Configuración de protección general

KSMG protege el correo electrónico que entra y sale de la organización. Puede establecer la siguiente configuración de protección general:

• Protección de Antivirus
• Análisis de enlaces
• Protección de Anti-Spam
• Protección de Antiphishing
• Filtrado de contenido de los mensajes
• Autenticación de remitente del correo

La configuración de protección general se aplica al analizar todos los mensajes. Puede ajustar las acciones realizadas con los mensajes después del análisis y la configuración adicional utilizando las reglas de procesamiento de mensajes.

Protección de Antivirus

KSMG brinda una protección antivirus de los mensajes: analiza los mensajes de correo electrónico en busca de virus y otras amenazas, y desinfecta los objetos infectados utilizando la versión actual (la última) de las bases de datos de Antivirus.

Se analizan los mensajes para detectar la presencia de virus y otras amenazas mediante el módulo Antivirus. El módulo Antivirus analiza el cuerpo del mensaje y todos los archivos adjuntos en cualquier formato (adjuntos) utilizando las bases de datos de Antivirus. El módulo Antivirus detecta y bloquea los archivos adjuntos de correos electrónicos que están dirigidos a una cantidad limitada de destinatarios y que son parte de ataques dirigidos y diseñados para explotar vulnerabilidades de software.

Puede ajustar la siguiente configuración del módulo Antivirus:

• Análisis heurístico

  Tecnología diseñada para detectar amenazas que no se pueden detectar utilizando la versión actual de las bases de datos de la aplicación de Kaspersky. Detecta archivos que pueden estar infectados con un virus desconocido o una nueva variedad de un virus conocido.

• Duración máxima del análisis de mensajes
• Profundidad máxima del análisis de archivos comprimidos
• Exclusiones del análisis de determinados programas legítimos que pueden usar los piratas informáticos

En función de los resultados del análisis, el módulo Antivirus asigna un estado al mensaje:

• No detectados significa que el mensaje no está infectado.
• Infectado significa que el mensaje está infectado, y no se puede desinfectar o no se intentó realizar la desinfección.
• Desinfectados significa que el mensaje se ha desinfectado.
• Cifrado significa que el mensaje no se ha podido analizar porque está cifrado.
• Error significa que se ha producido un error al analizar el mensaje.
• Error de las bases significa que no se ha podido analizar el mensaje debido a un error al aplicar las bases de datos de la aplicación.
• Amenaza de intrusión significa que los piratas informáticos pueden utilizar el objeto para penetrar en la LAN.
• No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
• Probablemente infectado significa que el objeto contiene indicios de malware.

El módulo Antivirus está activado de manera predeterminada. Si es necesario, puede desactivar el módulo Antivirus o desactivar el análisis de Antivirus para cualquier regla.

Análisis de enlaces

KSMG comprueba los enlaces en el cuerpo del mensaje en caso de que sean maliciosos, tengan contenido publicitario o sean relevantes para programas legítimos y que puedan hacerle daño al ordenador.

Puede modificar los siguientes ajustes del análisis de enlaces:

• Duración máxima del análisis de mensajes.
• Exclusiones del análisis.

  Puede desactivar la detección de enlaces de publicidad y aquellos enlaces relevantes de determinados programas legítimos.

Según los resultados del análisis de enlaces, la aplicación le asigna al mensaje uno de los siguientes estados:

• Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
• No detectados significa que el mensaje no contiene ningún enlace que pueda detectarse mediante la configuración de la aplicación.
• Error significa que el análisis ha devuelto un error.
• Detectados significa que el mensaje contiene enlaces maliciosos, de publicidad o aquellos relevantes para programas legítimos.
• No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

Protección de Anti-Spam

KSMG filtra los mensajes que pasan por el servidor de correo para eliminar el correo no solicitado (spam).

El módulo Anti-Spam analiza los mensajes para detectar la presencia de spam. El módulo Anti-Spam analiza cada mensaje para detectar indicios de spam. Primero, el módulo Anti-Spam analiza los atributos del mensaje, como las direcciones del remitente y el destinatario, el tamaño y los encabezados (incluidos los campos De y Para). Segundo, el módulo Anti-Spam analiza el contenido del mensaje (incluido el encabezado del asunto) y los archivos adjuntos.

Si se detecta spam o posible spam en un mensaje, se le asigna un determinado estado según la calificación de spam. La calificación de spam de un mensaje es un número entero del 0 al 100, que es una suma de los puntos asignados al mensaje por cada vez que se accionó el módulo Anti-Spam al procesar el mensaje. La calificación de spam tiene en cuenta los resultados del análisis SPF y el filtrado de reputación de los mensajes.

Cuando el módulo Anti-Spam está activado, la protección contra ataques BEC se activa automáticamente. Esta protección ayuda a reconocer los mensajes de suplantación de identidad de los piratas informáticos que intentan poner en peligro la correspondencia comercial.

Puede ajustar la siguiente configuración del módulo Anti-Spam:

• Servicio Moebius.

  Servicio de actualización instantánea de las bases de datos de Anti-Spam que permite instalar actualizaciones críticas en tiempo real.

  El servicio de Moebius compara la base de datos de Anti-Spam actual utilizada por la aplicación con la base de datos en el servidor de Moebius y determina la diferencia. Las entradas que faltan luego se envían al nodo de control mediante HTTPS. Para mantener un tamaño razonable de los datos transmitidos y asegurar el funcionamiento normal del servidor Moebius, las bases de datos de Anti-Spam deben actualizarse con regularidad.

• Protección contra la suplantación de identidad de Active Directory.

  Tipo de ataque basado en la falsificación (spoofing) de los datos transmitidos. La suplantación de identidad puede estar dirigida a obtener privilegios elevados, principalmente a través de la omisión del mecanismo de verificación mediante la generación de una solicitud similar a una solicitud auténtica. Una variante de la suplantación de identidad consiste en falsificar un encabezado HTTP para acceder a contenido oculto.

  El objetivo de la suplantación de identidad también puede ser engañar a un usuario. Un ejemplo clásico de este tipo de ataque es la falsificación de la dirección del remitente en los correos electrónicos.

  El módulo Anti-Spam ayuda a evitar los ataques de suplantación de identidad en los que los piratas informáticos utilizan un nombre falso (nombre para mostrar) en el encabezado "De" del mensaje, y el dominio desde el cual se envía el mensaje no coincide con el dominio de la organización específica. Puede indicar un grupo de Active Directory que contenga como máximo 10 000 usuarios que estarán protegidos contra la suplantación de identidad.

• Compruebe la reputación de las direcciones IP y los dominios.

  Esta opción le permite comprobar los datos de la sesión de SMTP según los registros de direcciones IP y los dominios bloqueados en las bases de datos de los módulos Anti-Spam.

• Cuarentena de Anti-Spam.

  La ubicación del Depósito de copias de seguridad donde se almacenan temporalmente los mensajes de correo electrónico si el módulo Anti-Spam no puede asignar un estado final después de un análisis.

  La Cuarentena de Anti-Spam está disponible únicamente si se activa la participación en KSN.

  Una vez que un mensaje se coloca en la Cuarentena de Anti-Spam, la aplicación se pone en contacto con los servidores de KSN para realizar un análisis adicional del mensaje. El servicio en la nube de KSN mejora la exactitud de la detección de spam, porque las bases de datos de KSN contienen información más actualizada que las bases de datos de Anti-Spam que utiliza la aplicación.

• Duración máxima del análisis de mensajes.
• Duración máxima del almacenamiento de un mensaje en la Cuarentena de Anti-Spam.
• Cantidad máxima de mensajes en la Cuarentena de Anti-Spam.
• Tamaño máximo de la Cuarentena de Anti-Spam.

En función de los resultados del análisis de Anti-Spam, el módulo Anti-Spam asigna uno de los siguientes estados al mensaje:

• No detectados significa que el mensaje no contiene spam.
• Spam significa que el mensaje está diagnosticado definitivamente como spam.
• Posible spam significa que el mensaje es probablemente spam.
• Correo masivo significa que el mensaje pertenece a una campaña de correo masivo.
• Error significa que el análisis ha devuelto un error.
• Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
• Mensaje formal significa que la aplicación trata al mensaje como una notificación formal generada en forma automática (por ejemplo, las respuestas automáticas de los usuarios o las notificaciones sobre el tamaño excedido del buzón de correo).
• No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
• De confianza significa que el mensaje fue enviado por un remitente cuyo dominio está en la lista de dominios permitidos en las bases de datos del módulo Anti-Spam y que el mensaje aprobó la autenticación del remitente DMARC.

En función de los resultados del análisis, el encabezado X X-MS-Exchange-Organization-SCL se puede añadir al mensaje. El valor de este encabezado contiene la clasificación SCL. Puede configurar este encabezado para que se añada a la configuración de procesamiento de mensajes.

De manera predeterminada, el módulo Anti-Spam está activado. Si es necesario, puede desactivar el módulo Anti-Spam o desactivar el análisis de Anti-Spam para cualquier regla.

Protección de Antiphishing

KSMG filtra los mensajes que se transfieren a través del servidor de correo para eliminar el phishing.

El módulo Antiphishing analiza los mensajes para detectar la presencia de phishing. El módulo Antiphishing analiza el contenido del mensaje (incluido el encabezado del asunto) y los archivos adjuntos.

Puede configurar la duración máxima del análisis de Antiphishing.

En función de los resultados del análisis, el módulo Antiphishing asigna un estado al mensaje:

• No detectados significa que el mensaje no contiene URL de phishing, imágenes ni texto que puedan engañar a los usuarios para que divulguen datos confidenciales a los piratas informáticos, ni enlaces a sitios web con malware.
• Phishing significa que se ha descubierto que el mensaje contiene imágenes o texto que pueden engañar a los usuarios para que divulguen datos confidenciales a los piratas informáticos.
• Enlace phishing significa que se ha descubierto que el mensaje contiene un enlace a un sitio web con malware.
• Error significa que el análisis ha devuelto un error.
• Error de las bases significa que el mensaje no se ha podido analizar debido a un error en la base de datos de la aplicación.
• No analizados significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

El módulo Antiphishing está activado de manera predeterminada. Si es necesario, puede desactivar el módulo Antiphishing o desactivar el análisis de Antiphishing de los mensajes para cualquier regla.

Filtrado de contenido de los mensajes

KSMG realiza el filtrado de contenido de los mensajes que pasan por el servidor de correo. Puede restringir la transmisión de mensajes con parámetros específicos mediante el servidor de correo.

Puede ajustar la siguiente configuración de Filtrado de contenido:

• Duración máxima del análisis de mensajes
• Profundidad máxima del análisis de archivos comprimidos

Como resultado del filtrado de contenido, el módulo de control de análisis de mensajes ScanLogic asigna uno de los siguientes estados de filtrado de contenido a los mensajes:

• No detectados significa que no se detectaron en el mensaje infracciones de ninguna de las restricciones especificadas en la configuración del Filtrado de contenido.
• Contenido coincidente significa que el mensaje coincide con las condiciones especificadas en la configuración de Filtrado de contenido.
• Error significa que el análisis del mensaje ha devuelto un error.
• No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.

De manera predeterminada, el Filtrado de contenido de los mensajes está activado. Si es necesario, puede activar el Filtrado de contenido en la configuración de protección general o según la regla.

Autenticación de remitente del correo

La Autenticación de remitente del correo está diseñada con el objetivo de proporcionar una protección adicional para su infraestructura de correo corporativo contra el spam y el phishing.

KSMG utiliza las siguientes tecnologías de autenticación de remitentes de correo:

• Autenticación SPF (Marco de directivas de remitente).
• Autenticación DKIM (DomainKeys Identified Mail).
• Autenticación DMARC (autenticación de mensajes, informes y conformidad basada en dominios).

Autenticación SPF de remitente del correo: comparación de direcciones IP de remitentes de correos con la lista de fuentes de mensajes posibles que ha creado el administrador del servidor de correo.

KSMG recibe listas de posibles fuentes de mensajes del servidor DNS.

Active la autenticación SPF si KSMG recibe mensajes directamente de Internet. Desactive la autenticación SPF si KSMG recibe mensajes de un servidor intermedio interno.

Autenticación DKIM de remitente del correo: verificación de la firma digital añadida a los mensajes.

Se añade a los mensajes una firma digital asociada con el nombre de dominio de la organización. KSMG verifica esta firma digital.

Autenticación DMARC de remitente del correo: verificación que determina la directiva y las medidas que se toman con los mensajes según los resultados de la Autenticación DKIM y SPF de remitente del correo.

La autenticación SPF y DKIM debe estar activada para realizar la autenticación DMARC. Si la autenticación SPF o DKIM está desactivada, la autenticación DMARC también estará desactivada.

Una vez que el mensaje ha aprobado la autenticación SPF y DKIM, el programa comprueba que el dominio que contiene la dirección del remitente en el campo De del encabezado del mensaje coincida con los ID de SPF y DKIM.

Para activar la Autenticación SPF, DKIM y DMARC de remitente del correo, debe permitir que KSMG se conecte al servidor DNS. Si se prohíbe la conexión al servidor DNS, la Autenticación SPF, DKIM y DMARC de remitente del correo se desactiva.

En función de los resultados de la Autenticación de remitente del correo, se asigna uno de los siguientes estados al mensaje:

• Error significa que se ha producido un error durante la autenticación.
• Error de las bases significa que no se ha podido realizar la autenticación.
• No analizado significa que el mensaje no se ha analizado de acuerdo con la configuración de la aplicación.
• Infracción detectada significa que se ha infringido al menos una autenticación.
• Infracción no detectada significa que no se han detectado infracciones de autenticación.

De manera predeterminada, todos los controles de Autenticación de remitente del correo están activados. Si es necesario, puede desactivar la Autenticación de remitente del correo en la configuración de protección general o según la regla.

Para permitir que el servidor de correo remoto realice la Autenticación de remitente del correo de los mensajes salientes (cuando el remitente del mensaje es KSMG) debe tomar medidas para añadir registros SPF y DMARC a la configuración de su servidor DNS.