Emails en Cuarentena
Ya sea por tener un puntaje muy alto de Spam o por provenir de un remitente que se encuentra en nuestra Lista Negra, o por haber sido detectado un Virus, un correo puede marcarse como Cuarentena en el AVAS.
Los correos marcados como Cuarentena NO SERAN entregados al Maildrop y serán retenidos por el AVAS, por lo que el usuario final no los recibirá en su casilla.
Un usuario final puede seleccionar Enviar Resumen de Cuarentena en sus opciones personales de AVAS para recibir periódicamente un listado con todos aquellos correos que hayan sido catalogados de esta manera. En caso en que el usuario desee recibir un correo que se encuentra en su Cuarentena podrá liberarlo desde Mailaudit.
Visualizar Emails en Cuarentena
Para visualizar los correos que se encuentran en Cuarentena el primer paso sera hacer login a AVAS e ingresar a Mailaudit Entrante.
Un usuario puede Filtrar por Contenido sus correos y seleccionar la opción En Cuarentena para que se muestren solo los correos que están en Cuarentena.
También puede seleccionar ver sólo aquellos casos que se deban a detección de Virus, e incluso refinar por aquellos patrones de Virus correspondientes a Malware, Exploits o Phishing. También se puede optar por sólo ver aquellos mails en Cuarentena debido a alto puntaje de Spam buscando por Bloqueados por Spam.
Haciendo click en el botón 
se podrá ver más información sobre el mensaje que fue puesto en Cuarentena en una ventana modal.
Dentro de Información se podrán ver la Respuesta SMTP y Encabezados del Mensaje.
También se podrán descargar los adjuntos por separado del mensaje, si es que los tuviera, o el mensaje entero en formato .eml.
Cuarentena por Puntaje de Spam
Los correos que estén en Cuarentena por poseer un alto puntaje de Spam pueden distinguirse por tener un número mayor a 0 en la columna Spam en Mailaudit.
Aquí se podrá leer el mismo score de Spam en la ventana modal, en el encabezado X-Spam-Status, por ejemplo:
X-Spam-Flag: YES X-Spam-Score: 17.729 X-Spam-Level: ***************** X-Spam-Status: Yes, score=17.729 tag=-30 tag2=4.5 kill=12 tests=[AV:Porcupine.Junk.45095.UNOFFICIAL=0.1, DIGEST_MULTIPLE=0.001, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, DOS_OE_TO_MX=3.086, FORGED_OUTLOOK_HTML=0.001, FSL_BULK_SIG=0.353, HDR_ORDER_FTSDMCXX_DIRECT=1.999, HTML_IMAGE_RATIO_02=0.805, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.105, PYZOR_CHECK=3, RAZOR2_CF_RANGE_51_100=2.43, RAZOR2_CHECK=3, SPF_PASS=-0.001, URIBL_ABUSE_SURBL=1.948, URIBL_BLOCKED=0.001] autolearn=spam autolearn_force=no
Cuarentena por Blacklist
Un correo que está en Cuarentena por estar el usuario o dominio remitente en la Lista Negra del usuario o del dominio puede distinguirse por tener el numero 0 o muy bajo en la columna Spam.
En la ventana modal se debe observar que aparezca la palabra “BLACKLISTED” para confirmar que sea por lista negra, en el encabezado X-Spam-Status, por ejemplo:
X-Spam-Status: Yes, score=1.06 tag=-30 tag2=4.5 kill=12 BLACKLISTED tests=[DKIMWL_WL_MED=-1.46, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, HEADER_FROM_DIFFERENT_DOMAINS=2, HTML_IMAGE_RATIO_04=0.61, HTML_MESSAGE=0.001, RCVD_IN_DNSWL_NONE=-0.0001, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001, T_REMOTE_IMAGE=0.01, URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Cuarentena por Virus
Para saber qué tipo de virus afectó a un correo que está en Cuarentena, se debe abrir la ventana modal y observar su contenido. En este caso se observarán dos partes, por ejemplo:
250 2.7.0 Ok, discarded, id=21929-05 - INFECTED: SecuriteInfo.com.W97M.CMD-5.UNOFFICIAL
X-Amavis-Alert: INFECTED, message contains virus: SecuriteInfo.com.W97M.CMD-5.UNOFFICIAL
En caso de considerar fehacientemente que se trata de un falso positivo, y quisiera que no se repita esta misma retención, deberá configurar en la Administración de AVAS bajo Virus Whitelisting el patrón SecuriteInfo.com.W97M.CMD-5 (sin el .UNOFFICIAL detrás) como firma a whitelistear.
Para mas información sobre como agregar una firma de Virus a la Lista Blanca puede visitar el articulo Guia para Soporte AvasCloud – Lista Blanca de Virus.
Se recomienda sin embargo, antes de liberar el mail de la Cuarentena, si hubiera un adjunto, descargar el archivo adjunto y analizarlo en https://virustotal.com para obtener mayores datos respecto a posibles malwares.
Liberar Emails en Cuarentena
Para liberar uno o mas correos que se encuentren en la Cuarentena se deberán marcar en la columna Content los correos que se desee liberar en Mailaudit y luego hacer click en Liberar.
Al liberar correos de la cuarentena se enviara una copia de ese correo al buzón del destinatario.
Los correos liberados de la cuarentena ya no se mostraran al Filtrar por Contenido En Cuarentena, si no dentro de los Liberados de Cuarentena.
Para mayores precauciones luego de liberar un e-mail en Cuarentena, se aconseja antes de abrir si hubiera uno eventualmente en el texto del mail, copiar y pegarlo en la sección de Spam > Chequeo de URLs para hacerlo pasar por el engine de VirusTotal integrado al AVAS de Planisys.
Los resultados de los chequeos se van a mostrar de la siguiente manera, marcando en Rojo aquellas URLs que sean detectadas como Virus por los distintos Antivirus contra los que VirusTotal hace los chequeos:
