglas de protección del correo electrónico, utilizando la condición Resultado de SPF: encabezado De o la condición Resultado de la comparación entre el remitente del sobre y el encabezado De con la acción que elija. Las reglas le ofrecen más opciones y combinaciones si desea lograr un comportamiento específico en relación con los mensajes de correo electrónico suplantados.

Cuando se utiliza la protección contra la suplantación de remitente o se especifica un tipo de acción de regla, Registrar en sucesos, todos los mensajes evaluados por la Protección contra la suplantación de remitente se registran en los archivos de registro. Del mismo modo, puede encontrar mensajes de correo electrónico suplantados en Cuarentena de correo electrónico cuando se establece una acción en Mensaje en cuarentena en Protección del correo electrónico o se define en las reglas.

Activar protección contra la suplantación de remitente

Active la protección contra la suplantación de remitente para evitar ataques de correo electrónico que intenten engañar a los destinatarios sobre el origen del mensaje (remitente suplantado).

Activar correos electrónicos entrantes con mi propio dominio en la dirección del remitente

Permita que se verifiquen posteriormente los mensajes que contengan su propio dominio en el encabezado de correo electrónico "From:" o en el remitente del sobre (por lo que se sospecha que está siendo suplantado):

Solo cuando superan la comprobación de SPF: depende de que SPF esté activado. Si se supera el resultado de SPF, el mensaje se considera válido y se procesa para su entrega. Si el resultado de SPF falla, el mensaje está suplantado (y se realiza la acción). También puede activar la opción Rechazar los mensajes automáticamente si la comprobación de SPF falla.

Solo cuando la IP está en la lista de IP de infraestructura: compara la dirección IP del sobre con las listas de IP (lista de mis propias direcciones IP y la lista de IP ignoradas marcada como Es parte de la infraestructura interna). Si la IP coincide, el mensaje es válido y se procesa para su entrega. Si la IP no coincide, el mensaje está suplantado (y se realiza la acción).

Nunca: si un mensaje entrante contiene su propio dominio en el encabezado de correo electrónico "From:" o en el remitente del sobre, se considerará automáticamente como suplantado sin verificación posterior. Se realiza una acción con el mensaje; consulte Protección del correo electrónico ver las opciones de acción.

Cargar mis propios dominios automáticamente desde la lista de dominios aceptados

Se recomienda encarecidamente activar esta opción para mantener el máximo nivel de protección. De esta forma, se tienen en cuenta los dominios y las direcciones IP de su infraestructura durante la evaluación realizada por la protección contra la suplantación de remitente.

Lista de mis propios dominios

Dominios que se consideran suyos. Agregue los dominios que se utilizarán durante la evaluación, además de los dominios cargados automáticamente desde Active Directory. Los dominios del remitente se compararán con los dominios de estas listas. Si el dominio no coincide, el mensaje es válido. Si el dominio coincide, se realiza una verificación posterior de acuerdo con el ajuste Activar correos electrónicos entrantes con mi propio dominio en la dirección del remitente.

Lista de mis propias direcciones IP

Direcciones IP que se consideran creíbles. Agregue las direcciones IP que se utilizarán durante la evaluación, además de las direcciones IP de la Lista de IP ignoradas ignoradas marcadas como Forma parte de la infraestructura interna. La dirección IP del sobre del remitente se compara con las direcciones IP de estas listas. Si la dirección IP del sobre coincide, el mensaje es válido. Si la IP no coincide, el mensaje está suplantado y se realiza una acción.