Implementación de Whitelist para Trend Micro
Whitelisting por dominio en Trend Micro
Advanced Spam Protection
1. Dirigirse a la pestaña Advanced Threat Protection > Add.
2. Seleccionar la política a crear de acuerdo al servicio:
- Exchange
- OneDrive
- SharePoint
- Box
- Dropbox
3. A la izquierda, seleccionar Advanced Spam Protection.
4. Tildar la opción Enable Advanced Spam Protection.
5. Seleccionar la sección Approved/Blocked Sender List.
6. Tildar la opción Enable the approved sender list.
7. Ingresar *@livefense.com en el cuadro de texto y presionar el botón Add.
8. Seleccionar la sección de configuración -> Rules.
9. Seleccionar la opción Incoming messages en el combobox Apply to:
10. Seleccionar el nivel de detección Medium.
Malware Scanning
11. Seleccionar Malware Scanning en la sección de la izquierda.
12. Selecciona la sección Rules.
13. Seleccionar la opción Incoming messages en el combobox Apply to:.
14. En la sección Malware Scanning, seleccionar Scan all files y tildar las opciones Scan message body y Enable IntelliTrap.
15. Seleccionar la sección Action.
16. En Action:, seleccionar la opción Trend Micro recommend actions.
17. En Notification:, seleccionar la opción Notify.
Web Reputation
18. Seleccionar Web Reputation en la sección de la izquierda.
19. Tildar la opción Enable Web Reputation.
20. Selecciona la sección Rules.
21. En el combobox Apply to: seleccionar la opción All messages.
22. Seleccionar Establecer Security Level:, en Medium.
23. Selecciona la sección Approved/Blocked URL List.
24. Tildar la opción Enable the approved URL list.
25. Tildar la opción Add internal domains to the approved URL list.
26. Ingresar las IPs y dominios de SMARTFENSE como hostnames en el campo de texto correspondiente.
27. Presionar el botón Add >
Virtual Analyzer
28. Seleccionar Virtual Analyzer en la sección de la izquierda.
29. Tildar la opción Enable Virtual Analyzer.
30. En Lista de remitentes permitidos agregar el correo electrónico info@livefense.com como se muestra en la imágen siguiente:
31. Click en el botón Save.
Cuando todos los pasos de cada sección se hayan configurado, la nueva política
aparecerá bajo la pestaña Advanced Threat Protection.
Permitir emails de campañas de Phishing a usuarios finales con Hosted Email Security (HES)
No escanear las URL en los emails de campañas de Phishing
1. En la consola de Hosted Email Security (HES) ir a:
a. Inbound Protection -> Policy Objects -> Keyword Expressions.
2. Crear una nueva expresión de palabra clave para SMARTFENSE
a. Establecer Match en el valor Any Specified.
b. Clic en el botón Add.
c. Ingresar la siguiente frase o palabra clave:
i. SMARTFENSE
ii. Esta es una prueba de seguridad de phishing de SMARTFENSE que ha sido autorizada por la organización receptora.
d. Clic en Save.
3. Ir a sus políticas y seleccionar Inbound Protection -> Policy.
4. Elegir el dominio al cual desea aplicar la política y hacer clic en Add.
5. En la configuración Basic Information establecer un nombre para la nueva
política y tildar Enable.
6. En la configuración de Recipients and Senders establecer lo siguiente:
a. En la sección Recipients, elegir My domains y seleccionar de entre los dominios disponibles, luego clic en Add.
b. En la sección Senders elegir Anyone para utilizar cualquier dirección de email para la regla, ya que SMARTFENSE utiliza direcciones de emails aleatorias para enviar los emails de su campaña de phishing.
7. En la configuración de Scanning Criteria seleccionar lo siguiente:
a. Clic en Advanced.
b. Tildar el cuadro de selección Specified header matches
c. Clic en el enlace keyword expressions.
d. Debajo de Specified header matches seleccionar Other y escribir
X-PHISHINGSIMULATION
e. Elegir la expresión de palabra clave creada anteriormente y hacer clic en Add.
f. Clic Save.
8. En la configuración Actions elegir Deliver now.
9. Revisar la configuración de su política. Debería verse similar a la siguiente:
10. Hacer que esta nueva política sea la primera regla en su lista de políticas para
que tenga prioridad sobre las otras políticas. Clic en el botón con una flecha
hacia arriba para mover esta regla a la cima de la lista de políticas.
En este caso, cuando la palabra clave coincida, el correo electrónico no pasará por el
resto de las políticas y se entregará inmediatamente al usuario final. Hosted Email
Security (HES) no comprobará más a fondo ningún archivo adjunto, URL u otro
contenido.
Para usuarios de Trend Micro Email Security (TMEMS)
No escanear las URL en los emails de campañas de Phishing
1. En la consola de Trend Micro Email Security (EMS), ir a Administration -> Policy Objects -> Keyword Expressions.
2. Crear una nueva expresión de palabra clave para SMARTFENSE
a. Establecer Match en el valor Any Specified.
b. Clic en el botón Add.
c. Ingresar la siguiente frase o palabra clave:
i. SMARTFENSE
ii. Esta es una prueba de seguridad de phishing de SMARTFENSE que
ha sido autorizada por la organización receptora.
d. Clic en Save.
3. Ir a sus políticas y seleccionar Inbound Protection -> Policy.
4. Elegir el dominio al cual desea aplicar la política y hacer clic en Add.
5. En la configuración Basic Information establecer un nombre para la nueva
política y tildar Enable.
6. En la configuración de Recipients and Senders establecer lo siguiente:
a. En la sección Recipients, elegir My domains y seleccionar de entre los
dominios disponibles, luego clic en Add.
b. En la sección Senders elegir Anyone para utilizar cualquier dirección de email para la regla, ya que SMARTFENSE utiliza direcciones de emails aleatorias para enviar los emails de su campaña de phishing.
7. En la configuración de Scanning Criteria seleccionar lo siguiente:
a. Clic en Advanced.
b. Tildar el cuadro de selección Specified header matches
c. Clic en el enlace keyword expressions. Mostrará una nueva ventana en
la cual puede seleccionar la expresión de palabra clave creada anteriormente.
d. Debajo de Specified header matches seleccionar Other y escribir
X-PHISHINGSIMULATION
e. Elegir la expresión de palabra clave creada anteriormente y hacer clic en Add.
f. Clic Save.
8. En la configuración Actions elegir Deliver now y seleccionar To the default mail server.
9. Revisar la configuración de su política. Debería verse similar a la siguiente:
10. Una vez verificado, hacer clic en Submit.
11. Hacer que esta nueva política sea la primera regla en su lista de políticas para que tenga prioridad sobre las otras políticas. Clic en el botón con una flecha hacia arriba para mover esta regla a la cima de la lista de políticas.
En este caso, cuando la palabra clave coincida, el correo electrónico no pasará por el resto de las políticas y se entregará inmediatamente al usuario final. Trend Micro Email Security (EMS) no comprobará más a fondo ningún archivo adjunto, URL u otro contenido.
Implementación de Whitelist para AppRiver
1. Primero, inicie sesión en AppRiver Admin Center.
2. Seleccione Filters -> IP Addresses
3. En Direcciones IP permitidas, agregue nuestras direcciones IP. Para obtener la lista más actualizada de nuestras direcciones IP, consulte la sección
Configuración -> Whitelist dentro de su instancia de SMARTFENSE
4. Click Save.
Implementación de Whitelist para Cisco IronPort
Whitelist de IP's
1. Desde la consola de Cisco IronPort, navegar a la pestaña Mail Policies.
2. Seleccionar HAT Overview. Asegurarse de seleccionar InboundMail lister.
3. Click WHITELIST.
4. Click Add Sender y agregar nuestras IP's:
160.153.250.248
108.179.236.243
190.210.135.44
50.6.200.66
5. Click Submit y luego en Commit Changes.
Skipping Outbreak Filter Scanning
1. Desde la consola de Cisco IronPort, navegar a la pestaña Mail Policies.
2. Bajo la sección Message Modification, ingrese nuestras IP's en la tabla Bypass
Domain Scanning :
160.153.250.248
108.179.236.243
190.210.135.44
3. Click Submit y luego en Commit Changes.
Implementación de Whitelist para clientes de correo Zoho
Please add the IP address to the Trusted list in your admin panel to receive from that IP in your Inbox.
Steps to add the sender IP to the Trusted list:
- Login to Zoho Mail account as the administrator.
- Click on Control panel >> Mail Administration >> Spam control >> Whitelist >> Trusted IP list.
- Click the Add IP Address button and enter the IP address and save the changes.
Configuración del correo no deseado del usuario
Dirigirse a los siguientes links oficiales:
FortiGuard - Anulación o reclasificación clasificación web de dominios
(Para nuestros dominios los cuales FortiGuard los puede tomar como maliciosos)
Las anulaciones de clasificación web le permiten aplicar una anulación de categoría a una URL. Esto anula la categoría FortiGuard original para la URL con una categoría FortiGuard diferente, una categoría local personalizada o una categoría remota de fuente de amenazas.
Si una URL está en varias categorías activas, el orden de prioridad es las categorías locales, luego las categorías remotas y luego las categorías FortiGuard.
En ese caso brindar el siguiente link al administrador para que lo revise y aplique:
https://docs.fortinet.com/document/fortigate/latest/administration-guide/122974/web-rating-override
Como hacer excepciones en Sophos
Permitir estos sitios web: si desea permitir una URL o un sitio web específico, o un subconjunto de páginas web de un dominio específico, independientemente de su categoría, defínalo aquí. Esto tiene el efecto de que los sitios web definidos aquí se pueden permitir incluso si pertenecen a una categoría que desea bloquear.
- Haga clic en el icono Más para abrir la ventana de diálogo Agregar objeto de lista blanca/lista negra.
-
Especifique las siguientes configuraciones:
- Nombre: introduzca un nombre descriptivo para el objeto de la lista blanca/lista negra.
- Hacer coincidir las URL según: Dominio Introduzca uno o más nombres de dominio. Si marca Incluir subdominios, los subdominios también coincidirán (example.com también coincidirá con www.example.com y mail.example.com). Si no selecciona Incluir subdominios, solo coincidirá un nombre de dominio exacto.
- Haga coincidir las URL según: Expresión regular. Ingrese las expresiones regulares que desea utilizar para compararlas con la URL completa. Si marca Realizar coincidencia solo en estos dominios, puede especificar una lista de dominios que deben coincidir antes de que se aplique la expresión regular. Usar una expresión regular es útil si necesita hacer coincidir la ruta.
Referencia cruzada: para obtener información detallada sobre el uso de expresiones regulares para el filtrado web, consulte la base de conocimientos de Sophos .
Nota: Las entradas deben ser expresiones regulares correctas. Por ejemplo, *.example.com no es válido. Si intenta hacer coincidir un nombre de dominio, intente no utilizar .* ya que puede expandirse en la ruta. Por ejemplo, la expresión regular http://.*example\.com también coincidirá con http://www.google.com/search?www.example.com- Comentario (opcional): agregue una descripción u otra información.
- Clic en Guardar .
HARMONY - CHECK POINT
En la regla que se encuentra dentro del Servidor de Correo, que figura mayormente como "Harmony - Check Point", se deben agregar en las excepciones de esa regla nuestras IPS, para que no envíe los correos enviados desde nuestros servidores a Harmony - Check Point.