Nuestro avanzado dispositivo de seguridad de correos electrónicos verifica varias veces los mensajes entrantes. Si nuestro dispositivo de seguridad de correos electrónicos ha descartado su correo, significa que ha fallado una de las siguientes verificaciones:
5.1 DNS inverso
La búsqueda DNS inversa determina el anfitrión (host) asociado a una dirección IP determinada. Si un correo electrónico de unaempresa.ue con una dirección IP de origen X.X.X.X llega a nuestra puerta de enlace de seguridad contra el correo electrónico no deseado (antispam), la función de búsqueda DNS inversa verificará si la dirección IP X.X.X.X está realmente asociada al dominio unaempresa.ue. Si este no es el caso, se asume que el correo electrónico ha sido suplantado.
5.2 SPF
El propietario de un dominio (unaempresa.ue) publicará un registro SPF que constará de todos los remitentes autorizados para dicho dominio. Un receptor de correo electrónico puede verificar los registros del remitente para ver si está asociado a dicho dominio, y si los registros SPF especifican que es así, se acepta el correo electrónico.
El registro SPF demostrará que el remitente es un remitente confiable para ese dominio.
Existe una diferencia entre:
- SPF Softfail
v=spf1 ip4:X.X.X.X ~all
~all significa que cualquier servidor que no figure en este registro SPF se debe tratar como “softfail”, es decir, el correo se puede aceptar, pero se debe etiquetar como sospechoso.
-> Protime etiquetará el correo electrónico con una etiqueta [SPF SOFTFAIL]
-> Protime pondrá el correo en la cuarentena de correo basura (SPAM) personal del usuario, de donde podrá sacarlo si así lo desea.
-> Los dominios que reciban una etiqueta [SPF SOFTFAIL] no pueden incluirse en la lista blanca personal.
- SPF Hardfail
El propietario del dominio puede especificar el registro SPF del dominio de la siguiente manera:
v=spf1 ip4:X.X.X.X -all
-all significa que cualquier servidor que no figure en este registro SPF se debe tratar como “hardfail”, es decir, no están autorizados y sus correos electrónicos se deberán desechar.
-> Protime etiquetará el correo electrónico con una etiqueta [SPF FAIL]
-> Protime pondrá el correo en la cuarentena en donde lo podrá analizar el equipo de tecnología de la información.
5.3 DKIM
DKIM (DomainKeys Identified Mail) es un método de autentificación de correo electrónico diseñado para garantizar que los mensajes no se alteren durante su recorrido de los servidores de envío a los servidores de recepción. Utiliza criptografía de clave pública para firmar el correo electrónico con una clave privada cuando sale del servidor remitente. Luego, los servidores de recepción utilizan una clave pública publicada en el DNS de un dominio para verificar el origen del mensaje y que el cuerpo del mensaje no haya cambiado durante su recorrido. Una vez que el servidor de recepción verifica la firma con la clave pública, el mensaje pasa el DKIM y se considera auténtico.
La seguridad de correo marcará los mensajes con el error “DKIM: permfail body hash did not verify [final]” en cada correo enviado por $sender" con una etiqueta [DKIM failed]
Esto se puede deber a varias causas:
>> La clave pública especificada en el encabezado DKIM-Signature no es correcta.
>> La clave pública publicada por el remitente en sus DNS no es correcta.
>> El cuerpo del mensaje ha sido modificado después de salir del servidor de correo.
>> Alguien falsificó el correo electrónico y lo firmó sin tener la clave privada correcta.
>> También es posible que se deba a otras causas
De cualquier manera, los correos electrónicos con el indicador DKIM fallido son “sospechosos” y se ponen en cuarentena. ¡El remitente tendrá que solucionar este problema!
5.4 Antimalware – Análisis de virus
El sistema antimalware combina filtros de reputación web, una primera capa crítica de defensa preventiva contra nuevos brotes, con los mejores motores de veredicto basados en firmas para proporcionar una potente defensa antimalware y totalmente integrada.
Como segunda capa de defensa, el sistema antimalware analiza el contenido web, a medida que se descarga, contra firmas de malware y virus, al eliminar la más amplia gama de amenazas conocidas y emergentes basadas en la web. Una combinación de varios motores antivirus, incluidos Sophos y McAfee, proporciona la máxima seguridad sin poner en peligro la escalabilidad.
5.5 Protección avanzada contra malware (Advanced Malware Protection, AMP)
La AMP analiza correos electrónicos en busca de amenazas ocultas en archivos adjuntos maliciosos. Ofrece protección avanzada contra el phishing selectivo (spear phishing), el ransomware y otros ataques sofisticados.
La AMP utiliza una combinación de reputación y aislamiento de archivos para identificar y detener las amenazas.
- La reputación de archivos captura una huella digital de cada archivo mientras atraviesa la puerta de enlace de seguridad del correo electrónico y la envía a la red de inteligencia basada en la nube de AMP para obtener un veredicto de reputación. Ante estos resultados, los archivos maliciosos se bloquean automáticamente
- El aislamiento de archivos (file sandboxing) permite analizar archivos desconocidos que atraviesan la puerta de seguridad del correo electrónico. Un entorno aislado de alta seguridad permite a AMP recabar datos precisos sobre el comportamiento de un archivo y combinar dichos datos con exhaustivos análisis humanos y mecánicos para determinar el nivel de amenaza del archivo. Luego, esta disposición se introduce en la red de inteligencia basada en la nube de AMP y se utiliza para actualizar y ampliar dinámicamente el conjunto de datos en la nube de AMP para aumentar la protección.
5.6 Filtros de brotes - Filtrado de URL
Los filtros de brotes protegen a nuestra red de brotes de virus a gran escala y de ataques no virales de menor escala, tales como estafas de phishing y distribución de malware, a medida que se producen.
Los patrones de tráfico globales se utilizan para desarrollar reglas que determinen si un mensaje entrante es seguro o forma parte de un brote viral. Los mensajes que pueden formar parte de un brote se ponen en cuarentena hasta que se determine si son seguros según la información actualizada sobre el brote o hasta que Sophos y McAfee publiquen nuevas definiciones antivirus.
Los filtros de brotes analizan el contenido de un mensaje y buscan enlaces URL para detectar este tipo de ataque no viral.
La reputación y categoría de los enlaces en los mensajes, junto con otros algoritmos de identificación de correo basura (spam), para ayudar a identificar el spam. Por ejemplo, si un enlace de un mensaje pertenece a un sitio web de marketing, es más probable que el mensaje sea de marketing.
5.7 Chantaje (SPAM)
Un motor antispam escanea todos nuestros correos entrantes. Este motor tiene una base de reglas muy grande (miles de reglas) para verificar los correos y darles una puntuación global de spam.
Si los correos obtienen una puntuación de entre 50 y 90 recibirán una etiqueta [SUSPECTED SPAM] (spam sospechoso).
Si los correos obtienen una puntuación de entre 90 y 100 recibirán una etiqueta [SPAM].
No podemos verificar por qué la puntuación global es la que es. Tampoco podemos leer la puntuación actual ni obtener información sobre puntuaciones anteriores.
5.8 Correo gris (SOCIAL / MARKETING / MASIVO)
Los mensajes de correo gris son mensajes que no se ajustan a la definición de spam, por ejemplo, boletines informativos, suscripciones a listas de correo, notificaciones de redes sociales, entre otros. Estos mensajes fueron útiles en algún momento, pero posteriormente su valor ha disminuido hasta el punto de que el usuario final ya no quiere recibirlos.
La diferencia entre el correo gris y el correo basura (spam) es que el usuario final proporcionó intencionadamente una dirección de correo electrónico en algún momento (p. ej., el usuario final se suscribió a un boletín en un sitio web de comercio electrónico o proporcionó datos de contacto a una organización durante una conferencia), a diferencia del spam, mensajes que el usuario final no solicitó recibir.
El motor de correo gris clasifica cada correo gris en una de las siguientes categorías:
- Correo electrónico de marketing. Mensajes publicitarios enviados por grupos profesionales de marketing, p. ej., boletines de Amazon.com con detalles sobre sus productos recientemente lanzados.
- Correo electrónico de redes sociales. Mensajes de notificación de redes sociales, sitios web de encuentros, foros, entre otros. Entre los ejemplos se incluyen alertas de: LinkedIn, para ofertas de empleo que le puedan interesar, CNET Forums, cuando un usuario responde a su publicación.
- Correo electrónico masivo. Mensajes publicitarios enviados por grupos de marketing no reconocidos, p. ej., boletines informativos de TechTarget, una empresa de medios tecnológicos.
5.9 Dominio sospechoso
Cuando nuestros colegas reciban constantemente mensajes no deseados “limpios” del mismo dominio, clasificamos el dominio de SOSPECHOSO y pondremos en cuarentena todo el correo de dicho dominio.
Si tiene alguna otra pregunta, póngase en contacto con su asesor de Protime o con nuestro servicio de asistencia.
