Implementación del control de suplantación de correo electrónico (EIC)
INFO4511
Last Updated April 18, 2019
Contenido
- Introducción
- Configuración de EIC
- Elaboración de informes de EIC
- Configuración sugerida para el primer uso
- Necesito más control
Introducción
El servicio Control de suplantación de correo electrónico ayuda a proteger su organización contra estafas al CEO, estafas por correo electrónico empresarial y mensajes de correo electrónico de spear phishing. El servicio Control de suplantación de correo electrónico (EIC) comprueba todo el correo electrónico entrante de su organización para detectar suplantación de dominios y de nombres de usuario, conocida comúnmente como falsificación. EIC comprueba la legitimidad de todo el correo electrónico entrante que parezca ser enviado desde los dominios o los usuarios de la organización.
Se puede acceder a la página Configuración de Control de suplantación de correo electrónico desde el portal en Panel de información > Servicios > Servicios de correo electrónico > Configuración de Control de suplantación de correo electrónico.
NOTA: EIC se concentra en el CUERPO DE o en 5322.From:. Symantec recomienda implementar la detección de remitentes falsificados e implementar los registros SPF de Symantec para abordar la falsificación en el remitente del sobre o en 5321.MailFrom. No hay ninguna conexión entre EIC y SPF en el portal ni en el proceso de análisis. La aprobación de una fuente en EIC no significa que está exenta de SPF o DMARC. Para aprobar una fuente y que se la omita en SPF y DMARC, debe aprobarla en la lista Remitentes aprobados que se encuentra en Antispam.
Configuración de EIC
Expanda la sección Configuración predeterminada: Concéntrese en Acción.
Para comenzar, seleccione una acción para habilitar EIC. Seleccione una opción entre registrar, etiquetar la línea de asunto, poner en cuarentena, reenviar al administrador o bloquear y eliminar los correos electrónicos marcados como EIC. Cuando se activa EIC por primera vez, es recomendable usar la opción para registrar o etiquetar el correo. Cuando confíe en que el control funciona como lo esperado, use una acción más segura. Actualmente, la acción se comparte entre el control de dominio y usuario. Una vez que comprueba que el control funciona tal como lo esperado, podrá realizar una acción diferente, si lo desea.
Más adelante en el artículo, se proporciona información sobre los remitentes aprobados. Para seleccionar con qué modos trabajar, active las siguientes opciones en Configuración de control de dominio o en Configuración de control de usuario , respectivamente.
Expanda la sección Configuración de control de dominio.
Inmediatamente después de habilitar el Control de suplantación de dominio, agregue todos los dominios proporcionados por la organización marcando la casilla de selección “Todos los dominios proporcionados”. Estas opciones aparecen como “Sus dominios y subdominios”. Además, debe escribir manualmente o pegar los dominios en el cuadro de texto “Dominios que proteger”. Una vez que se guardan los cambios, EIC comprueba la información del remitente en los correos electrónicos entrantes para proteger los dominios seleccionados.
Expanda la sección Configuración de control de usuario.
El objetivo del Control de suplantación de usuario es proteger a los individuos de una organización con un perfil más alto. Es más probable que este tipo de personas sean el objetivo de estafas por correo electrónico empresarial. Después de habilitar el Control de suplantación de usuario, puede seleccionar uno o más grupos de LDAP para que se sincronicen con el portal (ClientNet). Use la herramienta de sincronización que se encuentra en Herramientas > Descargas. EIC se asegura de que los nombres que se muestran en los grupos de LDAP se verifiquen con la información del remitente en el correo electrónico entrante. Alternativamente, se pueden escribir o pegar los nombres de usuario individuales a la lista Nombres de usuario protegidos.
En cualquier caso, se recomienda agregar los grupos o los nombres de los empleados ejecutivos o públicamente conocidos de la organización. La lista Nombres de usuario protegidos acepta uno, dos o tres nombres separados por un espacio.
Tenga en cuenta que EIC comprueba la información del remitente en el correo electrónico entrante en busca de varias combinaciones de los nombres ingresados. Por ejemplo, EIC verifica varias combinaciones de nombre ingresados. No es necesario ingresar JPérez cuando el nombre que se ingresó anteriormente es Juan Pérez.
Expanda la sección Configuración predeterminada y vaya a Remitentes aprobados.
Las fuentes legítimas pueden engañar a un usuario. Es necesario admitir a los remitentes de terceros de confianza. Por ejemplo, al contratar a un tercero, como una empresa de marketing, para que envíe mensajes de correo electrónico a los usuarios en nombre de la organización. Para admitir a los remitentes de confianza, debe incluir en lista blanca las direcciones IP, los dominios o las direcciones de correo electrónico de la compañía de marketing de confianza. Actualmente, la lista de remitentes aprobados se comparte entre el control de dominio y usuario.
Nota: No se acepta el carácter comodín en la sección Dominios del remitente ni Direcciones de correo electrónico del remitente. La iteración actual solo admite entradas 1-1. También se deben agregar explícitamente los subdominios. En cuanto a las direcciones IP, especifique direcciones IP simples o rangos de direcciones con notación CIDR. Se recomienda ser cuidadoso al poner dominios o direcciones de correo electrónico en lista blanca.
Elaboración de informes en EIC
Esta función también incluye su propia opción de elaboración de informes. En ClientNet, vaya a Informes > Solicitudes de informes.
Inicie un nuevo informe. En la sección Informe detallado de correo electrónico (CSV) , aparece la opción Control de suplantación de correo electrónico. Puede seleccionarla. El resto de la configuración del informe no se modifica. Seleccione un rango de tiempo, programado o no, y envíelo.
En el informe, se muestran los correos electrónicos que activaron el EIC de Dominio o de Usuario. En el informe, se presentan datos relacionados con el correo electrónico, como la información de la fuente (IP, HELO, MSG-ID) y el remitente del sobre. Esta información ayuda en el proceso de configuración de excepciones. Las excepciones son fuentes que tienen permitido falsificar correos electrónicos usando uno de los dominios o de los usuarios protegidos.
Configuración sugerida para el primer uso
La configuración y el uso de EIC sugeridos inicialmente están en modo pasivo. Este modo proviene de suponer que el conocimiento de las fuentes válidas es limitado en este momento preciso. Si comienza con la acción Solo registro, se evita la interrupción del correo electrónico.
- Configure la acción en Solo registro
- Habilite Control de suplantación de dominio
- Seleccione Todos los dominios proporcionados
- Control de suplantación de usuario
- Seleccione Nombres de usuario protegidos
- Agregue una selección de nombres que quiera proteger
- Configure el informe
- Supervise el informe
- Modifique las fuentes aprobadas según sea necesario
- Repita los pasos 5 y 6 según sea necesario hasta que esté satisfecho con los resultados. Luego, actualice a una acción más segura
¿Necesita más control?
A veces, se necesita más control sobre los diversos aspectos de las medidas de respuesta contra falsificaciones de dominios y usuarios. Se recomienda que consulte los artículos Políticas de DP personalizadas para dominios (HOWTO124383) y Protección contra la falsificación de usuarios (HOWTO124423).
La suscripción proporcionará actualizaciones por correo electrónico cuando se actualice este artículo. Es necesario iniciar sesión.
Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)