Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Condizione regola

La procedura guidata “Condizioni regole” consente all’utente di aggiungere le condizioni di una regola. Selezionare il Tipo di condizione e un’Operazione dal menu a discesa. L’elenco delle operazioni cambia a seconda del tipo di regola scelto. Quindi selezionare Parametro. I campi dei Parametri cambieranno in base al tipo di regola e all'operazione.

Ad esempio, scegliere Dimensione allegato > è maggiore di e specificare 10 MB in Parametro. Utilizzando queste impostazioni, i file maggiori di 10 MB verranno elaborati mediante l’utilizzo delle azioni regola specificate. Per questo motivo, è necessario specificare l’azione intrapresa in caso di attivazione di una data regola qualora tale operazione non sia stata eseguita durante l’impostazione dei relativi parametri.

Se si desidera importare un elenco personalizzato da un file anziché aggiungere le voci manualmente, fare clic con il pulsante destro del mouse al centro della finestra e selezionare Importa dal menu contestuale. È quindi possibile ricercare il file (.xml o .txt e il file contenente voci delimitate da nuove righe) che si desidera aggiungere all’elenco. Analogamente, se si desidera esportare un elenco esistente in un file, selezionare Esporta dal menu contestuale.

In alternativa, è possibile specificare l’Espressione regolare, selezionare l’Operazione: corrisponde all'espressione regolare o non corrisponde all'espressione regolare..


note

ESET Mail Security utilizza std::regex. Per la creazione di espressioni regolai, fare riferimento alla sintassi ECMAScript. La sintassi delle espressioni regolari non fa distinzione tra maiuscole e minuscole, inclusi i risultati della ricerca.


important

È possibile definire più di una condizione. In tal caso, ai fini dell’applicazione della regola, è necessario che tutte le condizioni vengano soddisfatte. Tutte le condizioni vengono connesse attraverso l’operatore logico AND. Anche se vengono soddisfatte tutte le condizioni eccetto una, il risultato della valutazione è condizione non soddisfatta e non è possibile eseguire l’azione della regola.

I tipi di condizioni che seguono sono disponibili per la Protezione trasporto posta, la Protezione database casella di posta e il Controllo database casella di posta su richiesta (alcune opzioni potrebbero non essere visualizzate in base alle condizioni selezionate in precedenza):

Nome condizione

Descrizione

Oggetto

Si applica ai messaggi che contengono o non contengono una specifica stringa (o espressione regolare) nell'oggetto.

Mittente

Si applica ai messaggi inviati da un mittente specifico.

Mittente della busta del messaggio (mittente SMTP)

Attributo envelope MAIL FROM utilizzato durante la connessione SMTP, anche per la verifica SPF.

Indirizzo IP mittente

Si applica ai messaggi inviati da un indirizzo IP specifico. Quando si aggiunge un nuovo indirizzo come condizione, vengono accettati sia il protocollo IPv4 sia il protocollo IPv6.

Dominio del mittente della busta del messaggio/dominio del mittente

Si applica ai messaggi inviati da un mittente con un dominio specifico negli indirizzi di posta.

Dominio mittente SMTP

Si applica ai messaggi inviati da un mittente con un dominio specifico negli indirizzi di posta.

Dall’intestazione: indirizzo

"From:" valore contenuto nelle intestazioni del messaggio. Questo è l’indirizzo visibile al destinatario. Tuttavia, non vengono eseguiti controlli che il sistema preposto all’invio è autorizzato a inviare per conto di tale indirizzo. Utilizzato spesso per lanciare un attacco di tipo spoofing al mittente.

Dall’intestazione: nome visualizzato

"From:" valore contenuto nelle intestazioni del messaggio. Questo è il nome visibile al destinatario. Tuttavia, non vengono eseguiti controlli che garantiscono che il sistema preposto all’invio sia autorizzato a inviare per conto di tale indirizzo. Utilizzato spesso per lanciare un attacco di tipo spoofing al mittente.

Destinatario

Si applica ai messaggi inviati a un destinatario specifico.

Unità aziendali destinatario

Si applica ai messaggi inviati a un destinatario di una specifica unità aziendale.

Risultato convalida destinatario

Si applica ai messaggi inviati a un destinatario convalidato in Active Directory.

Nome allegato

Si applica ai messaggi contenenti allegati con un nome specifico. Sono inclusi i file contenuti in un archivio.

Valuta solo per gli allegati di primo livello: in caso di abilitazione, i file all’interno di un archivio non verranno valutati.

Usa percorso completo per gli oggetti all’interno dell’allegato: in caso di abilitazione, verrà valutato il percorso completo dell’oggetto, non solo il nome del file.

Dimensione allegato

Si applica ai messaggi con un allegato che non presenta una specifica dimensione, rientra in un intervallo di dimensioni specifico o supera una dimensione specifica.

Tipo di allegato

Si applica ai messaggi con uno specifico tipo di file allegato. I tipi di file sono classificati in gruppi per semplificarne la selezione. È possibile selezionare tipi di file multipli o intere categorie. ESET Mail Security rileva il tipo di file effettivo, indipendentemente dall’estensione. Lo stesso vale per il contenuto di un archivio.

Valuta solo per gli allegati di primo livello: in caso di abilitazione, i file all’interno di un archivio non verranno valutati.


note

La condizione della regola Tipo di allegato presenta una limitazione nota in base alla quale il motore di rilevamento ESET Mail Security non è in grado di rilevare file di testo di piccolissime dimensioni, con una lunghezza inferiore a 10 byte nella codifica ASCII/ANSI.

Dimensione messaggio

Si applica ai messaggi con allegati che non presentano una specifica dimensione, rientrano in un intervallo di dimensioni specifico o superano una dimensione specifica.

Casella di posta

Si applica ai messaggi posizionati in una casella di posta specifica.

Intestazioni messaggio

Si applica ai messaggi la cui intestazione contiene dati specifici.

Corpo del messaggio

La ricerca nel corpo del messaggio viene eseguita in base a frasi specifiche. È possibile utilizzare la funzione tag “Barra HTML” per rimuovere i tag, gli attributi e i valori HTML e lasciare solo le parti testuali. La ricerca verrà quindi eseguita nel testo del corpo.

Messaggio interno

Si applica in base al fatto che un messaggio sia o meno interno.

Messaggio in uscita

Si applica ai messaggi in uscita.

Messaggio firmato

Si applica ai messaggi firmati.

Messaggio crittografato

Si applica ai messaggi crittografati.

Risultato controllo antispam

Si applica ai messaggi contrassegnati o non contrassegnati come Ham o Spam.

Risultato controlo antivirus

Si applica ai messaggi contrassegnati come dannosi o non dannosi.

Risultato controllo Anti-Phishing

Si applica ai messaggi valutati come phishing.

Ora di ricezione

Si applica ai messaggi ricevuti prima o dopo una specifica data o durante un intervallo di date specifico.

Contiene archivio protetto con password

Si applica ai messaggi a cui sono allegati archivi protetti con password.

Contiene archivio danneggiato

Si applica ai messaggi con allegati di archivio danneggiati (che molto probabilmente non è possibile aprire).

L'allegato è un archivio protetto con password

Si applica agli allegati protetti da password.

L'allegato è un archivio danneggiato

Si applica agli allegati danneggiati (con molta probabilità impossibili da aprire).

Nome cartella

Si applica ai messaggi posizionati in una cartella specifica. Se non esiste, la cartella verrà creata. Non si applica alle cartelle pubbliche.

DKIM risultato

In caso di mancata disponibilità, si applica in alternativa ai messaggi che hanno superato o non superato la verifica DKIM.

SPF risultato
risultato SPF: intestazione From
SPF risultato HELO

Si applica ai messaggi con il risultato della valutazione di SPF (Sender Policy Framework):

Superato: se l’indirizzo IP viene autorizzato a effettuare l’invio dal dominio (qualificatore SPF "+").

Non superato: il record dell’SPF non contiene il server o l’indirizzo IP di invio (qualificatore SPF "-").

Errore non bloccante: l’indirizzo IP potrebbe o potrebbe non essere autorizzato a effettuare l’invio dal dominio (qualificatore SPF "~").

Neutro: indica che il proprietario del dominio ha dichiarato nel record SPF di non voler asserire che l’indirizzo IP è autorizzato a effettuare l’invio dal dominio (qualificatore SPF "?")

Non disponibile: il risultato del controllo SPF None indica che non sono stati pubblicati record dal dominio o che non è stato possibile determinare il dominio del mittente selezionabile dall’identità fornita.

Consultare RFC 4408 per ulteriori dettagli sul controllo SPF.

In caso di utilizzo del risultato del controllo SPF, le whitelist all’interno di Filtraggio e verifica non vengono prese in considerazione per le regole.

DMARC risultato

Si applica ai messaggi che hanno superato o non superato la verifica SPF, DKIM o entrambe o non sono disponibili.

Presenta un record DNS inverso

Si applica ai messaggi con il dominio del mittente con record inverso DNS.

NDR risultato

Si applica ai messaggi che non hanno superato la verifica NDR.

Risultato confronto mittente busta e intestazione From

Confronta i domini contenuti nel campo dell’intestazione dell’e-mail "From:" e il mittente della busta del messaggio con gli elenchi di domini.

Al tipo di condizione sono associate le seguenti Operazioni:

Stringa: è, non è, contiene, non contiene, corrisponde, non corrisponde, è in, non è in, è nell’elenco, non è nell’elenco, corrisponde all’espressione regolare, non corrisponde all’espressione regolare

Numero: è minore di, è maggiore di, è compreso tra

Testo: contiene, non contiene, corrisponde, non corrisponde

Data-ora: è minore di, è maggiore di, è compresa tra

Enumerazione: è, non è, è in, non è in


note

Se Nome allegato o Tipo di allegato è un file Microsoft Office, viene gestito da ESET Mail Security come un archivio. Ciò significa che il relativo contenuto viene estratto e ciascun file contenuto nell'archivio dei file Office (ad esempio .docx, .xlsx, .xltx, .pptx, .ppsx, .potx, ecc.) viene controllato separatamente.

Inoltre, in caso di disattivazione della Protezione antivirus nel menu Configurazione o Impostazione avanzata (F5) > Server > Antivirus e Antispyware per il livello di trasporto posta e il livello di protezione database casella di posta, influenzerà queste condizioni correlate alle regole:

Nome allegato

Dimensione allegato

Tipo di allegato

Risultato controlo antivirus

L’allegato è protetto con password

L'allegato è un archivio danneggiato

Contiene archivio danneggiato

Contiene archivio protetto con password