Prohledat obsah nápovědy

Pravidla pro e-maily

Drobečková navigace

ESET Online nápověda > ESET Cloud Office Security > Navigace v ESET Cloud Office Security > Politiky > Pravidla pro e-maily

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

Tato funkce umožňuje definovat vlastní podmínky a přiřadit filtrované akce e-mailu. Pomocí ověřovacích metod jako SPF, DKIM, DMARC a ARC můžete v podmínkách definovat vlastní pravidla ověřování odesílatele a anti-spoofingu. Během vytváření politiky klikněte pro vytvoření nového pravidla nebo úpravu již existujícího na Pravidla > Změnit vedle položky Pravidla pro e-maily.

1.Pro otevření průvodce klikněte pro vytvoření nového pravidla na možnost Vytvořit.

2.Vyberte předdefinovanou šablonu nebo klikněte na tlačítko Přeskočit a vytvořte nové pravidlo.

3.Zadejte název pravidla (podle kterého jej poznáte) a název se zobrazí v seznamu pravidel. Pokud si pouze připravujete pravidla pro pozdější využití a chcete jej aktivovat až později, klikněte na přepínač Zapnuto a pravidlo deaktivujte.

4.Pomocí průvodce určete Podmínky a Akce. Klikněte na Přidat novou podmínku > z rozbalovací nabídky vyberte podmínku Zdroj > nakonfigurujte příslušné hodnoty.

5.Definujte nejprve podmínky a poté specifikujte odpovídající akce. K jednomu pravidlu můžete přidat více podmínek a akcí. Pokud zadáte více podmínek, musí být splněny všechny, aby se pravidlo aplikovalo. Veškeré podmínky jsou spojeny pomocí logického operátoru AND. I když je většina podmínek splněna a pouze jedna není, podmínky jsou vyhodnoceny jako nesplněné a akce pravidla nebude provedena.

Šablona

Z rozbalovacího menu vyberte předdefinovanou šablonu.

Šablona	Popis
Přidat banner externího odesílatele	Přidá banner k e-mailům pocházejícím mimo vaši organizaci, aby uživatelé mohli rychle identifikovat externí zprávy.
Přidat banner interního odesílatele	Označí e-maily od interních odesílatelů bannerem potvrzujícím, že zpráva pochází z vaší organizace, aby se předešlo nejasnostem a zvýšila důvěryhodnost. Chybná konfigurace SPF nebo problémy s přenosem mohou zabránit zobrazení banneru nebo způsobit nesprávné označení zpráv.
Zobrazit hodnoty „Od“ a „Odesílatel“ v banneru	Zobrazí v banneru hlavičky „Od“ a „Odesílatel“, což zvyšuje transparentnost a pomáhá uživatelům odhalit pokusy o podvržení, při nichž útočníci maskují skutečného odesílatele. Některé legitimní poštovní systémy (například newslettery) používají různé hodnoty hlavičky „Odesílatel“, což může vést k nejasnostem.
Upozornit na běžný homoglyfický znak v hlavičce „Od“.	Upozorní uživatele, pokud adresa „Od“ obsahuje cyrilici nebo znaky řecké abecedy, které napodobují latinku, což je běžná taktika impersonace. Toto nastavení pomáhá předcházet útokům s využitím homoglyfů. Toto upozornění se může zobrazit také u důvěryhodných mezinárodních e-mailů.
Upozornit na běžný homoglyfický znak v hlavičce „Odesílatel“.	Upozorní uživatele, pokud adresa „Odesílatel“ obsahuje cyrilici nebo znaky řecké abecedy, které napodobují latinku, což je běžná taktika impersonace. Toto nastavení pomáhá předcházet útokům s využitím homoglyfů. Toto upozornění se může zobrazit také u důvěryhodných mezinárodních e-mailů.
Filtr podezřelých klíčových slov	Označuje e-maily obsahující běžné phishingové nebo podvodné fráze, jako například „Okamžitě ověřte svou totožnost“ nebo „Vyhráli jste“, často používány při pokusech o podvod. Podobné výrazy mohou občas obsahovat marketingové e-maily nebo legitimní upozornění, proto je vhodná zvýšená opatrnost. Doporučujeme vytvořit seznam podezřelých klíčových slov přizpůsobený potřebám vaší organizace.
Filtr propagačních e-mailů	Identifikuje propagační e-maily pomocí detekce odkazů pro odhlášení odběru a nefiremních domén a pomáhá uživatelům upřednostňovat důležité zprávy. Některé transakční e-maily (např. faktury) však také obsahují odkazy pro odhlášení odběru a mohou být nesprávně označeny.
Označit vysoce rizikové TLD domény	Upozorňuje uživatele na e-maily z domén s vysokou mírou zneužití (například .tk, .ml, .xyz). Tyto domény nejvyšší úrovně jsou často používány pro spam a phishing. Tyto domény využívají i některé důvěryhodné služby, proto je důležité provádět ověření.
Neshoda hlavičky Odpovědět	Upozorní uživatele, pokud se adresa Odpovědět liší od adresy odesílatele, což je častá metoda phishingu sloužící k přesměrování odpovědí. Některé poštovní systémy používají různé adresy Odpovědět pro účely podpory nebo ticketingu, což může způsobit falešné detekce.
Přesunout neověřené e-maily do složky nevyžádané pošty (selhání kontroly SPF)	Označuje e-maily, které neprojdou nebo jen částečně projdou kontrolou SPF, což může naznačovat pokus o podvržení odesílatele. Kontrola SPF ověřuje pravost odesílatele. Chybně nakonfigurované záznamy SPF nebo služby předávání mohou způsobit falešné detekce.
Přesunout neověřené e-maily do složky nevyžádané pošty (SPF soft fail)	Označuje e-maily, které neprojdou nebo jen částečně projdou kontrolou SPF, což může naznačovat pokus o podvržení odesílatele. Kontrola SPF ověřuje pravost odesílatele. Chybně nakonfigurované záznamy SPF nebo služby předávání mohou způsobit falešné detekce.
Upozornit na naléhavé e-maily bez SPF	Upozorní uživatele, pokud e-mail s vysokou prioritou nemá ověření SPF. Útočníci často označují podvodné e-maily jako naléhavé, aby na příjemce vyvinuli tlak. U některých důvěryhodných systémů nemusí být kontrola SPF správně nakonfigurována, proto je vhodné před pokračováním provést kontrolu.
Upozornit na neúspěšné kontroly ARC a DMARC	Označuje e-maily, které neprojdou kontrolami DMARC a ARC, jež ověřují identitu odesílatele a integritu zprávy. Tím se omezuje riziko podvržení identity odesílatele a neoprávněné manipulace s obsahem zprávy. Přeposlané e-maily nebo seznamy adresátů mohou při těchto kontrolách selhat, což může způsobit falešné detekce.
Označit e-maily odeslané prostřednictvím knihovny PHP mailer	Upozorní uživatele na e-maily odesílané prostřednictvím knihovny PHP mailer, která bývá v prostředích s nízkým zabezpečením často zneužívána ke spamu. Přestože se knihovna PHP mailer běžně používá v legitimních webových aplikacích, příjemci by měli ověřovat pravost zpráv.
Banner selhání ARC	Upozorní uživatele při selhání ověřování ARC, což může naznačovat manipulaci při předávání zprávy. Kontrola ARC pomáhá zachovat ověřování v rámci řetězce přeposílání. Některé služby přeposílání e-mailů mohou způsobit selhání ARC.
Přesunout e-maily s přílohami obsahujícími makra do karantény	Upozorní uživatele, když e-mail obsahuje soubory Office s makry, které mohou spustit škodlivý kód. Jedná se o častý způsob šíření škodlivého kódu. V určitých případech jsou soubory s povolenými makry součástí legitimních pracovních postupů, proto by je správci měli před zablokováním ověřit.
Přesunout e-maily se spustitelnými přílohami do karantény	Blokuje e-maily obsahující spustitelné soubory, aby se zabránilo infekci škodlivým kódem. Spustitelné soubory jsou vysoce rizikovým typem souborů. Tímto opatřením mohou být ovlivněny ojedinělé legitimní případy použití (např. distribuce softwaru).
Přesunout e-maily s přílohami chráněnými heslem do karantény	Blokuje e-maily obsahující soubory chráněné heslem, které by mohly skrývat škodlivý obsah. Útočníci často používají šifrování, aby obešli kontroly. Blokovány však mohou být také legitimní zabezpečené přenosy souborů.
Přesunout e-maily obsahující přílohy s dvojitou příponou do karantény	Blokuje e-maily obsahující přílohy s dvojitou příponou (například invoice.pdf.exe), což je běžná častá taktika používaná škodlivým kódem k maskování spustitelných souborů. Toto pravidlo mohou ojediněle spustit i legitimní konvence pojmenování.
Zabránit podvržení interní domény (selhání SPAF) Zabránit podvržení interní domény (selhání DKIM) Zabránit podvržení interní domény (selhání DMARC) Zabránit podvržení interní domény (hlavička odesílatele)	Přesune do karantény e-maily vydávající se za zprávy odeslané z vaší domény, které neprojdou kontrolami ověření. Toto opatření pomáhá předcházet útokům využívajícím podvržení identity interního odesílatele. Chybná konfigurace DNS záznamů nebo přeposílacích systémů může způsobit falešné detekce.
Blokovat naléhavé e-maily při selhání DKIM	Blokuje e-maily označené jako „naléhavé“, které neprojdou ověřením DKIM, protože útočníci často využívají naléhavost k vyvíjení nátlaku na příjemce a obcházení bezpečnostních kontrol. Toto pravidlo pomáhá zabránit pokusům o sociální inženýrství. Některé legitimní naléhavé e-maily však nemusí projít kontrolou DKIM z důvodu přesměrování nebo špatné konfigurace poštovních serverů.

Podmínky

Z rozbalovacího menu vyberte podmínku Zdroj. Pole parametrů se budou měnit v závislosti na vybraném zdroji. Můžete případně určit regulární výraz výběrem možnosti Typ shody: Shoda regulárního výrazu.

Zdroj podmínek

Popis

Odesílatel

Aplikuje se na zprávy od konkrétního odesílatele.

IP adresa odesílatele

Aplikuje se na zprávy zaslané z konkrétní IP adresy. Pokud přidáváte nové adresy jako podmínky, akceptujeme jak IPv4 adresy, tak IPv6.

Doména odesílatele

Aplikuje se na zprávy zaslané z konkrétní domény uvedené v e-mailové adrese.

Od / Jméno odesílatele

Zahrnuje hodnoty hlavičky zprávy „Od:“. Toto jméno vidí příjemce. Neprovádí se však žádná kontrola, zda je odesílající systém oprávněn odesílat zprávy jménem této adresy. Běžně ji používají útočníci při falšování odesílatele. Tato podmínka se používá k porovnání domén uvedených v hlavičce „Od:“ a odesílateli obálky vůči seznamu vašich domén.

Předmět

Aplikuje se na zprávu jejíž předmět (ne)obsahuje konkrétní řetězec nebo (ne)vyhovuje zadanému regulárnímu výrazu.

Tělo

Daná fráze se bude vyhledávat v těle zpráv. Můžete využít funkci pro oříznutí HTML tagů, atributů a hodnot, čímž získáte pouze text, který se následně prohledá. Poté se prohledá text těla zprávy.

Název přílohy

Aplikuje se na zprávy jejichž přílohy mají konkrétní název. To se týká i souborů obsažených v archivu.

Vyhodnocovat pouze přílohy nejvyšší úrovně – je-li tato možnost zapnutá, soubory uvnitř archivu nebudou vyhodnocovány.

Použít úplnou cestu k objektům v příloze – je-li tato možnost zapnutá, bude vyhodnocována úplná cesta k objektu, nikoli pouze název souboru.

Rozšíření přílohy

Aplikuje se na zprávy s přílohou. K dispozici máte širokou škálu podmínek – příloha je větší nebo menší než zadaná hodnota atp.

Typ přílohy

Aplikuje se na zprávy, které obsahují definované typy příloh. Typy souborů jsou rozděleny do skupin pro snazší výběr. Můžete vybrat více typů souborů nebo celé kategorie. ESET Cloud Office Security rozpozná skutečný typ souboru bez ohledu na jeho příponu. Totéž platí pro obsah archivu.

Vyhodnocovat pouze přílohy nejvyšší úrovně – je-li tato možnost zapnutá, soubory uvnitř archivu nebudou vyhodnocovány.

Podmínka pravidla Typ přílohy má známé omezení, kdy detekční jádro ESET Cloud Office Security nedokáže detekovat velmi malé textové soubory s délkou pod 10 bajtů v kódování ASCII/ANSI.

Čas doručení

Vyhodnocuje se datum doručení. K dispozici máte širokou škálu podmínek – přesné datum, rozsah dní atp.

Výsledek SPF
Výsledek SPF – Hlavička From
Výsledek SPF HELO

Platí pro zprávy, které mají následující výsledek hodnocení SPF (Sender Policy Framework):

Passed – IP adresa je oprávněna zasílat zprávy z dané domény (SPF kvalifikátor "+").

Failed – SPF záznam neobsahuje informaci o odesílacím serveru nebo IP adrese (SPF kvalifikátor "-").

Soft fail – IP adresa může a nemusí být oprávněna zasílat zprávy z dané domény (SPF kvalifikátor "~").

Neutral – znamená, že vlastník domény nechce v SPF záznamy uvádět, zda je daná IP adresa oprávněna pro rozesílání zpráv z dané domény (SPF kvalifikátor "?").

Unknown – výsledek SPF None znamená, že doména nezveřejnila žádné záznamy nebo že z dané identity nebylo možné určit žádnou kontrolovatelnou doménu odesílatele.

Pro více informací o SPF si přečtěte RFC 4408.

Výsledek DMARC

Aplikuje se na zprávy, které byly při ověření SPF a DKIM, případně v obou případech, Úspěšné nebo Neúspěšné, případně, pokud je stav Neznámý.

DKIM

Aplikuje se na zprávy, které byly při ověření DKIM Úspěšné nebo Neúspěšné, případně, pokud je stav Neznámý.

ARC

Aplikuje se na zprávy, které byly při ověření ARC Úspěšné nebo Neúspěšné, případně, pokud je stav Neznámý.

Hlavičky

Názvy a hodnoty z hlavičky e-mailu jsou používány jako podmínky. Typ srovnání:

Názvy (jména) hlaviček – odpovídající názvy hlaviček. Podmínka je splněna, pokud zadaný název hlavičky existuje.

Hodnoty záhlaví – odpovídající názvy hlaviček a hodnoty záhlaví. Typ shody se použije pouze pro hodnoty záhlaví podle vybraného typu shody. Aby byla podmínka splněna, musí se zadané názvy hlaviček přesně shodovat (Typ shody nemá vliv na hodnoty názvů hlaviček).

Výsledek kontroly škodlivého kódu

Z rozbalovacího menu vyberte, na jaké zprávy se bude pravidlo vztahovat. Možnost: Nezkontrolováno, Čisté, Infikováno, Vypnuto.

Výsledek kontroly phishingu

Z rozbalovacího menu vyberte, na jaké zprávy se bude pravidlo vztahovat. Možnost: Nezkontrolováno, Čisté, Phishing, Vypnuto.

Výsledek antispamové kontroly

Z rozbalovacího menu vyberte, na jaké zprávy se bude pravidlo vztahovat. Možnost: Nezkontrolováno, Čisté, Spam, Vypnuto.

Výsledek kontroly

Z rozbalovacího menu vyberte, na jaké zprávy se bude pravidlo vztahovat. Možnost: Nezkontrolováno, Čisté, Malware, Phishing, Spam, Analyzování, Chyba, Vypnuto.

Akce

Můžete přidávat akce pro zprávy a/nebo přílohy, které odpovídají podmínkám pravidel.

Akce	Popis
Přesunout do karantény	Zpráva nebude příjemci doručena, ale bude přesunuta do karantény zpráv.
Vymazat zprávu	Vymaže infikovanou zprávu.
Odstranit přílohy	Příloha zprávy bude odstraněna. Příjemce obdrží zprávu bez přílohy.
Přeskočit kontrolu	Zpráva nebude kontrolována ochranou proti malwaru, phishingu a spamu.
Upozornit vlastníka	Definujte předmět a text oznamovací zprávy, který bude odeslán příjemci/vlastníkovi e-mailu. Všechny parametry textu zprávy musí být uzavřeny v složených závorkách, například {ParameterName}.
Upozornit administrátory	Zadejte e-maily administrátorů, předmět a text oznamovací zprávy, která bude zaslána administrátorům. Všechny parametry textu zprávy musí být uzavřeny v složených závorkách, například {ParameterName}.
Přidat text do předmětu	Do předmětu přidá vámi definovaný text.
Vyhodnotit další pravidla	Pomocí této možnosti můžete vyhodnocovat další pravidla, tedy definovat více podmínek a více akcí pro ně.
Přesunout mezi nevyžádané	Zpráva se v poštovní schránce uživatele umístí do složky Nevyžádaná nebo Spam.
Přidat banner do těla e-mailu	Do těla e-mailové zprávy bude přidán banner a zobrazí se příjemci. Jeho vzhled lze přizpůsobit.

˄˅