Vyhľadávajte v obsahu pomocníka

Pravidlá e‑mailov

Navigačná cesta k stránke

ESET Online pomocník > ESET Cloud Office Security > Orientácia v ESET Cloud Office Security > Politiky > Pravidlá e‑mailov

Skopírovať odkaz na aktuálny článok Odoslať e‑mailom

Tento článok (PDF) Celá dokumentácia (PDF)

Táto funkcia umožňuje zadávať podmienky a priraďovať vyfiltrovaným e‑mailom akcie. Na definovanie vlastných pravidiel overovania odosielateľa a ochrany proti spoofingu môžete použiť podmienky založené na metódach overenia, ako sú SPF, DKIM, DMARC a ARC. Ak chcete vytvoriť nové pravidlo alebo upraviť existujúce, pri vytváraní politiky kliknite na Pravidlá > Upraviť vedľa položky Pravidlá e‑mailov.

1.Ak chcete vytvoriť nové pravidlo, kliknutím na Vytvoriť otvorte sprievodcu.

2.Vyberte prednastavenú šablónu alebo kliknite na Preskočiť a vytvorte nové pravidlo.

3.Zadajte Názov pravidla (podľa ktorého dané pravidlo ľahko rozpoznáte). Zvolený názov sa zobrazí v zozname pravidiel. Ak chcete pripraviť pravidlo, ktoré plánujete používať neskôr, pomocou prepínača vedľa popisu Aktívne pravidlo deaktivujete.

4.Podľa pokynov v sprievodcovi špecifikujte podmienky a akcie. Kliknite na tlačidlo Pridať novú podmienku, z roletového menu vyberte podmienku Zdroj a nakonfigurujte patričné hodnoty.

5.Najprv zadefinujte podmienky a až potom určite príslušné akcie. K jednému pravidlu môžete pridať viacero podmienok a akcií. Ak tak urobíte, všetky tieto podmienky musia byť splnené, aby bolo pravidlo aplikované. Všetky podmienky sú spojené pomocou logického operátora AND. Aj v prípade, že je väčšina podmienok splnená a jedna podmienka splnená nie je, výsledkom vyhodnotenia podmienok bude not met, čo znamená, že akcia pravidla nemôže byť vykonaná.

Šablóna

Z roletového menu vyberte prednastavenú šablónu.

Šablóna	Popis
Pridať banner pre externého odosielateľa	K e‑mailom pochádzajúcim mimo vašej organizácie sa pridá banner, aby používatelia mohli rýchlo identifikovať externé správy.
Pridať banner pre interného odosielateľa	Označuje e‑maily od interných odosielateľov bannerom, ktorý potvrdzuje, že správa pochádza z vašej organizácie. Dôveryhodné interné e‑maily tak možno jednoduchšie rozpoznať. Nesprávne nastavená kontrola SPF alebo problémy s prenosom môžu zabrániť zobrazeniu bannera alebo spôsobiť nesprávne označenie.
Zobraziť hodnoty „Od“ a „Odosielateľ“ v banneri	V banneri sa zobrazí hlavička „Od“ aj „Odosielateľ“, čo pomáha používateľom odhaliť pokusy o spoofing, pri ktorých útočníci maskujú skutočného odosielateľa. Niektoré legitímne e‑mailové služby (napr. v prípade newsletterov) používajú odlišné hodnoty pre hlavičku „Odosielateľ“, čo môže byť mätúce.
Upozorniť na bežný homoglyfický znak v hlavičke „Od“	Používatelia sú upozornení na prítomnosť znakov cyriliky alebo gréčtiny v hlavičke „Od“, ktoré napodobňujú latinské písmená, čo je bežná taktika falšovania identity odosielateľa. Toto pravidlo pomáha predchádzať homoglyfickým útokom. Takéto upozornenie však môžu vyvolať aj legitímne medzinárodné e‑maily.
Upozorniť na bežný homoglyfický znak v hlavičke „Odosielateľ“	Používatelia sú upozornení na prítomnosť znakov cyriliky alebo gréčtiny v hlavičke „Odosielateľ“, ktoré napodobňujú latinské písmená, čo je bežná taktika falšovania identity odosielateľa. Toto pravidlo pomáha predchádzať homoglyfickým útokom. Takéto upozornenie však môžu vyvolať aj legitímne medzinárodné e‑maily.
Filtrovať podozrivé kľúčové slová	Označuje e‑maily obsahujúce bežné phishingové alebo podvodné frázy ako „Okamžite overte svoju identitu“ alebo „Vyhrali ste“, ktoré sú často spájané s pokusmi o podvod. Marketingové e‑maily alebo legitímne upozornenia môžu občas používať podobný jazyk, preto je potrebné ich dôkladne preveriť. Odporúčame vám vytvoriť zoznam podozrivých kľúčových slov prispôsobený potrebám vašej organizácie.
Filtrovať propagačné e‑maily	Identifikuje propagačné e‑maily detekciou odkazov na odhlásenie z odberu a neobchodných domén, vďaka čomu môžu používatelia uprednostniť dôležitejšie správy. Niektoré transakčné e‑maily (napr. faktúry) však takisto obsahujú odkazy na odhlásenie a môžu byť nesprávne označené.
Označovať vysoko rizikové TLD domény	Upozorňuje používateľov na e‑maily prichádzajúce z domén s vysokou mierou zneužitia (napríklad .tk, .ml, .xyz). Tieto TLD domény sa často používajú na spam a phishing. Využívajú ich však aj niektoré legitímne služby, preto je overenie dôležité.
Upozorniť na nesúlad s hlavičkou Reply-To	Upozorňuje používateľov, keď sa adresa Reply-To líši od adresy odosielateľa, čo je bežná phishingová taktika na presmerovanie odpovedí. Niektoré e‑mailové systémy používajú odlišné adresy Reply-To na účely technickej podpory, čo môže viesť k falošným poplachom.
Presunúť neoverené e‑maily do nevyžiadanej pošty (neúspešná kontrola SPF)	Označuje e‑maily, ktoré neprejdú alebo čiastočne neprejdú kontrolou SPF, čo naznačuje možný spoofing. Kontrola SPF overuje pravosť odosielateľa. Nesprávne nastavené záznamy SPF alebo služby preposielania môžu viesť k falošným poplachom.
Presunúť neoverené e‑maily do nevyžiadanej pošty (čiastočne neúspešná kontrola SPF)	Označuje e‑maily, ktoré neprejdú alebo čiastočne neprejdú kontrolou SPF, čo naznačuje možný spoofing. Kontrola SPF overuje pravosť odosielateľa. Nesprávne nastavené záznamy SPF alebo služby preposielania môžu viesť k falošným poplachom.
Upozorniť na dôležité e‑maily bez vykonanej kontroly SPF	Upozorňuje používateľov na e‑maily s vysokou prioritou, ktoré neprešli kontrolou SPF. Útočníci často označujú phishingové e‑maily ako urgentné, aby v príjemcoch vyvolali pocit nátlaku. Niektoré legitímne systémy nemusia kontrolu SPF nastaviť správne, preto sa odporúča e‑maily najskôr overiť.
Upozorniť na neúspešné kontroly ARC a DMARC	Označuje e‑maily, ktoré neprešli kontrolami ARC a DMARC overujúcimi identitu odosielateľa a integritu správ, čo pomáha predchádzať spoofingu a neoprávneným zásahom. Preposlané e‑maily alebo zoznamy adries nemusia týmito kontrolami prejsť, čo môže viesť k falošným poplachom.
Označovať e‑maily odosielané cez PHPMailer	Upozorňuje používateľov na e‑maily posielané cez PHPMailer, ktorý často zneužívajú spammeri v prostrediach so slabým zabezpečením. Hoci sa PHPMailer bežne používa v legitímnych webových aplikáciách, príjemcovia by mali overovať pravosť správ.
Zobraziť banner pri zlyhaní kontroly ARC	Upozorňuje používateľov na zlyhanie kontroly ARC, čo môže znamenať, že e‑mail bol počas preposielania neoprávnene zmenený. Kontrola ARC pomáha zachovať overenie e‑mailov pri preposielaní. Niektoré služby preposielania môžu spôsobiť zlyhanie kontroly ARC.
Presunúť do karantény e‑maily s prílohami obsahujúcimi makrá	Upozorňuje používateľov na e‑maily s prílohou obsahujúcou súbory balíka Office s aktívnymi makrami, ktoré môžu spustiť škodlivý kód. Ide o bežný spôsob šírenia malvéru cez e‑mail. Súbory s podporou makier sú používané aj v niektorých legitímnych procesoch, preto by administrátori mali takéto správy pred blokovaním najskôr overiť.
Presunúť do karantény e‑maily so spustiteľnými prílohami	Blokuje e‑maily obsahujúce spustiteľné súbory s cieľom predísť infikovaniu zariadenia malvérom. Spustiteľné súbory sú rizikovým typom súborov. K zablokovaniu však môže dôjsť aj v zriedkavých prípadoch legitímneho použitia (napr. pri distribúcii softvéru).
Presunúť do karantény e‑maily s prílohami chránenými heslom	Blokuje e‑maily obsahujúce súbory chránené heslom, ktoré by mohli skrývať škodlivý obsah. Útočníci často používajú šifrovanie na obchádzanie bezpečnostných kontrol. Zablokované však môžu byť aj legitímne zabezpečené prenosy súborov.
Presunúť do karantény e‑maily s prílohami s dvojitou príponou	Blokuje e‑maily obsahujúce prílohy s dvojitou príponou (napr. faktura.pdf.exe), čo je bežná taktika na maskovanie spustiteľných súborov šíriacich malvér. Toto pravidlo však môžu vyvolať aj zriedkavé prípady legitímneho pomenúvania príloh v danom tvare.
Zabrániť spoofingu interných domén (neúspešná kontrola SPF) Zabrániť spoofingu interných domén (neúspešná kontrola DKIM) Zabrániť spoofingu interných domén (neúspešná kontrola DMARC) Zabrániť spoofingu interných domén (hlavička Odosielateľ)	Umiestňuje do karantény e‑maily, ktoré sa javia ako odoslané z vašej domény, ale neprejdú overením, čo pomáha zabraňovať internému spoofingu. Nesprávne nastavené záznamy DNS alebo systémy prenosu môžu viesť k falošným poplachom.
Blokovať dôležité e‑maily s neúspešnou kontrolou DKIM	Blokuje e‑maily označené ako urgentné, ktoré neprejdú kontrolou DKIM, keďže útočníci často využívajú koncept naliehavosti na vyvíjanie tlaku na príjemcov a obchádzanie bezpečnostných kontrol. Toto pravidlo pomáha predchádzať pokusom o sociálne inžinierstvo. Niektoré legitímne dôležité e‑maily však nemusia prejsť kontrolou DKIM z dôvodu preposielania alebo nesprávne nastavených e‑mailových serverov.

Podmienky

Z roletového menu vyberte podmienku Zdroj. Polia parametrov sa zmenia v závislosti od vybraného zdroja. Prípadne môžete zadať regulárny výraz výberom položky Typ zhody: Zhoda s výrazom RegEx.

Zdroj podmienky

Popis

Odosielateľ

Vzťahuje sa na správy odoslané konkrétnym odosielateľom.

IP adresa odosielateľa

Vzťahuje sa na správy odoslané z konkrétnej IP adresy. Pri pridávaní novej adresy ako podmienky sú akceptované IPv4 aj IPv6 adresy.

Doména odosielateľa

Vzťahuje sa na správy odoslané z konkrétnej domény.

Od/Meno odosielateľa

Hodnota „From:“ obsiahnutá v hlavičkách správ. Toto zobrazované meno je pre príjemcu viditeľné, odosielacie servery však neoverujú, či je odosielateľ oprávnený odosielať správy z danej adresy. Útočníci ho bežne používajú pri pokusoch o podvrhnutie identity odosielateľa. Táto podmienka umožňuje porovnanie domén zahrnutých v hlavičke e‑mailu „From:“ a v odosielateľovi obálky so zoznamami domén.

Predmet

Vzťahuje sa na správy, ktorých predmet obsahuje/neobsahuje konkrétny reťazec (alebo zadaný regulárny výraz).

Telo

V tele správy bude vyhľadaná zadaná fráza. Môžete použiť možnosť Odstraňovať HTML značky, čím odstránite HTML značky, atribúty a hodnoty, a ostane len čistý text. V texte tela správy následne prebehne vyhľadávanie.

Názov prílohy

Vzťahuje sa na správy, ktoré obsahujú prílohu s konkrétnym názvom. To zahŕňa aj súbory vnorené v archívoch.

Vyhodnocovať len prílohy najvyššej úrovne – ak je táto možnosť zapnutá, súbory vnorené do archívov nebudú vyhodnocované.

Použiť úplnú cestu pre objekty vnútri prílohy – ak je táto možnosť zapnutá, vyhodnotí sa celá cesta k objektu, nielen jeho názov.

Prípona prílohy

Vzťahuje sa na správy obsahujúce prílohu, ktorej veľkosť nezodpovedá zadanej hodnote, je v rozmedzí zadaných hodnôt alebo je väčšia ako zadaná hodnota.

Typ prílohy

Vzťahuje sa na správy s prílohou, ktorá je zadaného typu. Na zjednodušenie výberu sú typy súborov rozdelené do skupín. Vďaka tomu môžete označiť viacero typov súborov alebo celú kategóriu. ESET Cloud Office Security rozpozná správny typ súboru bez ohľadu na príponu. To isté platí aj pre obsah archívu.

Vyhodnocovať len prílohy najvyššej úrovne – ak je táto možnosť zapnutá, súbory vnorené do archívov nebudú vyhodnocované.

V rámci podmienky pravidla Typ prílohy existuje známe obmedzenie, pri ktorom detekčné jadro ESET Cloud Office Security nedokáže odhaliť mimoriadne malé textové súbory s dĺžkou pod 10 bajtov v ASCII/ANSI kódovaní.

Čas doručenia

Vzťahuje sa na správy, ktoré boli prijaté pred alebo po zadanom čase a dátume alebo v rozmedzí zadaných dátumov.

Výsledok SPF
Výsledok SPF – Hlavička From
Výsledok SPF HELO

Vzťahuje sa na správy s nasledujúcimi výsledkami SPF kontroly:

Úspešné – IP adresa je oprávnená odosielať z domény (SPF kvalifikátor "+").

Neúspešné – SPF záznam neobsahuje odosielací server alebo IP adresu (SPF kvalifikátor "-").

Soft fail – IP adresa môže alebo nemusí byť oprávnená odosielať z domény (SPF kvalifikátor "~").

Neutral – vlastník domény uviedol v SPF zázname, že nechce prehlásiť, že IP adresa je oprávnená odosielať z domény (SPF kvalifikátor "?").

Neznáme – výsledok SPF kontroly None znamená, že doména nezverejnila žiadne záznamy alebo že z danej identity nemohla byť určená žiadna kontrolovateľná doména odosielateľa.

Podrobnejšie informácie o SPF nájdete v dokumente RFC 4408.

Výsledok DMARC

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou SPF/DKIM, prípadne na správy s neznámym výsledkom kontroly.

DKIM

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou DKIM, prípadne na správy s neznámym výsledkom kontroly.

ARC

Vzťahuje sa na správy, ktoré prešli alebo neprešli kontrolou ARC, prípadne na správy s neznámym výsledkom kontroly.

Hlavičky

Názvy a hodnoty polí hlavičky e‑mailovej správy sa používajú ako podmienka. Typ porovnania:

Názvy hlavičiek – porovnanie názvov hlavičiek, podmienka je splnená, ak e‑mail obsahuje zadaný názov hlavičky.

Hodnoty hlavičiek – porovnanie názvov a hodnôt hlavičiek, zvolený typ zhody sa aplikuje len na hodnoty hlavičiek. Na splnenie podmienky sa zadané názvy hlavičiek musia presne zhodovať (typ zhody nemá vplyv na hodnoty názvov hlavičiek).

Výsledok kontroly malvéru

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Infikované, Vypnuté.

Výsledok kontroly phishingu

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Phishing, Vypnuté.

Výsledok kontroly spamu

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Neskontrolované, Čisté, Spam, Vypnuté.

Výsledok kontroly

V roletovom menu vyberte, na ktoré správy sa bude pravidlo vzťahovať. Možnosti: Vypnuté, Malvér, Phishing, Spam, Prebieha analýza, Chyba, Čisté, Neskontrolované.

Akcie

Môžete pridať akcie pre správy a/alebo prílohy, ktoré zodpovedajú podmienkam pravidiel.

Názov akcie	Popis
Presunúť správu do karantény	Správa nebude doručená príjemcovi, ale bude presunutá do e‑mailovej karantény.
Odstrániť správu	Vymaže infikovanú správu.
Odstrániť prílohy	Odstráni prílohu zo správy. Správa bude doručená príjemcovi bez prílohy.
Preskočiť kontrolu	Správa nebude kontrolovaná antimalvérovou, antiphishingovou a antispamovou ochranou.
Upozorniť vlastníka	Zadajte predmet a text správy, ktorá sa odošle príjemcovi/vlastníkovi e‑mailu. Všetky parametre pre text správy musia byť uzavreté v zložených zátvorkách, napríklad {NazovParametra}.
Upozorniť správcov	Zadajte e‑maily správcov, definujte predmet a text správy, ktorá sa odošle správcom. Všetky parametre pre text správy musia byť uzavreté v zložených zátvorkách, napríklad {NazovParametra}.
Pridať predponu predmetu	Pridá predponu do predmetu správy.
Vyhodnotiť ďalšie pravidlá	Umožňuje vyhodnocovanie ďalších pravidiel. Používateľ môže zadať viacero podmienok a viaceré akcie pre dané podmienky.
Presunúť do nevyžiadanej pošty	Správa sa presunie do priečinka s nevyžiadanou poštou/spamom v e‑mailovej schránke používateľa.
Pridať banner do tela správy	Do e‑mailovej správy sa pridá banner, ktorý sa zobrazí príjemcovi. Vzhľad bannera pridaného do správy môžete prispôsobiť.

˄˅