Configurer des règles de détection des pièces jointes dangereuses

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu    Applications   Google Workspace  Gmail Spam, hameçonnage et logiciels malveillants.
3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à tous les utilisateurs, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
4. Faites défiler la page jusqu'à Bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles du bac à sable de sécurité se trouvent au bas de cette section.

En tant qu'administrateur, vous pouvez configurer Gmail pour qu'il scanne toutes les pièces jointes aux e-mails.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu    Applications   Google Workspace  Gmail Spam, hameçonnage et logiciels malveillants.
3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à tous les utilisateurs, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
4. Faites défiler la page jusqu'à Bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles du bac à sable de sécurité se trouvent au bas de cette section.
5. Pour analyser toutes les pièces jointes, cochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable….

   Remarque : Lorsque cette option est cochée, toutes les pièces jointes sont analysées dans le bac à sable de sécurité, même si vous définissez des règles spécifiques.

6. Cliquez sur Enregistrer au bas de la page.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Les règles que vous spécifiez permettent d'identifier les e-mails dont les pièces jointes seront analysées.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu    Applications   Google Workspace  Gmail Spam, hameçonnage et logiciels malveillants.
3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à tous les utilisateurs, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.

4. Dans la section Spam, hameçonnage et logiciels malveillants située en dessous du bac à sable de sécurité, décochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable. Lorsque cette option est décochée, les pièces jointes sont analysées dans le bac à sable uniquement si elles correspondent aux règles de ce dernier.

5. Placez le curseur sur Règles du bac à sable de sécurité au bas de la section Spam, hameçonnage et logiciels malveillants, puis cliquez sur Configurer.

6. Dans la zone Ajouter un paramètre, située en dessous de Règles du bac à sable de sécurité, saisissez un nom de règle. Ce nom apparaît sur la page des paramètres.

7. Dans la section E-mails concernés, cochez les cases correspondant aux types de messages :

   • Entrant : messages envoyés à votre organisation depuis des domaines externes

   • Interne – réception : messages envoyés et reçus au sein des domaines et sous-domaines de votre organisation 

8. Dans la section Ajouter les expressions qui décrivent le contenu à rechercher dans chaque message, effectuez les actions suivantes :

   1. Indiquez si vous souhaitez associer l'une des expressions, ou toutes. Par exemple, si vous sélectionnez Si l'UN des éléments suivants correspond au message, toute condition correspondante déclenche une analyse des pièces jointes dans le bac à sable de sécurité.

   2. Dans la zone Expressions, cliquez sur Ajouter.

   3. Dans la liste, choisissez ce que vous souhaitez spécifier pour l'expression, puis cliquez sur Enregistrer.

      • Correspondance de contenu simple : permet d'obtenir une correspondance avec le contenu que vous spécifiez. L'option "Correspondance de contenu simple" fonctionne de la même manière que la fonction de recherche dans Gmail. Par exemple, si vous recherchez bon de commande, toute chaîne contenant les termes bon et commande est renvoyée. En savoir plus sur les opérateurs de recherche Gmail.

      • Correspondance de contenu avancée : sélectionnez l'emplacement du texte dans le message et le type de correspondance, puis saisissez le contenu à rechercher. Contrairement à la correspondance de contenu simple, la chaîne doit être une correspondance exacte. Une description de chaque emplacement dans le message et dans le type de correspondance figure dans le tableau ci-dessous. En savoir plus sur les options de correspondance avancée de contenu.

      • Correspondance avec les métadonnées : sélectionnez l'attribut à rechercher et le type de correspondance. Si nécessaire, saisissez la valeur de correspondance. Consultez le tableau ci-dessous pour obtenir une description des attributs de métadonnées et des types de correspondance. En savoir plus sur les attributs de métadonnées et types de correspondance.

      • Correspondance de contenu prédéfini : choisissez l'un des détecteurs de contenu prédéfinis, tels que Numéro de carte de crédit ou Numéro de sécurité sociale. Vous pouvez également définir combien de fois le détecteur doit apparaître dans un message pour déclencher l'action définie, ou déclencher une analyse lorsque le détecteur figurant dans le message atteint un seuil de confiance. Remarque : Cette fonctionnalité n'est pas disponible dans toutes les éditions. Pour en savoir plus, consultez Analyser le trafic de messagerie avec la protection contre la perte de données.

      Options de correspondance avancée de contenu

      • Emplacement : section de l'e-mail dans laquelle apparaît le contenu.

        Type d'emplacement	Description
        En-têtes + corps	En-têtes complets et corps du message. Pièces jointes (parties MIME encodées) incluses.
        En-têtes complets	Tous les champs d'en-tête. Corps du message et pièces jointes exclus.
        Corps	Partie principale du texte de l'e-mail. Pièces jointes (parties MIME encodées) incluses.
        Objet	Objet du message tel que présenté dans l'en-tête.
        En-tête expéditeur	Adresse e-mail de l'expéditeur telle que présentée dans l'en-tête "De". Elle peut être différente de celle de l'expéditeur indiquée dans Expéditeur de l'enveloppe. L'en-tête expéditeur contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte. Dans l'exemple ci-dessous : De : Jeanne Dupont <jdupont@example.com> L'en-tête expéditeur est jdupont@example.com. Remarque : La partie gauche des adresses @gmail.com et @googlemail.com est convertie au format canonique. Par exemple, jeanne.dupont@gmail.com devient jeannedupont@gmail.com.
        En-tête Destinataires	Adresses e-mail du ou des destinataires telles que présentées dans les en-têtes de l'e-mail (À, Cc et Cci). Peuvent être différentes de celles indiquées dans Tout destinataire de l'enveloppe. Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage. Pour définir une règle pour les messages envoyés à plusieurs utilisateurs, choisissez "En-têtes complets". L'en-tête destinataire contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte. Dans l'exemple ci-dessous : À : Jeanne Dupont <jdupont@example.com> Cc : Jean Dupont <jeandupont@example.com> Cci : Jean Durand <jdurand@example.com> Les en-têtes destinataires sont jdupont@example.com, jeandupont@example.com et jdurand@example.com.
        Expéditeur de l'enveloppe	Expéditeur d'origine indiqué lors de la requête de communication SMTP. Il peut être différent de celui indiqué dans l'en-tête expéditeur. Cette adresse correspond souvent à celle de l'en-tête "Return-path", mais pas toujours.
        Tout destinataire de l'enveloppe	Destinataire ou destinataires indiqués lors de la requête de communication SMTP. Ils peuvent être différents de ceux indiqués dans l'en-tête destinataire. Ces adresses peuvent inclure des personnes ajoutées à l'occasion d'un agrandissement de groupe. Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage.
        Message brut	En-têtes complets et corps, y compris toutes les pièces jointes et autres parties MIME du message. Les parties MIME ne sont pas décodées.

      • Type de correspondance : paramètres permettant de déterminer une correspondance.
         

        Type de correspondance	Description
        Commence par	Recherche le contenu commençant par le caractère ou la chaîne définis, à l'emplacement sélectionné.
        Se termine par	Recherche le contenu se terminant par le caractère ou la chaîne définis, à l'emplacement sélectionné.
        Contient le texte	Recherche le contenu comprenant la chaîne définie, à l'emplacement sélectionné.
        Ne contient pas de texte	Recherche le contenu ne comprenant pas la chaîne définie, à l'emplacement sélectionné.
        Est égal à	Recherche le contenu correspondant exactement à la chaîne définie, à l'emplacement sélectionné.
        Est vide	Recherche le contenu vide à l'emplacement sélectionné.
        Correspond à l'expression régulière	Recherche le contenu correspondant à l'expression régulière définie, à l'emplacement sélectionné.
        Ne correspond pas à l'expression régulière	Recherche le contenu ne correspondant pas à l'expression régulière définie, à l'emplacement sélectionné.
        Correspond à n'importe quel mot	Recherche le contenu correspondant à l'un des mots de la liste définie, à l'emplacement sélectionné.
        Correspond à tous les mots	Recherche le contenu correspondant à tous les mots de la liste définie, à l'emplacement sélectionné.

      • Contenu : texte à mettre en correspondance

      Attributs de métadonnées et types de correspondance

      Attribut	Type de correspondance	Description
      Authentification du message	Le message est authentifié Le message n'est pas authentifié	Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) authentifiés. Cette option est conforme à la norme DMARC. Le message est authentifié s'il passe le contrôle SPF ou DKIM avec succès. Dans le cas contraire, le message est considéré comme non authentifié. En savoir plus à propos de SPF, DKIM et DMARC.
      IP source	appartient à la plage suivante n'appartient pas à la plage suivante	Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui appartiennent (ou n'appartiennent pas) à la plage d'adresses IP spécifiée.
      Protocole TLS	La connexion est chiffrée par TLS. La connexion n'est pas chiffrée par TLS.	Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) chiffrés via le protocole TLS.
      Taille du message	a une taille exprimée en Mo supérieure à a une taille exprimée en Mo inférieure à	Sélectionnez cette option pour inclure dans votre expression de conformité les messages dont la taille est supérieure (ou inférieure) à la valeur spécifiée. Saisissez la taille du message en méga-octets dans le champ prévu à cet effet. Il s'agit de la taille brute du message entier, qui peut être jusqu'à 33 % supérieure à la taille originale du message et des pièces jointes en raison de la surcharge standard d'encodage.
      Chiffrement S/MIME	Message avec chiffrement S/MIME Message sans chiffrement S/MIME	Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME. Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus.  Comparer votre édition
      Avec signature S/MIME	Message avec signature S/MIME Message sans signature S/MIME	Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME. Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus.  Comparer votre édition
      Mode confidentiel de Gmail	Le message est en mode confidentiel de Gmail. Le message n'est pas en mode confidentiel de Gmail.	Sélectionnez cette option pour inclure les e-mails qui sont ou ne sont pas des messages en mode confidentiel de Gmail.

9. Vérifiez que Exécuter le bac à sable de sécurité s'affiche en tant qu'action lorsque les expressions correspondent. Toute condition correspondante déclenche systématiquement l'analyse des pièces jointes dans le bac à sable de sécurité (Exécuter le bac à sable de sécurité).
10. Si vous avez terminé la configuration de vos paramètres, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Vous pouvez également accéder à ces paramètres :
    • Analyser les pièces jointes si les messages proviennent de listes d'adresses spécifiques
    • Analyser les pièces jointes provenant de types de compte spécifiques
    • Analyser les pièces jointes envoyées par les expéditeurs, les destinataires et les groupes (filtre d'enveloppe)

Mettre en quarantaine les pièces jointes malveillantes

Les logiciels malveillants détectés par le bac à sable de sécurité sont placés par défaut dans le dossier "Spam". Vous pouvez également faire en sorte que les pièces jointes qui en contiennent soient mises en quarantaine. Créez une règle de conformité du contenu à l'aide de l'attribut de métadonnées dédié au type spam.

Vous pouvez définir des listes d'adresses comme critère d'application d'une règle de bac à sable de sécurité. Ces listes peuvent contenir des adresses e-mail et/ou des domaines.

Pour déterminer si une règle s'applique à une liste d'adresses, Gmail vérifie le champ "De" du message reçu et les destinataires du message envoyé. L'authentification des expéditeurs est également vérifiée Lorsque plusieurs listes sont définies, une adresse doit correspondre à au moins une liste pour qu'une règle s'applique.

Pour spécifier des listes d'adresses :

1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.

2. Dans la zone Options, cochez l'option Utiliser des listes d'adresses pour ignorer ce paramètre ou contrôler son application.

3. Sélectionnez une option :

   • Ignorer ce paramètre pour des adresses/domaines spécifiques : ignore la règle si la liste d'adresses correspond, quels que soient les autres critères spécifiés dans la règle.

   • Appliquer ce paramètre uniquement à des adresses/domaines spécifiques : la correspondance de la liste d'adresses devient une condition d'application de la règle. Les autres critères éventuellement définis pour la règle (expressions correspondantes, types de compte ou filtres d'enveloppes) doivent eux aussi être remplis.

4. À côté de Aucune liste n'est utilisée pour l'instant, cliquez sur Utiliser une liste existante ou en créer une.

5. Dans la zone Listes disponibles, effectuez l'une des actions suivantes :

   • Sélectionnez le nom d'une liste existante, puis cliquez sur Utiliser.

   • Saisissez le nom d'une nouvelle liste dans le champ Créer une liste, puis cliquez sur Créer.

6. Pour ajouter des adresses e-mail ou des domaines à la liste :
   1. Placez le curseur sur le nom de la liste souhaitée, puis cliquez sur Modifier.
   2. Pour ajouter des adresses e-mail ou des domaines à la liste, cliquez sur Ajouter.
   3. Saisissez une adresse e-mail complète ou un nom de domaine complet, par exemple solarmora.com. Pour ajouter plusieurs adresses, séparez chaque adresse par une virgule ou une espace.
   4. Cochez la case Ne requiert pas l'authentification de l'expéditeur si vous souhaitez que la règle soit ignorée pour les expéditeurs approuvés qui n'ont pas défini d'authentication. Utilisez cette option avec prudence, car elle vous rend plus vulnérable au spoofing.
   5. Cliquez sur Enregistrer.

7. Si la configuration de vos paramètres est terminée, cliquez sur Ajouter un paramètre au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Sinon, consultez Types de compte concernés.

Vous pouvez définir les types de compte comme critère d'application d'une règle de bac à sable de sécurité.

Utilisateurs est sélectionné par défaut, mais vous pouvez sélectionner plusieurs types. Si vous configurez un paramètre sortant, le type de compte doit correspondre à celui de l'expéditeur.

1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.
2. Dans la zone Options, sélectionnez les paramètres souhaités pour Types de compte concernés :
   • Utilisateurs
   • Non reconnu/Collecteur
3. Une fois toutes vos modifications apportées, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Dans le cas contraire, consultez Définissez un filtre d'enveloppes.

Vous pouvez définir des informations concernant l'enveloppe de l'e-mail comme critère d'application des règles de bac à sable de sécurité. Il peut s'agir par exemple des adresses e-mail de l'expéditeur et du destinataire.

1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.
2. Dans la zone Options, sélectionnez vos paramètres pour Filtre d'enveloppes : cochez l'option Appliquer uniquement à des expéditeurs d'enveloppe spécifiques, l'option Appliquer uniquement à des destinataires d'enveloppe spécifiques, ou les deux.
3. Sélectionnez une option :

   • Une seule adresse e-mail : spécifiez un seul utilisateur en saisissant une adresse e-mail. Saisissez l'adresse e-mail complète, y compris le signe @ et le nom de domaine. La correspondance ne tient pas compte de la casse.

   • Correspondance de structure : saisissez une expression régulière pour spécifier un ensemble d'expéditeurs ou de destinataires appartenant à votre domaine (cliquez sur Tester l'expression pour vérifier que votre syntaxe est correcte). Par exemple, pour appliquer ce paramètre uniquement à trois utilisateurs spécifiques, saisissez la liste des utilisateurs en respectant la syntaxe d'expression régulière suivante :
     
     ^(?i)(utilisateur1@solarmora\.com|utilisateur2@solarmora\.com|utilisateur3@solarmora\.com)$
     
     Dans cette expression :

     • ^ désigne le début d'une nouvelle ligne.
     • (?i) rend l'expression non sensible à la casse ;
     • $ désigne la fin d'une ligne.

     Découvrez comment utiliser des expressions régulières.

   • Appartenance à un groupe : sélectionnez un ou plusieurs groupes dans la liste. Pour les expéditeurs de l'enveloppe, cette option ne concerne que les e-mails envoyés. Pour les destinataires de l'enveloppe, elle ne s'applique qu'aux e-mails reçus. Si ce n'est pas encore fait, vous devez tout d'abord créer le groupe.

4. Cliquez sur Ajouter un paramètre ou Enregistrer au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. 
   
   Les pièces jointes sont analysées conformément aux règles spécifiées.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Le rapport "Filtre antispam – Logiciels malveillants" indique le nombre de pièces jointes malveillantes identifiées. Il répertorie également tous les messages identifiés comme malveillants, mais n'affiche pas le nombre de pièces jointes analysées. Ce rapport est disponible dans le tableau de bord de sécurité Google Workspace.

Vous pouvez afficher les modifications apportées aux paramètres du bac à sable de sécurité dans le journal d'audit de la console d'administration.