Căutați conținut de ajutor

Reguli e-mail

Urme

Ajutor online ESET > ESET Cloud Office Security > Navigați prin ESET Cloud Office Security > Politici > Reguli e-mail

Copiați adresa URL a articolului curent Distribuiți prin e-mail

Acest articol (PDF) Întreaga documentație (PDF)

Această funcționalitate vă permite să specificați condiții și să atribuiți acțiuni pentru e-mailurile filtrate. Puteți defini regulile personalizate de verificare a expeditorului și anti-spoofing folosind condiții care includ metode de autentificare, cum ar fi SPF, DKIM, DMARC și ARC. Când creați o politică > Reguli > faceți clic pe Editare lângă Reguli e-mail pentru a crea o regulă nouă sau pentru a modifica una existentă.

1.Pentru a crea o regulă nouă, faceți clic pe Creare pentru a deschide un expert.

2.Alegeți un șablon predefinit sau apăsați pe Omitere și creați o regulă nouă.

3.Tastați un nume pentru regulă (ceva ce veți recunoaște), iar numele va fi afișat în lista de reguli. Dacă doriți să pregătiți regula și intenționați să le utilizați mai târziu, puteți face clic pe comutatorul de lângă Activ pentru a inactiva regula.

4.Urmați expertul pentru a specifica Condiții și Acțiuni. Când faceți clic pe Adăugați o condiție nouă, selectați starea Sursă din meniul vertical și configurați valorile corespunzătoare.

5.Definiți mai întâi condițiile, apoi specificați acțiunile corespunzătoare. Puteți adăuga mai multe condiții și acțiuni la o singură regulă. Dacă faceți acest lucru, trebuie îndeplinite toate condițiile pentru a aplica regula. Toate condițiile sunt conectate folosind operatorul logic AND. Chiar dacă majoritatea condițiilor sunt îndeplinite și una nu este, rezultatul evaluării condițiilor este „neîndeplinit”, iar acțiunea regulii nu poate fi executată.

Șablon

Selectați șablonul predefinit din meniul derulant.

Șablon	Descriere
Adăugare banner expeditor extern	Adaugă un banner la e-mailurile care provin din afara organizației dvs., astfel încât utilizatorii să poată identifica rapid mesajele externe.
Adăugare banner expeditor intern	Marchează e-mailurile de la expeditori interni cu un banner care confirmă faptul că mesajul provine din interiorul organizației dvs., pentru a reduce confuzia și a construi încredere. Problemele legate de configurări greșite pentru SPF sau retransmitere pot împiedica apariția bannerului sau pot cauza semnalizări incorecte.
Afișează valorile „From” și „Sender” în banner	Afișează în banner anteturile „From” și „Sender” pentru transparență, ajutând utilizatorii să detecteze încercările de falsificare, în care atacatorii ascund expeditorul real. Unele sisteme legitime de corespondență (de exemplu, buletinele informative) folosesc valori diferite pentru „Expeditor”, ceea ce poate cauza confuzie.
Alertă pentru un caracter homoglifă comun în antetul „From”.	Îi avertizează pe utilizatori atunci când adresa „From” conține caractere chirilice sau grecești care imită litere latine, o tactică obișnuită de asumare a identității. Acest lucru ajută la prevenirea atacurilor prin homoglife. E-mailuri internaționale legitime pot declanșa și ele acest avertisment.
Alertă pentru un caracter homoglifă comun în antetul „Sender”.	Îi avertizează pe utilizatori atunci când adresa „Sender” conține caractere chirilice sau grecești care imită litere latine, o tactică obișnuită de asumare a identității. Acest lucru ajută la prevenirea atacurilor prin homoglife. E-mailuri internaționale legitime pot declanșa și ele acest avertisment.
Filtru de cuvinte cheie suspecte	Semnalează e-mailurile care conțin expresii comune de tip phishing sau înșelătorie, precum „Verifică-ți identitatea imediat” sau "Ai câștigat", asociate ferm cu tentative de fraudă. E-mailurile de marketing sau alertele legitime pot folosi uneori un limbaj similar, așadar se recomandă prudență. Vă recomandăm să creați o listă cu cuvinte-cheie suspecte adaptată nevoilor organizației dvs.
Filtrare e-mailuri promoționale	Identifică e-mailurile promoționale detectând linkuri de dezabonare și pentru domenii non-business, ajutând utilizatorii să prioritizeze mesajele importante. Unele e-mailuri tranzacționale (de exemplu, facturile) includ linkuri de dezabonare și pot fi marcate incorect.
Marcare domenii TLD cu risc ridicat	Îi avertizează pe utilizatori despre e-mailurile provenite de la domenii cu rate ridicate de abuz (de exemplu, .tk, .ml, .xyz). Aceste TLD-uri sunt frecvent folosite pentru spam și phishing. Unele servicii legitime folosesc aceste domenii, așadar verificarea este importantă.
Nepotrivire antet Respond-To	Îi avertizează pe utilizatori atunci când adresa Reply-To diferă de cea a expeditorului, o tactică comună de phishing pentru redirecționarea răspunsurilor. Unele sisteme de corespondență folosesc adrese diferite de răspuns pentru suport sau tichete, ceea ce poate cauza alarme fals pozitive.
Mutare e-mailuri neautentificate în Junk (eșec SPF)	Marchează e-mailurile care eșuează total sau parțial verificările SPF, indicând posibilă falsificare. SPF validează autenticitatea expeditorului. Înregistrări SPF sau servicii de redirecționare configurate greșit pot cauza alarme fals pozitive.
Mutare e-mailuri neautentificate în Junk (eșec ușor SPF)	Marchează e-mailurile care eșuează total sau parțial verificările SPF, indicând posibilă falsificare. SPF validează autenticitatea expeditorului. Înregistrări SPF sau servicii de redirecționare configurate greșit pot cauza alarme fals pozitive.
Alertă la e-mailuri urgente fără SPF	Îi avertizează pe utilizatori atunci când un e-mail cu prioritate ridicată nu are validare SPF. Atacatorii marchează adesea e-mailurile de phishing ca fiind urgente, pentru a pune presiune pe destinatari. Unele sisteme legitime este posibil să nu seteze corect SPF, așadar verificarea este recomandată înainte de a continua.
Alertă la verificări ARC și DMARC eșuate	Marchează e-mailurile care nu trec la verificările DMARC și ARC, care validează identitatea expeditorului și integritatea mesajului. Acest lucru previne falsificarea și manipularea. E-mailurile sau listele de corespondență redirecționate pot eșua aceste verificări, cauzând alarme fals pozitive.
Marcare e-mailuri cu PHP mailer	Îi avertizează pe utilizator în privința e-mailurilor trimise prin PHP, exploatate adesea de spammeri în configurații cu securitate redusă. PHP mailer este folosit frecvent în aplicații web legitime, așadar destinatarii ar trebui să verifice autenticitatea.
Banner eșec ARC	Îi avertizează pe utilizatori atunci când autentificarea ARC eșuează, indicând o posibilă manipulare în redirecționarea mesajelor. ARC ajută la păstrarea autentificării în interiorul lanțurilor de redirecționare. Unele servicii de redirecționare a e-mailurilor pot cauza eșecuri ARC.
Trimitere în carantină e-mailuri cu atașamente cu macrocomenzi activate	Îi avertizează pe utilizatori atunci când un e-mail conține fișiere Office în care sunt activate macrocomenzile, ceea ce poate conduce la executarea de cod rău intenționat. Aceasta este o metodă comună de livrare a programelor malware. Unele fluxuri de lucru legitime pot folosi fișiere în care sunt activate macrocomenzile, așadar administratorii ar trebui să verifice înainte de blocare.
Trimitere în carantină e-mailuri cu atașamente executabile	Blochează e-mailurile care conțin fișiere executabile, pentru a preveni infecțiile cu programe malware. Executabilele sunt un tip de fișier cu risc ridicat. Cazuri rare de utilizare legitimă (de exemplu, distribuirea de programe software) pot fi afectate.
Trimitere în carantină e-mailuri cu atașamente protejate prin parolă	Blochează e-mailurile care conțin fișiere protejate cu parolă, care ar putea ascunde conținut rău intenționat. Atacatorii folosesc adesea criptarea pentru a ocoli scanarea. Transferurile legitime și securizate de fișiere este posibil să fie și ele blocate.
Trimitere în carantină e-mailuri cu atașamente cu dublă extensie	Blochează e-mailurile care conțin atașamente cu dublă extensie (de exemplu, invoice.pdf.exe), o tactică comună de malware folosită pentru a masca fișierele executabile. Rare convenții legitime de denumire pot declanșa și ele această regulă.
Prevenire falsificare domeniu intern (eșec SPAF) Prevenire falsificare domeniu intern (eșec DKIM) Prevenire falsificare domeniu intern (eșec DMARC) Prevenire falsificare domeniu intern (antet Expeditor)	Trimite în carantină e-mailurile care par să provină din domeniul dvs., dar nu trec verificările de autentificare, ajutând la prevenirea atacurilor de falsificare din rețeaua internă. Înregistrări de DNS sau sisteme de retransmitere configurate greșit pot cauza alarme fals pozitive.
Blocare e-mailuri urgente cu eșec DKIM	Blochează e-mailurile marcate ca „urgente” care nu trec autentificarea DKIM, deoarece atacatorii folosesc adesea urgența pentru a pune presiune pe destinatari și a ocoli verificările de securitate. Această regulă ajută la prevenirea încercărilor de inginerie socială. Unele emailuri urgente legitime pot însă eșua DKIM din cauza redirecționării sau a configurării greșite a serverelor de e-mail.

Condiții

Selectați starea Sursă din meniul derulant. Câmpurile pentru parametri se schimbă în funcție de sursa selectată. Alternativ, puteți specifica Expresie regulată selectând Tipul de potrivire: Potrivire RegEx.

Sursa condiției

Descriere

Expeditor

Se aplică mesajelor trimise de către un anumit expeditor.

Adresa IP a expeditorului

Se aplică mesajelor trimise de la o anumită adresă IP. Când adăugați o nouă adresă drept condiție, sunt acceptate atât adrese IPv4, cât și IPv6.

Domeniul expeditorului

Se aplică mesajelor de la un expeditor cu un anumit domeniu în adresele de e-mail.

De la/Nume de la

Valoarea „De la:” conținută în anteturile mesajelor. Acest nume afișat este vizibil pentru destinatar, dar nu se efectuează verificări pentru a se asigura că sistemul de trimitere este autorizat să trimită în numele acelei adrese. Este folosit în mod obișnuit de atacatori atunci când falsifică expeditorul. Această condiție este utilizată pentru a compara cu listele de domenii domeniile conținute în câmpul de antet „De la:” al e-mailului și Expeditorul plicului.

Subiect

Se aplică mesajelor care conțin sau nu un anumit șir (sau o anumită expresie regulată) în subiect.

Corp

Corpul mesajului este căutat pentru o frază specificată. Puteți utiliza funcționalitatea Eliminare etichete HTML pentru a elimina etichetele, atributele și valorile HTML și pentru a păstra doar textul. Corpul textului va fi apoi căutat.

Nume atașament

Se aplică mesajelor care conțin atașări cu un anumit nume. Aceasta include fișierele conținute într-o arhivă.

Evaluați numai atașarea de nivel superior - Când opțiunea este activată, fișierele dintr-o arhivă nu vor fi evaluate.

Utilizați calea completă pentru obiectele din atașare - Când opțiunea este activată, va fi evaluată calea completă a obiectului, nu doar numele fișierului.

Extensie atașament

Se aplică mesajelor cu o atașare care nu îndeplinește o dimensiune specificată, se încadrează într-un interval de dimensiuni specificat sau depășește o dimensiune specificată.

Tip atașament

Se aplică mesajelor cu un anumit tip de fișier atașat. Tipurile de fișiere sunt clasificate în grupuri, pentru o selecție ușoară. Puteți selecta mai multe tipuri de fișiere sau categorii întregi. ESET Cloud Office Security detectează tipul real de fișier, indiferent de extensia fișierului. Același lucru este valabil și pentru conținutul unei arhive.

Evaluați numai atașarea de nivel superior - Când opțiunea este activată, fișierele dintr-o arhivă nu vor fi evaluate.

Condiția Regulă pentru tip de atașament are o limitare cunoscută în care motorul de detecție ESET Cloud Office Security nu poate detecta fișiere text foarte mici, cu o lungime sub 10 octeți, care au codificarea ASCII/ANSI.

Timp primit

Se aplică mesajelor primite înainte sau după o anumită dată sau într-un anumit interval de date.

SPF rezultat
Rezultat SPF - Antetul De la
SPF rezultat HELO

Se aplică mesajelor care au rezultatul evaluării SPF (Sender Policy Framework):

Trecere - adresa IP este autorizată să trimită din domeniu (calificator SPF "+").

Eșuare - înregistrarea SPF nu conține serverul de trimitere sau adresa IP de trimitere (calificator SPF "-").

Eșec ușor - adresa IP poate sau nu să fie autorizată să trimită din domeniu (calificator SPF "~").

Neutru - înseamnă că proprietarul domeniului a declarat în înregistrare SPF că nu dorește să afirme că adresa IP este autorizată să trimită din domeniu (calificativ SPF "?").

Necunoscut - rezultatul SPF None înseamnă că domeniul nu a publicat nicio înregistrare sau că niciun domeniu de expeditor verificabil nu a putut fi determinat din identitatea dată.

Puteți citi RFC 4408 pentru mai multe detalii despre SPF.

DMARC rezultat

Se aplică mesajelor care au calificativul Trecere sau Eșuare pentru verificarea de către SPF, DKIM sau ambele, alternativ dacă au starea Necunoscut.

DKIM

Se aplică mesajelor care au calificativul Trecere sau Eșuare pentru verificarea DKIM, alternativ dacă au starea Necunoscut.

ARC

Se aplică mesajelor care au calificativul Trecere sau Eșuare pentru verificarea ARC, alternativ dacă au starea Necunoscut.

Anteturi

Numele și valorile câmpurilor antetului mesajului de e-mail sunt utilizate drept condiție. Tip de comparație:

Nume antet—nume de antet care se potrivesc, condiția este îndeplinită atunci când numele de antet specificat există.

Valori antet—nume de antet și valori de antet care se potrivesc, tipul de potrivire este utilizat numai pentru valorile de antet, în funcție de tipul de potrivire selectat. Pentru a îndeplini condiția, numele de antet specificate trebuie să reprezinte o potrivire exactă (tipul de potrivire nu afectează valorile numelui antetului).

Rezultatul scanării malware

Alegeți din meniul derulant mesajele pentru care se va aplica regula. Opțiune: Nescanat, Curat, Infectat, Dezactivat.

Rezultatul scanării phishing

Alegeți din meniul derulant mesajele pentru care se va aplica regula. Opțiune: Nescanat, Curat, Phishing, Dezactivat.

Rezultatul scanării spam

Alegeți din meniul derulant mesajele pentru care se va aplica regula. Opțiune: Nescanat, Curat, Spam, Dezactivat.

Rezultat scanare

Alegeți din meniul derulant mesajele pentru care se va aplica regula. Opțiune: Dezactivat, Malware, Phishing, Spam, Analiză, Eroare, Curățare, Nescanat.

Acțiuni

Puteți adăuga acțiuni pentru mesajele și/sau pentru atașările care corespund condițiilor regulii.

Numele acțiunii	Descriere
Mutare mesaj în Carantină	Mesajul nu va fi livrat destinatarului și va fi mutat în carantina pentru e-mailuri.
Ștergere mesaj	Șterge un mesaj infectat.
Ștergere atașări	Șterge o atașare de mesaj. Mesajul va fi livrat destinatarului fără atașare.
Omiteți scanarea	Mesajul nu va fi scanat de protecția pentru malware, phishing și spam.
Notificare proprietar	Definiți textul pentru Subiect și Mesaj care va fi trimis destinatarului/proprietarului e-mailului pentru notificare. Toți parametrii pentru textul mesajului trebuie să fie încadrați între acolade, de exemplu {ParameterName}.
Notificare administratori	Tastați E-mailuri administrator, definiți Subiectul și textul Mesajului care vor fi trimise administratorilor ca notificare. Toți parametrii pentru textul mesajului trebuie să fie încadrați între acolade, de exemplu {ParameterName}.
Adăugați prefixul subiectului	Adaugă un prefix la un subiect.
Evaluați următoarele reguli	Permite evaluarea următoarelor reguli, permițând utilizatorului să definească mai multe seturi de condiții și mai multe acțiuni de întreprins, în funcție de condiții.
Mutare în Nedorite	Mesajul va fi plasat în folderul Nedorite/Spam din cutia poștală a utilizatorului.
Adăugare banner la corp	Un banner va fi adăugat la un mesaj de e-mail și va fi afișat destinatarului. Puteți personaliza aspectul bannerului atunci când este inclus în mesaj.

˄˅