Condition de règle
L'assistant Condition des règles permet d'ajouter des conditions pour une règle. Sélectionnez le Type de condition et une Opération dans le menu déroulant. La liste des opérations change en fonction du type de règle sélectionné. Sélectionnez ensuite un Paramètre. Les champs de paramètre changent en fonction du type de règle et de l'opération.
Choisissez par exemple Taille de fichier > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces paramètres, un fichier dont la taille est supérieure à 10 Mo est traité à l'aide des actions de règle que vous avez spécifiées. Pour cette raison, vous devez spécifier une action à entreprendre lorsqu'une règle donnée est déclenchée si vous ne l'avez pas déjà fait lors de la définition des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter les entrées manuellement, cliquez avec le bouton droit au milieu de la fenêtre et sélectionnez Importer dans le menu contextuel. Vous pouvez ensuite rechercher votre fichier (.xml ou .txt, et contenant des entrées délimitées par de nouvelles lignes) que vous souhaitez ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Vous pouvez également spécifier une Expression régulière et sélectionner une opération : correspond à l'expression régulière ou ne correspond pas à l'expression régulière.
|
ESET Mail Security utilise std::regex. Pour créer des expressions régulières, reportez-vous à Syntaxe ECMAScript. La syntaxe des expressions régulières n'est pas sensible à la casse, y compris les résultats de la recherche. |
|
Vous pouvez définir plusieurs conditions. Dans ce cas, toutes les conditions doivent être remplies pour appliquer la règle. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée. |
Les types de conditions suivants sont disponibles pour la protection du transport des messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande (certaines options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) :
Nom de la condition |
Analyse de base de données de boîtes aux lettres à la demande |
Description |
||
|---|---|---|---|---|
Objet |
✓ |
✓ |
✓ |
S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet. |
Expéditeur |
✓ |
✓ |
✓ |
S'applique aux messages envoyés par un expéditeur spécifique. |
Expéditeur de l'enveloppe (expéditeur SMTP) |
✓ |
✗ |
✗ |
attribut d'enveloppe MAIL FROM utilisé pendant la connexion SMTP. Également utilisé pour la vérification SPF. |
Adresse IP de l'expéditeur |
✓ |
✗ |
✗ |
S'applique aux messages envoyés par une adresse IP spécifique. |
Domaine de l'expéditeur de l'enveloppe / domaine de l'expéditeur |
✓ |
✓ |
✓ |
S'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans son adresse électronique. |
Domaine de l'expéditeur SMTP |
✓ |
✗ |
✗ |
S'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans son adresse électronique. |
En-tête De - adresse |
✓ |
✗ |
✗ |
valeur "From:" contenue dans les en-têtes des messages. Il s'agit de l'adresse visible par le destinataire. Aucune vérification n'est toutefois effectuée pour s'assurer que le système d'envoi est autorisé à envoyé le message de la part de cette adresse. Il est souvent utilisé pour usurper l'identité de l'expéditeur. |
En-tête De - nom d'affichage |
✓ |
✗ |
✗ |
valeur "From:" contenue dans les en-têtes des messages. Il s'agit du nom d'affichage visible par le destinataire. Aucune vérification n'est toutefois effectuée pour s'assurer que le système d'envoi est autorisé à envoyé le message de la part de cette adresse. Il est souvent utilisé pour usurper l'identité de l'expéditeur. |
Destinataire |
✓ |
✓ |
✓ |
S'applique aux messages envoyés à un destinataire spécifique. |
Unités d'organisation du destinataire |
✓ |
✗ |
✗ |
S'applique aux messages envoyés à un destinataire d'une unité d'organisation spécifique. |
Résultat de la validation de destinataire |
✓ |
✗ |
✗ |
S'applique aux messages envoyés à un destinataire validé dans Active Directory. |
Nom de la pièce jointe |
✓ |
✓ |
✓ |
S'applique aux messages qui contiennent des pièces jointes avec un nom spécifique. |
Taille de la pièce jointe |
✓ |
✓ |
✓ |
S'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée. |
Type de la pièce jointe1 |
✓ |
✓ |
✓ |
S'applique aux messages avec un type de fichier joint spécifique. Les types de fichier sont classés dans des groupes pour une sélection aisée. Vous pouvez sélectionner plusieurs types de fichier ou des catégories entières. ESET Mail Security détecte le type de fichier réel quelle que soit l'extension de fichier. Cela s'applique également au contenu d'une archive. |
Taille du message |
✓ |
✗ |
✗ |
S'applique aux messages dont les pièces jointes ne correspondent pas à la taille spécifiée, se trouvent dans la plage de tailles spécifiée ou dépassent la taille spécifiée. |
Boîte aux lettres |
✗ |
✓ |
✗ |
S'applique aux messages situés dans une boîte aux lettres spécifique. |
En-têtes de message |
✓ |
✓ |
✗ |
S'applique aux messages contenant des données spécifiques dans l'en-tête. |
Corps du message |
✓ |
✗ |
✓ |
Une expression spécifiée est recherchée dans le corps du message. Vous pouvez utiliser la fonctionnalité Retirer les balises HTML pour retirer les attributs, les valeurs et les balises HTML et conserver le texte uniquement. Le texte du corps fera ensuite l'objet d'une recherche. |
Message interne |
✓ |
✗ |
✗ |
S'applique selon qu'un message est interne ou non. |
Message sortant |
✓ |
✗ |
✗ |
S'applique aux messages sortants. |
Message signé |
✓ |
✗ |
✗ |
S'applique aux messages signés. |
Message chiffré |
✓ |
✗ |
✗ |
S'applique aux messages chiffrés. |
Résultat de l'analyse Antispam |
✓ |
✗ |
✗ |
S'applique aux messages marqués ou non comme étant indésirables ou légitimes. |
Résultat de l'analyse antivirus |
✓ |
✓ |
✓ |
S'applique aux messages marqués comme étant malveillants ou non. |
Résultat de l'analyse anti-hameçonnage |
✓ |
✗ |
✓ |
S'applique aux messages ayant été évalués comme des messages d'hameçonnage. |
Heure de réception |
✓ |
✓ |
✓ |
S'applique aux messages reçus avant ou après une date spécifique ou dans une plage de dates spécifique. |
Contient une archive protégée par mot de passe |
✓ |
✓ |
✗ |
S'applique aux messages avec des pièces jointes d'archive qui sont protégées par mot de passe. |
Contient une archive endommagée |
✓ |
✓ |
✗ |
S'applique aux messages dont les pièces jointes d'archive sont endommagées (qui ne peuvent généralement pas être ouvertes). |
La pièce jointe est une archive protégée par mot de passe. |
✗ |
✗ |
✓ |
S'applique aux pièces jointes qui sont protégées par mot de passe. |
La pièce jointe est une archive endommagée. |
✗ |
✗ |
✓ |
S'applique aux pièces jointes endommagées (probablement impossible à ouvrir). |
Nom du dossier |
✗ |
✗ |
✓ |
S'applique aux messages figurant dans un dossier spécifique. Si le dossier n'existe pas, il est créé. Cela ne s'applique pas aux dossiers Public. |
DKIM résultat |
✓ |
✗ |
✗ |
S'applique aux messages qui ont réussi ou non la vérification par DKIM. |
SPF résultat |
✓ |
✗ |
✗ |
S’applique aux messages dont le résultat de l’évaluation SPF est : •Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) •Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) •Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) •Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) •Non disponible : le résultat None SPF indique qu'aucun enregistrement n'a été publié par le domaine ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. |
DMARC résultat |
✓ |
✗ |
✗ |
S'applique aux messages qui ont réussi ou non la vérification par SPF ou DKIM les deux. |
A un enregistrement DNS inversé |
✓ |
✗ |
✗ |
S'applique aux messages dont le domaine du serveur a un enregistrement DNS inversé. |
NDR résultat |
✓ |
✗ |
✗ |
S'applique aux messages pour lesquels la vérification NDR a échoué. |
résultat SPF - En-tête De |
✓ |
✗ |
✗ |
S’applique aux messages dont le résultat de l’évaluation SPF est : •Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) •Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) •Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) •Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) •Non disponible : le résultat None SPF indique qu'aucun enregistrement n'a été publié par le domaine ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. |
Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête De |
✓ |
✗ |
✗ |
Compare le ou les domaines contenus dans le champ de l'en-tête d'e-mail "From:" et l’expéditeur de l’enveloppe aux les listes de domaines. |
Résultat SPFHELO |
✓ |
✗ |
✗ |
S’applique aux messages dont le résultat de l’évaluation HELO est : •Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) •Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) •Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) •Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) •Non disponible : le résultat None SPF indique qu'aucun enregistrement n'a été publié par le domaine ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. |
|
1 La condition de règle Type de pièce jointe présente une limite connue où le moteur de détection ESET Mail Security ne peut pas détecter les très petits fichiers texte d'une longueur inférieure à 10 octets en codage ASCII/ANSI. |
Le type de condition a les opérations suivantes :
•Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, est dans, n'est pas dans, est dans la liste, n'est pas dans la liste, correspond à l'expression régulière, ne correspond pas à l'expression régulière
•Nombre : est inférieur à, est supérieur à, est compris entre
•Texte : contient, ne contient pas, correspond, ne correspond pas
•Date-heure : est inférieur à, est supérieur à, est compris entre
•Énumération : est, n'est pas, est dans, n'est pas dans
|
Si le nom de la pièce jointe ou le type de pièce jointe est fichier Microsoft Office, elle est traitée par ESET Mail Security comme une archive. Cela signifie que son contenu est extrait et que chaque fichier contenu dans l'archive de fichiers Office (.docx, .xlsx, .xltx, .pptx, .ppsx, .potx par exemple.) est analysé séparément. |
De plus, si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur > Antivirus et antispyware pour la couche de protection de la base de données de boîtes aux lettres et de transport des messages, cela aura une incidence sur ces conditions de règle :
•Nom de la pièce jointe
•Taille de la pièce jointe
•Type de la pièce jointe
•Résultat de l'analyse antivirus
•La pièce jointe est protégée par mot de passe.
•La pièce jointe est une archive endommagée.
•Contient une archive endommagée
•Contient une archive protégée par mot de passe