Categoría: NetX Secure Email

Correo detenido o bloqueado por fallas de autenticación

En ocasiones, puede encontrar que algún mensaje que le fué enviado por correo electrónico fué detenido o bloqueado por la herramienta antispam de su sistema de gestión de correo electrónico. Su administrador puede haberle explicado que el mensaje falló en alguna o varias etapas de la autenticación de correo electrónico, haciendo sospechar a la herramienta antispam que se trataba en reliadad de una suplantación de correo y que, por protección a usted, la entrega del mismo sería evitada.

¿A qué nos referimos con falla de autenticación?

Resúmen: SPF, DKIM y DMARC son estándares de correo electrónico que le aseguran a usted, como usuario de correo electrónico, que un mensaje fué emitido por una fuente confiable y que la integridad del mismo no fué alterada en el camino a su buzón. Cuando un mensaje falla de acuerdo con alguno de estos estándares, es seguro asumir que el mismo es espurio, y que posiblemente no sea seguro recibirlo, y mucho menos abrirlo. Es de esperar, en consecuencia, que dicho mensaje no sea entregado y, de acuerdo con lo establecido por el administrador del emisor o del receptor, podría ser puesto en cuarentena o simplemente descartado. En caso de falsos positivos (mensajes legítimos que debieron ser entregados y no fue el caso debido a fallas de autenticación), en la gran mayoría de los casos se trata de un problema en la configuración de correo electrónico del emisor.

Descripción técnica

Para proteger a los usuarios de correo electrónico frente a ataques de suplantación de identidad, se han desarrollado varios mecanismos que les permiten asegurarse que determinados mensajes realmente provienen de una fuente fidedigna y además, que no fueron alterados durante su entrega. Los mecanismos mas ampliamente utilizados entre los distintos prestadores de servicio y administradores son SPF, DKIM y DMARC. Ver mas

    SPF

    Sender Policy Framework (SPF) es un estándar de autenticación de correo electrónico que ayuda a prevenir el correo no deseado o el correo electrónico fraudulento al verificar que los servidores de correo que envían un mensaje estén autorizados por el dominio del remitente. En otras palabras, SPF permite a los propietarios de dominios especificar qué servidores de correo tienen permiso para enviar correos electrónicos en su nombre, lo que ayuda a reducir el riesgo de suplantación de identidad y fraudes de correo electrónico.

    DKIM

    DKIM (DomainKeys Identified Mail) es un estándar de autenticación de correo electrónico que proporciona una firma digital en los mensajes de correo electrónico. Esta firma se genera en el servidor del remitente y verifica que el contenido del correo no ha sido modificado durante su tránsito. La firma DKIM también confirma que el correo proviene del dominio del remitente especificado, lo que ayuda a prevenir la suplantación de identidad y aumenta la confianza en la autenticidad de los mensajes.

    DMARC

    DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un estándar de autenticación de correo electrónico que combina SPF y DKIM. Permite a los propietarios de dominios especificar políticas de autenticación para sus correos electrónicos y recibir informes de entrega. DMARC ayuda a proteger contra la suplantación de identidad y el phishing al asegurarse de que los correos electrónicos se autentiquen correctamente y proporciona mecanismos para que los remitentes informen sobre la entrega de mensajes.

    Estas tres medidas permiten evitar los casos de suplantación de dominios en la mayoría de los casos, y por lo tanto, le otorgan un elevado nivel de certeza sobre el orígen de los correos que recibe.

    Si usted sabe de algún mensaje legítimo que le debió haber sido entregado, pero que en vez de ello le fué informado por su administrador que falló por un tema de autenticación, es muy probable que la configuración de alguna de éstas medidas en el emisor tenga algunas áreas de oportunidad. Si es el caso, le recomendamos hacerle saber al emisor del mensaje sobre ésto, para que a su vez éste le informe a su administrador.

    Si usted es un administrador de correo electrónico, y le es reportado algún problema de autenticación para la entrega de correo, le sugerimos lo siguiente:

    1. Verifique sus registros SPF, DKIM y DMARC: Asegúrese de que sus registros estén configurados correctamente. Cualquier error tipográfico o configuración incorrecta puede resultar en falsos positivos. Utilice herramientas de verificación en línea para validar sus registros.
    2. Revise las políticas de DMARC: Si utiliza DMARC, asegúrese de configurar sus políticas correctamente. Puede comenzar con una política de "p=none" (ningún impacto) antes de implementar una política más restrictiva como "p=quarantine" o "p=reject". Esto le permitirá observar los efectos en los correos legítimos antes de bloquearlos por completo.
    3. Monitoreo constante: Mantenga un ojo en los informes DMARC para identificar patrones de autenticación fallidos y comprender qué correos están siendo rechazados o marcados como spam. Esto le ayudará a ajustar sus configuraciones.
    4. Utilice subdominios: En lugar de aplicar políticas estrictas a su dominio principal, considere la posibilidad de implementar SPF, DKIM y DMARC en subdominios, lo que puede ser menos disruptivo y facilitar la corrección de problemas.
    5. Ajuste sus políticas gradualmente: Si está experimentando muchos falsos positivos, incremente gradualmente la rigidez de sus políticas. Comience con políticas más relajadas y avance hacia políticas más restrictivas a medida que adquiera más confianza en su configuración.
    6. Colabore con remitentes legítimos: Si sus correos son bloqueados por remitentes que aún no han implementado SPF, DKIM o DMARC, trabaje con ellos para que se alineen con estas prácticas de autenticación.
    7. Consulte a un profesional: Si los problemas persisten y no puede resolverlos por usted mismo, considere consultar a un profesional de seguridad de la información o un experto en correo electrónico para que le ayude a diagnosticar y solucionar los problemas. En NetX contamos con la experiencia suficiente para ayudarlo. Consulte con su ejecutivo para mas información.

    Recuerde que el equilibrio entre la seguridad y la entrega de correos es fundamental. Asegúrese de no aplicar políticas tan estrictas que afecten la recepción de correos legítimos, pero también mantenga una sólida protección contra el correo no deseado y la suplantación de identidad.

Preguntas frecuentes / Secure Email

Espacio de gestión

¿Dónde puedo encontrar mi nombre de usuario y mi contraseña?

Su nombre de usuario y su contraseña son los mismos que utiliza para conectarse a su correo electrónico habitual.

Spam y cuarentena

¿Qué es la cuarentena?

Una zona de aislamiento situada fuera de su correo electrónico que bloquea los spams.

Ajustes del filtro

¿Qué es un ajuste del filtro?

Es una acción que realiza después del bloqueo de un mensaje legítimo en la cuarentena o de la llegada de un spam en su buzón. En el primer caso, el ajuste del filtro permite a Secure Email ser más tolerante con un remitente en particular. En el segundo caso, el filtro de Secure Email será más agresivo.

¿Qué pasa durante una solicitud de ajuste del filtro?

El centro de análisis de Secure Email recibe una copia del mensaje. Despues de un examen, es posible que los ingenieros corrijan el filtro. No se emitirán notificaciones en caso de que sea procesado.

Mensajes bloqueados en cuarentena

Un mensaje legítimo queda bloqueado en la cuarentena. ¿Qué tengo que hacer?

Tiene que liberarlo para que pueda llegar a su correo electrónico y efectuar una solicitud de ajuste del filtro desde la cuarentena.

¿Por qué Secure Email bloquea un mensaje que habría debido recibir?

Porque este mensaje tiene orígenes dudosos (quizás sirve de relevo de spam por atacantes) y/o contiene un formato específico que activa una regla de spam. Entonces, no se trata de un error de Secure Email sino que el filtro actúa de manera prudente frente a características específicas de un mensaje, que pueden ser invisibles con una lectura simple del contenido.

¿Cómo liberar un mensaje?

Haga clic en el icono con una flecha, situada en la línea que corresponde al mensaje, en un informe de cuarentena o dentro del área de administración.

Liberó un mensaje pero siempre aparece en cuarentena. ¿Es normal?

Un mensaje liberado queda en la cuarentena para que pueda libérarlo de nuevo si es necesario. Sin embargo, aparece en cursiva para indicarle que ya fué liberado.

¿Cómo dejar de recibir informes de cuarentena?

Puede modificar la frecuencia de recepción de los informes o suprimir su envío en la parte Configuración del área de administración.

Spams no detenidos

Un spam no fué filtrado. ¿Qué tengo que hacer?

Tiene que efectuar una solicitud de ajuste del filtro desde su correo electrónico, para que las reglas de filtración sean intensificadas.

¿Por qué Secure Email deja pasar mensajes spam?

Algunos mensaje escapan a los controles de Secure Email porque ninguno de los análisis matemáticos realizados en ese momento fueron capaces de diferenciarlo de correo electrónico legítimo. Por ello es muy importante reportar éste error al Centro de análisis de Secure Email, el cual intensificará las reglas de filtrado relevantes. En situaciones extremas, Secure Email preferirá entregar el mensaje a su buzón, ya que considera mejor recibir algún correo spam ocasional, que perder un mensaje legítimo potencialmente importante.

Virus y mensajes peligrosos

¿Cómo trata los virus Secure Email?

Secure Email suprime los virus. No recibe notificación.

¿Cuál es un contenido peligroso?

Son informaciones que su administrador de correo electrónico prefiere filtrar, por ejemplo Script ejecutables (.exe) en archivos adjuntos o links hacia páginas web sospechosas. Si un mensaje contiene contenidos peligrosos, lo recibe sin estos contenidos. En este mensaje aparece una noticia que le explica como recibir el mensaje en conjunto.

¿Cómo reconocer un mensaje con contenido peligroso?

Contiene una palabra clave (keyword) en el asunto – generalmente “{CONTENIDO PELIGROSO}” – e instrucciones de liberación del archivo adjunto.

¿Cómo pedir a mi administrador que me envíe los contenidos peligrosos?

Siga las instrucciones en archivo adjunto. Tiene que indicar al administrador el identificador numérico del mensaje bloqueado. Es posible que su administrador no le envíe los archivos adjuntos porque piensa que representen un verdadero peligro.

Configuración de DNS para NetX Secure Email

Para asegurar que su filtrado de correo electrónico sea procesado por NetX Secure Email, será necesario realizar distintos cambios en la zona de resolución de nombres de su dominio, específicamente el registro MX (Intercambiador de correo/Mail Exchanger) y SPF (Sender Policy Framework).

La variedad de plataformas de DNS es extensa, por lo que no es factible indicar en éste documento cada una de las posibilidades.

En términos generales, deberá modificar la zona para su dominio, en el registro MX, para indicar que su intercambiador de correo será NetX Secure Email. La configuración recomendada implica únicamente configurar dos registros MX para el dominio, del siguiente modo:

PrioridadServidor
10se04.secure-email.com.mx
20se02.secure-email.com.mx

En caso de que prefiera indicar otros registros además de éstos, por favor tener en cuenta que un actor adverso podría utilizar éstos otros para el envío de correo (independientemente de la prioridad indicada), por lo cual los mensajes no serían revisados por NetX Secure Email.

Sender policy framework (SPF) le permite indicar hacia el exterior a quien reconoce como emisores legítimos para su dominio. SPF NO EVITA que alguien mas envíe correo fingiendo ser de su propio dominio, pero si el destinatario valida contra su configuración de SPF, podrá tomar las acciones que considere adecuadas si de la validación resulta ser un intento de suplantación de identidad por dominio.

La configuración de SPF se realiza desde el DNS, a través de un registro de tipo TXT que lleva la forma inicial “v=spf1“, asociado al dominio en cuestión. Si su correo electrónico saliente será enviado a través de NetX Secure Email, es recomendado agregar la siguiente directiva a su regla de SPF:

include:spf.secure-email.com.mx

Si no cuenta con ninguna directiva SPF para su dominio, le sugerimos agregar, a través de un registro TXT asociado al dominio principal que se desea proteger, lo siguiente:

v=spf1 include:spf.secure-email.com.mx -all

Esta directiva le indicará a los destinatarios de correo proveniente de su dominio que solo y únicamente desde NetX Secure Email reconoce correo legítimo. Si usted configurará su servicio de correo electrónico para el envío a través de NetX Secure Email, esta será la configuración recomendada.

En caso de requerir soporte, NetX pone a su disposición a su equipo para realizar éstas configuraciones. Por favor, contacte a su centro de soporte o bien a su ejecutivo de ventas.

Configuración de reglas de tráfico entrante para NetX Secure Email

Durante la configuración del servicio NetX Secure Email, dependiendo de su topología de seguridad, le será requerido configurar su firewall para permitir el tráfico entrante de tipo SMTP desde los servicios de NetX Secure Email.

Dependiendo de su tipo de firewall, será posible configurarlo a través de un objeto de tipo FQDN (Fully Qualified Domain Name, nombre de dominio totamente calificado, la manera recomendada de hacerlo), o bien, agregando todas las direcciones IP que se le indican mas adelante a su regla de firewall.

Para utilizar el objeto FQDN, bastará con agregar el nombre: “delivery.secure-email.com.mx” en sus reglas de tráfico entrante.

En caso de que su firewall no permita ingresar un FQDN como orígen, deberá agregar las direcciones IP informadas por su equipo de soporte NetX. Al día de hoy, las direcciones IP desde las que NetX Secure Email puede entregarle correo son:

66.240.195.14

66.240.195.15

66.240.195.16

66.240.195.17

66.240.195.18

66.240.195.19

45.88.188.240

Actualmente, la mayoría de los firewalls en el mercado soportan la configuración de reglas con objetos de tipo DNS. Le recomendamos utilizar ésta técnica, lo cual permitirá mantener siempre actualizadas las reglas de tráfico necesarias para la funcionalidad del servicio, sin intervención de un administrador de firewall cuando sean requeridos cambios en las direcciones IP de entrega de correo en Secure Email.

A continuación encontrará indicaciones para agregar objetos FQDN en algunas marcas de firewall. En caso de requerir ayuda, le sugerimos contactar a su soporte NetX.

Sophos Firewall OS: https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/HostsAndServices/HostsServicesFQDNHost/index.html#how-to-add-an-fqdn-host

Fortinet FortiOS: https://docs.fortinet.com/document/fortigate/6.2.0/new-features/329154/support-for-wildcard-fqdn-addresses-in-firewall-policy-6-2-2

Paloalto Networks PAN-OS: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHJCA0

Una vez agregado el objeto (ya sea como FQDN o como lista de direcciones IP), será necesario indicar en su firewall la regla necesaria para permitir el tráfico entrante desde dicho objeto hasta su servidor de correo. Dependiendo de la marca de su firewall y de su postura de seguridad, las indicaciones serán muy distintas para cada caso.

Si su arquitectura de seguridad lo precisa, posiblemente será conveniente agregar una regla de seguridad posterior a la mencionada para denegar cualquier intento de entrega de tráfico en el puerto 25 (SMTP) de su firewall. De éste modo, solo el correo electrónico procesado por NetX Secure Email será entregado en su servidor de correo.

En caso de requerir ayuda, le sugerimos contactar a su soporte NetX.