Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Email autenticación ayuda a validar el correo enviado a y desde su organización de Microsoft 365 para evitar remitentes suplantados que se usan en el riesgo de correo electrónico empresarial (BEC), ransomware y otros ataques de suplantación de identidad (phishing).
Pero algunos servicios de correo electrónico legítimos pueden modificar los mensajes antes de que se entreguen a su organización de Microsoft 365. La modificación de los mensajes entrantes en tránsito puede y probablemente provocará los siguientes errores de autenticación por correo electrónico en Microsoft 365:
- SPF produce un error debido al nuevo origen del mensaje (dirección IP).
- DKIM produce un error debido a la modificación del contenido.
- DMARC produce un error debido a los errores SPF y DKIM.
La cadena de recepción autenticada (ARC) ayuda a reducir los errores de autenticación de correo electrónico entrantes a partir de la modificación de mensajes por parte de servicios de correo electrónico legítimos. ARC conserva la información de autenticación de correo electrónico original en el servicio de correo electrónico. Puede configurar la organización de Microsoft 365 para que confíe en el servicio que modificó el mensaje y para usar esa información original en las comprobaciones de autenticación por correo electrónico.
¿Cuándo usar selladores ARC de confianza?
Una organización de Microsoft 365 necesita identificar selladores de ARC de confianza solo cuando los mensajes entregados a los destinatarios de Microsoft 365 se ven afectados periódicamente de las siguientes maneras:
- El servicio intermedio modifica el encabezado del mensaje o el contenido del correo electrónico.
- Las modificaciones del mensaje hacen que se produzca un error en la autenticación por otros motivos (por ejemplo, mediante la eliminación de datos adjuntos).
Después de que un administrador agregue un sellador de ARC de confianza en el portal de Defender, Microsoft 365 usa la información de autenticación de correo electrónico original que proporciona el sellador de ARC para validar los mensajes enviados a través del servicio a Microsoft 365.
Sugerencia
Agregue solo los servicios legítimos y necesarios como selladores de ARC de confianza en su organización de Microsoft 365. Esta acción ayuda a los mensajes afectados a pasar comprobaciones de autenticación de correo electrónico e impide que los mensajes legítimos se entreguen a la carpeta Email no deseado, se pongan en cuarentena o se rechacen debido a errores de autenticación por correo electrónico.
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.
Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Para poder realizar los procedimientos de este artículo, deberá tener asignados los permisos necesarios. Tiene las siguientes opciones:
Control de acceso basado en roles unificado (RBAC) de Microsoft Defender XDR (Si Correo electrónico y colaboración>Defender para Office 365 está
Activo. Afecta solo al portal de Defender, no a PowerShell): Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (solo lectura).Exchange Online permisos: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad.
Microsoft Entra permisos: pertenencia al administrador* global. Los miembros del rol Administrador de seguridad no pueden acceder a la configuración de autenticación por correo electrónico en el portal de Defender.
Importante
* Microsoft promueve encarecidamente el principio de privilegios mínimos. Asignar a las cuentas solo los permisos mínimos necesarios para realizar sus tareas ayuda a reducir los riesgos de seguridad y refuerza la protección general de la organización. El administrador global es un rol con muchos privilegios que debe limitar a escenarios de emergencia o cuando no puede usar un rol diferente.
Uso del portal de Microsoft Defender para agregar selladores arc de confianza
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email &directivas decolaboración> & reglas >Directivas> de amenazas Email Configuración de autenticación en la sección >ReglasARC . O bien, para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.
En la página de configuración de autenticación de Email, compruebe que la pestaña ARC está seleccionada y, a continuación, seleccione
Agregar.Sugerencia
Si los selladores de confianza ya aparecen en la pestaña ARC , seleccione
Editar.En el control flotante Agregar selladores de ARC de confianza que se abre, escriba el dominio de firma de confianza en el cuadro (por ejemplo, fabrikam.com).
El nombre de dominio debe coincidir con el dominio que se muestra en el valor d en los encabezados ARC-Seal y ARC-Message-Signature en los mensajes afectados. Use los métodos siguientes para ver el encabezado del mensaje:
- Ver encabezados de mensajes de Internet en Outlook.
- Use el Analizador de encabezados de mensaje en https://mha.azurewebsites.net.
Repita este paso tantas veces como sea necesario. Para quitar una entrada existente, seleccione
junto a la entrada.Cuando haya terminado en el control flotante Agregar selladores de ARC de confianza , seleccione Guardar.
Uso de Exchange Online PowerShell para agregar selladores arc de confianza
Si prefiere usar PowerShell para ver, agregar o quitar selladores de ARC de confianza, conéctese a Exchange Online PowerShell para ejecutar los siguientes comandos.
Visualización de selladores arc de confianza existentes
Get-ArcConfigSi no se configura ningún sellador de ARC de confianza, el comando no devuelve ningún resultado.
Adición o eliminación de selladores arc de confianza
Para reemplazar los selladores arc existentes por los valores especificados, use la sintaxis siguiente:
Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"El valor TenantId\ no es necesario en su propia organización, solo en organizaciones delegadas. Es un GUID que está visible en muchas direcciones URL del portal de administración en Microsoft 365 (el
tid=valor). Por ejemplo, aaaabbbb-0000-cccc-1111-ddddd222eeee.En este ejemplo se configuran "cohovineyard.com" y "tailspintoys.com" como los únicos selladores de ARC de confianza de la organización.
Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"Para conservar los valores existentes, asegúrese de incluir los selladores de ARC que desea conservar junto con los nuevos selladores de ARC que desea agregar.
Para agregar o quitar selladores arc sin afectar a las demás entradas, consulte la sección Ejemplos en Set-ArcConfig.
Configuración de sellador de ARC específica del proveedor
Al agregar un sellador arc de confianza en Microsoft 365, escriba el dominio que se muestra en el valor d del encabezado ARC-Seal . En la tabla siguiente se enumeran los dominios de sellador de ARC para proveedores de seguridad de correo electrónico comunes:
| Proveedor | Dominio de sellador de ARC (d= valor) |
Selector típico (s= valor) |
Notas |
|---|---|---|---|
| Punto de prueba | pphosted.com |
arcselector |
Lo usan Proofpoint Protection Server (PPS) y Proofpoint Essentials. |
| Mimecast | mimecast.com |
arc-2018 |
Lo usan todas las implementaciones de puerta de enlace de Mimecast Email Security. |
| Barracuda | barracudanetworks.com |
arc1 |
Utilizado por Barracuda Email Gateway Defense y Email Security Gateway. |
| Sophos | sophos.com |
arc |
Usado por Sophos Central Email Security. |
Importante
El dominio de sellador de ARC no es el dominio de su organización. Es el dominio de firma del proveedor el que aparece en el d= campo del encabezado ARC-Seal. Compruebe siempre el valor real d= de un encabezado de mensaje antes de configurar el sellador de confianza.
Punto de prueba
Proofpoint Protection Server (PPS) agrega encabezados ARC cuando los mensajes se procesan a través de la puerta de enlace. El encabezado ARC-Seal usa d=pphosted.com.
Compruebe el dominio de sellador de ARC desde un encabezado de mensaje: busque el siguiente patrón en los encabezados de mensaje:
ARC-Seal: i=1; a=rsa-sha256; d=pphosted.com; s=arcselector; t=1657920000; cv=none; b=<signature>Agregue el sellador de ARC de confianza en Microsoft 365: Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com"Nota:
Algunas implementaciones de Proofpoint usan un dominio personalizado para el sellado de ARC (por ejemplo,
proofpoint.como un dominio específico del cliente). Compruebe siempre los encabezados de mensaje reales para confirmar eld=valor antes de configurar selladores de confianza.
Mimecast
Mimecast Email Security agrega encabezados arc cuando procesa el correo entrante y saliente. El encabezado ARC-Seal usa d=mimecast.com.
Compruebe el dominio de sellador de ARC desde un encabezado de mensaje: busque el siguiente patrón en los encabezados de mensaje:
ARC-Seal: i=1; a=rsa-sha256; t=1623745127; cv=none; d=mimecast.com; s=arc-2018; b=<signature>Agregue el sellador de ARC de confianza en Microsoft 365: Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-ArcConfig -Identity Default -ArcTrustedSealers "mimecast.com"Sugerencia
Si va a migrar de Mimecast a la protección nativa de Microsoft 365, mantenga el sellador de ARC de confianza de Mimecast configurado hasta que corte completamente los registros MX y se entreguen todos los mensajes en cola.
Barracuda
Barracuda Email Gateway Defense y Email Security Gateway agregan encabezados arc mediante d=barracudanetworks.com.
Compruebe el dominio de sellador de ARC desde un encabezado de mensaje: busque el siguiente patrón en los encabezados de mensaje:
ARC-Seal: i=1; a=rsa-sha256; d=barracudanetworks.com; s=arc1; t=1680000000; cv=none; b=<signature>Agregue el sellador de ARC de confianza en Microsoft 365: Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-ArcConfig -Identity Default -ArcTrustedSealers "barracudanetworks.com"
Sophos
Sophos Central Email Security agrega encabezados arc mediante d=sophos.com.
Compruebe el dominio de sellador de ARC desde un encabezado de mensaje: busque el siguiente patrón en los encabezados de mensaje:
ARC-Seal: i=1; a=rsa-sha256; t=1686324586; cv=none; d=sophos.com; s=arc; b=<signature>Agregue el sellador de ARC de confianza en Microsoft 365: Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-ArcConfig -Identity Default -ArcTrustedSealers "sophos.com"
Varios proveedores
Si su organización usa varios servicios de correo electrónico que agregan sellos de ARC, conéctese a Exchange Online PowerShell y agregue todos los dominios de proveedor en un solo comando:
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com","mimecast.com","barracudanetworks.com","sophos.com"
Precaución
Agregue solo proveedores que use y confíen activamente. Agregar selladores de ARC innecesarios aumenta la superficie expuesta a ataques porque un proveedor en peligro podría pasar mensajes suplantados a través de las comprobaciones de autenticación.
Nota:
El parámetro -ArcTrustedSealersreemplaza todas las entradas existentes. Para conservar los selladores de confianza existentes, insclúyelos en el comando junto con los nuevos dominios que quiera agregar.
Búsqueda del dominio de sellador arc del proveedor
Si el proveedor no aparece en la tabla anterior, siga estos pasos para identificar el dominio de sellador de ARC correcto:
- Envíe un correo electrónico de prueba a través del servicio intermedio a un buzón de Microsoft 365.
- Abra los encabezados de mensaje (en Outlook:Propiedades>de archivo>Encabezados de Internet o use el Analizador de encabezados de mensaje).
- Busque
ARC-Seal:en los encabezados. - Anote el
d=valor. Este valor es el dominio que se va a agregar como sellador de ARC de confianza.
Validación de un sellador de ARC de confianza
Si hay un sello arc de un servicio antes de que el mensaje llegue a Microsoft 365, compruebe el encabezado del mensaje para ver los encabezados arc más recientes después de entregar el mensaje.
En el último encabezado ARC-Authentication-Results , busque arc=pass y oda=1. Estos valores indican:
- Se ha comprobado el ARC anterior.
- El sellador arc anterior es de confianza.
- El resultado del paso anterior se puede usar para invalidar el error de DMARC actual.
Por ejemplo:
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])
Para comprobar si el resultado de ARC se usó para invalidar un error de DMARC, busque compauth=pass y reason=130 en el último encabezado Authentication-Results . Por ejemplo:
Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130
Nota:
El pase de resultados de ARC de un sellador de ARC de confianza puede invalidar los errores en SPF, DKIM o DMARC causados por la modificación del mensaje durante el tránsito. Sin embargo, la determinación final de la suplantación se basa en el resultado de la autenticación compuesta (CompAuth). Los mensajes que producen un error en ARC pueden seguir entregados si pasan las evaluaciones de autenticación compuesta, SPF, DKIM, DMARC y .
Diagramas de flujo de correo de sellador de ARC de confianza
Los diagramas de esta sección contrastan el flujo de correo y el efecto en los resultados de la autenticación de correo electrónico con y sin un sellador de ARC de confianza. En ambos diagramas, la organización de Microsoft 365 usa un servicio de correo electrónico legítimo que modifica el correo entrante antes de entregarlo a Microsoft 365. Esta modificación interrumpe el flujo de correo, lo que puede provocar errores de autenticación de correo electrónico cambiando la dirección IP de origen y actualizando el encabezado del mensaje de correo electrónico.
En este diagrama se muestra el resultado sin un sellador arc de confianza:
En este diagrama se muestra el resultado con un sellador arc de confianza:
Escenarios comunes de error de ARC
Cuando ARC no funcione según lo esperado, use la siguiente referencia de solución de problemas.
Referencia rápida: Síntomas de error de ARC
| Síntoma | Causa probable | Solución |
|---|---|---|
arc=fail en ARC-Authentication-Results |
El dominio de sellador de ARC no se ha agregado como de confianza o un dominio incorrecto configurado. | Compruebe el d= valor en el encabezado ARC-Seal y agréguelo a selladores de confianza. |
arc=none en ARC-Authentication-Results |
El servicio intermedio no agrega encabezados de ARC. | Póngase en contacto con el proveedor para habilitar la firma de ARC. |
oda=0 a pesar de arc=pass |
El dominio sellador de ARC no está en la lista de selladores de confianza. | Agregue el dominio correcto mediante Set-ArcConfig. |
compauth=fail reason=000 a pesar del sellador de confianza |
Error en la validación de la cadena ARC (cadena rota). | Compruebe si hay problemas de integridad de la cadena (consulte Cadena ARC rota). |
dmarc=fail y no hay encabezados arc presentes |
El mensaje no pasó a través de un intermediario compatible con ARC. | ARC no puede ayudar. Corrija SPF/DKIM en el origen. |
| Mensajes en cuarentena a pesar del paso de ARC | Acción de directiva contra correo no deseado que invalida el resultado de ARC. | Revise la directiva de cuarentena. ARC invalida solo DMARC, no el filtrado de correo no deseado. |
Dominio de sellador de ARC incorrecto configurado
Problema: ha agregado su propio dominio (por ejemplo, contoso.com) en lugar del dominio de sellado de ARC del proveedor.
Los encabezados de mensaje muestran el dominio de sellado de ARC real del proveedor:
ARC-Seal: i=1; a=rsa-sha256; d=pphosted.com; s=arcselector;
cv=none; b=<signature>
Pero al ejecutar Get-ArcConfig en Exchange Online PowerShell, la salida muestra que el dominio incorrecto está configurado:
ArcTrustedSealers : {contoso.com}
Resolución: use el dominio de sellado de ARC del proveedor. Por ejemplo:
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com"
Servicio intermedio que no agrega encabezados de ARC
Problema: los mensajes pasan a través de la puerta de enlace, pero no contienen encabezados arc. El servicio intermedio no admite ARC o ARC no está habilitado.
Diagnóstico: busque encabezados de mensaje para ARC-Seal:. Si no existe ningún encabezado ARC-Seal, el intermediario no se sella.
Resolución: habilite el inicio de sesión de ARC en la consola de administración del proveedor:
| Proveedor | Habilitación de ARC |
|---|---|
| Punto de prueba | Habilite ARC en Email Protection>Email configuración de enrutamiento>saliente. |
| Mimecast | Habilitar a través de lafirma arc dedefiniciones de directivas>> de puertade enlace> de administración>. |
| Barracuda | ARC está habilitado de forma predeterminada en Email Gateway Defense. Compruebe en Configuración> de entradaAnti-Phishing. |
| Sophos | Habilite en Sophos Central>Email Security>Settings>ARC. |
Importante
Si el proveedor no admite ARC, considere soluciones alternativas:
- Configure una regla de flujo de correo de Exchange (regla de transporte) para omitir el filtrado de correo no deseado para los mensajes de las direcciones IP del servicio.
- Agregue las direcciones IP de envío del servicio a la lista de direcciones IP permitidas del filtro de conexión.
- Use filtrado mejorado para conectores (omita la lista) para conservar la autenticación original.
Cadena ARC rota (cv=fail)
Problema: la validación de la cadena arc muestra cv=fail, lo que significa que no se pudo comprobar un sello arc anterior en la cadena.
Los encabezados de mensaje muestran una validación de cadena con errores:
ARC-Seal: i=2; a=rsa-sha256; d=mimecast.com; s=arc-2018;
cv=fail; b=<signature>
Este error suele tener las siguientes causas:
- Un intermediario anterior modificó el mensaje después de agregar su sello arc (rompiendo la cadena).
- Los problemas de DNS impedían la búsqueda de la clave pública del sellador de ARC.
- La clave pública de ARC se ha girado, pero los registros DNS almacenados en caché no han expirado.
Resolución: siga estos pasos para diagnosticar y corregir la cadena rota:
- Compruebe el
cv=valor en cada instancia de ARC (i=1,i=2, etc.) para identificar dónde se rompió la cadena. - Compruebe que la clave pública del sellador de ARC está publicada en DNS. Por ejemplo, use
nslookup -type=TXT arcselector._domainkey.pphosted.compara consultar el registro de clave. - Si DNS no devuelve ningún resultado, póngase en contacto con el proveedor sobre su publicación de clave de ARC.
- Si la cadena se interrumpe entre dos servicios que controla, asegúrese de que se produzcan modificaciones de mensajes antes del sellado de ARC, no después.
ARC pasa, pero los mensajes siguen a la Email no deseado
Problema: la validación de ARC pasa (arc=pass, compauth=pass reason=130), pero los mensajes se siguen entregando a la carpeta junk Email.
Explicación: ARC invalida solo los errores de autenticación de DMARC. No omite lo siguiente:
- Filtrado de correo no deseado basado en contenido (valores SCL del análisis de contenido).
- Filtrado masivo de correo electrónico (umbral de BCL).
- Acciones de directiva contra correo no deseado.
- Acciones de regla de flujo de correo.
- Listas de remitentes seguros o bloqueados.
Diagnóstico: Compruebe el X-Forefront-Antispam-Report encabezado:
X-Forefront-Antispam-Report: CIP:10.10.10.10; CTRY:US; LANG:en; SCL:5;
SFV:SPM; H:mail.fabrikam.com; PTR:mail.fabrikam.com; CAT:SPM;
Si CAT:SPM es o SCL:5 superior, el filtrado de contenido filtró el mensaje como correo no deseado, lo que es independiente de ARC.
Resolución: pruebe las siguientes opciones para resolver el filtrado de correo no deseado:
- Cree una regla de flujo de correo para establecer SCL en -1 para los mensajes de remitentes o direcciones IP de confianza.
- Agregue el dominio remitente a una lista de permitidos de directivas contra correo no deseado.
- Envíe el mensaje como falso positivo a través del portal de Microsoft Defender.
Referencia de códigos de motivo de CompAuth
| Código de motivo | Descripción |
|---|---|
000 |
Error en la autenticación compuesta del mensaje (error explícito). |
001 |
Error en la autenticación compuesta del mensaje (error implícito). |
002 |
El mensaje tiene una omisión explícita de SPF/DKIM que impide la evaluación de autenticación compuesta. |
010 |
El mensaje se excluyó del filtrado de DMARC (por ejemplo, enviado a sí mismo). |
1xx |
Error en el mensaje DMARC con la acción determinada por la directiva DMARC. |
130 |
Invalidación de ARC: autenticación compuesta pasada debido a un sellador de ARC de confianza. |
2xx |
Autenticación compuesta de paso temporal de mensajes (el origen era sospechoso). |
3xx |
La autenticación compuesta no está activada. |
4xx |
Se ha omitido la autenticación compuesta de mensajes. |
Sugerencia
Después de agregar o modificar selladores arc de confianza, espere hasta 30 minutos para que la configuración surta efecto. Pruebe con nuevos mensajes enviados después de este período.
Pasos siguientes
Compruebe los encabezados de ARC con el Analizador de encabezados de mensaje en https://mha.azurewebsites.net.
Revise los procedimientos de configuración de SPF, DKIM y DMARC .
Para diagnosticar y corregir errores de autenticación por correo electrónico, consulte Solución de problemas de autenticación de correo electrónico en Microsoft 365.