Este artículo detalla cómo implementar Whitelist en distintas tecnologías de seguridad y correo para asegurar la correcta entrega de simulaciones de SMARTFENSE y reducir impactos por análisis de seguridad en campañas de Phishing y Ransomware.
Implementación de Whitelist para Trend Micro
Whitelisting por dominio en Trend Micro
Advanced Spam Protection
- Dirigirse a la pestaña Advanced Threat Protection > Add.
- Seleccionar la política a crear de acuerdo al servicio: Exchange, OneDrive, SharePoint, Box, Dropbox, Google.
- A la izquierda, seleccionar Advanced Spam Protection.
- Tildar Enable Advanced Spam Protection.
- Seleccionar Approved/Blocked Sender List.
- Tildar Enable the approved sender list.
- Ingresar *@livefense.com y presionar Add.
- Ir a la sección de configuración Rules.
- En Apply to: seleccionar Incoming messages.
- Seleccionar Medium como nivel de detección.
Malware Scanning
- Seleccionar Malware Scanning en el menú de la izquierda.
- Seleccionar Rules.
- En Apply to: seleccionar Incoming messages.
- En Malware Scanning, seleccionar Scan all files y tildar Scan message body y Enable IntelliTrap.
- Seleccionar la sección Action.
- En Action: seleccionar Trend Micro recommend actions.
- En Notification: seleccionar Notify.
Web Reputation
- Seleccionar Web Reputation.
- Tildar Enable Web Reputation.
- Seleccionar Rules.
- En Apply to: seleccionar All messages.
- En Security Level: seleccionar Medium.
- Seleccionar Approved/Blocked URL List.
- Tildar Enable the approved URL list.
- Tildar Add internal domains to the approved URL list.
- Ingresar las IPs y dominios de SMARTFENSE como hostnames.
- Presionar Add >.
Virtual Analyzer
- Seleccionar Virtual Analyzer.
- Tildar Enable Virtual Analyzer.
- En Lista de remitentes permitidos, agregar info@livefense.com.
- Hacer clic en Save.
Nota: una vez configurados todos los pasos, la política aparecerá bajo la pestaña Advanced Threat Protection.
Hosted Email Security (HES) – permitir campañas y no escanear URLs
No escanear las URL en los emails de campañas de Phishing
- En la consola de Hosted Email Security (HES) ir a:
- Inbound Protection -> Policy Objects -> Keyword Expressions
- Crear una nueva expresión de palabra clave para SMARTFENSE:
- Definir Match como Any Specified
- Clic en Add
- Ingresar:
- SMARTFENSE
- Esta es una prueba de seguridad de phishing de SMARTFENSE que ha sido autorizada por la organización receptora.
- Clic en Save
- Ir a Inbound Protection -> Policy.
- Seleccionar el dominio al cual aplicar la política y hacer clic en Add.
- En Basic Information, asignar un nombre y tildar Enable.
- En Recipients and Senders:
- Recipients: My domains, seleccionar dominio y Add
- Senders: Anyone
- En Scanning Criteria:
- Clic en Advanced
- Activar Specified header matches
- Clic en keyword expressions
- En Other, escribir X-PHISHINGSIMULATION
- Elegir la expresión creada y Add
- Clic en Save
- En Actions, elegir Deliver now.
- Revisar que la política quede correctamente configurada.
- Mover la política al primer lugar para que tenga prioridad (flecha hacia arriba).
nota: cuando la palabra clave coincide, el correo no pasa por el resto de las políticas y se entrega inmediatamente al usuario final.
Trend Micro Email Security (TMEMS) – no escanear URLs
- En Trend Micro Email Security (EMS) ir a:
- Administration -> Policy Objects -> Keyword Expressions
- Crear una nueva expresión de palabra clave para SMARTFENSE:
- Match: Any Specified
- Clic en Add
- Ingresar:
- SMARTFENSE
- Esta es una prueba de seguridad de phishing de SMARTFENSE que ha sido autorizada por la organización receptora.
- Clic en Save
- Ir a Inbound Protection -> Policy.
- Elegir el dominio, hacer clic en Add.
- En Basic Information, asignar un nombre y activar Enable.
- En Recipients and Senders:
- Recipients: My domains, seleccionar dominio y Add
- Senders: Anyone
- En Scanning Criteria:
- Clic en Advanced
- Activar Specified header matches
- Clic en keyword expressions
- En Other, escribir X-PHISHINGSIMULATION
- Elegir la expresión creada, Add, y luego Save
- En Actions, elegir Deliver now y seleccionar To the default mail server.
- Revisar la política.
- Hacer clic en Submit.
- Mover la política al primer lugar para darle prioridad.
Implementación de Whitelist para AppRiver
- Iniciar sesión en AppRiver Admin Center.
- Seleccionar Filters -> IP Addresses.
- En Direcciones IP permitidas, agregar las IPs actuales de SMARTFENSE.
- Hacer clic en Save.
| Nota: para obtener la lista más actualizada, consulte Configuración > Seguridad > Whitelist dentro de su instancia de SMARTFENSE. |
Implementación de Whitelist para Cisco IronPort
Whitelist de IP’s
- Desde la consola de Cisco IronPort, ir a Mail Policies.
- Seleccionar HAT Overview y asegurarse de elegir InboundMail lister.
- Hacer clic en WHITELIST.
- Hacer clic en Add Sender y agregar:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
- Hacer clic en Submit y luego en Commit Changes.
Skipping Outbreak Filter Scanning
- Ir a Mail Policies.
- En Message Modification, ingresar las IPs en Bypass Domain Scanning:
- 160.153.250.248
- 190.210.135.44
- 52.16.33.192
- Hacer clic en Submit y luego en Commit Changes.
Implementación de Whitelist para Zoho Mail
Agregar la IP a la lista de confianza en el panel de administración:
- Login como administrador en Zoho Mail.
- Ir a Control panel >> Mail Administration >> Spam control >> Whitelist >> Trusted IP list.
- Presionar Add IP Address, ingresar la IP y guardar.
Configuración de correo no deseado del usuario
Dirigirse a los links oficiales del proveedor para configurar:
- Lista de permitidos / lista de bloqueo
- Lista de remitentes seguros / rechazados
FortiGuard – anulación o reclasificación web de dominios
Para anular clasificación web de URLs que puedan ser consideradas maliciosas por FortiGuard, consultar:
https://docs.fortinet.com/document/fortigate/latest/administration-guide/122974/web-rating-override
Sophos – cómo hacer excepciones
Permite habilitar URLs o dominios independientemente de la categoría.
Configurar un objeto de whitelist usando coincidencia por Dominio o por Expresión regular según sea necesario.
HARMONY – CHECK POINT
En la regla de transporte dentro del Servidor de Correo de Microsoft (usualmente “Harmony - Check Point”), agregar como excepciones las IPs:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
Esto evita que Microsoft envíe a Harmony los correos de simulación recibidos desde los servidores de SMARTFENSE.
ESET Protect Complete / Elite / MDR
Si utiliza estas suites y la plataforma antispam de ESET (compatible con Office365 y Google Workspace), crear una política de exclusión para permitir las IPs:
- 160.153.250.248
- 190.210.135.44
- 50.6.200.66
- 52.16.33.192
Referencia:
https://help.eset.com/ecos/es-CL/policy_email.html
Cómo realizar la whitelist de dominios de SMARTFENSE en Proofpoint
Este artículo explica cómo agregar los dominios y URLs de SMARTFENSE a la lista de permitidos en Proofpoint, para evitar que sus usuarios vean bloqueada la navegación al hacer clic en los enlaces de campañas de phishing simulado o notificaciones de la plataforma.
¿Por qué se bloquea el acceso?
Proofpoint cuenta con una tecnología llamada URL Defense (parte de Targeted Attack Protection, o TAP) que analiza en tiempo real los enlaces incluidos en los correos electrónicos. Cuando Proofpoint clasifica una URL como maliciosa, bloquea la navegación y muestra una pantalla de advertencia al usuario.
Este bloqueo puede ocurrir aunque el sitio destino sea legítimo. Proofpoint indica explícitamente que es posible bloquear una sola página de un sitio válido sin bloquear el dominio completo.
Para que los usuarios puedan acceder correctamente a los enlaces de SMARTFENSE, es necesario configurar la whitelist en dos niveles: filtro de correo y URL Defense.
Requisitos previos
- Acceso de administrador a la consola de Proofpoint (Essentials o Enterprise).
- Listado de dominios e IPs de SMARTFENSE. Consulte el artículo Información técnica para whitelist para obtener los valores actualizados.
Configuración en Proofpoint Essentials
Paso 1 — Agregar SMARTFENSE a la Lista de Remitentes Seguros
- Ingrese a la consola de administración de Proofpoint Essentials.
- Navegue a Security Settings > Email > Sender Lists.
- En la sección Safe Sender List, ingrese las IPs y dominios de envío de SMARTFENSE.
- Haga clic en Save.
Paso 2 — Excluir URLs de SMARTFENSE del reescribo de URL Defense
- Desde el menú principal, haga clic en Email Protection.
- En el menú desplegable Targeted Attack Protection, seleccione URL Defense.
- Haga clic en URL Rewrite Policies.
- En la sección Exceptions, bajo Exclude URLs that contain specified domains/IP addresses, ingrese los dominios de SMARTFENSE.
- Haga clic en Save Changes.
Configuración en Proofpoint Enterprise
Paso 1 — Agregar SMARTFENSE a la Organizational Safe List
- Ingrese a la consola de administración de Proofpoint Enterprise.
- Haga clic en Email Protection.
- En el menú desplegable Spam Detection, seleccione Organizational Safe List.
- Haga clic en Add.
- En la ventana emergente, complete los campos:
- Filter Type: seleccione Sender Hostname.
- Operator: seleccione Equals.
- Value: ingrese los dominios de SMARTFENSE.
- Haga clic en Save Changes.
Paso 2 — Excluir URLs de SMARTFENSE del reescribo de URL Defense
- Desde el menú principal, haga clic en Email Protection.
- En el menú desplegable Targeted Attack Protection, seleccione URL Defense.
- Haga clic en URL Rewrite Policies.
- En la sección Exceptions, ingrese los dominios de SMARTFENSE.
- Haga clic en Save Changes.
Paso 3 (opcional) — Configurar regla en Email Firewall
Si los pasos anteriores no son suficientes, es posible crear una regla explícita de permiso:
- En la consola de Proofpoint Enterprise, navegue a Email Firewall > Rules.
- Active la regla correspondiente cambiando Enable a On.
- Asigne un nombre descriptivo, por ejemplo:
SMARTFENSE Allow List. - En Conditions, haga clic en Add Condition y seleccione Sender Domain.
- Ingrese los dominios de SMARTFENSE.
- Guarde los cambios.
Si el problema persiste luego de aplicar la whitelist en Proofpoint, verifique que no existan protecciones adicionales activas en el servidor de correo del cliente (por ejemplo, Microsoft 365 Defender) que puedan estar bloqueando los mismos enlaces de forma independiente.
💡 Mejores prácticas para Proofpoint
- Solicitar al cliente el listado exacto de dominios bloqueados antes de iniciar la configuración, para confirmar que corresponden a URLs de SMARTFENSE.
- Aplicar primero la excepción en URL Defense ya que es la capa que muestra la pantalla de bloqueo visible en el screenshot.
- Verificar la whitelist enviando un correo de prueba y confirmando que el enlace abre correctamente sin redirección a la pantalla de bloqueo de Proofpoint.
- Mantener actualizados los dominios de SMARTFENSE en la configuración de Proofpoint cada vez que se incorporen nuevos dominios a la plataforma.
- Documentar en el expediente del cliente qué consola de Proofpoint utiliza (Essentials o Enterprise) para facilitar futuros ajustes.
💡 Mejores prácticas en general
- Obtener la lista de IPs y dominios actualizada desde Configuración > Seguridad > Whitelist antes de aplicar cambios en herramientas externas.
- Aplicar Whitelist tanto en filtros antispam/antiphishing como en reputación web y análisis de URLs.
- Priorizar las reglas de Whitelist por encima del resto de las políticas para asegurar entrega.
- Validar con una campaña de prueba antes de ejecutar simulaciones masivas.