En ocasiones, puede encontrar que algún mensaje que le fué enviado por correo electrónico fué detenido o bloqueado por la herramienta antispam de su sistema de gestión de correo electrónico. Su administrador puede haberle explicado que el mensaje falló en alguna o varias etapas de la autenticación de correo electrónico, haciendo sospechar a la herramienta antispam que se trataba en reliadad de una suplantación de correo y que, por protección a usted, la entrega del mismo sería evitada.
¿A qué nos referimos con falla de autenticación?
Resúmen: SPF, DKIM y DMARC son estándares de correo electrónico que le aseguran a usted, como usuario de correo electrónico, que un mensaje fué emitido por una fuente confiable y que la integridad del mismo no fué alterada en el camino a su buzón. Cuando un mensaje falla de acuerdo con alguno de estos estándares, es seguro asumir que el mismo es espurio, y que posiblemente no sea seguro recibirlo, y mucho menos abrirlo. Es de esperar, en consecuencia, que dicho mensaje no sea entregado y, de acuerdo con lo establecido por el administrador del emisor o del receptor, podría ser puesto en cuarentena o simplemente descartado. En caso de falsos positivos (mensajes legítimos que debieron ser entregados y no fue el caso debido a fallas de autenticación), en la gran mayoría de los casos se trata de un problema en la configuración de correo electrónico del emisor.
Descripción técnica
Para proteger a los usuarios de correo electrónico frente a ataques de suplantación de identidad, se han desarrollado varios mecanismos que les permiten asegurarse que determinados mensajes realmente provienen de una fuente fidedigna y además, que no fueron alterados durante su entrega. Los mecanismos mas ampliamente utilizados entre los distintos prestadores de servicio y administradores son SPF, DKIM y DMARC. Ver mas
SPF
Sender Policy Framework (SPF) es un estándar de autenticación de correo electrónico que ayuda a prevenir el correo no deseado o el correo electrónico fraudulento al verificar que los servidores de correo que envían un mensaje estén autorizados por el dominio del remitente. En otras palabras, SPF permite a los propietarios de dominios especificar qué servidores de correo tienen permiso para enviar correos electrónicos en su nombre, lo que ayuda a reducir el riesgo de suplantación de identidad y fraudes de correo electrónico.
DKIM
DKIM (DomainKeys Identified Mail) es un estándar de autenticación de correo electrónico que proporciona una firma digital en los mensajes de correo electrónico. Esta firma se genera en el servidor del remitente y verifica que el contenido del correo no ha sido modificado durante su tránsito. La firma DKIM también confirma que el correo proviene del dominio del remitente especificado, lo que ayuda a prevenir la suplantación de identidad y aumenta la confianza en la autenticidad de los mensajes.
DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un estándar de autenticación de correo electrónico que combina SPF y DKIM. Permite a los propietarios de dominios especificar políticas de autenticación para sus correos electrónicos y recibir informes de entrega. DMARC ayuda a proteger contra la suplantación de identidad y el phishing al asegurarse de que los correos electrónicos se autentiquen correctamente y proporciona mecanismos para que los remitentes informen sobre la entrega de mensajes.
Estas tres medidas permiten evitar los casos de suplantación de dominios en la mayoría de los casos, y por lo tanto, le otorgan un elevado nivel de certeza sobre el orígen de los correos que recibe.
Si usted sabe de algún mensaje legítimo que le debió haber sido entregado, pero que en vez de ello le fué informado por su administrador que falló por un tema de autenticación, es muy probable que la configuración de alguna de éstas medidas en el emisor tenga algunas áreas de oportunidad. Si es el caso, le recomendamos hacerle saber al emisor del mensaje sobre ésto, para que a su vez éste le informe a su administrador.
Si usted es un administrador de correo electrónico, y le es reportado algún problema de autenticación para la entrega de correo, le sugerimos lo siguiente:
Verifique sus registros SPF, DKIM y DMARC: Asegúrese de que sus registros estén configurados correctamente. Cualquier error tipográfico o configuración incorrecta puede resultar en falsos positivos. Utilice herramientas de verificación en línea para validar sus registros.
Revise las políticas de DMARC: Si utiliza DMARC, asegúrese de configurar sus políticas correctamente. Puede comenzar con una política de "p=none" (ningún impacto) antes de implementar una política más restrictiva como "p=quarantine" o "p=reject". Esto le permitirá observar los efectos en los correos legítimos antes de bloquearlos por completo.
Monitoreo constante: Mantenga un ojo en los informes DMARC para identificar patrones de autenticación fallidos y comprender qué correos están siendo rechazados o marcados como spam. Esto le ayudará a ajustar sus configuraciones.
Utilice subdominios: En lugar de aplicar políticas estrictas a su dominio principal, considere la posibilidad de implementar SPF, DKIM y DMARC en subdominios, lo que puede ser menos disruptivo y facilitar la corrección de problemas.
Ajuste sus políticas gradualmente: Si está experimentando muchos falsos positivos, incremente gradualmente la rigidez de sus políticas. Comience con políticas más relajadas y avance hacia políticas más restrictivas a medida que adquiera más confianza en su configuración.
Colabore con remitentes legítimos: Si sus correos son bloqueados por remitentes que aún no han implementado SPF, DKIM o DMARC, trabaje con ellos para que se alineen con estas prácticas de autenticación.
Consulte a un profesional: Si los problemas persisten y no puede resolverlos por usted mismo, considere consultar a un profesional de seguridad de la información o un experto en correo electrónico para que le ayude a diagnosticar y solucionar los problemas. En NetX contamos con la experiencia suficiente para ayudarlo. Consulte con su ejecutivo para mas información.
Recuerde que el equilibrio entre la seguridad y la entrega de correos es fundamental. Asegúrese de no aplicar políticas tan estrictas que afecten la recepción de correos legítimos, pero también mantenga una sólida protección contra el correo no deseado y la suplantación de identidad.
La contraseña en la parte superior de la lista es la más reciente y se puede usar para autenticarse en el punto final o servidor local, lo que permite el acceso a la Configuración y la opción de desactivar la Protección contra manipulaciones.
El informe mostrará los puntos finales y los servidores que se han eliminado durante los 90 días anteriores. Para conservar los datos más allá del período de 90 días, puede exportar los informes para sus propios registros.
Realice los siguientes pasos de recuperación si todos los demás métodos no son viables.
Windows 10 y posteriores y Windows Server 2012 y posteriores
Para Windows 10, Windows Server 2016 y 2019, vaya a Configuración, Actualización y seguridad, Recuperación en Inicio avanzado y haga clic en Reiniciar ahora.
Para Windows Server 2012, reinicie hasta la recuperación manteniendo presionada la tecla Shift en su teclado, haciendo clic en Encendido y luego haciendo clic en Reiniciar.
En Elegir una opción, haga clic en Solucionar problemas, luego haga clic en Opciones avanzadas y Símbolo del sistema:
Nota: Hay casos en los que las opciones avanzadas no están disponibles. Puede acceder a medios de recuperación, como un ISO, como opción alternativa.
Después del reinicio, seleccione una cuenta administrativa para continuar e ingrese la contraseña.
Abra el símbolo del sistema.
Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
Escriba cd Windows\System32\drivers y presione Entrar.
Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
Escriba exit y presione Entrar.
Haga clic en Continuar.
Una vez de regreso en Windows, abra el Editor del Registro.
Haga una copia de seguridad del registro.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.
Windows Server Core Edition 2012 y posterior
Escriba bcdedit /set {bootmgr} displaybootmenu yes y presione Entrar.
Escriba shutdown /r /t 00 y presione Entrar para reiniciar el servidor inmediatamente.
Cuando el servidor reinicie en el Administrador de arranque de Windows, presione F8 y seleccione Reparar su computadora.
Seleccione Solucionar problemas y luego seleccione Símbolo del sistema.
Seleccione una cuenta administrativa para continuar e ingrese la contraseña.
Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart con list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
Escriba cd Windows\System32\drivers y presione Entrar.
Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
Escriba bcdedit /set {bootmgr} displaybootmenu no y presione Entrar.
Escriba exit y presione Entrar.
Seleccione Continuar.
Inicie sesión en el servidor e inicie regedit para abrir el Editor del Registro.
Haga una copia de seguridad del registro.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.
Windows 7 y Windows Server 2008 R2
Encienda o reinicie el punto final o el servidor.
Presione F8 para abrir Opciones de arranque avanzadas.
Seleccione Reparar su computadora y presione Entrar.
En la pantalla Opciones de recuperación del sistema, seleccione un idioma y un método de entrada de teclado y haga clic en Siguiente.
Seleccione una cuenta administrativa local para iniciar sesión y haga clic en Aceptar.
En Opciones de recuperación del sistema, haga clic en Símbolo del sistema:
Abra el símbolo del sistema con privilegios de administrador.
Escriba D: y presione Entrar. Nota: Su unidad de arranque puede diferir de D. Si es así, use un comando como DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
Escriba cd Windows\System32\drivers y presione Entrar.
Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
Escriba exit y presione Entrar.
Haga clic en Reiniciar.
Una vez de regreso en Windows, abra el Editor del Registro.
Haga una copia de seguridad del registro.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.
Windows XP y 2003 Server
NOTA: Estas plataformas NO son soportadas por Sophos. Las indicaciones mostradas podrían no ser exactas o no funcionar del todo.
Inicie el equipo an modo seguro.
Presione Inicio, después Ejecutar y escriba services.msc. Confirme con Entrar o haga click en Aceptar.
Busque el servicio Sophos Anti-Virus y haga click sobre el.
Del menú contextual, seleccione Propiedades y en la pestaña General seleccione Deshabilitado en Tipo de inicio. Puede cerrar el gestor de servicios.
De nuevo, presione Inicio, después Ejecutar y escriba regedit. Confirme con Entrar o haga click en Aceptar.
En el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca el valor Start de tipo REG_DWORD en 0x00000004
Después, en el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca and set the following SAVEnabled de tipo REG_DWORD en 0.
Finalmente, en el editor de registro, ir a la ubicación HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection en 0.
