Cómo funcionan las comprobaciones del remitente

Las comprobaciones del remitente se utilizan para verificar la autenticidad del origen de un correo electrónico.

En este tema se explican los tipos de comprobaciones del remitente que utiliza Sophos Email para protegerle frente a los correos electrónicos ilegítimos.

Nota En este tema se incluye una breve explicación de cómo funcionan las comprobaciones del remitente, pero no se explica en detalle cómo configurar registros DNS (DMARC, DKIM, SPF), ya que se centra en lo que ocurre con el correo entrante.

SPF

Sender Policy Framework (SPF) le permite verificar que el correo electrónico entrante procede de una dirección IP o un host de envío autorizado por los administradores del dominio emisor.

El remitente crea un registro SPF que especifica los hosts, las direcciones IP y las subredes que están autorizados para enviar correo para su dominio.

Cuando Sophos Email recibe un correo electrónico, revisa la dirección del servidor de correo de envío y lo compara con los remitentes autorizados del registro SPF. Si no coinciden, no se supera la comprobación de SPF.

DKIM

DomainKeys Identified Mail (DKIM) se utiliza para autorizar un correo electrónico verificando su firma digital, lo que asocia un nombre de dominio con el correo electrónico.

El remitente decide qué parte del correo electrónico quiere que se firme (encabezado y/o cuerpo) y luego configura su servidor de correo para crear un hash de esas partes. Después se cifra el hash con su clave privada. También publica un registro DKIM que contiene la clave pública utilizada para descifrar la firma.

Cuando Sophos Email ve que un correo electrónico tiene una firma DKIM, realiza una búsqueda DNS para encontrar el registro DKIM asociado con el dominio de envío. Utiliza la clave pública para descifrar la firma digital hasta el valor hash. Luego toma los elementos del mensaje que se firmaron y crea su propio hash que compara con el hash descifrado. Si no coinciden, no se supera la comprobación de DKIM.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) utiliza tanto DKIM como SPF para validar la autenticidad de un correo electrónico.

El remitente crea un registro DMARC que ordena al receptor que realice comprobaciones de DMARC y contiene información sobre qué hacer si no se supera el DMARC.

Cuando se recibe un correo electrónico, Sophos Email realiza una comprobación de DNS para encontrar el registro DMARC del dominio especificado en la dirección de (encabezado) del correo electrónico. El registro DMARC indica al receptor (en este caso, Sophos Email) que compruebe el DMARC y especifica qué hacer con el correo electrónico que no supera las comprobaciones de DMARC. La opción predeterminada de Sophos Email para los mensajes que no superan las comprobaciones de DMARC es Ajustar a la política del remitente, lo que significa que lo que ocurre con el mensaje depende de lo que se define en el registro DMARC. El dominio especificado en la dirección de se compara con la información de los registros SPF y DKIM para verificar que los dominios coinciden. Para superar una comprobación de DMARC, es necesario que el mensaje supere las comprobaciones de validación y alineación para SPF o DKIM:

  • Para SPF, el dominio especificado en la dirección CORREO DE (sobre) debe coincidir con una de las direcciones IP o subredes especificadas en el registro SPF. Luego DMARC compara la dirección CORREO DE con la dirección de para asegurarse de que están alineadas.
  • Para DKIM, se debe validar la firma, y el dominio especificado en la dirección de debe coincidir con el dominio utilizado para crear la firma especificada en el registro DNS.

Anomalías del encabezado

La comprobación Anomalías del encabezado le protege contra los correos electrónicos falsificados de remitentes de su propio dominio.

Identifica un mensaje de correo electrónico que parece proceder de su propio dominio pero que se origina externamente al verificar la dirección CORREO DE del sobre y el encabezado de del correo y compararlo con el dominio del destinatario.

  • Si el dominio que aparece en la dirección de pertenece al mismo cliente que el dominio del destinatario, se considera que el correo es falso.
  • Si la dirección de del encabezado es distinta a la dirección CORREO DE del sobre, se considera que el correo es falso.
Nota El encabezado debe coincidir con los dos criterios anteriores para activar la comprobación Anomalías del encabezado.