Інтерактивна довідка ESET

Виберіть тему

Умова правила

Майстер "Умова правил" дає змогу додавати умови для правила. У розкривному меню виберіть тип умови й операцію. Список операцій змінюється залежно від вибраного типу правила. Після цього виберіть Параметр. Поля параметрів змінюються залежно від типу правила та операції.

Наприклад, виберіть Розмір файлу > більше ніж і в полі Параметр укажіть 10 МБ. Якщо задано таке налаштування, усі файли, розмір яких перевищує 10 МБ, будуть оброблятися з використанням указаних вами дій правила. З цієї причини потрібно вказати дію, яка виконуватиметься в разі спрацювання певного правила, якщо ви ще цього не зробили, коли вказували параметри для цього правила.

Можна імпортувати спеціальний список із файлу, а не додавати вручну кожен окремий запис. Для цього клацніть правою кнопкою миші в середині вікна і в контекстному меню виберіть пункт Імпортувати. Потім знайдіть файл (.xml або .txt із записами, розділеними символами нового рядка), який потрібно додати в список. Аналогічно, якщо потрібно експортувати наявний список у файл, у контекстному меню виберіть пункт Експорт.

Окрім того, можна вказати Регулярний вираз і вибрати операція: відповідає регулярному виразу або не відповідає регулярному виразу.


note

ESET Mail Security використовує std::regex. Інструкції зі створення регулярних виразів див. в розділі Синтаксис ECMAScript. Синтаксис регулярного виразу не є чутливим до регістру (це стосується й результатів пошуку).


important

Можна визначити кілька умов. У цьому разі для застосування правила мають бути виконані всі умови. Усі умови підключаються за допомогою логічного оператора AND. Якщо хоча б одну умову не виконано, результат оцінки буде негативним і дія, визначена правилом, не застосовуватиметься.

Указані нижче типи умов доступні для захисту передачі пошти, захисту бази даних поштових скриньок і сканування бази даних поштових скриньок за вимогою (деякі параметри можуть не відображатися залежно від раніше вибраних умов):

Назва умови

Опис

Тема

Застосовується до повідомлень, які містять або не містять певний рядок (або регулярний вираз) у темі.

Відправник

Застосовується до повідомлень, надісланих визначеним відправником.

Відправник конверта (відправник SMTP)

Атрибут MAIL FROM конверта, який використовується під час підключення SMTP, також використовується для перевірки SPF.

IP-адреса відправника

Застосовується до повідомлень, надісланих із певної IP-адреси. Для додавання нової адреси як умови приймаються обидва формати IPv4 й IPv6.

Домен відправника конверта або домен відправника

Застосовується до повідомлень від відправника, який має певний домен у своїх адресах електронної пошти.

Домен SMTP-відправника

Застосовується до повідомлень від відправника, який має певний домен у своїх адресах електронної пошти.

Заголовок From – адреса

значення "From:", що міститься в заголовках повідомлень. Це адреса, яка відображається для одержувача. Не виконується перевірка на предмет того, що систему, яка надіслала електронний лист, авторизовано для надсилання від імені користувача цієї адреси. Часто використовується для підміни відправника.

Заголовок From – ім’я, що відображається

значення "From:", що міститься в заголовках повідомлень. Це ім’я, що відображається для одержувача. Не виконується перевірка на предмет того, що систему, яка надіслала електронний лист, авторизовано для надсилання від імені користувача цієї адреси. Часто використовується для підміни відправника.

Одержувач

Застосовується до повідомлень, надісланих певному одержувачу.

Організаційні одиниці одержувача

Застосовується до повідомлень, надісланих одержувачу певної організаційної одиниці.

Результат перевірки одержувача

Застосовується до повідомлень, надісланих одержувачу, перевіреному в Active Directory.

Назва вкладення

Застосовується до повідомлень, що містять вкладення з певним іменем. Це стосується файлів, що містяться в архіві.

Оцінювати лише для вкладень верхнього рівня: якщо цей параметр увімкнуто, файли в архіві не будуть оцінюватися.

Використовувати повний шлях до об’єктів у вкладеннях: якщо цей параметр увімкнуто, оцінюватиметься повний шлях до об’єкта, а не лише ім’я файлу.

Розмір вкладення

Застосовується до повідомлень із вкладенням, яке не відповідають указаному розміру, розташовані в межах указаного діапазону розмірів або перевищують указаний розмір.

Тип вкладення

Застосовується до повідомлень із вкладеними файлами певного типу. Типи файлів поділено на групи для полегшення вибору. Можна вибрати кілька типів файлів або цілі категорії. ESET Mail Security виявляє фактичний тип файлу незалежно від розширення. Те ж саме стосується вмісту архіву.

Оцінювати лише для вкладень верхнього рівня: якщо цей параметр увімкнуто, файли в архіві не будуть оцінюватися.


note

Умова Тип вкладення має відоме обмеження: обробник виявлення ESET Mail Security не може виявити додаткові невеликі текстові файли розміром менше 10 байт у кодуванні ASCII/ANSI.

Розмір повідомлення

Застосовується до повідомлень із вкладеннями, які не відповідають указаному розміру, знаходяться в межах указаного діапазону розміру або перевищують указаний розмір.

Поштова скринька

Застосовується до повідомлень, розташованих у певний поштовій скриньці.

Заголовки повідомлень

Застосовується до повідомлень із певними даними, які містяться в заголовку повідомлення.

Тіло повідомлення

У тілі повідомлення виконується пошук указаної фрази. Щоб видалити HTML-теги, атрибути й значення і залишити лише текст, можна скористатися функцією "Вилучити HTML-теги". Після цього буде виконано пошук у тілі повідомлення.

Внутрішнє повідомлення

Застосовується залежно від того, чи є повідомлення внутрішнім.

Вихідне повідомлення

Застосовується до вихідних повідомлень.

Підписане повідомлення

Застосовується до підписаних повідомлень.

Зашифроване повідомлення

Застосовується до зашифрованих повідомлень.

Результат сканування на наявність спаму

Застосовується до повідомлень, позначених або не позначених як "Безпечне повідомлення" або "Спам".

Результат антивірусного сканування

Застосовується до повідомлень, позначених як шкідливі або не шкідливі.

Результат сканування для захисту від фішинг-атак

Застосовується до повідомлень, оцінених як фішингові.

Час отримання

Застосовується до повідомлень, отриманих до або після певної дати або впродовж певного діапазону дат.

Містить архів, захищений паролем

Застосовується до повідомлень із архівними вкладеннями, захищеними паролем.

Містить пошкоджений архів

Застосовується до повідомлень із пошкодженими вкладеннями архіву (які, найімовірніше, неможливо відкрити).

Вкладення є архівом, захищеним паролем

Застосовується до вкладень, захищених паролем.

Вкладення є пошкодженим архівом

Застосовується до пошкоджених вкладень (які, найімовірніше, неможливо відкрити).

Ім’я папки

Застосовується до повідомлень, розташованих у певний папці. Якщо папки немає, вона буде створена. Це не стосується загальнодоступних папок.

DKIM результат

Застосовується до повідомлень, які пройшли або не пройшли перевірку DKIM (або альтернативно, якщо така можливість недоступна).

SPF результат
результат перевірки SPF: заголовок From
Результат SPF: HELO

Застосовується до повідомлень із результатом оцінювання SPF (Sender Policy Framework, структура політики фільтрації відправників):

Pass: для цієї IP-адреси дозволено надсилати повідомлення з домену (кваліфікатор SPF: "+").

Fail: запис SPF не містить сервера-відправника або IP-адресу надсилання (кваліфікатор SPF: "-").

Soft fail: для цієї IP-адреси може бути дозволено або не дозволено надсилати повідомлення з домену (кваліфікатор SPF: "~")

Neutral: означає, що власник домену, зазначений у записі SPF, не хоче підтвердити, що IP-адресу авторизовано для надсилання повідомлення з домену (кваліфікатор SPF: "?").

Недоступно: результат SPF None означає, що домен не опублікував жодного запису, або на основі цієї ідентичності не можна визначити жодного домену відправника, доступного для перевірки.

Більш докладні відомості про SPF див. в документі RFC 4408.

Якщо ви використовуєте результат SPF, для правил не враховуються білі списки Фільтрація й перевірка.

DMARC результат

Застосовується до повідомлень, які пройшли або не пройшли перевірку SPF чи DKIM або з використанням обох методів (альтернативно, якщо така можливість недоступна).

Має зворотний запис DNS

Застосовується до повідомлень із доменом відправника, які мають зворотний запис DNS.

NDR результат

Застосовується до повідомлень, які не вдалося верифікувати за допомогою NDR.

Результат порівняння заголовків відправника конверта та From

Порівнює домени, які містяться в полі заголовку електронного листа "From:" полі заголовка електронного листа й відправника конверта, зі списками доменів.

Тип умови має такі операції:

Рядок: "є", "не є", "містить", "не містить", "збігається", "не збігається", "в", "не в", "у списку", "не в списку", "відповідає регулярному виразу", "не відповідає регулярному виразу"

Число: "менше", "більше", "у діапазоні"

Текст: "містить", "не містить", "збігається", "не збігається"

Дата-час: "менше", "більше", "у діапазоні"

Перелічення: "є", "не є", "в", "не в"


note

Якщо назвою вкладення або типом вкладення э файл Microsoft Office, він обробляється ESET Mail Security як архів. Це означає, що його вміст видобуто, а кожен файл, що міститься у файловому архіві Office (наприклад, .docx, .xlsx, .xltx, .pptx, .ppsx, .potx тощо), сканується окремо.

Якщо для захисту передачі пошти й захисту баз даних поштових скриньок вимкнути Захист від вірусів у меню Параметри або в розділі Додаткові параметри (F5) > Сервер > Антивірус і антишпигун, це вплине на такі умови правила:

Назва вкладення

Розмір вкладення

Тип вкладення

Результат антивірусного сканування

Вкладення є архівом, який захищено паролем

Вкладення є пошкодженим архівом

Містить пошкоджений архів

Містить архів, захищений паролем