此功能可讓您指定條件並指派過濾的電子郵件處理方法。您可以自訂寄件者驗證和反欺騙規則,其條件包括 SPF、DKIM、DMARC 和 ARC 等驗證方法。在制定原則 > [規則] 時,按一下 [電子郵件規則] 旁的 [編輯] 以建立新規則或修改現有規則。
1.若要建立新規則,請按一下 [建立] 以開啟精靈。
2.選擇預先定義的 [範本] 或按一下 [略過] 並建立 [新增] 規則。
3.為規則輸入 [名稱] (您會認得的內容),名稱將會顯示在規則清單中。如果您想要準備規則,但打算稍後再使用這些規則,則可以按一下 [作用中] 旁的切換選項以停用規則。
4.按照精靈指示來指定 [條件] 和 [處理方法]。在您按一下 [新增條件] 之後,從下拉式功能表中選取條件來源並配置適當的值。
5.先定義您的條件,然後指定相應的處理方法。您可以為單一規則新增多個條件和處理方法。若您這麼做,則必須符合所有條件才能套用規則。所有條件會使用邏輯運算子 AND 來進行連接。即便多述條件符合,但只要單一條件不符合,則條件評估結果即視為不符合,且系統不會採用規則的處理方法。
從下拉式功能表中選取預先定義的 [範本]。
範本
|
說明
|
新增外部寄件者橫幅
|
在您組織外部的電子郵件中新增橫幅,以便使用者能夠快速地識別外部郵件。
|
新增內部寄件者橫幅
|
在來自內部寄件者的電子郵件中標記橫幅,確認郵件來自您的組織內部,以減少混淆並建立信任。SPF 設定錯誤或轉發問題可能導致橫幅無法顯示或造成錯誤標記。
|
在橫幅中顯示「寄件者」和「傳送者」的值
|
在橫幅中同時顯示「寄件者」和「傳送者」標頭,以提升透明度,協助使用者偵測攻擊者隱藏真實寄件者的詐騙嘗試。有些合法的郵件系統 (例如電子報) 使用不同的「寄件者」值,這可能會造成混淆。
|
「寄件者」標頭中常見的同形異義字元警告。
|
當「寄件者」地址包含模仿拉丁字母的西里爾字母或希臘字母時,系統會發出警告,這是一種常見的模擬戰略。這有助於防止同形異義字攻擊。合法的國際電子郵件也可能會觸發此警告。
|
「寄件者」標頭中常見的同形異義字元警告。
|
當「寄件者」地址包含模仿拉丁字母的西里爾字母或希臘字母時,系統會發出警告,這是一種常見的模擬戰略。這有助於防止同形異義字攻擊。合法的國際電子郵件也可能會觸發此警告。
|
可疑的關鍵字過濾器
|
標記包含常見網路釣魚或詐騙片語的電子郵件,例如「立即驗證您的身分」或「您已中獎」,這些片語與詐欺嘗試密切相關。行銷電子郵件或合法警告有時候可能使用類似的語言,因此建議謹慎對待。建議根據您組織的需求,建立可疑的關鍵字清單。
|
促銷電子郵件過濾器
|
藉由偵測取消訂閱連結和非企業網域來識別促銷電子郵件,協助使用者優先處理重要的郵件。部分交易性電子郵件 (例如發票) 包括取消訂閱連結,tnr 且可能會錯誤地進行標記。
|
標記高風險 TLD 網域
|
提醒使用者注意來自高濫用率網域 (例如 .tk、.ml、.xyz) 的電子郵件。這些 TLD 經常用於垃圾郵件和網路釣魚。有些合法服務會使用這些網域,因此驗證相當重要。
|
Reply-To 檔頭不相符
|
當 Reply-To 地址與寄件者不相符時,系統會提醒使用者,這是網路釣魚中常見的重新導向回應的戰略。部分郵件系統使用不同的 Reply-To 地址作為支援或票證,這可能導致誤判。
|
將未驗證的電子郵件移到垃圾郵件 (SPF 失敗)
|
標記未通過或部分未通過 SPF 檢查的電子郵件,表示可能存在潛在的詐騙行為。SPF 驗證寄件者的真實性。錯誤設定的 SPF 記錄或轉寄服務可能會導致誤判。
|
將未驗證的電子郵件移到垃圾郵件 (SPF 軟失敗)
|
標記未通過或部分未通過 SPF 檢查的電子郵件,表示可能存在潛在的詐騙行為。SPF 驗證寄件者的真實性。錯誤設定的 SPF 記錄或轉寄服務可能會導致誤判。
|
無 SPF 的緊急電子郵件警告
|
當高優先順序的電子郵件缺少 SPF 驗證時,系統會警告使用者。攻擊者經常將釣魚電子郵件標記為緊急,以施壓收件者。部分的合法系統可能無法正確地設定 SPF,建議在繼續之前先進行驗證。
|
ARC 與 DMARC 檢查失敗時發出警告
|
標記未通過 DMARC 與 ARC 檢查的電子郵件,這些檢查可驗證寄件者身分與郵件完整性。這可防止詐騙與竄改。轉送的電子郵件或郵件名單可能會通過這些檢查,而導致誤判。
|
標記 PHP 郵件程式電子郵件
|
警告使用者注意透過 PHP 郵件程式傳送的電子郵件,其經常在安全性較低的環境中被濫發垃圾郵件者入侵。雖然 PHP 郵件程式常用於合法的 Web 應用程式,但收件者應該驗證真實性。
|
ARC 失敗橫幅
|
當 ARC 驗證失敗時,系統會警告使用者,表示郵件轉送可能遭到竄改。ARC 透過轉送鏈來協助維護驗證。部分的電子郵件轉送服務可能會導致 ARC 失敗。
|
隔離具有啟用巨集附件的電子郵件
|
當電子郵件包含啟用巨集的 Office 檔案時,系統會警告使用者,這些檔案可能執行惡意程式碼。這是一種常見的惡意軟體傳播方式。部分的合法工作流程可能會使用啟用巨集的檔案,管理員應該在封鎖之前先進行確認。
|
隔離具有可執行附件的電子郵件
|
封鎖包含可執行檔案的電子郵件,以防止惡意軟體感染。可執行檔是一種高風險的檔案類型。少數的合法使用案例 (例如軟體分發) 可能會受到影響。
|
隔離具有密碼保護附件的電子郵件
|
封鎖包含可能隱藏惡意內容的密碼保護檔案的電子郵件。攻擊者經常使用加密來略過掃描。合法的安全檔案傳輸也可能會封鎖。
|
隔離具有雙副檔名附件的電子郵件
|
封鎖包含雙副檔名附件 (例如 invoice.pdf.exe) 的電子郵件,這是惡意軟體用來偽裝執行檔的常見戰略。罕見的合法命名規則也可能觸發此規則。
|
防止內部網域詐騙 (SPAF 失敗)
防止內部網域詐騙 (DKIM 失敗)
防止內部網域詐騙 (DMARC 失敗)
防止內部網域詐騙 (寄件者標頭)
|
隔離看似來自您網域但未通過驗證檢查的電子郵件,有助於防止內部詐騙攻擊。錯誤設定的 DNS 記錄或轉送系統可能會導致誤判。
|
封鎖具有 DKIM 失敗的緊急電子郵件
|
封鎖標記為「緊急」但未通過 DKIM 驗證的電子郵件,因為攻擊者經常利用緊急性向收件者施壓並略過安全性檢查。此規則有助於防止社交工程嘗試。然而,部分合法的緊急郵件可能因轉送或郵件伺服器設定錯誤而未能通過 DKIM。
|
|
從下拉式功能表中選取條件來源。參數欄位將根據所選來源而變更。或者,您可以藉由選取 [相符類型] 來指定規則運算式:RegEx 匹配。
條件來源
|
說明
|
寄件者
|
套用至由特定寄件者傳送的郵件。
|
寄件者 IP 位址
|
套用至由特定 IP 位址傳送的郵件。新增新位址作為條件時,IPv4 和 IPv6 都會被接受。
|
寄件者網域
|
套用至來自其電子郵件地址中具有特定網域之寄件者的郵件。
|
寄件者/寄件者名稱
|
「自:」值包含在郵件檔頭。此為收件者可見的顯示名稱,但未檢查傳送系統是否經授權可代表該地址傳送郵件。它通常被攻擊者用來詐騙寄件者。此條件用於將「寄件者:」電子郵件標頭欄位和信封寄件者中包含的網域與網域清單進行比較。
|
主旨
|
套用至主旨中包含或不包含特定字串 (或規則運算式) 的郵件。
|
內文
|
會在郵件內文中搜尋指定片語。您可以使用 Strip HTML 標籤功能以移除 HTML 標籤、屬性及值,而且僅保留文字。之後會搜尋內文文字。
|
附件名稱
|
套用至包含具有特定名稱之附件的郵件。這包括壓縮檔中包含的檔案。
僅針對頂層附件進行評估 - 啟用後,系統不會評估壓縮檔內的檔案。
對附件中的物件使用完整路徑 - 啟用後,系統會評估物件的完整路徑,而不只是檔案名稱。
|
附件擴充功能
|
套用至具有不符合指定大小、在指定大小範圍內或超過指定大小之附件的郵件。
|
附件類型
|
套用至附加特定檔案類型的郵件。檔案類型分類為數個群組,以便於選擇。您可以選取多個檔案類型或整個類別。ESET Cloud Office Security 會偵測實際的檔案類型,而不考慮檔案副檔名。這同樣套用至壓縮檔的內容。
僅針對頂層附件進行評估 - 啟用後,系統不會評估壓縮檔內的檔案。
|
|
附件類型 規則條件具有已知限制,其中 ESET Cloud Office Security 偵測引擎無法偵測 ASCII/ANSI 編碼中長度小於 10 位元組的超小型文字檔。
|
|
接收的時間
|
套用至在特定日期之前或之後,或在特定日期範圍期間接收的郵件。
|
SPF 結果
SPF 結果 - 來自標題
SPF 結果 HELO
|
適用於具有 SPF (寄件者原則架構)評估結果的郵件:
通過 - IP 位址獲授權,而可從網域 (SPF 合格者 "+") 傳送。
失敗 - SPF 記錄不包含傳送中伺服器或 IP 位址 (SPF 合格者 "-")。
軟失敗 - IP 位址可能或無法獲授權,而可從網域 (SPF 合格者 "~") 傳送。
中性 - 代表SPF 記錄中所述的網域擁有者不希望明確宣告 IP 位址獲授權,而可從網域 (SPF 合格者 "?") 傳送。
未知—None 的 SPF 結果代表網域未發佈任何 SPF 記錄,或是無法從指定身分決定可檢查的寄件者網域。
您可以讀取 RFC 4408 以取得 SPF 的更多詳細資料。
|
DMARC 結果
|
套用至 SPF、DKIM 或兩者驗證「通過」或「失敗」或是未知的郵件。
|
DKIM
|
套用至 DKIM 驗證「通過」或「失敗」的郵件或是未知的郵件。
|
ARC
|
套用至 ARC 驗證「通過」或「失敗」的郵件或是未知的郵件。
|
檔頭
|
電子郵件訊息標頭欄位名稱和值已用作條件。比較類型:
標頭名稱—符合標頭名稱,當指定的標頭名稱存在時,即符合條件。
標頭值—符合標頭名稱和標頭值,符合類型僅根據所選的相符類型用於標頭值。若要符合條件,指定的標頭名稱必須完全符合 (符合類型不影響標頭名稱值)。
|
惡意軟體掃描結果
|
從下拉式功能表中選擇該規則套用的郵件。選項:未掃描、清除、已感染、已停用。
|
網路釣魚掃描結果
|
從下拉式功能表中選擇該規則套用的郵件。選項:未掃描、清除、網路釣魚、已停用。
|
垃圾郵件掃描結果
|
從下拉式功能表中選擇該規則套用的郵件。選項:未掃描、清除、垃圾郵件、已停用。
|
掃描結果
|
從下拉式功能表中選擇該規則套用的郵件。選項:已停用、惡意軟體、網路釣魚、垃圾郵件、正在分析、錯誤、清除、未掃描。
|
|
您可以為符合規則條件的郵件和/或附件新增處理方法。
處理方法名稱
|
說明
|
隔離郵件
|
郵件不會傳送給收件者,且將移動至郵件隔離區。
|
刪除郵件
|
刪除受感染的郵件。
|
刪除附件
|
刪除郵件附件。將不含附件的郵件傳給收件者。
|
跳過掃描
|
惡意軟體、網路釣魚和垃圾郵件防護不會掃描該郵件。
|
通知擁有者
|
定義將會傳送給電子郵件收件者/擁有者以通知他們的 [主旨] 和 [郵件] 文字。訊息文字的所有參數都必須括在大括號中,例如 {ParameterName}。
|
通知管理員
|
輸入 [管理員電子郵件],定義將作為通知傳送給管理員的 [主旨]和 [郵件] 文字。訊息文字的所有參數都必須括在大括號中,例如 {ParameterName}。
|
新增主旨字首
|
將前置詞新增到主旨。
|
評估後續規則
|
允許評估其他規則,讓使用者能定義多組條件以及根據條件所採取的多個處理方法。
|
移至垃圾郵件
|
郵件將會放置到使用者信箱的垃圾郵件資料夾中。
|
新增內文橫幅
|
橫幅將會新增到電子郵件中並顯示給收件者。您可以自訂橫幅包含在郵件中時的外觀。
|
|
