Cerca il contenuto della guida

Regole e-mail

Barre di navigazione

Guida online ESET > ESET Cloud Office Security > Naviga in ESET Cloud Office Security > Criteri > Regole e-mail

Copia l’URL dell’articolo corrente Invia tramite e-mail

Questo articolo (PDF) Tutta la documentazione (PDF)

Questa funzione consente di specificare le condizioni e di assegnare azioni relative alle e-mail filtrate. È possibile definire regole personalizzate di verifica del mittente e anti-spoofing con condizioni contenenti metodi di autenticazione quali SPF, DKIM, DMARC e ARC. Durante la creazione di un criterio Regole > fare clic su Modifica accanto a Regole e-mail per creare una nuova regola o modificarne una esistente.

1.Per creare una nuova regola, fare clic su Crea per aprire una procedura guidata.

2.Scegli un Modello predefinito o fai clic su Salta e crea una Nuova regola.

3.Digitare un Nome per la regola (sceglierne uno facilmente riconoscibile) che verrà quindi visualizzato nell’elenco delle regole. Se si desidera preparare la regola ma si prevede di utilizzarla in un secondo momento, fare clic sul tasto di alternanza accanto a Attiva per disattivare la regola.

4.Seguire la procedura guidata per specificare le condizioni e le azioni. Quando si fa clic su Aggiungi nuova condizione, selezionare la condizione Origine dal menu a discesa e configurare i valori appropriati.

5.Definire prima le condizioni e successivamente specificare le azioni corrispondenti. È possibile aggiungere più condizioni e azioni in una singola regola. In tal caso, ai fini dell’applicazione della regola, è necessario che tutte le condizioni vengano soddisfatte. Tutte le condizioni vengono connesse attraverso l’operatore logico AND. Anche se tutte le condizioni eccetto una sono soddisfatte, il risultato della valutazione della condizione non è raggiunto e non è possibile attuare l’azione della regola.

Modello

Seleziona il Modello predefinito dal menu a tendina.

Modello	Descrizione
Aggiungi banner del mittente esterno	Aggiunge un banner nelle e-mail provenienti dall’esterno della tua azienda, per consentire agli utenti di identificare rapidamente i messaggi esterni.
Aggiungi banner del mittente interno	Contrassegna le e-mail dei mittenti interni con un banner che conferma che il messaggio proviene dall’interno della tua azienda per evitare di generare confusione e per creare fiducia. Una configurazione errata di SPF o problemi di inoltro possono impedire la comparsa del banner o causare segnalazioni non corrette.
Visualizza i valori “From” e “Sender” nel banner	Mostra sia le intestazioni “From” che le intestazioni “Sender” nel banner per motivi di trasparenza, aiutando gli utenti a rilevare eventuali tentativi di spoofing in cui gli autori degli attacchi nascondono il vero mittente. Alcuni sistemi di posta legittimi (ad esempio, newsletter) utilizzano valori “Sender” diversi, che potrebbero generare confusione.
Avviso sul carattere omoglifo comune nell’intestazione “From”.	Avvisa gli utenti quando l’indirizzo “From” contiene caratteri cirillici o greci che imitano lettere latine, una tattica di impersonificazione comunemente utilizzata. Questo sistema aiuta a prevenire gli attacchi omoglifi. Anche e-mail internazionali legittime possono attivare questa avvertenza.
Avviso sul carattere omoglifo comune nell’intestazione “Sender”.	Avvisa gli utenti quando l’indirizzo “Sender” contiene caratteri cirillici o greci che imitano le lettere latine, una tattica di impersonificazione comune. Questo sistema aiuta a prevenire gli attacchi omoglifi. Anche e-mail internazionali legittime possono attivare questa avvertenza.
Filtro per parole chiave sospette	Contrassegna le e-mail contenenti frasi comuni di phishing o truffe, come “Verifica immediatamente la tua identità” o “Hai vinto”, che sono fortemente associate ai tentativi di frode. Le e-mail di marketing o gli avvisi legittimi possono occasionalmente utilizzare un linguaggio simile e si consiglia pertanto di agire con cautela. Ti consigliamo di creare un elenco di parole chiave sospette su misura per le esigenze della tua azienda.
Filtro di e-mail promozionali	Individua le e-mail promozionali attraverso il rilevamento dei collegamenti di disattivazione dell’iscrizione e dei domini non aziendali, aiutando in tal modo gli utenti a dare priorità ai messaggi importanti. Alcune e-mail transazionali (ad es. fatture) includono collegamenti di disattivazione dell’iscrizione e potrebbero essere contrassegnate in modo errato.
Contrassegna domini TLD ad alto rischio	Avvisa gli utenti della presenza di e-mail provenienti da domini con alti tassi di abuso (ad esempio, .tk, .ml, .xyz). Questi TLD vengono spesso utilizzati per scopi di spam e phishing. Alcuni servizi legittimi utilizzano questi domini, quindi la verifica è importante.
Intestazione Rispondi a non corrispondente	Avvisa gli utenti quando l’indirizzo Rispondi a è diverso da quello del mittente, una tattica di phishing comune per il reindirizzamento delle risposte. Alcuni sistemi di mailing utilizzano indirizzi Reply-To diversi per l’assistenza o la creazione di ticket, il che può causare falsi positivi.
Sposta le e-mail non autenticate nella posta indesiderata (SPF fail)	Contrassegna le e-mail che non superano o non superano parzialmente i controlli SPF, indicando un possibile spoofing. L’SPF convalida l’autenticità del mittente. La configurazione errata dei record SPF o dei servizi di inoltro può causare falsi positivi.
Sposta le e-mail non autenticate nella posta indesiderata (SPF soft fail)	Contrassegna le e-mail che non superano o non superano parzialmente i controlli SPF, indicando un possibile spoofing. L’SPF convalida l’autenticità del mittente. La configurazione errata dei record SPF o dei servizi di inoltro può causare falsi positivi.
Avvisa in caso di e-mail urgenti senza SPF	Avvisa gli utenti in caso di mancata convalida dell’SPF per un’e-mail con priorità elevata. Gli autori degli attacchi spesso contrassegnano le e-mail di phishing come urgenti per fare pressione sui destinatari. Alcuni sistemi legittimi potrebbero non impostare correttamente l’SPF, pertanto si consiglia di eseguire una verifica prima di procedere.
Avvisa in caso di controlli ARC e DMARC non riusciti	Contrassegna le e-mail che non superano i controlli DMARC e ARC, che convalidano l’identità del mittente e l’integrità del messaggio. Ciò impedisce lo spoofing e la manomissione. Le e-mail o le mailing list inoltrate potrebbero non superare questi controlli, causando falsi positivi.
Contrassegna le e-mail del mailer PHP	Avvisa gli utenti delle e-mail inviate tramite il mailer PHP, che viene spesso sfruttato dagli spammer in configurazioni a bassa sicurezza. Mentre il mailer PHP è comunemente usato nelle applicazioni web legittime, i destinatari dovrebbero verificarne l’autenticità.
Banner ARC fail	Avvisa gli utenti quando l’autenticazione ARC non riesce, indicando possibili manomissioni nell’inoltro dei messaggi. Il protocollo ARC aiuta a preservare l’autenticazione tramite catene di inoltro. Alcuni servizi di inoltro di e-mail possono causare errori ARC.
Allegati con attivazione macro Metti e-mail in quarantena	Avvisa gli utenti quando un’e-mail contiene file di Office con attivazione macro che possono eseguire codice dannoso. Si tratta di un metodo di distribuzione comune dei malware. Alcuni flussi di lavoro legittimi possono utilizzare file con attivazione macro, pertanto gli amministratori devono verificarli prima di eseguire il blocco.
Metti in quarantena le e-mail con allegati eseguibili	Blocca le e-mail contenenti file eseguibili per prevenire infezioni da malware. I file eseguibili sono un tipo di file ad alto rischio. Potrebbero essere interessati rari casi d’uso legittimi (ad es. distribuzione di software).
Metti in quarantena le e-mail con allegati protetti con password	Blocca le e-mail contenenti file protetti con password che potrebbero nascondere contenuti dannosi. Gli autori degli attacchi utilizzano spesso la crittografia per aggirare il controllo. Anche i trasferimenti di file protetti legittimi potrebbero essere bloccati.
Metti in quarantena le e-mail con allegati a doppia estensione	Blocca le e-mail contenenti allegati con doppia estensione (ad esempio, invoice.pdf.exe), una tattica malware comunemente utilizzata per mascherare i file eseguibili. Questa regola può essere attivata anche da rare convenzioni di denominazione legittime.
Impedisci lo spoofing del dominio interno (SPAF fail) Impedisci lo spoofing del dominio interno (DKIM fail) Impedisci lo spoofing del dominio interno (DMARC fail) Impedisci lo spoofing del dominio interno (intestazione mittente)	Mette in quarantena le e-mail che sembrano provenire dal tuo dominio ma non superano i controlli di autenticazione, aiutando a prevenire attacchi di spoofing interni. I record DNS o i sistemi di inoltro configurati in modo errato possono causare falsi positivi.
Blocca e-mail urgenti con errore DKIM	Blocca le e-mail contrassegnate come “urgenti” che non superano l’autenticazione DKIM, in quanto gli autori degli attacchi utilizzano spesso l’urgenza per fare pressione sui destinatari e aggirare i controlli di sicurezza. Questa regola aiuta a prevenire tentativi di ingegneria sociale. Tuttavia, alcune e-mail urgenti legittime potrebbero non superare l’autenticazione DKIM a causa dell’inoltro o di una configurazione errata dei server di posta.

Condizioni

Selezionare la condizione Origine dal menu a discesa. I campi dei parametri cambieranno a seconda dell’origine selezionata. In alternativa, è possibile specificare Espressione regolare selezionando Tipo di corrispondenza: Corrispondenza RegEx.

Origine condizione

Descrizione

Mittente

Si applica ai messaggi inviati da un mittente specifico.

Indirizzo IP mittente

Si applica ai messaggi inviati da un indirizzo IP specifico. Quando si aggiunge un nuovo indirizzo come condizione, vengono accettati sia il protocollo IPv4 sia il protocollo IPv6.

Dominio mittente

Si applica ai messaggi inviati da un mittente con un dominio specifico negli indirizzi di posta.

Da/Nome origine

“Da:" valore contenuto nelle intestazioni del messaggio. Questo è il nome visibile al destinatario. Tuttavia, non vengono eseguiti controlli che garantiscono che il sistema preposto all’invio sia autorizzato a inviare per conto di tale indirizzo. Viene comunemente utilizzata dagli autori degli attacchi durante lo spoofing del mittente. Questa condizione viene utilizzata per confrontare uno o più domini contenuti nel campo dell’intestazione dell’e-mail “Da” e il mittente della busta con gli elenchi di domini.

Oggetto

Si applica ai messaggi che contengono o non contengono una specifica stringa (o espressione regolare) nell'oggetto.

Corpo

La ricerca nel corpo del messaggio viene eseguita in base a frasi specifiche. È possibile utilizzare la funzione tag “Barra HTML” per rimuovere i tag, gli attributi e i valori HTML e lasciare solo le parti testuali. La ricerca verrà quindi eseguita nel testo del corpo.

Nome allegato

Si applica ai messaggi contenenti allegati con un nome specifico. Sono inclusi i file contenuti in un archivio.

Valuta solo per gli allegati di primo livello: in caso di abilitazione, i file all’interno di un archivio non verranno valutati.

Usa percorso completo per gli oggetti all’interno dell’allegato: in caso di abilitazione, verrà valutato il percorso completo dell’oggetto, non solo il nome del file.

Estensione dell’allegato

Si applica ai messaggi con un allegato che non presenta una specifica dimensione, rientra in un intervallo di dimensioni specifico o supera una dimensione specifica.

Tipo di allegato

Si applica ai messaggi con uno specifico tipo di file allegato. I tipi di file sono classificati in gruppi per semplificarne la selezione. È possibile selezionare tipi di file multipli o intere categorie. ESET Cloud Office Security rileva il tipo di file effettivo, indipendentemente dall’estensione. Lo stesso vale per il contenuto di un archivio.

Valuta solo per gli allegati di primo livello: in caso di abilitazione, i file all’interno di un archivio non verranno valutati.

La condizione della regola Tipo di allegato presenta una limitazione nota in base alla quale il motore di rilevamento ESET Cloud Office Security non è in grado di rilevare file di testo di piccolissime dimensioni, con una lunghezza inferiore a 10 byte nella codifica ASCII/ANSI.

Ora di ricezione

Si applica ai messaggi ricevuti prima o dopo una specifica data o durante un intervallo di date specifico.

SPF risultato
risultato SPF: intestazione From
SPF risultato HELO

Si applica ai messaggi con il risultato della valutazione di SPF (Sender Policy Framework):

Superato: se l’indirizzo IP viene autorizzato a effettuare l’invio dal dominio (qualificatore SPF "+").

Non superato: il record dell’SPF non contiene il server o l’indirizzo IP di invio (qualificatore SPF "-").

Errore non bloccante: l’indirizzo IP potrebbe o potrebbe non essere autorizzato a effettuare l’invio dal dominio (qualificatore SPF "~").

Neutro: indica che il proprietario del dominio ha dichiarato nel record SPF di non voler asserire che l’indirizzo IP è autorizzato a effettuare l’invio dal dominio (qualificatore SPF "?")

Sconosciuto: il risultato SPF di None indica che non sono stati pubblicati record dal dominio o che non è stato possibile determinare il dominio del mittente selezionabile dall’identità fornita.

Consultare RFC 4408 per ulteriori dettagli sul controllo SPF.

DMARC risultato

Si applica ai messaggi che hanno superato o non superato la verifica SPF o DKIM o entrambe, oppure ai messaggi non noti.

DKIM

Si applica ai messaggi che hanno superato o non superato la verifica DKIM oppure ai messaggi non noti.

ARC

Si applica ai messaggi che hanno superato o non superato la verifica ARC oppure ai messaggi non noti.

Intestazioni

I nomi e i valori del campo dell’intestazione del messaggio di posta elettronica vengono utilizzati come condizione. Tipo di confronto:

Nomi dell’intestazione: in caso di abbinamento ai nomi dell’intestazione, la condizione viene soddisfatta quando esiste il nome dell’intestazione specificato.

Valori dell’intestazione: in caso di abbinamento ai nomi dell’intestazione e ai valori dell’intestazione, il tipo di corrispondenza viene utilizzato solo per i valori dell’intestazione in base al tipo di corrispondenza selezionato. Per soddisfare la condizione, i nomi dell’intestazione specificati devono corrispondere in maniera esatta (il tipo di corrispondenza non influisce sui valori dei nomi dell’intestazione).

Risultato del controllo anti-malware

Scegliere dal menu a discesa i messaggi ai quali verrà applicata la regola. Opzione: Non controllato, Pulito, Infetto, Disabilitato.

Risultato del controllo anti-Phishing

Scegliere dal menu a discesa i messaggi ai quali verrà applicata la regola. Opzione: Non controllato, Pulito, Phishing, Disabilitato.

Risultato del controllo anti-spam

Scegliere dal menu a discesa i messaggi ai quali verrà applicata la regola. Opzione: Non controllato, Pulito, Spam, Disabilitato.

Risultato del controllo

Scegliere dal menu a discesa i messaggi ai quali verrà applicata la regola. Opzione: Disabilitato, Malware, Phishing, Spam, Analisi, Errore, Pulito, Non controllato.

Azioni

È possibile aggiungere azioni per messaggi e/o allegati che corrispondono alle condizioni della regola.

Nome azione	Descrizione
Messaggio quarantena	Il messaggio non verrà consegnato al destinatario e verrà spostato nella quarantena delle e-mail.
Elimina messaggio	Elimina un messaggio infetto.
Rimuovi allegati	Elimina l'allegato di un messaggio. Il messaggio verrà inviato al destinatario senza allegato.
Salta controllo	Il messaggio non verrà controllato dalla protezione anti-malware, antiphishing e antispam.
Invia notifica al proprietario	Definire l’Oggetto e il testo del Messaggio che verrà inviato al destinatario/proprietario dell’e-mail in modo che possa ricevere una notifica. Tutti i parametri per il testo del messaggio devono essere racchiusi tra parentesi graffe, ad esempio {ParameterName}.
Invia una notifica agli amministratori	Inserire le e-mail degli amministratori, definire l’oggetto e il testo del messaggio che verrà inviato agli amministratori come notifica. Tutti i parametri per il testo del messaggio devono essere racchiusi tra parentesi graffe, ad esempio {ParameterName}.
Aggiungi prefisso oggetto	Aggiunge un prefisso a un oggetto.
Valuta regole successive	Valuta altre regole, consentendo all'utente di definire set multipli di condizioni e azioni multiple da intraprendere in base alle condizioni.
Sposta nella cartella della posta indesiderata	Il messaggio verrà inserito nella cartella Posta indesiderata/Spam della casella di posta dell’utente.
Aggiungi banner nel corpo	In un messaggio e-mail verrà aggiunto un banner che sarà visualizzato dal destinatario. È possibile personalizzare l’aspetto del banner quando è incluso nel messaggio.

˄˅