Introducción
Este documento describe un problema que se encuentra en el dispositivo de seguridad Cisco Email Security Appliance (ESA) cuando el correo electrónico fraudulento y spam entra en la red.
Problema
Los estafadores intentan hacerse pasar por correo electrónico. Cuando el correo electrónico se hace pasar por un miembro del personal de la empresa (que supuestamente procede de él), puede ser especialmente engañoso y puede provocar confusión. En un intento de solucionar este problema, los administradores de correo electrónico pueden intentar bloquear el correo entrante que parece originarse dentro de la empresa (correo falso).
Puede parecer lógico que si bloquea el correo entrante de Internet que tiene la dirección de respuesta de la empresa en el nombre de dominio, se solucione el problema. Desafortunadamente, cuando bloquea el correo de esta manera, también puede bloquear el correo electrónico legítimo al mismo tiempo. Tenga en cuenta estos ejemplos:
- Un empleado viaja y utiliza un proveedor de servicios de Internet (ISP) de hotel que redirige de forma transparente todo el tráfico SMTP (protocolo simple de transferencia de correo) a los servidores de correo ISP. Cuando se envía correo, puede parecer que fluye directamente a través del servidor SMTP de la empresa, pero en realidad se envía a través de un servidor SMTP de terceros antes de entregarse a la empresa.
- Un empleado se suscribe a una lista de discusión por correo electrónico. Cuando se envían mensajes a la lista de correo electrónico, se devuelven a todos los suscriptores, aparentemente desde el creador.
- Se utiliza un sistema externo para supervisar el rendimiento o la disponibilidad de los dispositivos visibles externamente. Cuando se produce una alerta, el correo electrónico tiene el nombre de dominio de la empresa en la dirección de respuesta. Los proveedores de servicios externos, como WebEx, lo hacen con bastante frecuencia.
- Debido a un error de configuración de red temporal, el correo desde dentro de la empresa se envía a través del receptor entrante, en lugar del receptor saliente.
- Alguien externo a la empresa recibe un mensaje que reenvía a la empresa con un agente de usuario de correo (MUA) que utiliza nuevas líneas de encabezado en lugar del encabezado original.
- Una aplicación basada en Internet, como las páginas de envío de Federal Express o la página de correo electrónico de Yahoo de este artículo, crea correo legítimo con una dirección de respuesta que apunta a la empresa. El correo es legítimo y tiene una dirección de origen desde dentro de la empresa, pero no se origina desde dentro.
Estos ejemplos muestran que si bloquea el correo entrante basándose en la información del dominio, puede dar lugar a falsos positivos.
Solución
Esta sección describe las acciones recomendadas que debe realizar para resolver este problema.
Aplicar filtros
Para evitar la pérdida de mensajes de correo electrónico legítimos, no bloquee el correo entrante en función de la información del dominio. En su lugar, puede etiquetar la línea de asunto de estos tipos de mensajes a medida que entran en la red, lo que indica al destinatario que los mensajes son potencialmente falsificados. Esto se puede lograr con filtros de mensajes o con filtros de contenido.
La estrategia básica para estos filtros es verificar las líneas de encabezado de cuerpo apuntadas hacia atrás (los datos From son los más importantes), así como el RFC 821 Envelope Sender. Estas líneas de encabezado se muestran más comúnmente en las MUA y son las que tienen más probabilidades de ser falsificadas por una persona fraudulenta.
El filtro de mensajes del siguiente ejemplo muestra cómo etiquetar mensajes que pueden suplantarse. Este filtro realiza varias acciones:
- Si la línea de asunto ya tiene "{Posiblemente falsificado}", el filtro no agrega otra copia. Esto es importante cuando las respuestas se incluyen en el flujo de mensajes, y una línea de asunto puede moverse a través de la puerta de enlace de correo varias veces antes de que se complete un subproceso de mensajes.
- Este filtro busca el remitente del sobre o el encabezado From que tiene una dirección que termina en el nombre de dominio @yourdomain.com. Es importante tener en cuenta que la búsqueda del remitente del correo no distingue automáticamente entre mayúsculas y minúsculas, pero la búsqueda del encabezado desde no lo hace. Si el nombre de dominio se encuentra en cualquier ubicación, el filtro inserta "{Posiblemente Forjado}" al final de la línea de asunto.
A continuación se muestra un ejemplo del filtro:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
Medidas adicionales
Dado que no existe una manera sencilla de identificar el correo falso del correo legítimo, no hay manera de eliminar el problema por completo. Por lo tanto, Cisco recomienda que active IronPort Anti-Spam Scanning (IPAS), que identifica eficazmente el correo fraudulento (phishing) o el spam y lo bloquea positivamente. El uso de este analizador antispam, cuando se combina con los filtros descritos en la sección anterior, proporciona los mejores resultados sin la pérdida de correo electrónico legítimo.
Si debe identificar los correos electrónicos fraudulentos que entran en su red, considere el uso de la tecnología de correo identificado por claves de dominio (DKIM); requiere más configuración, pero es una buena medida frente a los correos electrónicos fraudulentos y de suplantación de identidad.
Nota: para obtener más información sobre los filtros de mensajes, consulte la guía del usuario de AsyncOS en la página de soporte de Cisco Email Security Appliance.