Правила електронної пошти

Додати банер зовнішнього відправника

Додає банер до листів, що надходять ззовні вашої організації, щоб користувачі могли швидко розпізнавати зовнішні повідомлення.

Додати банер внутрішнього відправника

Позначає листи від внутрішніх відправників банером, що підтверджує, що повідомлення надійшло зсередини вашої організації, щоб зменшити плутанину й зміцнити довіру. Неправильна конфігурація SPF або проблеми з ретрансляцією можуть перешкоджати відображенню банера або спричиняти неправильне позначення.

Відображати заголовки "Від" і "Відправник" на банері

Відображає заголовки "Від" і "Відправник" на банері, що допомагає користувачам виявляти спроби підробки, де зловмисники приховують справжнього відправника. Деякі легітимні системи розсилки (наприклад, інформаційні) використовують різні значення для заголовка "Відправник", що може спричинити плутанину.

Сповіщати про наявність гомогліфів у заголовку "Від".

Сповіщає користувачів, коли адреса "Від" містить кириличні або грецькі символи, що імітують латинські літери. Серед зловмисників це поширена тактика імітації користувачів. Попередження допомагає запобігти атакам із використанням гомогліфів. Це попередження також може спрацювати через легітимні міжнародні електронні листи.

Сповіщати про наявність гомогліфів у заголовку "Відправник".

Сповіщає користувачів, коли адреса "Відправник" містить кириличні або грецькі символи, що імітують латинські літери. Серед зловмисників це поширена тактика імітації користувачів. Попередження допомагає запобігти атакам з використанням гомогліфів. Це попередження також може спрацювати через легітимні міжнародні електронні листи.

Підозрілий фільтр ключових слів

Позначає листи з поширеними фішинговими або шахрайськими фразами, як-от "Негайно підтвердьте свою особу" або "Ви виграли", які тісно пов’язані зі спробами шахрайства. Маркетингові листи або легітимні сповіщення іноді можуть містити схожі фрази, тому рекомендується зберігати пильність. Радимо створити список підозрілих ключових слів, адаптований до потреб вашої організації.

Фільтр рекламних листів

Виявляє рекламні листи за наявністю посилань на скасування підписки та некорпоративних доменів, допомагаючи користувачам зосередитися на важливій кореспонденції. Деякі транзакційні електронні листи (наприклад, рахунки) містять посилання на скасування підписки й можуть помилково позначатися системою як рекламні.

Позначати домени TLD з високим ризиком

Попереджає користувачів про електронні листи, надіслані з доменів із високим рівнем ризику (наприклад, .tk, .ml, .xyz). Ці домени часто використовуються для спаму й фішингу. Ці домени використовуються деякими легітимними сервісами, тому важливо їх перевіряти.

Відповідність заголовків Reply-To

Сповіщає користувачів, коли адреса Reply-To відрізняється від адреси відправника — це поширена фішингова тактика для перенаправлення відповідей. Деякі поштові системи використовують різні адреси Reply-To для підтримки або обробки запитів, що може призвести до помилкових спрацьовувань.

Переміщати неавтентифіковані листи в спам (помилка SPF)

Позначає електронні листи, які не проходять або частково не проходять перевірку SPF, що вказує на можливу підробку. SPF перевіряє автентичність відправника. Неправильно налаштовані записи SPF або сервіси переадресації можуть спричинити помилкові спрацювання.

Переміщати неавтентифіковані листи в спам (одинична помилка SPF)

Позначає електронні листи, які не проходять або частково не проходять перевірку SPF, що вказує на можливу підробку. SPF перевіряє автентичність відправника. Неправильно налаштовані записи SPF або сервіси переадресації можуть спричинити помилкові спрацювання.

Сповіщати про термінові листи без SPF

Попереджає користувачів, коли пріоритетний лист не має перевірки SPF. Зловмисники часто позначають фішингові листи як термінові для тиску на одержувачів. Деякі легітимні системи можуть неправильно налаштовувати SPF, тому радимо перевіряти пошту перед подальшими діями.

Сповіщати про невдалі перевірки ARC й DMARC

Позначає листи, які не проходять перевірки DMARC і ARC, що підтверджує особу відправника та цілісність повідомлення. Це запобігає підробкам і втручанням. Переслані електронні листи або списки розсилки можуть не пройти ці перевірки, спричиняючи помилкові спрацювання.

Позначати листи з PHP Mailer

Попереджає користувачів про електронні листи, надіслані через PHP Mailer, який часто використовується спамерами у погано захищених системах. Хоча PHP Mailer часто використовується в легітимних вебпрограмах, одержувачі повинні перевіряти автентичність листів.

Банер із помилкою ARC

Сповіщає користувачів про помилку автентифікації ARC, що вказує на можливе втручання у пересилання повідомлень. ARC допомагає зберігати автентифікацію через ланцюги пересилання. Деякі сервіси пересилання електронної пошти можуть спричиняти помилки ARC.

Передавати в карантин листи з вкладеннями, що містять макроси

Сповіщає користувачів, коли електронний лист містить файли Office із макросами, які можуть виконувати шкідливий код. Це поширений спосіб доставки шкідливого програмного забезпечення. Деякі легітимні робочі процеси можуть використовувати файли з підтримкою макросів, тому адміністраторам слід перевіряти їх перед блокуванням.

Передавати в карантин листи з виконуваними вкладеннями

Блокує електронні листи з виконуваними файлами, щоб запобігти зараженню шкідливим програмним забезпеченням. Виконувані файли — це тип файлів із високим ризиком. У рідкісних випадках налаштування може повпливати на легітимні сценарії (наприклад, розповсюдження програмного забезпечення).

Передавати в карантин листи з вкладеннями, захищеними паролем

Блокує електронні листи з файлами, захищеними паролем, які можуть приховувати шкідливий вміст. Зловмисники часто використовують шифрування, щоб обійти сканування. Легітимні безпечні файли також може бути заблоковано.

Передавати в карантин листи з вкладеннями з подвійними розширеннями

Блокує листи з вкладеннями з подвійними розширеннями (наприклад, invoice.pdf.exe), що є поширеною шкідливою тактикою для маскування виконуваних файлів. Рідкісні легітимні норми іменування також можуть призводити до спрацювання цього правила.

Запобігати внутрішньому підробленню домену (помилка SPF)

Запобігати внутрішньому підробленню домену (помилка DKIM)

Запобігати внутрішньому підробленню домену (помилка DMARC)

Запобігати внутрішньому підробленню домену (заголовок відправника)

Передає в карантин електронні листи, які, як здається, надходять із вашого домену, але не проходять автентифікацію, що допомагає запобігти внутрішнім атакам із підробленням. Неправильне налаштування DNS-записів або систем ретрансляції може спричиняти помилкові спрацювання.

Блокувати термінові листи з помилкою DKIM

Блокує електронні листи, позначені як "термінові", які не пройшли автентифікацію DKIM, оскільки зловмисники часто використовують терміновість, щоб чинити тиск на одержувачів і обійти перевірки безпеки. Це правило допомагає запобігти спробам соціальної інженерії. Однак деякі легітимні термінові електронні листи можуть не пройти автентифікацію DKIM через переадресацію або неправильне налаштування поштових серверів.

Відправник

Застосовується до повідомлень, надісланих визначеним відправником.

IP-адреса відправника

Застосовується до повідомлень, надісланих із певної IP-адреси. Для додавання нової адреси як умови приймаються обидва формати IPv4 й IPv6.

Домен відправника

Застосовується до повідомлень від відправника, який має певний домен у своїх адресах електронної пошти.

Від / ім’я відправника

Значення "From:", що міститься в заголовках повідомлень. Це ім’я, що відображається для одержувача. Не виконується перевірка на предмет того, що систему, яка надіслала електронний лист, авторизовано для надсилання від імені користувача цієї адреси. Зазвичай його використовують зловмисники для підміни відправника. Ця умова використовується для порівняння доменів, які містяться в полях заголовка електронного листа "Від" і "Відправник конверта", зі списками доменів.

Тема

Застосовується до повідомлень, які містять або не містять певний рядок (або регулярний вираз) у темі.

Тіло

У тілі повідомлення виконується пошук указаної фрази. Щоб видалити HTML-теги, атрибути й значення і залишити лише текст, можна скористатися функцією "Вилучити HTML-теги". Після цього буде виконано пошук у тілі повідомлення.

Назва вкладення

Застосовується до повідомлень, що містять вкладення з певним іменем. Це стосується файлів, що містяться в архіві.

Оцінювати лише для вкладень верхнього рівня: якщо цей параметр увімкнуто, файли в архіві не будуть оцінюватися.

Використовувати повний шлях до об’єктів у вкладеннях: якщо цей параметр увімкнуто, оцінюватиметься повний шлях до об’єкта, а не лише ім’я файлу.

Розширення вкладення

Застосовується до повідомлень із вкладенням, яке не відповідають указаному розміру, розташовані в межах указаного діапазону розмірів або перевищують указаний розмір.

Тип вкладення

Застосовується до повідомлень із вкладеними файлами певного типу. Типи файлів поділено на групи для полегшення вибору. Можна вибрати кілька типів файлів або цілі категорії. ESET Cloud Office Security виявляє фактичний тип файлу незалежно від розширення. Те ж саме стосується вмісту архіву.

Оцінювати лише для вкладень верхнього рівня: якщо цей параметр увімкнуто, файли в архіві не будуть оцінюватися.

Час отримання

Застосовується до повідомлень, отриманих до або після певної дати або впродовж певного діапазону дат.

SPF результат
результат перевірки SPF: заголовок From
Результат SPF: HELO

Застосовується до повідомлень із результатом оцінювання SPF (Sender Policy Framework, структура політики фільтрації відправників):

Успішно: IP-адресу авторизовано для надсилання повідомлення з домену (кваліфікатор SPF: "+").

Не виконано: запис SPF не містить сервера-відправника або IP-адресу надсилання (кваліфікатор SPF: "-").

Незначна помилка: для цієї IP-адреси може бути дозволено або не дозволено надсилати повідомлення з домену (кваліфікатор SPF: "~")

Neutral: означає, що власник домену, зазначений у записі SPF, не хоче підтвердити, що IP-адресу авторизовано для надсилання повідомлення з домену (кваліфікатор SPF: "?").

Невідомо: результат SPF None означає, що домен не опублікував жодного запису або що на основі цієї ідентичності не можна визначити жодного домену відправника, доступного для перевірки.

Більш докладні відомості про SPF див. в документі RFC 4408.

DMARC результат

Застосовується до повідомлень, які пройшли або не пройшли перевірку SPF чи DKIM або з використанням обох методів, а також у тих випадках, коли результат невідомий.

DKIM

Застосовується до повідомлень, які пройшли або не пройшли перевірку DKIM, а також у тих випадках, коли результат невідомий.

ARC

Застосовується до повідомлень, які пройшли або не пройшли перевірку ARC, а також у тих випадках, коли результат невідомий.

Заголовки

Як умова використовуються заголовки повідомлень електронної пошти (назви полів і їх значення). Тип порівняння

Назви заголовків: відповідність назв заголовків. Умова виконується, коли існує вказана назва заголовка.

Значення заголовків: відповідність назв і значень заголовків. Цей тип відповідності використовується лише для значень заголовків відповідно до вибраного типу збігу. Щоб виконалася ця умова, указані назви заголовків мають точно збігатися (тип відповідності не впливає на значення назв заголовків).

Результат сканування на наявність шкідливого програмного забезпечення

Виберіть у розкривному меню, до повідомлень із яким статусом застосовуватиметься правило. Необов’язково: "Не перевірено", "Очищено", "Інфіковано" й "Вимкнено".

Результат антифішингового сканування

Виберіть у розкривному меню, до повідомлень із яким статусом застосовуватиметься правило. Необов’язково: "Не перевірено", "Очищено", "Фішинг" і "Вимкнено".

Результат сканування на наявність спаму

Виберіть у розкривному меню, до повідомлень із яким статусом застосовуватиметься правило. Необов’язково: "Не перевірено", "Очищено", "Спам" і "Вимкнено".

Результат сканування

Виберіть у розкривному меню, до повідомлень із яким статусом застосовуватиметься правило. Необов’язково: "Вимкнено", "Зловмисне програмне забезпечення", "Фішинг", "Спам", "Аналіз", "Помилка", "Очищено", "Не перевірено".

Відправити повідомлення в карантин

Повідомлення не буде доставлено одержувачу, а буде переміщено в поштовий карантин.

Видаляє повідомлення

Видаляє інфіковане повідомлення.

Видалити вкладення

Видаляє вкладення Повідомлення буде доставлено отримувачу без вкладення.

Пропустити сканування

Повідомлення не скануватиметься за допомогою засобів захисту від шкідливого програмного забезпечення, фішингу й спаму.

Сповіщати власника

Укажіть тему й текст повідомлення, яке буде надіслано одержувачу або власнику електронної адреси як сповіщення. Усі параметри для тексту повідомлення необхідно брати у фігурні дужки, наприклад {ParameterName}.

Повідомити адміністраторів

Введіть адреси електронної пошти адміністраторів, укажіть тему й текст повідомлення, яке буде надіслано адміністраторам як сповіщення. Усі параметри для тексту повідомлення необхідно брати у фігурні дужки, наприклад {ParameterName}.

Додати префікс теми

Додає префікс у тему.

Оцінити інші правила

Дає змогу оцінити інші правила, оскільки користувач може визначити кілька наборів умов і кілька дій, які будуть виконуватися залежно від цих умов.

Перемістити в спам

Повідомлення буде переміщено в папку "Небажана пошта / спам".

Додати банер у тілі повідомлення

Банер буде додано до електронного листа й показано одержувачу. Ви можете налаштувати зовнішній вигляд банера, коли додаватимете його до повідомлення.