Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=email-message-authentication

Autenticación del mensaje

La autenticación del mensaje le permite verificar si un mensaje de correo electrónico se origina donde dice originarse. Sophos Email utiliza DMARC, SPF y DKIM para ello.

Las comprobaciones de autenticación del mensaje se realizan en el orden en que aparecen en su política de Email Security. Si un correo electrónico no supera la primera autenticación del mensaje, no se llevan a cabo las demás autenticaciones. Consulte Cómo funciona la autenticación del mensaje.

Para obtener más información sobre el orden en que se llevan a cabo las autenticaciones en diferentes escenarios, consulte Secuencia de autenticación del mensajes.

Se recomienda establecer cada categoría de autenticación del mensaje en Cuarentena.

Para anular la autenticación del mensaje, permita dominios y direcciones de correo electrónico en la Lista de permitidos entrantes.

Para cada una de las autenticaciones del mensaje, puede elegir enviar los mensajes que fallen a la Cuarentena de usuario final.

Aviso

Si está suscrito a Sophos EMS y está configurado detrás de su herramienta principal de seguridad de correo electrónico de un proveedor externo, es posible que Sophos reciba correos electrónicos modificados. Como resultado, puede que fallen las comprobaciones DKIM y que la alineación DMARC no funcione correctamente. Una comprobación DKIM o DMARC que haya fallado no significa necesariamente que el correo electrónico sea un riesgo para la seguridad.

Configurar la autenticación del mensaje

Para configurar la autenticación del mensaje, haga lo siguiente:

  1. En la política de Email Security, vaya a Configuración > Entrante > Autenticación.

  2. Active las comprobaciones DMARC, SPF y DKIM según sea necesario.

    Nota

    Por defecto, la comprobación DMARC está activada, y Error grave está configurado como Ajustar a la política del remitente.

  3. Haga clic en Añadir regla para configurar los tipos de error y elegir la acción para cada comprobación.

    Para obtener más información sobre los tipos de errores y las acciones disponibles, consulte DMARC, SPF y DKIM.

    Es posible que la adición de otros tipos de error de DMARC aún no esté disponible para todos los clientes.

  4. Guarde la política.

La nueva configuración de autenticación se aplica a todos los correos electrónicos entrantes. Las condiciones añadidas se verifican de arriba abajo, y se aplica la primera coincidencia.

DMARC

Autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un protocolo de informes y políticas de autenticación del correo electrónico. Parte de los protocolos DKIM y SPF para detectar y evitar la falsificación de correo electrónico. Puede controlar lo que ocurre con los mensajes que no superan las comprobaciones DMARC.

Error grave: Este error se produce cuando un mensaje no supera DMARC porque ni la comprobación SPF ni la DKIM son satisfactorias con alineación. Por defecto, esta opción está configurada como Ajustar a la política del remitente.

La alineación SPF se comprueba comparando el dominio en el encabezado-de con el dominio en el sobre-de. La alineación DKIM se comprueba para el d=domain en la firma DKIM contra el dominio en el encabezado-de.

También puede configurar su política de Email Security para comprobar los tipos de error de DMARC.

Es posible que las opciones que se indican a continuación aún no estén disponibles para todos los clientes.

Puede configurar las opciones siguientes:

  • p=none: Esta opción le permite realizar una acción en caso de error de DMARC cuando la política del remitente está configurada como none.

    Nota

    Es útil añadir este tipo de error solo cuando la opción Error grave está configurada como Ajustar a la política del remitente. Cuando usted Ajustar a la política del remitente y el remitente ha establecido la política en ninguno (p=none), no se puede realizar una acción por error si falla la comprobación DMARC para el mensaje del remitente.

  • No compatible: Este error se produce cuando no existe ningún registro DMARC para el dominio remitente. Este tipo de error solo es relevante para el modo de puerta de enlace.

  • M365 bestguesspass: Este tipo de error solo es relevante para el modo de flujo de correo de M365. Para obtener detalles sobre cómo M365 evalúa "bestguesspass", consulte la documentación de M365.
  • Error temporal: Este error se produce cuando la búsqueda de registros DMARC en DNS (servidor de nombres de dominio) devuelve un error temporal. Este error puede resolverse por sí solo sin ninguna intervención.
  • Error permanente: Este error se produce cuando el registro DMARC del dominio devuelto por la búsqueda DNS no puede interpretarse correctamente. Este error puede ser resuelto por el propietario del registro DNS.

Para cada tipo de error, puede aplicar una acción como se indica a continuación:

  • Ajustar a la política del remitente: Lo que ocurre con el mensaje depende de lo que el remitente haya indicado en su política DMARC. Este es el valor predeterminado.

    Nota

    Esta acción se aplica solo a Error grave.

  • Etiquetar línea de asunto: Sophos Email añade una etiqueta al asunto del correo electrónico para indicar que es un mensaje falsificado.

  • Cuarentena: El mensaje se pone en cuarentena.

    Nota

    Si selecciona Incluir en cuarentena de usuario final, sus usuarios pueden comprobar, liberar o eliminar mensajes. Consulte Cuarentena de usuario final.

  • Rechazar: El mensaje se rechaza.

    Nota

    Los encabezados sin formato no están disponibles para los mensajes rechazados.

  • Entregar: El mensaje se entrega en el siguiente nivel de escaneado.

SPF

Sender Policy Framework (SPF) le permite verificar que el correo electrónico entrante procede de una dirección IP autorizada por los administradores del dominio emisor. Los mensajes de spam y phishing suelen utilizar direcciones falsificadas.

El error grave se produce cuando la dirección IP del remitente no figura en la lista de remitentes autorizados. Para garantizar que solo la dirección IP autorizada pueda enviar correos electrónicos, el remitente debe añadir -all en el registro SPF. Esta opción es la comprobación SPF predeterminada para la que puede configurar la acción de error.

También puede configurar para otros tipos de error de SPF, como:

  • Error leve: Se produce cuando la dirección IP del remitente probablemente no está autorizada. Esto podría deberse a que el propietario del dominio no ha establecido una restricción más definitiva, lo que daría lugar a un error más grave. Para garantizar que solo la dirección IP autorizada pueda enviar correos electrónicos, pero no de forma definitiva, el remitente debe añadir ~all en el registro SPF.
  • Neutro: Ocurre cuando el dominio del remitente declara explícitamente que no está afirmando si la dirección IP del remitente está autorizada o no, especificando ?all en el registro SPF. En ese caso, los correos electrónicos procedentes de cualquier dirección IP de remitente dan un resultado neutro.
  • No compatible: Se produce cuando el remitente no ha configurado el registro SPF.
  • Error temporal: Se produce debido a un error temporal, normalmente debido al DNS, al realizar la comprobación. Este error puede resolverse por sí solo sin ninguna intervención del operador DNS.
  • Error permanente: Se produce cuando los registros publicados del dominio no se pueden interpretar correctamente. Indica un error que requiere la intervención del operador DNS.

Para cada tipo de error, puede aplicar una acción como se indica a continuación:

  • Etiquetar línea de asunto: Sophos Email añade una etiqueta al asunto del correo electrónico para indicar que es un mensaje falsificado. Este es el valor predeterminado.

  • Cuarentena: El mensaje se pone en cuarentena.

    Nota

    Si selecciona Incluir en cuarentena de usuario final, sus usuarios pueden comprobar, liberar o eliminar mensajes. Consulte Cuarentena de usuario final.

  • Rechazar: El mensaje se rechaza.

    Nota

    Los encabezados sin formato no están disponibles para los mensajes rechazados.

  • Entregar: El mensaje se entrega en la siguiente fase.

DKIM

Correo identificado por DomainKeys (DKIM) es un marco de autenticación utilizado para firmar y validar un mensaje en función del dominio del remitente. Puede controlar lo que ocurre con los mensajes que no superan las comprobaciones DKIM.

El error grave se produce cuando la comprobación DKIM está configurada, la firma DKIM está en el correo electrónico y el DNS responde correctamente, pero DKIM no es satisfactoria. Esta opción es la comprobación DKIM predeterminada para la que puede configurar la acción de error.

También puede configurar otros tipos de error de DKIM, como:

  • No compatible: Se produce cuando el remitente no ha configurado DKIM o la clave DKIM publicada por el remitente en el registro DNS no es válida.
  • Error temporal: Se produce debido a un error temporal, normalmente debido al DNS, al realizar la comprobación. Este error puede resolverse por sí solo sin ninguna intervención del operador DNS.
  • Error permanente: Se produce cuando los registros publicados del dominio no se pueden interpretar correctamente. Indica un error que requiere la intervención del operador DNS.

Para cada tipo de error, puede aplicar una acción como se indica a continuación:

  • Etiquetar línea de asunto: Sophos Email añade una etiqueta al asunto del correo electrónico para indicar que es un mensaje falsificado. Este es el valor predeterminado.

  • Cuarentena: El mensaje se pone en cuarentena.

    Nota

    Si selecciona Incluir en cuarentena de usuario final, sus usuarios pueden comprobar, liberar o eliminar mensajes. Consulte Cuarentena de usuario final.

  • Rechazar: El mensaje se rechaza.

    Nota

    Los encabezados sin formato no están disponibles para los mensajes rechazados.

  • Entregar: El mensaje se entrega en la siguiente fase.