Pesquisar no conteúdo de ajuda

Regras de e-mail

Trilhas

Ajuda on-line ESET > ESET Cloud Office Security > Navegue no ESET Cloud Office Security > Políticas > Regras de e-mail

Copiar URL do artigo atual Compartilhar por e-mail

Este artigo (PDF) Documentação completa (PDF)

Esse recurso permite que você especifique condições e atribua ações de e-mail filtradas. Você pode definir suas regras personalizadas de verificação de remetente e antifalsificação com condições que incluam métodos de autenticação como SPF, DKIM, DMARC e ARC. Ao criar uma política > Regras > clique em Editar ao lado de Regras de e-mail para criar uma nova regra ou modificar uma regra existente.

1.Para criar uma nova regra, clique em Criar para abrir o assistente.

2.Escolha o Modelo pré-definido ou clique em Ignorar e crie uma Nova.

3.Digite um Nome para a regra (algo que você reconhecerá) e o nome será mostrado na lista de regras. Se quiser preparar a regra mas planeja usá-la mais tarde, você pode clicar no botão ao lado de Ativo para desativar a regra.

4.Siga o assistente para especificar Condições e Ações. Ao clicar em Adicionar nova condição, selecione a condição Origem no menu suspenso e configure os valores apropriados.

5.Defina suas condições primeiro e, em seguida, especifique as ações correspondentes. Você pode adicionar várias condições e ações a uma única regra. Se isso for feito, todas as condições devem ser atendidas para aplicar a regra. Todas as condições são conectadas usando o operador lógico AND. Mesmo se a maioria das condições forem cumpridas e apenas uma não for, o resultado da avaliação de condições é considerado como não atendido e a ação da regra não pode ser realizada.

Modelo

Selecione o Modelo pré-definido no menu suspenso.

Modelo	Descrição
Adicionar banner de remetente externo	Adiciona um banner aos e-mails originados fora da sua organização para que os usuários possam identificar rapidamente mensagens externas.
Adicionar banner de remetente interno	Marca os e-mails dos remetentes internos com um banner confirmando que a mensagem é de dentro da sua organização para reduzir confusões e construir confiança. Problemas de SPF ou retransmissão mal configurados podem impedir o aparecimento do banner ou causar uma sinalização incorreta.
Exibir os valores "De" e "Remetente" no banner	Mostra os cabeçalhos "De" e "Remetente" no banner para transparência, ajudando os usuários a detectar tentativas de falsificação onde atacantes escondem o remetente real. Alguns sistemas legítimos de envio (por exemplo, newsletters) usam valores diferentes de "Remetente", o que pode causar confusão.
Alerta sobre caractere homoglifo comum no cabeçalho "De".	Alerta os usuários quando o endereço "De" contém caracteres cirílicos ou gregos que imitam letras latinas, o que é uma tática comum de personificação. Isso ajuda a prevenir ataques de homoglifos. E-mails internacionais legítimos também podem acionar esse alerta.
Alerta sobre o caractere homoglifo comum no cabeçalho "Remetente".	Alerta os usuários quando o endereço "Remetente" contém caracteres cirílicos ou gregos que imitam letras latinas, o que é uma tática comum de personificação. Isso ajuda a prevenir ataques de homoglifos. E-mails internacionais legítimos também podem acionar esse alerta.
Filtro de palavras-chave suspeitas	Sinaliza e-mails contendo frases comuns de phishing ou golpe, como "Verifique sua identidade imediatamente" ou "Você ganhou", que estão fortemente associadas a tentativas de fraude. E-mails de marketing ou alertas legítimos podem ocasionalmente usar linguagem semelhante, portanto, é aconselhável ter cautela. Recomendamos criar uma lista de palavras-chave suspeitas, adaptada às necessidades da sua organização.
Filtrar e-mails promocionais	Identifica e-mails promocionais detectando links de cancelamento de assinatura e domínios não empresariais, ajudando os usuários a priorizar mensagens importantes. Alguns e-mails transacionais (por exemplo, faturas) incluem links de cancelamento de assinatura e podem ser sinalizados incorretamente.
Sinalizar domínios TLD de alto risco	Alerta os usuários sobre e-mails de domínios com altas taxas de abuso (por exemplo, .tk, .ml, .xyz). Esses TLDs são frequentemente usados para spam e phishing. Alguns serviços legítimos usam esses domínios, então é importante fazer uma verificação.
Incompatibilidade no cabeçalho Responder-Para	Alerta os usuários quando o endereço Responder-Para é diferente do remetente, uma tática comum de phishing para redirecionar respostas. Alguns sistemas de correspondência usam endereços Responder-Para diferentes para suporte ou resolução de tickets, o que pode causar falsos positivos.
Mover e-mails não autenticados para Spam (falha no SPF)	Sinaliza e-mails que falham total ou parcialmente nas verificações de SPF, indicando possível falsificação. O SPF valida a autenticidade do remetente. Registros SPF ou serviços de encaminhamento mal configurados podem causar falsos positivos.
Mover e-mails não autenticados para Spam (falha leve do SPF)	Sinaliza e-mails que falham total ou parcialmente nas verificações de SPF, indicando possível falsificação. O SPF valida a autenticidade do remetente. Registros SPF ou serviços de encaminhamento mal configurados podem causar falsos positivos.
Alerta em e-mails urgentes sem SPF	Alerta os usuários quando um e-mail de alta prioridade não possui validação SPF. Atacantes frequentemente marcam e-mails de phishing como urgentes para pressionar os destinatários. Alguns sistemas legítimos podem não configurar corretamente o SPF, então recomendamos fazer uma verificação antes de prosseguir.
Alerta sobre falhas em ARC e DMARC	Sinaliza e-mails que falham nas verificações DMARC e ARC, que validam a identidade do remetente e a integridade da mensagem. Isso previne falsificações e manipulações. E-mails ou listas de discussão encaminhadas podem falhar nessas verificações, causando falsos positivos.
Sinalizar e-mails de PHPMailer	Alerta os usuários sobre e-mails enviados pelo PHPMailer, que frequentemente são explorados por spammers em configurações de baixa segurança. Embora o PHPMailer seja comumente usado em aplicativos web legítimos, os destinatários devem verificar a autenticidade.
Banner de falha ARC	Alerta os usuários quando a autenticação ARC falha, indicando possível manipulação no encaminhamento de mensagens. O ARC ajuda a preservar a autenticação por meio de cadeias de encaminhamento. Alguns serviços de encaminhamento de e-mails podem causar falhas no ARC.
Colocar em quarentena anexos com macros habilitadas	Alerta os usuários quando um e-mail contém arquivos Office com macros habilitadas, que podem executar código malicioso. Esse é um método comum de entrega de malware. Alguns fluxos de trabalho legítimos podem usar arquivos com macros habilitadas, então os administradores devem verificar antes de bloquear.
Colocar em quarentena e-mails com anexos executáveis	Bloqueia e-mails contendo arquivos executáveis para evitar infecções por malware. Executáveis são um tipo de arquivo de alto risco. Casos de uso legítimos raros (por exemplo, distribuição de software) podem ser impactados.
Colocar em quarentena e-mails com anexos protegidos por senha	Bloqueia e-mails contendo arquivos protegidos por senha que possam ocultar conteúdo malicioso. Atacantes frequentemente usam criptografia para burlar o escaneamento. Transferências legítimas de arquivos seguros também podem ser bloqueadas.
Colocar em quarentena e-mails com anexos de dupla extensão	Bloqueia e-mails contendo anexos com extensões duplas (por exemplo, invoice.pdf.exe), que é uma tática comum de malware usada para disfarçar executáveis. Convenções legítimas de nomeação raras também podem acionar essa regra.
Prevenir falsificação interna de domínio (falha no SPAF) Prevenir falsificação interna de domínio (falha no DKIM) Prevenir falsificação interna de domínio (falha no DMARC) Prevenir falsificação interna de domínio (cabeçalho do Remetente)	Coloca em quarentena e-mails que parecem vir do seu domínio, mas não passam nas verificações de autenticação, ajudando a prevenir ataques internos de falsificação. Registros DNS ou sistemas de retransmissão mal configurados podem causar falsos positivos.
Bloquear e-mails urgentes com falha no DKIM	Bloqueia e-mails marcados como "urgentes" que não passam pela autenticação DKIM, já que atacantes frequentemente usam urgência para pressionar os destinatários e burlar as verificações de segurança. Essa regra ajuda a prevenir tentativas de engenharia social. No entanto, alguns e-mails legítimos e urgentes podem falhar no DKIM devido ao encaminhamento ou a servidores de e-mail mal configurados.

Condições

Selecione a condição Origem no menu suspenso. Os campos de parâmetro serão alterados dependendo da fonte selecionada. Como alternativa, você pode especificar Expressão regular selecionando Tipo de correspondência: Correspondência RegEx.

Fonte da condição

Descrição

Remetente

Aplica-se a mensagens enviadas por um remetente específico.

Endereço IP do remetente

Aplicável a mensagens enviadas de um endereço IP específico. IPv4 e IPv6 são aceitos ao adicionar um novo endereço como condição.

Domínio do remetente

Aplicável a mensagens de um remetente com um domínio específico em seus endereços de email.

De/Nome do remetente

Valor “De:” contido nos cabeçalhos da mensagem. Este nome de exibição está visível ao destinatário, mas não é feita nenhuma verificação em relação ao que o sistema de envio está autorizado a enviar em nome daquele endereço. É comumente usado por invasores ao falsificar o remetente. Essa condição é usada para comparar os domínios contidos no campo do cabeçalho de e-mail "De:" e o remetente do Envelope em relação às listas de domínio.

Assunto

Aplicável a mensagens que contêm ou não contêm uma string específica (ou uma expressão regular) no assunto.

Corpo

A frase específica é procurada no corpo da mensagem. Você pode usar o recurso Retirar as tags HTML para remover as tags, atributos e valores HTML, e preservar apenas o texto. Então será feita uma pesquisa no corpo do texto.

Nome do anexo

Aplicável a mensagens que contenham anexos com um nome específico. Isso inclui arquivos contidos em um arquivo.

Avaliar somente para anexo de nível superior – quando habilitado, os arquivos dentro de um arquivo não serão avaliados.

Usar caminho completo para objetos dentro do anexo – quando habilitado, o caminho completo do objeto será avaliado, não apenas o nome do arquivo.

Extensão de anexo

Aplicável a mensagens com um anexo que não atende a um tamanho especificado, está dentro de um intervalo de tamanho especificado, ou ultrapassa um tamanho especificado.

Tipo do anexo

Aplicável a mensagens com um tipo específico de arquivo anexado. Os tipos de arquivo são categorizados em grupos para facilitar a seleção. É possível selecionar vários tipos de arquivos ou categorias inteiras. O ESET Cloud Office Security detecta o tipo de arquivo real independentemente da extensão do arquivo. O mesmo se aplica ao conteúdo de um arquivo.

Avaliar somente para anexo de nível superior – quando habilitado, os arquivos dentro de um arquivo não serão avaliados.

A condição de regra Tipo de anexo tem uma limitação conhecida em que o mecanismo de detecção do ESET Cloud Office Security não consegue detectar arquivos de texto extra pequenos com menos de 10 bytes de comprimento na codificação ASCII/ANSI.

Hora em que foi recebido

Aplicável a mensagens recebidas antes ou depois de uma data específica, ou durante um período específico.

SPF resultado
resultado SPF – Cabeçalho From
SPF resultado HELO

Aplica-se a mensagens com o resultado da avaliação do SPF (Sender Policy Framework):

Aprovado - o endereço IP é autorizado a ser enviado do domínio (SPF qualificador "+").

Reprovado - o registro SPF não contém o servidor de envio ou o endereço IP (SPF qualificador "-").

Falha não restritiva - o endereço IP pode ser ou não autorizado a enviar do domínio (SPF qualificador "~").

Neutro - significa que o proprietário do domínio declarou no registro SPF que não deseja avaliar se o endereço IP está autorizado a ser enviado do domínio (SPF qualificador "?").

Desconhecido – o resultado SPF do None significa que o domínio não publicou nenhum registro ou que não foi possível determinar nenhum domínio do remetente verificável de uma determinada identidade.

Você pode ler o RFC 4408 para mais detalhes sobre o SPF.

DMARC resultado

Aplica-se a mensagens que foram Aprovadas ou Reprovadas na verificação pelo SPF, DKIM ou ambos, alternativamente se Desconhecido.

DKIM

Aplica-se a mensagens que foram Aprovadas ou Reprovadas na verificação pelo DKIM, alternativamente se Desconhecido.

ARC

Aplica-se a mensagens que foram Aprovadas ou Reprovadas na verificação pelo ARC, alternativamente se Desconhecido.

Cabeçalhos

Os nomes e valores dos campos de cabeçalho da mensagem de e-mail são usados como condição. Tipo de comparação:

Nomes de cabeçalho – nomes de cabeçalho correspondentes, a condição é atendida quando o nome de cabeçalho especificado existe.

Valores de cabeçalho – nomes de cabeçalho correspondentes e valores de cabeçalho, o tipo de correspondência é usado somente para os valores de cabeçalho de acordo com o tipo de correspondência selecionado. Para atender à condição, os nomes de cabeçalho especificados devem ser uma correspondência exata (o tipo de correspondência não afeta os valores de nome de cabeçalho).

Resultado do escaneamento de malware

Escolha no menu suspenso a quais mensagens a regra será aplicada. Opção: Não escaneado, Limpo, Infectado, Desativado.

Resultado do escaneamento de phishing

Escolha no menu suspenso a quais mensagens a regra será aplicada. Opção: Não escaneado, Limpo, Phishing, Desativado.

Resultado do escaneamento de spam

Escolha no menu suspenso a quais mensagens a regra será aplicada. Opção: Não escaneado, Limpo, Spam, Desativado.

Resultado do escaneamento

Escolha no menu suspenso a quais mensagens a regra será aplicada. Opção: Desativado, Malware, Phishing, Spam, Analisando, Erro, Limpo, Não escaneado.

Ações

Você pode adicionar ações para mensagens e/ou anexos que correspondam às condições da regra.

Nome da ação	Descrição
Mensagem de quarentena	A mensagem não será entregue ao destinatário e será movida para a quarentena de email.
Excluir mensagem	Exclui uma mensagem infectada.
Excluir anexos	Exclui um anexo de mensagem. A mensagem será entregue ao destinatário sem o anexo.
Ignorar escaneamento	A mensagem não será escaneada pela proteção contra malware, phishing e spam.
Notificar o proprietário	Defina o Assunto e o texto da Mensagem que será enviado ao destinatário/proprietário do e-mail para que ele seja notificado. Todos os parâmetros para o texto da mensagem devem ser colocados entre chaves, por exemplo, {ParameterName}.
Notificar administradores	Insira os E-mails do administrador, defina o Assunto e o texto da Mensagem que será enviado aos administradores como uma notificação. Todos os parâmetros para o texto da mensagem devem ser colocados entre chaves, por exemplo, {ParameterName}.
Adicionar prefixo do assunto	Adiciona um prefixo a um assunto.
Avaliar as próximas regras	Permite a avaliação de outras regras, permitindo ao usuário definir vários conjuntos de condições e várias ações a serem tomadas, de acordo com as condições.
Mover para o lixo eletrônico	A mensagem será colocada na pasta Lixo eletrônico/Spam da caixa de entrada do usuário.
Adicionar banner de corpo	Um banner será adicionado a uma mensagem de e-mail e exibido ao destinatário. Você pode personalizar a aparência do banner quando ele for incluído na mensagem.

˄˅