McAfee Security for Microsoft Exchange 8.6.0

Configuración de parámetros de reputación de URL de correo

Configure los parámetros de Reputación de URL de correo para detectar URL maliciosas en el cuerpo del mensaje de correo electrónico.

Cuando se ha activado, MSME analiza cada URL en el cuerpo del correo electrónico, obtiene la calificación de reputación, compara dicha calificación con el umbral definido, y realiza la acción pertinente según la configuración.

El software procesa el mensaje antes de que este entre en la organización quitando las URL del cuerpo del mensaje de correo electrónico. Si un mensaje de correo electrónico contiene varias URL, y una de ella excede el umbral definido, la acción se realiza en el mensaje según la configuración.

La activación de esta función protege el sistema frente a amenazas como los ataques de denegación de servicio (DoS), los vínculos de phishing, y las URL no deseadas o que contienen malware.

La función de reputación de URL de correo está disponible para estas directivas:
En tiempo real
Bajo demanda (predeterminado), y
Bajo demanda (análisis completo)
Según la opción de configuración que haya seleccionado durante la instalación del software, la reputación de URL de correo se activará o desactivará de forma predeterminada para las directivas:
En la configuración predeterminada: desactivada para todas las directivas.
En la configuración mejorada: activada para las directivas de análisis en tiempo real.

Al activar la reputación de URL de correo por primera vez, el software descarga la caché local de las URL del servidor de McAfee GTI.

Para cada URL, el software comprueba con la base de datos local la calificación de reputación y realiza la acción pertinente según la configuración. Si la calificación de reputación no está disponible en la base de datos local, el software obtiene la calificación del servidor de McAfee GTI. El software comprueba con el servidor de McAfee GTI y actualiza la base de datos local a intervalos regulares. Si la base de datos local no se actualiza en 30 días, el software descarga toda la base de datos durante la próxima actualización. De lo contrario, la actualización es incremental. De forma predeterminada, la base de datos local se actualiza una vez cada día. No se puede modificar la ubicación de almacenamiento de la base de datos.

No se puede actualizar la base de datos local mediante ePolicy Orchestrator porque el servidor necesita conexiones directas a Internet. Sin embargo, si se usa el servidor proxy para descargar reglas antispam, se puede usar la misma configuración para descargar la base de datos de URL.
Procedimiento
1 En Administrador de directivas, seleccione un elemento en el menú secundario que tenga el analizador Reputación de URL de correo.
La protección Reputación de URL de correo está disponible solo para las directivas En tiempo real, Bajo demanda (predeterminado) y Bajo demanda (análisis completo).
2 Haga clic en Directiva principal o cualquier directiva secundaria que desee configurar, haga clic en la ficha Enumerar todos los analizadoresy, a continuación, haga clic en Reputación de URL de correo.
3 En Activación, seleccione Activar.
Para configurar opciones de una directiva secundaria, seleccione Usar configuración de la directiva principal para que herede la configuración de la directiva principal.
Si añade un analizador a la directiva, puede especificar una hora de activación del analizador mediante la lista desplegable ¿A qué hora desea que esto se aplique?.
4 En la lista desplegable Opciones, puede seleccionar:
Configuración predeterminada de URL de correo: para aplicar los valores de umbral predeterminados.
Crear nuevo grupo de opciones: para definir valores de umbral según se necesiten.
Si edita la configuración existente, asegúrese de proporcionar un Nombre de instancia exclusivo para la configuración del analizador.
5 Para definir la configuración del analizador, seleccione Crear nuevo grupo de opciones.
6 En la página Reputación de URL de correo, defina estos valores y luego haga clic en Guardar.
Nombre de instancia Umbral de reputación de URL inferior
Umbral de reputación de URL superior Número máximo de URL para cada correo electrónico
El valor Umbral de reputación de URL superior siempre debe ser mayor que el valor Umbral de reputación de URL inferior.

Si una URL aparece varias veces, se cuenta una sola vez y no las que aparece. Por ejemplo, si el correo electrónico contiene 50 URL y una URL aparece 20 veces, la suma de URL es 31 y no 50.

7 En la sección Acciones para realizar, haga clic en Editar para definir las acciones.
También puede aplicar la configuración predeterminada.
8 En la página Acciones de reputación de URL de correo, defina estos parámetros para Si la calificación de reputación de URL de correo supera el umbral superior, Si la calificación de reputación de URL de correo supera el umbral inferior, y Si el recuento de la búsqueda de URL de correo supera el límite.
a En la lista desplegable Realizar la siguiente acción, seleccione:
Sustituir elemento por una alerta.
Eliminar mensaje.
Permitir paso.
Cuando seleccione Sustituir elemento por una alerta, seleccione el formato de alerta:
Alerta predeterminada Reputación de URL de correo: para usar el mensaje de alerta predeterminado.
Crear: para definir el mensaje de alerta según se requiera. Escriba un nombre exclusivo para el Nombre de la alerta, defina el mensaje de alerta, defina el formato de texto en la lista desplegable Mostrar y luego haga clic en Guardar.
McAfee recomienda que se guarden las alertas en formato de texto simple para que el contenido de texto se pueda visualizar mediante un cliente de correo electrónico.
b En la sección Y también, defina estas opciones:
Registro Notificar al remitente interno
Poner en cuarentena Notificar a remitente externo
Reenviar correo electrónico en cuarentena Notificar al destinatario interno
Notificar al administrador Notificar a destinatario externo
Para obtener definiciones de cada una de estas opciones, consulte Acciones que puede realizar en detecciones.
9 Haga clic en Guardar para aplicar la configuración y volver a la página de la directiva.
10 Haga clic en Aplicar para implementar la configuración en una directiva.
Puede ver las URL detectadas en la página Elementos detectados | Reputación de URL de correo. En la sección Ver resultados, puede ver la lista de URL detectadas. Haga clic en las URL bloqueadas en la columna Expresiones prohibidas para obtener una vista detallada.

Ejemplos de umbral de reputación de URL superior y inferior

Establezca el valor del Umbral de reputación de URL superior en 80 y el del Umbral de reputación de URL inferior en 50. Si la calificación de reputación de la URL es:
La calificación de reputación de GTI es Acción
Superior a 80 Se realiza una acción según la configuración de Reputación de URL de correo.
Inferior a 50 MSME permite el correo electrónico con la URL.
Entre 50 y 80 MSME sospecha que la URL podría ser maliciosa y realiza una acción según la configuración.
El valor de umbral de Altamente sospechoso detecta las URL maliciosas más peligrosas. A medida que se reduce el valor de umbral, aumentan las posibilidades de obtener falsos positivos. Falso positivo: una URL podría ser legítima, pero la base de datos la considera una URL potencialmente maliciosa.