Vyhľadávajte v obsahu pomocníka

Pravidlá e‑mailov

Navigačná cesta k stránke

ESET Online pomocník > ESET Cloud Office Security > Orientácia v ESET Cloud Office Security > Politiky > Pravidlá e‑mailov

Skopírovať odkaz na aktuálny článok Odoslať e‑mailom

Tento článok (PDF) Celá dokumentácia (PDF)

Táto funkcia umožňuje zadávať podmienky a priraďovať vyfiltrovaným e‑mailom akcie. Na definovanie vlastných pravidiel overovania odosielateľa a ochrany proti spoofingu môžete použiť podmienky obsahujúce metódy overenia (SPF, DKIM, DMARC a ARC). Ak chcete vytvoriť nové pravidlo alebo upraviť existujúce, pri vytváraní politiky kliknite na Pravidlá > Upraviť vedľa položky Pravidlá e‑mailov.

1.Ak chcete vytvoriť nové pravidlo, kliknutím na Vytvoriť otvorte sprievodcu.

2.Vyberte preddefinovanú šablónu alebo kliknite na tlačidlo Vynechať a vytvorte Nové pravidlo.

3.Zadajte Názov pravidla (podľa ktorého dané pravidlo ľahko rozpoznáte). Zvolený názov sa zobrazí v zozname pravidiel. Ak chcete pripraviť pravidlo, ktoré plánujete používať neskôr, pomocou prepínača vedľa popisu Aktívne pravidlo deaktivujete.

4.Podľa pokynov v sprievodcovi špecifikujte podmienky a akcie. Kliknite na tlačidlo Pridať novú podmienku, z roletového menu vyberte podmienku Zdroj a nakonfigurujte patričné hodnoty.

5.Najprv zadefinujte podmienky a až potom určite príslušné akcie. K jednému pravidlu môžete pridať viacero podmienok a akcií. Ak tak urobíte, všetky tieto podmienky musia byť splnené, aby bolo pravidlo aplikované. Všetky podmienky sú spojené pomocou logického operátora AND. Aj v prípade, že je väčšina podmienok splnená a jedna podmienka splnená nie je, výsledkom vyhodnotenia podmienok bude not met, čo znamená, že akcia pravidla nemôže byť vykonaná.

Šablóna

Z rozbaľovacej ponuky vyberte preddefinovanú šablónu.

Šablóna	Popis
Pridanie externého banneru odosielateľa	Pridá banner do e-mailov pochádzajúcich mimo vašej organizácie, aby používatelia mohli rýchlo identifikovať externé správy.
Pridanie interného banneru odosielateľa	E-maily od interných odosielateľov označte bannerom potvrdzujúcim, že správa pochádza z vašej organizácie, aby ste znížili zmätok a vybudovali si dôveru. Nesprávne nakonfigurovaný SPF alebo problémy s relé môžu zabrániť zobrazeniu bannera alebo spôsobiť nesprávne označenie.
Zobrazenie hodnôt "Od" a "Odosielateľ" v banneri	V banneri sa zobrazujú hlavičky "Od" aj "Odosielateľ", čo používateľom pomáha odhaliť pokusy o podvrhnutie, pri ktorých útočníci skrývajú skutočného odosielateľa. Niektoré legitímne poštové systémy (napríklad informačné bulletiny) používajú rôzne hodnoty "odosielateľa", čo by mohlo spôsobiť zmätok.
Upozornenie na bežný homoglyfický znak v záhlaví "Od".	Upozorňuje používateľov, keď adresa "Od" obsahuje cyrilické alebo grécke znaky, ktoré napodobňujú latinku, čo je bežná taktika vydávania sa za niekoho iného. To pomáha predchádzať útokom homoglyfov. Toto upozornenie môžu spustiť aj legitímne medzinárodné e-maily.
Upozornenie na bežný homoglyfický znak v záhlaví "Odosielateľ".	Upozorňuje používateľov, keď adresa "odosielateľa" obsahuje cyrilické alebo grécke znaky, ktoré napodobňujú latinku, čo je bežná taktika vydávania sa za odosielateľa. To pomáha predchádzať útokom homoglyfov. Toto upozornenie môžu spustiť aj legitímne medzinárodné e-maily.
Filter podozrivých kľúčových slov	Označuje e-maily obsahujúce bežné phishingové alebo podvodné frázy, ako napríklad "Okamžite overte svoju totožnosť" alebo "Vyhrali ste", ktoré sú silne spojené s pokusmi o podvod. Marketingové e-maily alebo legitímne upozornenia môžu občas používať podobný jazyk, preto sa odporúča opatrnosť. Odporúča sa vytvoriť zoznam podozrivých kľúčových slov prispôsobených potrebám vašej organizácie.
Filter propagačných e-mailov	Identifikuje propagačné e-maily pomocou zisťovania odkazov na odhlásenie a domén, ktoré nie sú obchodné, a pomáha používateľom uprednostňovať dôležité správy. Niektoré transakčné e-maily (napr. faktúry) obsahujú odkazy na odhlásenie a môžu byť nesprávne označené.
Označovanie vysoko rizikových domén TLD	Upozorňuje používateľov na e-maily z domén s vysokou mierou zneužitia (napríklad .tk, .ml, .xyz). Tieto TLD sa často používajú na zasielanie spamu a phishing. Niektoré legitímne služby používajú tieto domény, preto je dôležité ich overenie.
Nesúlad hlavičky Reply-To	Upozorňuje používateľov, keď sa adresa Reply-To líši od adresy odosielateľa, čo je bežná taktika phishingu na presmerovanie odpovedí. Niektoré poštové systémy používajú rôzne adresy Reply-To pre podporu alebo ticketing, čo môže spôsobiť falošné pozitívne výsledky.
Presun neoverených e-mailov do nevyžiadanej pošty (zlyhanie SPF)	Označuje e-maily, ktoré nevyhoveli alebo čiastočne nevyhoveli kontrole SPF, čo naznačuje možný spoofing. SPF overuje pravosť odosielateľa. Nesprávne nakonfigurované záznamy SPF alebo služby preposielania môžu spôsobiť falošné pozitívne výsledky.
Presun neoverených e-mailov do nevyžiadanej pošty (SPF soft fail)	Označuje e-maily, ktoré nevyhoveli alebo čiastočne nevyhoveli kontrole SPF, čo naznačuje možný spoofing. SPF overuje pravosť odosielateľa. Nesprávne nakonfigurované záznamy SPF alebo služby preposielania môžu spôsobiť falošné pozitívne výsledky.
Upozornenie na naliehavé e-maily bez SPF	Upozorňuje používateľov, keď e-mail s vysokou prioritou nemá overenie SPF. Útočníci často označujú podvodné e-maily ako naliehavé, aby na príjemcov vyvíjali nátlak. Niektoré legitímne systémy nemusia správne nastaviť SPF, preto sa pred pokračovaním odporúča overenie.
Upozornenie na neúspešné kontroly ARC a DMARC	Označuje e-maily, ktoré nevyhoveli kontrolám DMARC a ARC, ktoré overujú identitu odosielateľa a integritu správy. Tým sa zabráni falšovaniu a manipulácii. Preposlané e-maily alebo poštové zoznamy môžu pri týchto kontrolách zlyhať a spôsobiť falošné pozitívne výsledky.
Označovanie e-mailov PHP mailerom	Upozorňuje používateľov na e-maily odoslané prostredníctvom poštového servera PHP, ktorý je často zneužívaný rozosielateľmi spamu v nastaveniach s nízkym zabezpečením. Hoci sa mailer PHP bežne používa v legitímnych webových aplikáciách, príjemcovia by si mali overiť jeho pravosť.
Banner ARC fail	Upozorní používateľov, keď zlyhá overenie ARC, čo naznačuje možnú manipuláciu pri preposielaní správ. ARC pomáha zachovať autentifikáciu prostredníctvom reťazcov preposielania. Niektoré služby preposielania e-mailov môžu spôsobiť zlyhanie ARC.
Karanténa e-mailov s povolenými prílohami makier	Upozorní používateľov, keď e-mail obsahuje súbory balíka Office s makrami, ktoré môžu spustiť škodlivý kód. Ide o bežný spôsob šírenia škodlivého softvéru. Niektoré legitímne pracovné postupy môžu používať súbory s povolenými makrami, preto by ich správcovia mali pred zablokovaním overiť.
E-mailové správy so spustiteľnými prílohami v karanténe	Blokuje e-maily obsahujúce spustiteľné súbory, aby sa zabránilo infekciám škodlivým softvérom. Spustiteľné súbory sú vysoko rizikovým typom súborov. Zriedkavé legitímne prípady použitia (napr. distribúcia softvéru) môžu byť ovplyvnené.
E-maily s prílohami chránenými heslom umiestnite do karantény	Blokuje e-maily obsahujúce súbory chránené heslom, ktoré by mohli skrývať škodlivý obsah. Útočníci často používajú šifrovanie na obchádzanie skenovania. Blokované môžu byť aj legitímne zabezpečené prenosy súborov.
Karanténa e-mailov s prílohami s dvojitou príponou	Blokuje e-maily obsahujúce prílohy s dvojitými príponami (napríklad invoice.pdf.exe), čo je bežná taktika škodlivého softvéru používaná na maskovanie spustiteľných súborov. Toto pravidlo môžu aktivovať aj zriedkavé legitímne pomenovania.
Zabránenie spoofingu internej domény (zlyhanie SPAF) Zabránenie falšovaniu internej domény (zlyhanie DKIM) Zabránenie falšovaniu internej domény (zlyhanie DMARC) Zabránenie falšovaniu internej domény (hlavička odosielateľa)	Do karantény sa dostanú e-maily, ktoré sa javia ako pochádzajúce z vašej domény, ale neprešli kontrolou overenia, čo pomáha predchádzať interným spoofingovým útokom. Nesprávne nakonfigurované záznamy DNS alebo prenosové systémy môžu spôsobiť falošné pozitívne výsledky.
Blokovanie naliehavých e-mailov pomocou zlyhania DKIM	Blokuje e-maily označené ako "urgentné", ktoré neprešli overením DKIM, pretože útočníci často využívajú naliehavosť na nátlak na príjemcov a obchádzajú bezpečnostné kontroly. Toto pravidlo pomáha predchádzať pokusom o sociálne inžinierstvo. Niektoré legitímne naliehavé e-maily však môžu zlyhať pri DKIM z dôvodu presmerovania alebo nesprávnej konfigurácie poštových serverov.

Podmienky

Z roletového menu vyberte podmienku Zdroj. Polia parametrov sa zmenia v závislosti od vybraného zdroja. Prípadne môžete zadať regulárny výraz výberom položky Typ zhody: Zhoda s výrazom RegEx.

Zdroj podmienky

Popis

Odosielateľ

Vzťahuje sa na správy odoslané konkrétnym odosielateľom.

IP adresa odosielateľa

Vzťahuje sa na správy odoslané z konkrétnej IP adresy. Pri pridávaní novej adresy ako podmienky sú akceptované IPv4 aj IPv6 adresy.

Doména odosielateľa

Vzťahuje sa na správy odoslané z konkrétnej domény.

Od/Meno odosielateľa

Hodnota „From:“ obsiahnutá v hlavičkách správ. Toto zobrazované meno je pre príjemcu viditeľné, odosielacie servery však neoverujú, či je odosielateľ oprávnený odosielať správy z danej adresy. Útočníci ho bežne používajú pri pokusoch o podvrhnutie identity odosielateľa. Táto podmienka umožňuje porovnanie domén zahrnutých v hlavičke e‑mailu „From:“ a v odosielateľovi obálky so zoznamami domén.

Predmet

Vzťahuje sa na správy, ktorých predmet obsahuje/neobsahuje konkrétny reťazec (alebo zadaný regulárny výraz).

Telo

V tele správy bude vyhľadaná zadaná fráza. Môžete použiť možnosť Odstraňovať HTML značky, čím odstránite HTML značky, atribúty a hodnoty, a ostane len čistý text. V texte tela správy následne prebehne vyhľadávanie.

Názov prílohy

Vzťahuje sa na správy, ktoré obsahujú prílohu s konkrétnym názvom. To zahŕňa aj súbory vnorené v archívoch.

Vyhodnocovať len prílohy najvyššej úrovne – ak je táto možnosť zapnutá, súbory vnorené do archívov nebudú vyhodnocované.

Použiť úplnú cestu pre objekty vnútri prílohy – ak je táto možnosť zapnutá, vyhodnotí sa celá cesta k objektu, nielen jeho názov.

Prípona prílohy

Vzťahuje sa na správy obsahujúce prílohu, ktorej veľkosť nezodpovedá zadanej hodnote, je v rozmedzí zadaných hodnôt alebo je väčšia ako zadaná hodnota.

Typ prílohy

Vzťahuje sa na správy s prílohou, ktorá je zadaného typu. Na zjednodušenie výberu sú typy súborov rozdelené do skupín. Vďaka tomu môžete označiť viacero typov súborov alebo celú kategóriu. ESET Cloud Office Security rozpozná správny typ súboru bez ohľadu na príponu. To isté platí aj pre obsah archívu.

Vyhodnocovať len prílohy najvyššej úrovne – ak je táto možnosť zapnutá, súbory vnorené do archívov nebudú vyhodnocované.

V rámci podmienky pravidla Typ prílohy existuje známe obmedzenie, pri ktorom detekčné jadro ESET Cloud Office Security nedokáže odhaliť mimoriadne malé textové súbory s dĺžkou pod 10 bajtov v ASCII/ANSI kódovaní.

Čas doručenia

Vzťahuje sa na správy, ktoré boli prijaté pred alebo po zadanom čase a dátume alebo v rozmedzí zadaných dátumov.

Výsledok SPF
Výsledok SPF – Hlavička From
Výsledok SPF HELO

Vzťahuje sa na správy s nasledujúcimi výsledkami SPF kontroly:

Úspešné – IP adresa je oprávnená odosielať z domény (SPF kvalifikátor "+").

Neúspešné – SPF záznam neobsahuje odosielací server alebo IP adresu (SPF kvalifikátor "-").

Soft fail – IP adresa môže alebo nemusí byť oprávnená odosielať z domény (SPF kvalifikátor "~").

Neutral – vlastník domény uviedol v SPF zázname, že nechce prehlásiť, že IP adresa je oprávnená odosielať z domény (SPF kvalifikátor "?").

Neznáme – výsledok SPF kontroly None znamená, že doména nezverejnila žiadne záznamy alebo že z danej identity nemohla byť určená žiadna kontrolovateľná doména odosielateľa.

Podrobnejšie informácie o SPF nájdete v dokumente RFC 4408.

Výsledok DMARC

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou SPF/DKIM, prípadne na správy s neznámym výsledkom kontroly.

DKIM

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou DKIM, prípadne na správy s neznámym výsledkom kontroly.

ARC

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou ARC, prípadne na správy s neznámym výsledkom kontroly.

Hlavičky

Názvy a hodnoty polí hlavičky e‑mailovej správy sa používajú ako podmienka. Typ porovnania:

Názvy hlavičiek – porovnanie názvov hlavičiek, podmienka je splnená, ak e‑mail obsahuje zadaný názov hlavičky.

Hodnoty hlavičiek – porovnanie názvov a hodnôt hlavičiek, zvolený typ zhody sa aplikuje len na hodnoty hlavičiek. Na splnenie podmienky sa zadané názvy hlavičiek musia presne zhodovať (typ zhody nemá vplyv na hodnoty názvov hlavičiek).

Výsledok kontroly malvéru

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Infikované, Vypnuté.

Výsledok kontroly phishingu

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Phishing, Vypnuté.

Výsledok kontroly spamu

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Spam, Vypnuté.

Výsledok kontroly

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Vypnuté, Malvér, Phishing, Spam, Prebieha analýza, Chyba, Čisté, Neskontrolované.

Akcie

Môžete pridať akcie pre správy a/alebo prílohy, ktoré zodpovedajú podmienkam pravidiel.

Názov akcie	Popis
Presunúť správu do karantény	Správa nebude doručená príjemcovi, ale bude presunutá do e‑mailovej karantény.
Odstrániť správu	Vymaže infikovanú správu.
Odstrániť prílohy	Odstráni prílohu zo správy. Správa bude doručená príjemcovi bez prílohy.
Preskočiť kontrolu	Správa nebude kontrolovaná antimalvérovou, antiphishingovou a antispamovou ochranou.
Upozorniť vlastníka	Zadajte predmet a text správy, ktorá sa odošle príjemcovi/vlastníkovi e‑mailu. Všetky parametre pre text správy musia byť uzavreté v zložených zátvorkách, napríklad {NazovParametra}.
Upozorniť správcov	Zadajte e‑maily správcov, definujte predmet a text správy, ktorá sa odošle správcom. Všetky parametre pre text správy musia byť uzavreté v zložených zátvorkách, napríklad {NazovParametra}.
Pridať predponu predmetu	Pridá predponu do predmetu správy.
Vyhodnotiť ďalšie pravidlá	Umožňuje vyhodnocovanie ďalších pravidiel. Používateľ môže zadať viacero podmienok a viaceré akcie pre dané podmienky.
Presunúť do nevyžiadanej pošty	Správa sa presunie do priečinka s nevyžiadanou poštou/spamom v e‑mailovej schránke používateľa.
Pridať banner do tela správy	Do e‑mailovej správy sa pridá banner, ktorý sa zobrazí príjemcovi. Vzhľad bannera pridaného do správy môžete prispôsobiť.

˄˅