Configuración de Antiphishing

Expandir todos | Contraer todos

Con la ayuda del módulo protección Antiphishing, puede proteger los buzones de correo de su empresa contra phishing, suplantación de identidad, secuestro de conversaciones, ataques de compromiso de correo electrónico comercial (BEC) y, además, contra los vínculos maliciosos que pueden enviarse en mensajes de correo electrónico.

Los vínculos de phishing apuntan a sitios web fraudulentos diseñados para robar datos personales de los usuarios, como datos de cuentas bancarias. Un ataque de phishing se puede disfrazar, por ejemplo, de un mensaje de su banco con un vínculo al sitio web oficial. Al hacer clic en el vínculo, se le redirigirá a una copia exacta del sitio web del banco, y hasta puede ocurrir que el navegador muestre la dirección correcta del banco. Pero en realidad se encuentra en un sitio web suplantado (falso). Todas sus acciones en el sitio web se rastrean y pueden usarse para robar sus datos personales.

En los ataques de suplantación y secuestro de conversaciones, los remitentes malintencionados falsifican las direcciones de correo electrónico y el contenido de los mensajes para que los destinatarios los consideren de confianza.

Mediante la suplantación de direcciones de correo electrónico o el secuestro de conversaciones, para obtener ventajas ilegales, los atacantes BEC se presentan como personas en las que los destinatarios del correo electrónico confian.

Los vínculos maliciosos conducen a recursos web diseñados para propagar malware.

Para detectar vínculos maliciosos y de phishing, la aplicación utiliza reglas desarrolladas por los expertos de Kaspersky. Las reglas y métodos de detección se actualizan con regularidad.

Al analizar mensajes en busca de phishing, suplantación de identidad, ataques BEC y vínculos maliciosos, la aplicación no solo analiza los vínculos, sino también el asunto, el contenido, las características del diseño y demás atributos del mensaje. El análisis hace uso de los servicios en la nube de Kaspersky Security Network (KSN). Con la ayuda de KSN, la aplicación recibe la información más actualizada sobre vínculos maliciosos y de phishing antes de que aparezcan en las bases de datos de Kaspersky.

Los ajustes de Antiphishing pueden configurarse al crear una directiva de seguridad.

Modo Protección contra suplantación de identidad

Puede habilitar uno de los siguientes modos de funcionamiento:

• Modo recomendado: procedimiento de detección habitual

  Se detectarán los mensajes que contengan phishing y vínculos maliciosos, junto con la suplantación de identidad, el secuestro de conversaciones y los ataques BEC.

• Modo reforzado: detección complementaria de contenido dudoso similar al phishing

  Se detectarán los mensajes que contengan phishing y enlaces maliciosos junto con contenido poco claro similar al phishing.

  Si habilita este modo, queda habilitado en todas las directivas de seguridad activas.

Acciones que realizará la aplicación

En el área Acción, especifique lo que la aplicación debe hacer con los mensajes en los que detecte phishing y enlaces maliciosos con contenido no claro similar al phishing:

• Eliminar y poner en cuarentena el mensaje

  El mensaje completo se elimina del buzón de correo del usuario y se mueve a la Cuarentena.

• Mover a la carpeta de correo no deseado

  El mensaje se mueve desde la carpeta original a la Carpeta de correo no deseado.

• Permitir

  El mensaje permanece sin cambios en el buzón de correo del usuario.

• Etiquetar el asunto

  Puede agregar una etiqueta personalizada a los asuntos de mensajes afectados. Si es necesario, cambie la etiqueta en el campo de entrada bajo la casilla Etiquetar el asunto.

  Esta opción está disponible para las acciones Permitir y Mover a la carpeta de correo no deseado.

• Borrar para siempre: los mensajes eliminados no se recuperan

  Para ver esta opción, debe abrir la lista desplegable Otras opciones. El mensaje entero se elimina del buzón de correo del usuario, sin posibilidad de recuperación.

  Tenga en cuenta que si selecciona Modo reforzado: detección complementaria de contenido dudoso similar al phishing , los mensajes que solo contengan contenido poco claro similar al phishing no se eliminarán de forma permanente, sino que se moverán a la cuarentena.

Notificaciones

En el área Notificaciones, configure las notificaciones que se enviarán automáticamente:

• Notificar a los administradores sobre las detecciones

  Esta opción le permite habilitar y configurar notificaciones sobre los objetos detectados. De forma predeterminada, las notificaciones están deshabilitadas.

  Para habilitar y configurar las notificaciones:

  1. Seleccione la casilla Notificar a los administradores sobre las detecciones.
  2. Haga clic en el botón Seleccionar para agregar destinatarios.

     Aparece la ventana Notificación para los destinatarios.

  3. Ingrese las direcciones de correo electrónico de los destinatarios de la notificación.

     Puede especificar hasta 25 direcciones de correo electrónico.

  4. Haga clic en el botón Más ().

     Las direcciones de correo electrónico seleccionadas se mostrarán bajo el campo Especifique la dirección de correo electrónico.

  5. Para eliminar una dirección de la lista, haga clic en el botón Eliminar () de la fila.
  6. Haga clic en Guardar.

     Se guardará la lista de direcciones. Las notificaciones se enviarán a las direcciones especificadas.

• Notificar al propietario del buzón de correo acerca de los mensajes eliminados

  Esta opción le permite notificar al usuario desde cuyo buzón de correo se eliminó un mensaje completo. De forma predeterminada, las notificaciones están deshabilitadas.

  Para habilitar y configurar las notificaciones:

  1. Seleccione la casilla Notificar al propietario del buzón de correo acerca de los mensajes eliminados.
  2. De ser necesario, adapte la plantilla de notificación a los requisitos que disponga la política de seguridad de su empresa:
     1. Haga clic en el botón Editar plantilla de notificación.

        Se abre la ventana Plantilla de notificación.

     2. Edite los campos Asunto y Texto.
     3. Si desea restaurar la plantilla predeterminada, haga clic en el botón Restablecer.
     4. Haga clic en Guardar.

     En su plantilla personalizada, puede seguir usando las variables incluidas en la plantilla predeterminada para proporcionar al usuario información detallada acerca del mensaje eliminado.

     Las notificaciones a los propietarios del buzón de correo se envían en representación del Servicio de seguridad que se indicará en el campo De del mensaje de correo electrónico correspondiente. No puede enviar una respuesta a este remitente.

     %FROM%. Remitente del mensaje.

     %TO%. Destinatarios del mensaje, incluidos los que van como copia carbón.

     %SUBJECT%. Asunto del mensaje.

     %FOLDER%. Carpeta del buzón de correo donde se detectó el mensaje.

     %MSG_TIME%. Fecha y hora de recepción para los mensajes entrantes, fecha y hora en que se envió el mensaje para los mensajes salientes y fecha y hora de creación del borrador para los borradores. Se aplica la zona horaria especificada en la configuración de la aplicación.

     %DETECTED_FILES%. Lista de archivos detectados en el adjunto del mensaje.

  Esta opción solo está disponible para las acciones Eliminar y poner en cuarentena el mensaje y Borrar para siempre: los mensajes eliminados no se recuperan.

Lista de admitidos

En el área Lista de admitidos, configure los remitentes admitidos:

• Permitir los mensajes de los siguientes remitentes

  Esta opción le permite configurar los remitentes admitidos. Estos remitentes se consideran de confianza, y se omite el procesamiento de los mensajes que provengan de ellos.

  Para configurar los remitentes admitidos:

  1. Seleccione la casilla Permitir los mensajes de los siguientes remitentes
  2. Haga clic en el botón Seleccionar.

     La ventana Lista de remitentes admitidos se abre.

  3. Haga clic en el botón Agregar remitente.

     La ventana Agregar un remitente a la lista de admitidos se abre.

  4. En el campo de entrada Especifique una dirección de correo electrónico completa o una máscara, proporcione una o varias direcciones de correo electrónico que se deben agregar a la lista de admitidos separadas por punto y coma o saltos de línea.

     Si desea incluir varios remitentes a la vez, puede usar máscaras. Por ejemplo, si especifica la máscara *@example.com, se incluirán en la lista de admitidos todas las direcciones de correo electrónico del dominio @example.com. También puede copiar y pegar una lista de direcciones de correo electrónico o máscaras separadas por punto y coma o saltos de línea en el campo de entrada.

     Representación de un nombre de archivo mediante caracteres comodín. Los caracteres comodín estándares que se usan en máscaras de archivo son * y ?, donde * representa cualquier cantidad de caracteres y ? representa cualquier carácter único.

  5. Haga clic en Validar.

     Las máscaras o direcciones de correo electrónico proporcionadas se muestran en la lista.

     Si las máscaras o direcciones de correo electrónico se ingresan incorrectamente, se mostrarán en la lista con una fuente roja y usted deberá ingresar los cambios para guardarlas.

  6. Haga clic en Guardar para guardar la lista de direcciones o máscaras proporcionadas.
  7. Si desea eliminar una dirección de correo electrónico / máscara de la lista:
     1. Haga clic en Eliminar () junto a la dirección de correo electrónico / máscara.
     2. Haga clic en Guardar.
• No comprobar SPF de remitentes admitidos

  Esta opción le permite descartar resultados de la revisión del Marco de directivas de remitente (SPF) para remitentes admitidos.

  Los nuevos mensajes con el estado Phishing enviados por un remitente admitido permanecerán en la carpeta original solo si la revisión del SPF verifica la autenticidad del remitente.

  Un control de SPF es una verificación de que un mensaje de correo electrónico recibido de un dominio proviene de un host autorizado por los administradores de ese dominio. Durante un control de SPF, la dirección IP del remitente del mensaje se compara con la lista de nombres de host y las direcciones IP de las posibles fuentes del mensaje del dominio.

  Si el resultado del control de SPF es "aprobado" y el remitente del mensaje está en la lista de admitidos, el mensaje permanece sin modificaciones en el buzón de correo del usuario.

  De lo contrario, se considera que el control de SPF identificó violaciones de la autenticidad del remitente del mensaje. Por lo tanto, este mensaje se procesa según los ajustes de la directiva para suplantación de la identidad.

  Para deshabilitar la revisión del SPF de remitentes admitidos:

  1. Seleccione la casilla No comprobar SPF de remitentes admitidos.
  2. Haga clic en Guardar.