Recherche dans le contenu de l'aide

Règles d'e-mail

Chemin de navigation

Aide en ligne ESET > ESET Cloud Office Security > Navigation dans ESET Cloud Office Security > Politique par défaut > Règles d'e-mail

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

Cette fonctionnalité vous permet de spécifier des conditions et d'attribuer des actions aux e-mails filtrés. Vous pouvez définir vos règles personnalisées de vérification de l'expéditeur et de lutte contre l'usurpation d'identité avec des conditions qui incluent des méthodes d'authentification comme SPF, DKIM, DMARC et ARC. Lors de la création d'une politique > Règles, cliquez sur Modifier à côté de l'option Règles d'e-mail pour créer une règle ou modifier une règle existante.

1.Pour créer une règle, cliquez sur Créer afin d'ouvrir un assistant.

2.Choisissez un modèle prédéfini ou cliquez sur Ignorer et créez une nouvelle règle.

3.Saisissez un nom pour la règle (un nom reconnaissable). Le nom s’affichera dans la liste des règles. Si vous souhaitez préparer la règle, mais que vous planifiez de l'utiliser plus tard, vous pouvez cliquer sur le bouton bascule situé à côté de l'option Active pour rendre la règle inactive.

4.Pour spécifier des conditions et des actions, suivez les instructions de l'assistant. Lorsque vous cliquez sur Ajouter une nouvelle condition, sélectionnez la source de la condition dans le menu déroulant et configurez les valeurs appropriées.

5.Définissez d'abord vos conditions, puis spécifiez les actions correspondantes. Vous pouvez ajouter plusieurs conditions et actions à une seule règle. Dans ce cas, toutes les conditions doivent être remplies pour appliquer la règle. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée.

Modèle

Sélectionnez le modèle prédéfini dans le menu déroulant.

Modèle	Description
Ajouter une bannière d'expéditeur externe	Ajoute une bannière aux e-mails provenant de l'extérieur de votre organisation afin que les utilisateurs puissent rapidement identifier les messages externes.
Ajouter une bannière d'expéditeur interne	Marque les e-mails provenant d'expéditeurs internes avec une bannière confirmant que le message provient de votre organisation afin de réduire la confusion et de renforcer la confiance. Une configuration SPF incorrecte ou des problèmes de relais peuvent empêcher l'affichage de la bannière ou entraîner un marquage incorrect.
Afficher les valeurs « De » et « Expéditeur » dans la bannière	Affiche les en-têtes « De » et « Expéditeur » dans la bannière pour plus de transparence, ce qui permet aux utilisateurs de détecter les tentatives d'usurpation d'identité où les attaquants cachent le véritable expéditeur. Certains systèmes de messagerie légitimes (par exemple, les newsletters) utilisent des valeurs « Expéditeur » différentes, ce qui peut prêter à confusion.
Alerte sur les caractères homoglyphes courants dans l'en-tête « De ».	Alerte les utilisateurs lorsque l'adresse « De » contient des caractères cyrilliques ou grecs qui imitent les lettres latines, ce qui est une tactique d'emprunt d'identité courante. Cela permet d'éviter les attaques homoglyphes. Des e-mails internationaux légitimes peuvent également déclencher cet avertissement.
Alerte sur les caractères homoglyphiques courants dans l'en-tête « Expéditeur ».	Alerte les utilisateurs lorsque l'adresse « Expéditeur » contient des caractères cyrilliques ou grecs qui imitent les lettres latines, ce qui est une tactique d'emprunt d'identité courante. Cela permet d'éviter les attaques homoglyphes. Des e-mails internationaux légitimes peuvent également déclencher cet avertissement.
Filtre de mots-clés suspects	Signale les e-mails contenant des phrases courantes utilisées dans les tentatives d'hameçonnage ou d'escroquerie, telles que « Vérifiez immédiatement votre identité » ou « Vous avez remporté un prix », qui sont fortement associées à des tentatives de fraude. Les e-mails marketing ou les alertes légitimes peuvent parfois utiliser un langage similaire ; il convient donc d'être vigilant. Il est recommandé de créer une liste de mots-clés suspects adaptée aux besoins de votre organisation.
Filtre des e-mails promotionnels	Identifie les e-mails promotionnels en détectant les liens de désabonnement et les domaines non professionnels, ce qui permet aux utilisateurs de hiérarchiser les messages importants. Certains e-mails transactionnels (par exemple, les factures) contiennent des liens de désabonnement et peuvent être signalés à tort.
Signaler les domaines TLD à haut risque	Avertit les utilisateurs des e-mails provenant de domaines présentant des taux d'abus élevés (par exemple, .tk, .ml, .xyz). Ces TLD sont fréquemment utilisés pour le courrier indésirable et l'hameçonnage. Certains services légitimes utilisent ces domaines, il est donc important de les vérifier.
Incohérence de l'en-tête Reply-To (Répondre à)	Alerte les utilisateurs lorsque l'adresse Reply-To (Répondre à) diffère de celle de l'expéditeur, une tactique d'hameçonnage courante visant à rediriger les réponses. Certains systèmes de messagerie utilisent des adresses Reply-To différentes pour l'assistance ou la gestion des tickets, ce qui peut entraîner de faux positifs.
Déplacer les e-mails non authentifiés vers le courrier indésirable (échec SPF)	Signale les e-mails qui échouent ou échouent partiellement aux contrôles SPF, ce qui indique une possible usurpation d'identité. SPF valide l'authenticité de l'expéditeur. Des enregistrements SPF ou des services de transfert mal configurés peuvent entraîner de faux positifs.
Déplacer les e-mails non authentifiés vers les courriers indésirables (soft fail SPF (échec partiel)	Signale les e-mails qui échouent ou échouent partiellement aux contrôles SPF, ce qui indique une possible usurpation d'identité. SPF valide l'authenticité de l'expéditeur. Des enregistrements SPF ou des services de transfert mal configurés peuvent entraîner de faux positifs.
Alerte sur les e-mails urgents sans SPF	Avertit les utilisateurs lorsqu'un e-mail hautement prioritaire ne dispose pas de validation SPF. Les attaquants marquent souvent les e-mails d'hameçonnage comme urgents afin de mettre la pression sur les destinataires. Certains systèmes légitimes peuvent ne pas configurer correctement SPF ; il est donc recommandé de procéder à une vérification avant de continuer.
Alerte en cas d'échec des vérifications ARC et DMARC	Signale les e-mails qui échouent aux vérifications DMARC et ARC, qui valident l'identité de l'expéditeur et l'intégrité du message. Cela permet d'éviter l'usurpation d'identité et la falsification. Les e-mails transférés ou les listes de diffusion peuvent échouer à ces vérifications, ce qui entraîne de faux positifs.
Signaler les e-mails envoyés via PHP Mailer	Avertit les utilisateurs des e-mails envoyés via PHP Mailer, qui est souvent exploité par les personnes envoyant du courrier indésirable dans les configurations peu sécurisées. Bien que PHP Mailer soit couramment utilisé dans les applications web légitimes, les destinataires doivent vérifier l'authenticité des messages.
Bannière d'échec ARC	Alerte les utilisateurs lorsque l'authentification ARC échoue, indiquant une possible falsification dans le transfert du message. ARC permet de préserver l'authentification grâce aux chaînes de transfert. Certains services de transfert d'e-mails peuvent entraîner des défaillances ARC.
Mettre en quarantaine les pièces jointes contenant des macros	Alerte les utilisateurs lorsqu'un e-mail contient des fichiers Office contenant des macros, qui peuvent exécuter du code malveillant. Il s'agit d'une méthode courante de diffusion de logiciels malveillants. Certains processus légitimes peuvent utiliser des fichiers contenant des macros ; les administrateurs doivent donc vérifier avant de les bloquer.
Mettre en quarantaine les e-mails contenant des pièces jointes exécutables	Bloque les e-mails contenant des fichiers exécutables afin d'empêcher les infections par des logiciels malveillants. Les fichiers exécutables sont un type de fichier à haut risque. Les rares cas d'utilisation légitime (par exemple, la distribution de logiciels) peuvent être affectés.
Mettre en quarantaine les e-mails contenant des pièces jointes protégées par mot de passe	Bloque les e-mails contenant des fichiers protégés par mot de passe qui pourraient cacher du contenu malveillant. Les attaquants utilisent souvent le chiffrement pour contourner les analyses. Les transferts de fichiers sécurisés légitimes peuvent également être bloqués.
Mettre en quarantaine les e-mails contenant des pièces jointes à double extension	Bloque les e-mails contenant des pièces jointes à double extension (par exemple, facture.pdf.exe), une tactique couramment utilisée par les logiciels malveillants pour dissimuler des fichiers exécutables. Certaines conventions de nommage légitimes peu courantes peuvent également déclencher cette règle.
Empêcher l'usurpation de domaine interne (échec SPAF) Empêcher l'usurpation de domaine interne (échec DKIM) Empêcher l'usurpation de domaine interne (échec DMARC) Empêcher l'usurpation de domaine interne (en-tête de l'expéditeur)	Met en quarantaine les e-mails qui semblent provenir de votre domaine mais qui échouent aux vérifications d'authentification, afin d'empêcher les attaques par usurpation d'identité interne. Des enregistrements DNS ou des systèmes de relais mal configurés peuvent entraîner de faux positifs.
Bloquer les e-mails urgents avec échec DKIM	Bloque les e-mails marqués comme « urgents » qui échouent à l'authentification DKIM, car les attaquants utilisent souvent l'urgence pour faire pression sur les destinataires et contourner les contrôles de sécurité. Cette règle permet d'empêcher les tentatives d'ingénierie sociale. Cependant, certains e-mails urgents légitimes peuvent échouer au contrôle DKIM en raison d'un transfert ou d'une mauvaise configuration des serveurs de messagerie.

Conditions

Sélectionnez la Source de la condition dans le menu déroulant. Les champs de paramètres changent en fonction de la source sélectionnée. Vous pouvez également spécifier une expression régulière en sélectionnant Type de correspondance : Correspondance de RegEx.

Source de la condition

Description

Expéditeur

S'applique aux messages envoyés par un expéditeur spécifique.

Adresse IP de l'expéditeur

S'applique aux messages envoyés par une adresse IP spécifique. Lors de l’ajout d’une nouvelle adresse en tant que condition, IPv4 et IPv6 sont acceptés.

Domaine de l'expéditeur

S'applique aux messages provenant d'un expéditeur ayant un domaine spécifique dans ses adresses courriels.

From/Nom de l'expéditeur

Valeur « From: » contenue dans les en-têtes des messages. Ce nom d'affichage est visible pour le destinataire, mais aucun contrôle n'est effectué pour s'assurer que le système d'envoi est autorisé à envoyer au nom de cette adresse. Il est couramment utilisé par les attaquants pour usurper l'identité de l'expéditeur. Cette condition est utilisée pour comparer le(s) domaine(s) contenu(s) dans le champ d'en-tête « From: » et l'expéditeur de l'enveloppe avec les listes de domaines.

Objet

S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet.

Corps

La phrase spécifiée est recherchée dans le corps du message. Vous pouvez utiliser la fonctionnalité Retirer les balises HTML pour retirer les attributs, les valeurs et les balises HTML et conserver le texte uniquement. La recherche se fera alors dans le corps du texte.

Nom de la pièce jointe

S'applique aux messages qui contiennent des pièces jointes avec un nom spécifique. Cela inclut les fichiers contenus dans une archive.

Évaluer uniquement les pièces jointes de niveau supérieur : lorsque cette option est activée, les fichiers contenus dans une archive ne sont pas évalués.

Utiliser le chemin complet pour les objets contenus dans une pièce jointe : lorsque cette option est activée, le chemin d'accès complet de l'objet sera évalué, et pas seulement le nom du fichier.

Extension de pièce jointe

S'applique aux messages ayant une pièce jointe dont la taille ne correspond pas à une taille spécifiée, se trouve dans un intervalle de tailles spécifiées ou excède une taille spécifiée.

Type de la pièce jointe

S'applique aux messages avec un type de fichier joint spécifique. Les types de fichiers sont classés par groupes pour faciliter la sélection. Vous pouvez sélectionner plusieurs types de fichiers ou des catégories entières. ESET Cloud Office Security détecte le type de fichier réel quelle que soit l'extension de fichier. Il en va de même pour le contenu d'une archive.

Évaluer uniquement les pièces jointes de niveau supérieur : lorsque cette option est activée, les fichiers contenus dans une archive ne sont pas évalués.

La condition de règle Type de pièce jointe comporte une limitation connue; en effet, le moteur de détection de ESET Cloud Office Security ne peut pas détecter les très petits fichiers texte d'une longueur inférieure à 10 octets en codage ASCII/ANSI.

Heure de réception

S'applique aux messages reçus avant ou après une date spécifique ou entre deux dates spécifiques.

SPF résultat
SPF résultat - En-tête De
SPF résultat HELO

S’applique aux messages dont le résultat d’évaluation SPF (Sender Policy Framework) est le suivant :

Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur SPF "+")

Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur SPF "-")

Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF)

Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF)

Inconnu : le résultat SPF None indique que le domaine n'a publié aucun enregistrement ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée.

Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF.

DMARC résultat

S'applique aux messages dont la vérification par SPF ou par DKIM ou par les deux a réussie ou a échoué, autrement si inconnue.

DKIM

S'applique aux messages dont la vérification par DKIM a réussie ou a échoué, autrement si inconnue.

ARC

S'applique aux messages dont la vérification par ARC a réussie ou a échoué, autrement si inconnue.

En-têtes

Les noms et valeurs des champs de l'en-tête de l'e-mail sont utilisés comme condition. Type de comparaison :

Noms d'en-tête : correspondance avec les noms d'en-tête, la condition est remplie lorsque le nom d'en-tête spécifié existe.

Valeurs d'en-tête : correspondance entre les noms d'en-tête et les valeurs d'en-tête, le type de correspondance n'est utilisé que pour les valeurs d'en-tête correspondant au type de correspondance sélectionné. Pour remplir la condition, les noms d'en-tête spécifiés doivent correspondre exactement (le type de correspondance n'affecte pas les valeurs des noms d'en-tête).

Résultat de la recherche de logiciels malveillants

Dans le menu déroulant, choisissez les messages auxquels la règle s'appliquera. Option: Non analysé, Non infecté, Infecté, Désactivé.

Résultat de la recherche d'hameçonnage

Dans le menu déroulant, choisissez les messages auxquels la règle s'appliquera. Option: Non analysé, Non infecté, Hameçonnage, Désactivé.

Résultat de la recherche de courrier indésirable

Dans le menu déroulant, choisissez les messages auxquels la règle s'appliquera. Option: Non analysé, Non infecté, Courrier indésirable, Désactivé.

Résultat du scan

Dans le menu déroulant, choisissez les messages auxquels la règle s'appliquera. Option: Désactivé, Logiciel malveillant, Hameçonnage, Courrier indésirable, Analyse, Erreur, Non infecté, Non analysé.

Actions

Vous pouvez ajouter des actions pour les messages et/ou les pièces jointes qui correspondent aux conditions de la règle.

Nom de l'action	Description
Message en quarantaine	Le message ne sera pas livré au destinataire et sera déplacé dans la quarantaine de courriel.
Supprimer le message	Supprime un message infecté.
Supprimer les pièces jointes	Supprime la pièce jointe d'un message. Le message sera remis au destinataire sans la pièce jointe.
Ignorer l'analyse	Le message ne sera pas analysé par la protection contre les logiciels malveillants, l'hameçonnage et le courrier indésirable.
Avertir le propriétaire	Définissez le texte de l'objet et du message qui sera envoyé au destinataire/propriétaire de l'e-mail pour l'avertir. Tous les paramètres du texte du message doivent être placés entre accolades, par exemple {NomParamètre}.
Avertir les administrateurs	Saisissez les e-mails des administrateurs et définissez le sujet et le texte du message qui sera envoyé aux administrateurs en tant que notification. Tous les paramètres du texte du message doivent être placés entre accolades, par exemple {NomParamètre}.
Ajouter un préfixe d'objet	Ajoute un préfixe à un objet.
Évaluer les règles suivantes	Permet l'évaluation d'autres règles, offrant à l'utilisateur la possibilité de définir de multiples ensembles de conditions et d'actions à entreprendre, en fonction des conditions données.
Déplacer vers le courrier indésirable	Le message sera placé dans le dossier Courrier indésirable de la boîte aux lettres de l'utilisateur.
Ajouter une bannière de corps	Une bannière sera ajoutée à un e-mail et affichée au destinataire. Vous pouvez personnaliser l'aspect de la bannière lorsqu'elle est incluse dans le message.

˄˅