Configuración de protección general

23 de mayo de 2024

ID 203003

Kaspersky Secure Mail Gateway protege el tráfico de correo entrante y saliente de la organización. Puede establecer la siguiente configuración de protección general:

La configuración de protección general se aplica al analizar todos los mensajes. Puede ajustar las acciones realizadas con los mensajes después del análisis y la configuración adicional utilizando las reglas de procesamiento de mensajes.

Protección de Antivirus

Kaspersky Secure Mail Gateway brinda una protección antivirus de los mensajes: analiza los mensajes de correo electrónico para detectar la presencia de virus y otras amenazas, y desinfecta los objetos infectados utilizando la versión actual (la última) de las bases de datos de Antivirus.

Se analizan los mensajes para detectar la presencia de virus y otras amenazas mediante el módulo Antivirus. El módulo Antivirus analiza el cuerpo del mensaje y todos los archivos adjuntos en cualquier formato (adjuntos) utilizando las bases de datos de Antivirus. El módulo Antivirus detecta y bloquea los archivos adjuntos de correos electrónicos que están dirigidos a una cantidad limitada de destinatarios y que son parte de ataques dirigidos y diseñados para explotar vulnerabilidades de software.

Puede ajustar la siguiente configuración del módulo Antivirus:

  • Análisis heurístico
  • Duración máxima del análisis de mensajes
  • Profundidad máxima del análisis de archivos comprimidos
  • Exclusiones del análisis de determinados programas legítimos que pueden usar los piratas informáticos

En función de los resultados del análisis, el módulo Antivirus asigna un estado al mensaje:

  • No detectados significa que el mensaje no está infectado.
  • Infectado significa que el mensaje está infectado, y no se puede desinfectar o no se intentó realizar la desinfección.
  • Desinfectados significa que el mensaje se ha desinfectado.
  • Cifrado significa que el mensaje no se ha podido analizar porque está cifrado.
  • Error significa que se ha producido un error al analizar el mensaje.
  • Error de las bases significa que no se ha podido analizar el mensaje debido a un error al aplicar las bases de datos de la aplicación.
  • Amenaza de intrusión significa que los piratas informáticos pueden utilizar el objeto para penetrar en la LAN.
  • No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
  • Probablemente infectado significa que el objeto contiene indicios de malware.

El módulo Antivirus está activado de manera predeterminada. Si es necesario, puede desactivar el módulo Antivirus o desactivar el análisis de Antivirus para cualquier regla.

Análisis de enlaces

Kaspersky Secure Mail Gateway comprueba los enlaces en el cuerpo del mensaje en caso de que sean maliciosos, tengan contenido publicitario o sean relevantes para programas legítimos y que puedan hacerle daño al ordenador.

Puede modificar los siguientes ajustes del análisis de enlaces:

  • Duración máxima del análisis de mensajes.
  • Exclusiones del análisis.

    Puede desactivar la detección de enlaces de publicidad y aquellos enlaces relevantes de determinados programas legítimos.

Según los resultados del análisis de enlaces, la aplicación le asigna al mensaje uno de los siguientes estados:

  • Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
  • No detectados significa que el mensaje no contiene ningún enlace que pueda detectarse mediante la configuración de la aplicación.
  • Error significa que el análisis ha devuelto un error.
  • Detectados significa que el mensaje contiene enlaces maliciosos, de publicidad o aquellos relevantes para programas legítimos.
  • No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

Protección de Anti-Spam

Kaspersky Secure Mail Gateway filtra los mensajes que pasan por el servidor de correo para eliminar el correo no solicitado (spam).

El módulo Anti-Spam analiza los mensajes para detectar la presencia de spam. El módulo Anti-Spam analiza cada mensaje para detectar indicios de spam. Primero, el módulo Anti-Spam analiza los atributos del mensaje, como las direcciones del remitente y el destinatario, el tamaño y los encabezados (incluidos los campos De y Para). Segundo, el módulo Anti-Spam analiza el contenido del mensaje (incluido el encabezado del asunto) y los archivos adjuntos.

Si se detecta spam o posible spam en un mensaje, se le asigna un determinado estado según la calificación de spam. La calificación de spam de un mensaje es un número entero del 0 al 100, que es una suma de los puntos asignados al mensaje por cada vez que se accionó el módulo Anti-Spam al procesar el mensaje. La calificación de spam tiene en cuenta los resultados del análisis SPF y el filtrado de reputación de los mensajes.

Cuando el módulo Anti-Spam está activado, la protección contra ataques BEC se activa automáticamente. Esta protección ayuda a reconocer los mensajes de suplantación de identidad de los piratas informáticos que intentan poner en peligro la correspondencia comercial.

Puede ajustar la siguiente configuración del módulo Anti-Spam:

  • Servicio Moebius.

    El servicio de Moebius compara la base de datos de Anti-Spam actual utilizada por la aplicación con la base de datos en el servidor de Moebius y determina la diferencia. Las entradas que faltan luego se envían al nodo de control mediante HTTPS. Para mantener un tamaño razonable de los datos transmitidos y asegurar el funcionamiento normal del servidor Moebius, las bases de datos de Anti-Spam deben actualizarse con regularidad.

  • Protección contra la suplantación de identidad de Active Directory.

    El módulo Anti-Spam ayuda a evitar los ataques de suplantación de identidad en los que los piratas informáticos utilizan un nombre falso (nombre para mostrar) en el encabezado "De" del mensaje, y el dominio desde el cual se envía el mensaje no coincide con el dominio de la organización específica. Puede indicar un grupo de Active Directory que contenga como máximo 10 000 usuarios que estarán protegidos contra la suplantación de identidad.

  • Compruebe la reputación de las direcciones IP y los dominios.

    Esta opción le permite comprobar los datos de la sesión de SMTP según los registros de direcciones IP y los dominios bloqueados en las bases de datos de los módulos Anti-Spam.

  • Cuarentena de Anti-Spam.

    La Cuarentena de Anti-Spam está disponible únicamente si se activa la participación en KSN.

    Una vez que un mensaje se coloca en la Cuarentena de Anti-Spam, la aplicación se pone en contacto con los servidores de KSN para realizar un análisis adicional del mensaje. El servicio en la nube de KSN mejora la exactitud de la detección de spam, porque las bases de datos de KSN contienen información más actualizada que las bases de datos de Anti-Spam que utiliza la aplicación.

  • Duración máxima del análisis de mensajes.
  • Duración máxima del almacenamiento de un mensaje en la Cuarentena de Anti-Spam.
  • Cantidad máxima de mensajes en la Cuarentena de Anti-Spam.
  • Tamaño máximo de la Cuarentena de Anti-Spam.

En función de los resultados del análisis de Anti-Spam, el módulo Anti-Spam asigna uno de los siguientes estados al mensaje:

  • No detectados significa que el mensaje no contiene spam.
  • Spam significa que el mensaje está diagnosticado definitivamente como spam.
  • Posible spam significa que el mensaje es probablemente spam.
  • Correo masivo significa que el mensaje pertenece a una campaña de correo masivo.
  • Error significa que el análisis ha devuelto un error.
  • Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
  • Mensaje formal significa que la aplicación trata al mensaje como una notificación formal generada en forma automática (por ejemplo, las respuestas automáticas de los usuarios o las notificaciones sobre el tamaño excedido del buzón de correo).
  • No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
  • De confianza significa que el mensaje fue enviado por un remitente cuyo dominio está en la lista de dominios permitidos en las bases de datos del módulo Anti-Spam y que el mensaje aprobó la autenticación del remitente DMARC.

En función de los resultados del análisis, el encabezado X X-MS-Exchange-Organization-SCL se añade al mensaje. Este encabezado contiene la clasificación SCL.

De manera predeterminada, el módulo Anti-Spam está activado. Si es necesario, puede desactivar el módulo Anti-Spam o desactivar el análisis de Anti-Spam para cualquier regla.

Protección de Antiphishing

Kaspersky Secure Mail Gateway filtra los mensajes que se transfieren a través del servidor de correo para eliminar el phishing.

El módulo Antiphishing analiza los mensajes para detectar la presencia de phishing. El módulo Antiphishing analiza el contenido del mensaje (incluido el encabezado del asunto) y los archivos adjuntos.

Puede configurar la duración máxima del análisis de Antiphishing.

En función de los resultados del análisis, el módulo Antiphishing asigna un estado al mensaje:

  • No detectados significa que el mensaje no contiene URL de phishing, imágenes ni texto que puedan engañar a los usuarios para que divulguen datos confidenciales a los piratas informáticos, ni enlaces a sitios web con malware.
  • Phishing significa que se ha descubierto que el mensaje contiene imágenes o texto que pueden engañar a los usuarios para que divulguen datos confidenciales a los piratas informáticos.
  • Enlace phishing significa que se ha descubierto que el mensaje contiene un enlace a un sitio web con malware.
  • Error significa que el análisis ha devuelto un error.
  • Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
  • No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

El módulo Antiphishing está activado de manera predeterminada. Si es necesario, puede desactivar el módulo Antiphishing o desactivar el análisis de Antiphishing de los mensajes para cualquier regla.

Filtrado de contenido de los mensajes

Kaspersky Secure Mail Gateway puede realizar un filtrado de contenido de los mensajes que pasan por el servidor de correo. Puede restringir la transmisión de mensajes con parámetros específicos mediante el servidor de correo.

Puede ajustar la siguiente configuración de Filtrado de contenido:

  • Duración máxima del análisis de mensajes
  • Profundidad máxima del análisis de archivos comprimidos

Como resultado del filtrado de contenido, el módulo de control de análisis de mensajes Scan Logic asigna uno de los siguientes estados de filtrado de contenido a los mensajes:

  • No detectados significa que no se ha detectado que el mensaje contenga ninguna infracción de las restricciones especificadas en la configuración de filtrado de contenido.
  • Nombre de archivo prohibido significa que el mensaje contiene un archivo adjunto con un nombre prohibido.
  • Formato de archivo prohibido significa que el mensaje contiene un archivo adjunto con un formato de archivo prohibido.
  • Tamaño excedido significa que el mensaje excede el tamaño máximo permitido.
  • Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
  • Error significa que el análisis del mensaje ha devuelto un error.
  • No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

De manera predeterminada, el Filtrado de contenido de los mensajes está activado. Si es necesario, puede desactivar el Filtrado de contenido en la configuración de protección general o según la regla.

Autenticación de remitente del correo

La Autenticación de remitente del correo está diseñada con el objetivo de proporcionar una protección adicional para su infraestructura de correo corporativo contra el spam y el phishing.

Kaspersky Secure Mail Gateway utiliza las siguientes tecnologías de autenticación de remitente del correo:

  • Autenticación SPF (Marco de directivas de remitente).
  • Autenticación DKIM (DomainKeys Identified Mail).
  • Autenticación DMARC (autenticación de mensajes, informes y conformidad basada en dominios).

Autenticación SPF de remitente del correo: comparación de direcciones IP de remitentes de correos con la lista de fuentes de mensajes posibles que ha creado el administrador del servidor de correo.

Kaspersky Secure Mail Gateway recibe listas de posibles fuentes de mensajes a través del servidor DNS.

Active la autenticación de mensajes SPF si Kaspersky Secure Mail Gateway recibe mensajes directamente de Internet. Desactive la autenticación de mensajes SPF si Kaspersky Secure Mail Gateway recibe mensajes a través de un servidor interno intermedio.

Autenticación DKIM de remitente del correo: verificación de la firma digital añadida a los mensajes.

Se añade a los mensajes una firma digital asociada con el nombre de dominio de la organización. Kaspersky Secure Mail Gateway verifica esta firma digital.

Autenticación DMARC de remitente del correo: verificación que determina la directiva y las medidas que se toman con los mensajes según los resultados de la Autenticación DKIM y SPF de remitente del correo.

La autenticación SPF y DKIM debe estar activada para realizar la autenticación DMARC. Si la autenticación SPF o DKIM está desactivada, la autenticación DMARC también estará desactivada.

Una vez que el mensaje ha aprobado la autenticación SPF y DKIM, el programa comprueba que el dominio que contiene la dirección del remitente en el campo De del encabezado del mensaje coincida con los ID de SPF y DKIM.

Para activar la Autenticación SPF, DKIM y DMARC de remitente del correo, debe permitir que Kaspersky Secure Mail Gateway se conecte al servidor DNS. Si se prohíbe la conexión al servidor DNS, la Autenticación SPF, DKIM y DMARC de remitente del correo se desactiva.

En función de los resultados de la Autenticación de remitente del correo, se asigna uno de los siguientes estados al mensaje:

  • No detectados significa que no se han detectado infracciones de autenticación en el mensaje.
  • Error significa que se ha producido un error durante la autenticación.
  • Error de autenticación significa que no se ha podido realizar la autenticación.
  • No analizadosignifica que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
  • Infracción detectada significa que se ha infringido al menos una autenticación.
  • Infracción no detectada significa que no se han detectado infracciones de autenticación.

De manera predeterminada, todos los controles de Autenticación de remitente del correo están activados. Si es necesario, puede desactivar la Autenticación de remitente del correo en la configuración de protección general o según la regla.

Para permitir que el servidor de correo remoto realice la Autenticación de remitente del correo de los mensajes salientes (cuando el remitente del mensaje es Kaspersky Secure Mail Gateway), debe tomar medidas para añadir registros SPF y DMARC a la configuración de su servidor DNS.

En esta sección de Ayuda

Acerca de la protección informática contra ciertas aplicaciones legítimas

Configurar el módulo Antivirus

Configurar el análisis de enlaces

Configurar el módulo Anti-Spam

Configurar el módulo Antiphishing

Configurar el Filtrado de contenido

Configurar servicios externos

Preparación de la configuración de Autenticación SPF y DMARC de remitente del correo para mensajes salientes

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.