Configurer des règles de détection des pièces jointes dangereuses

Bac à sable de sécurité Gmail

Éditions compatibles avec cette fonctionnalité : Enterprise Standard et Enterprise Plus, Business Standard et Business PlusComparer votre édition

Les applications ou outils antivirus peuvent parfois passer à côté des pièces jointes aux e-mails contenant des logiciels ou des fichiers malveillants. Gmail peut identifier ces pièces jointes en les analysant dans un environnement virtuel appelé "bac à sable de sécurité". Le bac à sable de sécurité analyse les fichiers directement joints aux messages et ceux contenus dans les pièces jointes archivées (fichiers ZIP ou RAR, par exemple). Le bac à sable de sécurité peut traiter les fichiers de type exécutables Microsoft, Microsoft Office et PDF. 

Remarque : L'analyse du bac à sable de sécurité peut retarder la distribution des messages de trois minutes au maximum. Certaines analyses peuvent néanmoins être plus rapides.

Dans le bac à sable de sécurité, vous pouvez créer des règles permettant d'indiquer les pièces jointes à analyser. Par exemple, vous pouvez analyser les pièces jointes contenant des mots que vous spécifiez, qui proviennent de certains expéditeurs, ou qui sont envoyées en dehors ou depuis des domaines que vous définissez.

Messages contenant des pièces jointes suspectes envoyés dans le dossier de spam

Lorsque le bac à sable de sécurité identifie un message contenant des pièces jointes suspectes ou malveillantes, il envoie automatiquement ce message dans le dossier de spam du destinataire. Google enregistre des informations sur la pièce jointe pour renforcer la sécurité dans d'autres produits Google.

Vous pouvez éventuellement mettre en quarantaine les pièces jointes incluant des logiciels malveillants détectées par le bac à sable de sécurité. Créez une règle de conformité du contenu à l'aide de l'attribut de métadonnées dédié au type spam.

Le paramètre par défaut du bac à sable de sécurité est "Désactivé".

Options de paramétrage du bac à sable de sécurité

Analyser toutes les pièces jointes
 

En tant qu'administrateur, vous pouvez configurer Gmail pour qu'il analyse toutes les pièces jointes dans le bac à sable de sécurité. Par défaut, ce paramètre est désactivé.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis  Google Workspace puis Gmail puisSpam, hameçonnage et logiciels malveillants.
  3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à tous les utilisateurs, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
  4. Faites défiler la page jusqu'à Bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles du bac à sable de sécurité se trouvent au bas de cette section.
  5. Pour analyser toutes les pièces jointes, cochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable….

    Remarque : Lorsque cette option est cochée, toutes les pièces jointes sont analysées dans le bac à sable de sécurité, même si vous définissez des règles spécifiques.

  6. Cliquez sur Enregistrer au bas de la page.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Analyser les pièces jointes en fonction des règles que vous créez (toutes les options de règles)

Ajoutez des règles permettant de définir les messages à analyser.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis  Google Workspace puis Gmail puisSpam, hameçonnage et logiciels malveillants.
  3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à tous les utilisateurs, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
  4. Dans la section Spam, hameçonnage et logiciels malveillants située en dessous du bac à sable de sécurité, décochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable. Lorsque cette option est décochée, les pièces jointes sont analysées dans le bac à sable uniquement si elles correspondent aux règles de ce dernier.

  5. Placez le curseur sur Règles du bac à sable de sécurité au bas de la section Spam, hameçonnage et logiciels malveillants, puis cliquez sur Configurer.

  6. Dans la zone Ajouter un paramètre, située en dessous de Règles du bac à sable de sécurité, saisissez un nom de règle. Ce nom apparaît sur la page des paramètres.

  7. Dans la section E-mails concernés, cochez les cases correspondant aux types de messages :

    • Entrant : messages envoyés à votre organisation depuis des domaines externes

    • Interne – réception : messages envoyés et reçus au sein des domaines et sous-domaines de votre organisation 

      Un domaine est considéré comme interne s'il s'agit d'un domaine Workspace validé, ou d'un sous-domaine ou d'un domaine parent d'un domaine Workspace validé.

  8. Dans la section Ajouter les expressions qui décrivent le contenu à rechercher dans chaque message, effectuez les actions suivantes :

    1. Indiquez si vous souhaitez associer l'une des expressions, ou toutes. Par exemple, si vous sélectionnez Si l'UN des éléments suivants correspond au message, toute condition correspondante déclenche une analyse des pièces jointes dans le bac à sable de sécurité.

    2. Dans la zone Expressions, cliquez sur Ajouter.

    3. Dans la liste, choisissez ce que vous souhaitez spécifier pour l'expression, puis cliquez sur Enregistrer.

      • Correspondance de contenu simple : permet d'obtenir une correspondance avec le contenu que vous spécifiez. L'option "Correspondance de contenu simple" fonctionne de la même manière que la fonction de recherche dans Gmail. Par exemple, si vous recherchez bon de commande, toute chaîne contenant les termes bon et commande est renvoyée. En savoir plus sur les opérateurs de recherche Gmail.

      • Correspondance de contenu avancée : sélectionnez l'emplacement du texte dans le message et le type de correspondance, puis saisissez le contenu à rechercher. Contrairement à la correspondance de contenu simple, la chaîne doit être une correspondance exacte. Une description de chaque emplacement dans le message et dans le type de correspondance figure dans le tableau ci-dessous. En savoir plus sur les options de correspondance avancée de contenu.

      • Correspondance avec les métadonnées : sélectionnez l'attribut à rechercher et le type de correspondance. Si nécessaire, saisissez la valeur de correspondance. Consultez le tableau ci-dessous pour obtenir une description des attributs de métadonnées et des types de correspondance. En savoir plus sur les attributs de métadonnées et types de correspondance.

      • Correspondance de contenu prédéfini : choisissez l'un des détecteurs de contenu prédéfinis, tels que Numéro de carte de crédit ou Numéro de sécurité sociale. Vous pouvez également définir combien de fois le détecteur doit apparaître dans un message pour déclencher l'action définie, ou déclencher une analyse lorsque le détecteur figurant dans le message atteint un seuil de confiance. Remarque : Cette fonctionnalité n'est pas disponible dans toutes les éditions. Pour en savoir plus, consultez Analyser le trafic de messagerie avec la protection contre la perte de données.

      Options de correspondance avancée de contenu

      • Emplacement : section de l'e-mail dans laquelle apparaît le contenu.

        Type de lieu Description
        En-têtes + corps En-têtes complets et corps du message. Pièces jointes (parties MIME encodées) incluses.
        En-têtes complets Tous les champs d'en-tête. Corps du message et pièces jointes exclus.
        Corps Partie principale du texte de l'e-mail. Pièces jointes (parties MIME encodées) incluses.
        Objet Objet du message tel que présenté dans l'en-tête.
        En-tête expéditeur

        Adresse e-mail de l'expéditeur telle que présentée dans l'en-tête "De". Elle peut être différente de celle de l'expéditeur indiquée dans Expéditeur de l'enveloppe.

        L'en-tête expéditeur contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte.

        Dans l'exemple ci-dessous :

        De : Jeanne Dupont <jdupont@example.com>

        L'en-tête expéditeur est jdupont@example.com.

        Remarque : La partie gauche des adresses @gmail.com et @googlemail.com est convertie au format canonique. Par exemple, jeanne.dupont@gmail.com devient jeannedupont@gmail.com.

        En-tête destinataires

        Adresses e-mail du ou des destinataires telles que présentées dans les en-têtes de l'e-mail (À, Cc et Cci). Peuvent être différentes de celles indiquées dans Tout destinataire de l'enveloppe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage. Pour définir une règle pour les messages envoyés à plusieurs utilisateurs, choisissez "En-têtes complets".

        L'en-tête destinataire contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte.

        Dans l'exemple ci-dessous :

        À : Jeanne Dupont <jdupont@example.com>
        Cc : Jean Dupont <jeandupont@example.com>
        Cci : Jean Durand <jdurand@example.com>

        Les en-têtes destinataires sont jdupont@example.com, jeandupont@example.com et jdurand@example.com.

        Expéditeur de l'enveloppe Expéditeur d'origine indiqué lors de la requête de communication SMTP. Il peut être différent de celui indiqué dans l'en-tête expéditeur. Cette adresse correspond souvent à celle de l'en-tête "Return-path", mais pas toujours.
        Tout destinataire de l'enveloppe

        Destinataire ou destinataires indiqués lors de la requête de communication SMTP. Ils peuvent être différents de ceux indiqués dans l'en-tête destinataire. Ces adresses peuvent inclure des personnes ajoutées à l'occasion d'un agrandissement de groupe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage.

        Message brut En-têtes complets et corps, y compris toutes les pièces jointes et autres parties MIME du message. Les parties MIME ne sont pas décodées.
      • Type de correspondance : paramètres permettant de déterminer une correspondance.
         
        Type de correspondance Description

        Commence par

        Recherche le contenu commençant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Se termine par

        Recherche le contenu se terminant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Contient le texte

        Recherche le contenu comprenant la chaîne définie, à l'emplacement sélectionné.

        Ne contient pas de texte

        Recherche le contenu ne comprenant pas la chaîne définie, à l'emplacement sélectionné.

        Est égal(e) à

        Recherche le contenu correspondant exactement à la chaîne définie, à l'emplacement sélectionné.

        Est vide

        Recherche le contenu vide à l'emplacement sélectionné.

        Correspond à l'expression régulière

        Recherche le contenu correspondant à l'expression régulière définie, à l'emplacement sélectionné.

        Ne correspond pas à l'expression régulière

        Recherche le contenu ne correspondant pas à l'expression régulière définie, à l'emplacement sélectionné.

        Correspond à n'importe quel mot

        Recherche le contenu correspondant à l'un des mots de la liste définie, à l'emplacement sélectionné.

        Correspond à tous les mots

        Recherche le contenu correspondant à tous les mots de la liste définie, à l'emplacement sélectionné.

      • Contenu : texte à mettre en correspondance

      Attributs de métadonnées et types de correspondance

      Attribut Type de correspondance Description

      Authentification du message

      • Le message est authentifié
      • Le message n'est pas authentifié

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) authentifiés. Cette option est conforme à la norme DMARC. Le message est authentifié s'il passe le contrôle SPF ou DKIM avec succès. Dans le cas contraire, le message est considéré comme non authentifié. En savoir plus à propos de SPF, DKIM et DMARC.

      IP source

      • appartient à la plage suivante

      • n'appartient pas à la plage suivante

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui appartiennent (ou n'appartiennent pas) à la plage d'adresses IP spécifiée.

      Protocole TLS

      • La connexion est chiffrée par TLS.

      • La connexion n'est pas chiffrée par TLS.

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) chiffrés via le protocole TLS.

      Taille du message
      • a une taille exprimée en Mo supérieure à
      • a une taille exprimée en Mo inférieure à

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages dont la taille est supérieure (ou inférieure) à la valeur spécifiée. Saisissez la taille du message en mégaoctets dans le champ prévu à cet effet.

      Il s'agit de la taille brute du message entier, qui peut être jusqu'à 33 % supérieure à la taille originale du message et des pièces jointes en raison de la surcharge standard d'encodage.

      Chiffrement S/MIME

      • Message avec chiffrement S/MIME

      • Message sans chiffrement S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

      Avec signature S/MIME

      • Message avec signature S/MIME

        • Message sans signature S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

      Mode confidentiel de Gmail
      • Le message est en mode confidentiel de Gmail.
      • Le message n'est pas en mode confidentiel de Gmail.
      Sélectionnez cette option pour inclure les e-mails qui sont ou ne sont pas des messages en mode confidentiel de Gmail.
  9. Vérifiez que Exécuter le bac à sable de sécurité s'affiche en tant qu'action lorsque les expressions correspondent. Toute condition correspondante déclenche systématiquement l'analyse des pièces jointes dans le bac à sable de sécurité (Exécuter le bac à sable de sécurité).
  10. Si vous avez terminé la configuration de vos paramètres, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Vous pouvez également accéder à ces paramètres :
Analyser les pièces jointes provenant de listes d'adresses spécifiques

Vous pouvez définir des listes d'adresses comme critères d'analyse. Ces listes peuvent contenir des adresses e-mail et/ou des domaines.

Pour déterminer si une règle s'applique à une liste d'adresses, cette règle vérifie le champ "De" du message reçu et les destinataires du message envoyé. L'authentification des expéditeurs est également vérifiée. Lorsque plusieurs listes sont définies, une adresse doit correspondre à au moins une liste pour qu'une règle s'applique.

  1. Ouvrez la zone Ajouter un paramètre ou Modifier un paramètre en suivant la procédure décrite dans la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques
  2. Cliquez sur Afficher les options
  3. Dans la zone Options, cochez l'option Utiliser des listes d'adresses pour ignorer ce paramètre ou contrôler son application.

  4. Sélectionnez une option :

    • Ignorer ce paramètre pour des adresses/domaines spécifiques : ignore la règle si la liste d'adresses correspond, quels que soient les autres critères spécifiés dans la règle.

    • Appliquer ce paramètre uniquement à des adresses/domaines spécifiques : la correspondance de la liste d'adresses devient une condition d'application de la règle. Les autres critères éventuellement définis pour la règle (expressions correspondantes, types de compte ou filtres d'enveloppes) doivent eux aussi être remplis.

  5. À côté de Aucune liste n'est utilisée pour l'instant, cliquez sur Utiliser une liste existante ou en créer une.

  6. Dans la zone Listes disponibles, effectuez l'une des actions suivantes :

    • Sélectionnez le nom d'une liste existante, puis cliquez sur Utiliser.

    • Saisissez le nom d'une nouvelle liste dans le champ Créer une liste, puis cliquez sur Créer.

  7. Pour ajouter des adresses e-mail ou des domaines à la liste :
    1. Placez le curseur sur le nom de la liste souhaitée, puis cliquez sur Modifier.
    2. Pour ajouter des adresses e-mail ou des domaines à la liste, cliquez sur Ajouter.
    3. Saisissez une adresse e-mail complète ou un nom de domaine complet, par exemple solarmora.com. Pour ajouter plusieurs adresses, séparez chaque adresse par une virgule ou une espace.
    4. Cochez la case Ne requiert pas l'authentification de l'expéditeur si vous souhaitez que la règle soit ignorée pour les expéditeurs approuvés qui n'ont pas défini d'authentication. Utilisez cette option avec prudence, car elle vous rend plus vulnérable au spoofing.
    5. Cliquez sur Enregistrer.
  8. Si la configuration de vos paramètres est terminée, cliquez sur Ajouter un paramètre au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Sinon, consultez Types de compte concernés.

Analyser les pièces jointes provenant de types de compte spécifiques

Vous pouvez analyser les messages provenant de certains types de comptes. Par défaut, le type de compte Utilisateurs est sélectionné, mais vous pouvez en indiquer plusieurs. Si vous configurez un paramètre sortant, le type de compte doit correspondre à celui de l'expéditeur.

  1. Ouvrez la zone Ajouter un paramètre ou Modifier un paramètre en suivant la procédure décrite dans la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques
  2. Cliquez sur Afficher les options
  3. Dans la zone Options, sélectionnez les paramètres souhaités pour Types de compte concernés :
    • Utilisateurs
    • Non reconnu/Collecteur
  4. Une fois toutes vos modifications apportées, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Dans le cas contraire, consultez Définissez un filtre d'enveloppes.
Analyser les pièces jointes envoyées par des expéditeurs, des destinataires et des groupes spécifiques

Vous pouvez définir des informations concernant l'enveloppe de l'e-mail comme critère d'analyse. Il peut s'agit des adresses e-mail de l'expéditeur et du destinataire.

  1. Ouvrez la zone Ajouter un paramètre ou Modifier un paramètre en suivant la procédure décrite dans la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques
  2. Cliquez sur Afficher les options
  3. Dans la zone Options, sélectionnez vos paramètres pour Filtre d'enveloppes : cochez l'option Appliquer uniquement à des expéditeurs d'enveloppe spécifiques, l'option Appliquer uniquement à des destinataires d'enveloppe spécifiques, ou les deux.
  4. Sélectionnez une option :
    • Une seule adresse e-mail : spécifiez un seul utilisateur en saisissant une adresse e-mail. Saisissez l'adresse e-mail complète, y compris le signe @ et le nom de domaine. La correspondance ne tient pas compte de la casse.

    • Correspondance de structure : saisissez une expression régulière pour spécifier un ensemble d'expéditeurs ou de destinataires appartenant à votre domaine (cliquez sur Tester l'expression pour vérifier que votre syntaxe est correcte). Par exemple, pour appliquer ce paramètre uniquement à trois utilisateurs spécifiques, saisissez la liste des utilisateurs en respectant la syntaxe d'expression régulière suivante :

      ^(?i)(utilisateur1@solarmora\.com|utilisateur2@solarmora\.com|utilisateur3@solarmora\.com)$

      Dans cette expression :

      • ^ désigne le début d'une nouvelle ligne.
      • (?i) rend l'expression non sensible à la casse ;
      • $ désigne la fin d'une ligne.

      Découvrez comment utiliser des expressions régulières.

    • Appartenance à un groupe : sélectionnez un ou plusieurs groupes dans la liste. Pour les expéditeurs de l'enveloppe, cette option ne concerne que les e-mails envoyés. Pour les destinataires de l'enveloppe, elle ne s'applique qu'aux e-mails reçus. Si ce n'est pas encore fait, vous devez tout d'abord créer le groupe.

  5. Cliquez sur Ajouter un paramètre ou Enregistrer au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail

    Les pièces jointes sont analysées conformément aux règles spécifiées.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Rapports et compatibilité avec d'autres analyses d'e-mails

Obtenir des rapports sur les pièces jointes malveillantes

Le rapport "Filtre antispam – Logiciels malveillants" indique le nombre de pièces jointes malveillantes identifiées. Il répertorie également tous les messages identifiés comme malveillants, mais n'affiche pas le nombre de pièces jointes analysées. Ce rapport est disponible dans le tableau de bord de sécurité Google Workspace.

Bac à sable de sécurité et autres analyses

Les analyses du bac à sable de sécurité s'exécutent indépendamment des autres analyses de conformité et de prédistribution. Vos analyses de conformité du contenu peuvent par exemple rechercher des informations personnelles, telles que des numéros de carte de crédit. Il se peut que les analyses de conformité des pièces jointes bloquent ces pièces jointes si elles sont d'un type ou d'une taille spécifiques. Gmail exécute les analyses de conformité et de prédistribution séparément des analyses du bac à sable de sécurité.

Le bac à sable de sécurité n'analyse pas les pièces jointes bloquées par des règles de conformité ou des analyses de prédistribution.

Pour en savoir plus, consultez :

Informations connexes

Bonnes pratiques à suivre pour accélérer le test des règles


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
5960881121980802999
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false