Establece reglas para detectar archivos adjuntos dañinos

Como administrador, puedes configurar Gmail para que analice todos los archivos adjuntos de correos electrónicos en la Zona de pruebas de seguridad. Este parámetro de configuración está desactivado de forma predeterminada.

1. En la Consola del administrador de Google, ve a Menú AppsGoogle WorkspaceGmailSpam, suplantación de identidad (phishing) y software malicioso.

   Ir a Spam, phishing y software malicioso

   Es necesario tener el privilegio de administrador de configuración de Gmail.

2. Selecciona la unidad organizativa para la que quieras definir la configuración. Si quieres establecer la configuración para todos los usuarios, selecciona la unidad principal. También puedes seleccionar una de las unidades organizativas secundarias.
3. Desplázate hasta Zona de pruebas de seguridad en la sección Spam, phishing y software malicioso. Las reglas de la zona de pruebas de seguridad se encuentran en la parte inferior de esta sección.
4. Para analizar todos los archivos adjuntos, marca la casilla Habilitar la ejecución virtual de los archivos adjuntos en un entorno de zona de pruebas….

   Nota: Cuando se marca esta casilla, se analizan todos los archivos adjuntos en la Zona de pruebas de seguridad, incluso si configuras reglas específicas de la zona de pruebas.

5. En la parte inferior de la página, haz clic en Guardar.

Agrega reglas para especificar qué mensajes se analizan.

1. En la Consola del administrador de Google, ve a Menú AppsGoogle WorkspaceGmailSpam, suplantación de identidad (phishing) y software malicioso.

   Ir a Spam, phishing y software malicioso

   Es necesario tener el privilegio de administrador de configuración de Gmail.

2. Selecciona la unidad organizativa para la que quieras definir la configuración. Si quieres establecer la configuración para todos los usuarios, selecciona la unidad principal. También puedes seleccionar una de las unidades organizativas secundarias.

3. En la sección Spam, phishing y software malicioso, en Zona de pruebas de seguridad, desmarca la casilla Habilitar la ejecución virtual de los archivos adjuntos en un entorno de zona de pruebas…. Cuando esta casilla está desactivada, los archivos adjuntos se analizan en la zona de pruebas solo si coinciden con las reglas de la zona de pruebas.

4. En la parte inferior de la sección Spam, phishing y software malicioso, selecciona Reglas de zona de pruebas de seguridad y, luego, haz clic en Configurar.

5. En el cuadro Agregar parámetro de configuración, en Reglas de la zona de pruebas de seguridad, ingresa un nombre para la regla. Este nombre aparece en la página de configuración.

6. En la sección Mensajes de correo electrónico que se verán afectados, marca las casillas junto a los tipos de mensajes:

   • Entrantes: Son los mensajes que se envían a tu organización desde dominios externos.

   • Internos (recepción): Son los mensajes enviados y recibidos dentro de los dominios y subdominios de tu organización.

     Un dominio es interno si es un dominio de Workspace verificado, o bien un subdominio o dominio principal de un dominio de Workspace verificado.

7. En la sección Agrega expresiones que describan el contenido que deseas buscar en cada mensaje, haz lo siguiente:

   1. Selecciona si deseas que coincidan todas las expresiones o solo algunas. Por ejemplo, si seleccionas Si CUALQUIERA de las siguientes reglas coinciden con el mensaje, cualquier condición coincidente activará un análisis de archivos adjuntos en Security Sandbox.

   2. En la casilla Expresiones, haz clic en Agregar.

   3. En la lista, elige lo que deseas especificar para la expresión y, luego, haz clic en Guardar.

      • Coincidencia de contenido simple: Coincide con el contenido que especifiques. La correlación de contenido simple funciona como la función de búsqueda en Gmail. Por ejemplo, si buscas orden de compra,se devolverá cualquier cadena que contenga las palabras compra y orden. Obtén más información sobre los operadores de búsqueda de Gmail.

      • Coincidencia avanzada de contenido: Selecciona la Ubicación del texto dentro del mensaje y el Tipo de coincidencia, y, luego, ingresa el contenido que deseas buscar. A diferencia de la coincidencia de contenido simple, la cadena debe ser una coincidencia exacta. En las siguientes tablas, se incluye una descripción de cada ubicación dentro del mensaje y los tipos de coincidencia. Obtén más información sobre las opciones de la función de Concordancia de contenido avanzada.

      • Coincidencia de metadatos: Selecciona el atributo que deseas que coincida y el Tipo de coincidencia. Si es necesario, ingresa el valor de coincidencia. Consulta la siguiente tabla para obtener una descripción de los atributos de metadatos y los tipos de concordancia. Obtén más información sobre los atributos de metadatos y los tipos de concordancia.

      • Coincidencia de contenido predefinido: Selecciona uno de los detectores de contenido predefinidos. Por ejemplo, selecciona Número de tarjeta de crédito o Número de seguridad social. De manera opcional, puedes establecer la cantidad de veces que el detector debe aparecer en un mensaje para activar la acción que definas. También puedes activar un análisis cuando el detector del mensaje alcance un umbral de confianza. Nota: Esta función no está disponible en todas las ediciones. Consulta Cómo analizar tu tráfico de correo electrónico con la prevención de pérdida de datos para obtener más información.

      Opciones para la correlación de contenido avanzada

      • Ubicación: Es la sección del mensaje de correo electrónico en la que aparece el contenido.

        Tipo de ubicación	Descripción
        Encabezados y cuerpo	Son los encabezados completos más el cuerpo. Incluye los archivos adjuntos (partes MIME decodificadas).
        Encabezados completos	Todos los campos de encabezado. No incluye el cuerpo del mensaje ni los archivos adjuntos.
        Cuerpo	Es la parte principal del texto del mensaje de correo electrónico. Incluye archivos adjuntos (partes MIME codificadas).
        Asunto	Asunto del mensaje, tal como aparece en el encabezado del correo electrónico.
        Encabezado de remitente	Es la dirección de correo electrónico del remitente, tal como se indica en el encabezado De:. Puede diferir del remitente que se indica en el campo Remitente del sobre. El encabezado del remitente consta de la dirección de correo electrónico, que se encuentra entre corchetes angulares, y no incluye el nombre del propietario de la cuenta. Por ejemplo, considera lo siguiente: De: Juana García <jdoe@example.com> El encabezado del remitente es jdoe@example.com. Nota: El lado izquierdo de las direcciones @gmail.com y @googlemail.com se convierte a la representación canónica. Por ejemplo, jane.doe@gmail.com se convierte en janedoe@gmail.com.
        Encabezado de destinatarios	Los destinatarios, según se indica en los encabezados de correo electrónico, Para:, Cc: y Cco:. Puede ser diferente de los destinatarios que se indican en Cualquier destinatario del sobre. Solo se compara un destinatario a la vez. Si hay 2 o más destinatarios, la regla de contenido avanzada no coincide con todos los destinatarios en una sola cadena. Para configurar una regla para los mensajes enviados a varios usuarios, usa Encabezados completos. El encabezado del destinatario consta de la dirección de correo electrónico, que se encuentra entre corchetes angulares, y no incluye el nombre del propietario de la cuenta. Por ejemplo, considera lo siguiente: Para: Jane Doe <jdoe@example.com> Cc: John Doe <johndoe@example.com> Cco: John Smith <jsmith@example.com> Los encabezados de destinatario son jdoe@example.com, johndoe@example.com y jsmith@example.com.
        Remitente del sobre	Es el remitente original que se denunció durante la solicitud de comunicación SMTP. Puede ser diferente del remitente que se indica en el encabezado Sender. A menudo, pero no siempre, coincide con la dirección que se encuentra en el encabezado "Return-path".
        Cualquier destinatario del sobre	Son los destinatarios que se denunciaron durante la solicitud de comunicación SMTP. Estos pueden ser diferentes de los destinatarios que se indican en el encabezado Recipient. Esto puede incluir a las personas agregadas como parte de la expansión de un grupo. Solo se compara un destinatario a la vez. Si hay 2 o más destinatarios, la regla de contenido avanzada no coincide con todos los destinatarios en una sola cadena.
        Mensaje sin procesar	Encabezados completos más el cuerpo, incluidos todos los archivos adjuntos y otras partes MIME del mensaje. No se decodifican las partes MIME.

      • Tipo de concordancia: Son los parámetros que se usan para determinar una concordancia.
        

        Tipo de concordancia	Descripción
        Comienza con	Busca en la ubicación seleccionada contenido que comience con el carácter o la cadena especificados.
        Termina con	Busca en la ubicación seleccionada contenido que termina con el carácter o la cadena especificados.
        Contiene texto	Busca en la ubicación seleccionada el contenido que contiene la cadena especificada.
        No contiene texto	Busca en la ubicación seleccionada contenido que no tenga la cadena especificada.
        Es igual a	Busca en la ubicación seleccionada contenido que coincida exactamente con la cadena especificada.
        Está vacío	Busca en la ubicación seleccionada el contenido que esté vacío.
        Hacer coincidir con regex	Busca en la ubicación seleccionada contenido que coincida con la expresión regular especificada.
        No coincide con la regex	Busca en la ubicación seleccionada contenido que no coincida con la expresión regular especificada.
        Coincide con cualquier palabra	Busca en la ubicación seleccionada contenido que coincida con cualquier palabra de la lista especificada.
        Coincide con todas las palabras	Busca en la ubicación seleccionada contenido que coincida con todas las palabras de la lista especificada.

      • Contenido: Es el texto que se debe hacer coincidir.

      Atributos de metadatos y tipos de concordancia

      Atributo	Tipo de concordancia	Descripción
      Autenticación de mensajes	El mensaje está autenticado El mensaje no está autenticado	Selecciona esta opción para incluir en tu expresión de cumplimiento los mensajes que se autentican o no. Esta opción cumple con el estándar de DMARC. Los mensajes se autentican si pasan el SPF o el DKIM. Si los mensajes no pasan una de estas verificaciones de autenticación, se consideran no autenticados. Obtén más información sobre SPF, DKIM y DMARC.
      IP de origen	Está dentro del siguiente rango No está dentro del siguiente rango	Selecciona esta opción para incluir en tu expresión de cumplimiento los mensajes que se encuentran dentro del rango de IP especificado o que no se encuentran dentro de él.
      Transporte seguro (TLS)	La conexión está encriptada con TLS La conexión no está encriptada con TLS	Selecciona esta opción para incluir en tu expresión de cumplimiento los mensajes recibidos que están o no encriptados con TLS.
      Tamaño del mensaje	Es mayor que el siguiente tamaño (MB) Es menor que el siguiente tamaño (MB)	Selecciona esta opción para incluir en tu expresión de cumplimiento los mensajes que sean mayores o menores que el tamaño especificado. Ingresa el tamaño del mensaje en MB en el campo. El tamaño es el tamaño sin procesar de todo el mensaje, que puede ser hasta un 33% mayor que el tamaño original del mensaje y los archivos adjuntos. Esto se debe a la sobrecarga de codificación estándar.
      Encriptación S/MIME	El mensaje está encriptado con S/MIME El mensaje no está encriptado con S/MIME	Selecciona esta opción para incluir mensajes que estén o no encriptados con S/MIME. Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Comparar tu edición
      Firmado con S/MIME	El mensaje está firmado con S/MIME El mensaje no está firmado con S/MIME	Selecciona esta opción para incluir los mensajes que están firmados con S/MIME o no lo están. Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Comparar tu edición
      Modo confidencial de Gmail	Mensajes que estén en el Modo confidencial de Gmail Mensajes que no estén en el Modo confidencial de Gmail	Selecciona esta opción para incluir mensajes que sean o no de Modo confidencial de Gmail.

8. Verifica que Ejecutar zona de pruebas de seguridad aparezca como la acción cuando coinciden las expresiones. Las condiciones de coincidencia siempre activan la acción para analizar los archivos adjuntos en la zona de pruebas de seguridad (Ejecutar zona de pruebas de seguridad).
9. Si completaste la configuración, haz clic en Agregar parámetro de configuración o en Guardar y, luego, en Guardar en la parte inferior de la página Configuración avanzada de Gmail. También puedes ir a estos parámetros de configuración:
   • Analiza los archivos adjuntos si los mensajes provienen de listas de direcciones específicas
   • Analiza los archivos adjuntos de tipos de cuentas específicos
   • Analiza los archivos adjuntos de remitentes, destinatarios y grupos (filtro de sobre)

Puedes especificar listas de direcciones como criterios de análisis. Las listas de direcciones incluyen direcciones de correo electrónico, dominios o ambos.

Para determinar si una regla se aplica a una lista de direcciones, esta regla usa los valores del remitente"from" para el correo electrónico recibido y los destinatarios para el correo electrónico enviado. En el caso de los remitentes, también se verifica el requisito de autenticación. Si se especifican varias listas, una dirección debe coincidir con al menos una de las listas para que se aplique una regla.

1. Abre el cuadro de configuración Agregar o Editar siguiendo los pasos que se indican en Analiza los archivos adjuntos si los mensajes coinciden con las reglas especificadas.
2. Haz clic en Mostrar opciones.

3. En la sección Opciones, marca el recuadro Usar listas de direcciones para omitir o supervisar la app de este parámetro de configuración.

4. Selecciona una opción:

   • Omitir este parámetro de configuración para ciertos dominios o direcciones: Omite la regla si coincide la lista de direcciones, independientemente de cualquier otro criterio especificado en la regla.

   • Aplicar este parámetro de configuración únicamente a ciertos dominios o direcciones: La coincidencia de la lista de direcciones se convierte en una condición para determinar si se aplica la regla. Si hay otros criterios en la regla (expresiones de coincidencia, tipos de cuenta o filtros de sobre), esas condiciones también deben coincidir para que se aplique la regla.

5. Junto a Aún no se usó ninguna lista, haz clic en Usar una existente o crear una nueva.

6. En el cuadro Available lists, realiza una de las siguientes acciones:

   • Selecciona el nombre de una lista existente y, luego, haz clic en Usar.

   • Ingresa un nombre para una lista nueva en el campo Crear lista nueva y, luego, haz clic en Crear.

7. Para agregar dominios o direcciones de correo electrónico a la lista, haz lo siguiente:
   1. Coloca el cursor sobre el nombre de la lista y, luego, haz clic en Editar.
   2. Agrega direcciones de correo electrónico o dominios a la lista y haz clic en Agregar.
   3. Ingresa una dirección de correo electrónico o un nombre de dominio completos, como solarmora.com. Para agregar varias direcciones, sepáralas con una coma o un espacio.
   4. Marca la casilla No exigir la autenticación del remitente para omitir la regla para los remitentes aprobados que no tienen configurada la autenticación. Usa esta opción con precaución, ya que puede generar suplantación de identidad.
   5. Haz clic en Guardar.

8. Si completaste la configuración, haz clic en Agregar parámetro de configuración en la parte inferior del cuadro y, luego, en Guardar en la parte inferior de la página Configuración avanzada de Gmail. De lo contrario, ve a Tipos de cuentas que se verán afectadas.

Puedes especificar mensajes de ciertos tipos de cuentas para que se analicen. De forma predeterminada, se selecciona el tipo de cuenta Usuarios, pero puedes especificar más de un tipo de cuenta. Si configuras un parámetro de configuración de salida, el tipo de cuenta debe coincidir con el tipo del remitente.

1. Abre el cuadro de configuración Agregar o Editar siguiendo los pasos que se indican en Analiza los archivos adjuntos si los mensajes coinciden con las reglas especificadas.
2. Haz clic en Mostrar opciones.
3. En la sección Opciones, selecciona la configuración para Tipos de cuentas que se verán afectadas:
   • Usuarios
   • Desconocida/genérica
4. Si terminaste de realizar los cambios, haz clic en Agregar parámetro de configuración o Guardar y, luego, en Guardar en la parte inferior de la página Configuración avanzada de Gmail. De lo contrario, ve a Especifica un filtro de sobre.

Puedes especificar la información del sobre del correo electrónico como criterio de análisis. La información del sobre del correo electrónico incluye las direcciones de correo electrónico del remitente y el destinatario.

1. Abre el cuadro de configuración Agregar o Editar siguiendo los pasos que se indican en Analiza los archivos adjuntos si los mensajes coinciden con las reglas especificadas.
2. Haz clic en Mostrar opciones.
3. En la sección Opciones, selecciona la configuración para el filtro de sobre: Marca la casilla Solo afectar a remitentes específicos del sobre, la casilla Solo afectar a destinatarios específicos del sobre o ambas.
4. Selecciona una opción:

   • Única dirección de correo electrónico: Especifica un solo usuario ingresando una dirección de correo electrónico. Debe ser la dirección de correo electrónico completa y debe incluir @ y el nombre de dominio. La coincidencia no distingue mayúsculas de minúsculas.

   • Coincidencia de patrón: Ingresa una expresión regular para especificar un conjunto de remitentes o destinatarios en tu dominio. Haz clic en Probar expresión para asegurarte de que la sintaxis sea correcta. Por ejemplo, aplica este parámetro de configuración solo a 3 usuarios específicos ingresando la lista de usuarios con esta sintaxis de expresión regular:

     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

     En la expresión:
     • ^ coincide con el inicio de una línea nueva.
     • (?i) hace que la expresión no distinga mayúsculas de minúsculas.
     • $ coincide con el final de una línea.

     Obtén más información para usar expresiones regulares.

   • Membresía de grupo: Selecciona uno o más grupos de la lista. En el caso de los remitentes de sobres, esta opción solo se aplica a los correos electrónicos enviados. En el caso de los destinatarios de sobres, solo se aplica a los correos electrónicos recibidos. Si no lo hiciste, primero deberás crear el grupo.

5. Haz clic en Agregar parámetro de configuración o en Guardar en la parte inferior del cuadro y, luego, haz clic en Guardar en la parte inferior de la página Configuración avanzada de Gmail.
   
   Los archivos adjuntos se analizan según las reglas especificadas.

Informes y compatibilidad con otros análisis de correo electrónico

En el informe Filtro de spam - Software malicioso, se muestra la cantidad de archivos adjuntos maliciosos identificados. También se enumeran los mensajes que se identificaron como maliciosos. En el informe, no se muestra la cantidad de archivos adjuntos analizados. Este informe está disponible en el panel de seguridad de Google Workspace.