Configurare le regole per rilevare gli allegati dannosi

Sandbox per la sicurezza

Questa funzionalità è disponibile solo con G Suite Enterprise e G Suite Enterprise for Education.

Gli allegati email possono contenere software dannoso che potrebbe non essere rilevato dai programmi antivirus tradizionali. Per identificare queste minacce, Gmail può sottoporre a scansione o eseguire gli allegati in un ambiente virtuale denominato Sandbox per la sicurezza. Gli allegati identificati come minacce possono essere inseriti nelle cartelle Spam degli utenti o messi in quarantena.

In qualità di amministratore, puoi impostare Gmail in modo che esegua la scansione di tutti i tipi di allegati supportati in Sandbox per la sicurezza. In alternativa, puoi specificare regole per la scansione degli allegati. Puoi anche configurare regole di conformità dei contenuti per gestire gli allegati dannosi.

Tra i tipi di file analizzati in Sandbox per la sicurezza sono inclusi i file eseguibili di Microsoft Windows, i file di Microsoft Office e i file PDF.

Informazioni sulle regole della Sandbox per la sicurezza e altre scansioni

Puoi creare regole che specificano di quali allegati viene eseguita la scansione in Sandbox per la sicurezza. Ad esempio, potresti creare regole per eseguire la scansione degli allegati solo se i messaggi email:

  • Comprendono contenuti specifici, ad esempio la parola fattura.
  • Provengono da utenti specificati.
  • Vengono inviati dall'esterno di un dominio specificato.
  • Hanno indirizzi sulla busta corrispondenti a modelli specifici.

Rapporto tra scansioni di Sandbox per la sicurezza e altre scansioni

Le scansioni di Sandbox per la sicurezza vengono eseguite indipendentemente da altre scansioni per la conformità e la verifica prima della consegna. Ad esempio, le scansioni di verifica della conformità dei contenuti possono cercare informazioni personali come i numeri di carta di credito. Oppure le scansioni di verifica della conformità degli allegati potrebbero bloccare gli allegati di un determinato tipo o con dimensioni specifiche. Gmail esegue le scansioni per la conformità e la verifica prima della consegna indipendentemente dalle scansioni di Sandbox per la sicurezza. 

Nota: gli allegati email che vengono bloccati dalle regole di conformità e dalle scansioni eseguite prima della consegna non vengono analizzati da Sandbox per la sicurezza.

Per ulteriori informazioni, vedi:

Ritardo dei messaggi

La scansione degli allegati in Sandbox per la sicurezza può ritardare la consegna di alcuni messaggi al massimo di 3 minuti, il tempo necessario per eseguire la scansione di un allegato e stabilire se è dannoso. Alcune scansioni potrebbero essere completate più rapidamente.
Trovare le impostazioni di Sandbox per la sicurezza
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai ad ApplicazioniquindiG SuitequindiGmailquindiImpostazioni avanzate.

    Suggerimento: per vedere le Impostazioni avanzate, scorri fino in fondo alla pagina di Gmail.

  3. Nella scheda Impostazioni generali, seleziona un'organizzazione principale o un'organizzazione secondaria.
  4. Scorri fino a Sandbox per la sicurezza nella sezione Spam, phishing e malware. Le regole di Sandbox per la sicurezza sono visualizzate nella parte inferiore di questa sezione.
Eseguire la scansione di tutti gli allegati in Sandbox per la sicurezza

In qualità di amministratore, puoi configurare Gmail in modo che esegua la scansione di tutti gli allegati email, inclusi quelli inviati dal tuo dominio e da domini esterni. 

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai ad ApplicazioniquindiG SuitequindiGmailquindiImpostazioni avanzate.

    Suggerimento: per vedere le Impostazioni avanzate, scorri fino in fondo alla pagina di Gmail.

  3. Nella scheda Impostazioni generali, seleziona l'organizzazione principale o un'unità organizzativa:
    • Le impostazioni di Sandbox per l'organizzazione principale si applicano a tutte le unità organizzative.
    • Le impostazioni di Sandbox al livello dell'unità organizzativa hanno la precedenza rispetto a quelle dell'organizzazione principale.
  4. Scorri fino a Sandbox per la sicurezza nella sezione Spam, phishing e malware. Le regole di Sandbox per la sicurezza sono visualizzate nella parte inferiore di questa sezione.
  5. Per eseguire la scansione di tutti gli allegati, seleziona la casella Attiva l'esecuzione virtuale degli allegati in un ambiente sandbox...

    Nota: se questa casella è selezionata, tutti gli allegati vengono sottoposti a scansione in Sandbox per la sicurezza, indipendentemente da eventuali regole sandbox specificate.
     
  6. Fai clic su Salva in fondo alla pagina. 

    Nota: l'applicazione delle modifiche può richiedere fino a un'ora.
Eseguire la scansione degli allegati solo se i messaggi soddisfano regole specifiche

Le regole che specifichi vengono utilizzate per individuare i messaggi email i cui allegati verranno sottoposti a scansione.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai ad ApplicazioniquindiG SuitequindiGmailquindiImpostazioni avanzate.

    Suggerimento: per vedere le Impostazioni avanzate, scorri fino in fondo alla pagina di Gmail.

  3. Nella scheda Impostazioni generali, seleziona l'organizzazione di primo livello. Le impostazioni di Sandbox per la sicurezza sono disponibili solo nell'organizzazione principale e si applicano a tutte le organizzazioni secondarie.
  4. Nella sezione Spam, phishing e malware, in Sandbox per la sicurezza, deseleziona la casella Attiva l'esecuzione virtuale degli allegati in un ambiente sandbox... Se questa casella viene deselezionata, gli allegati vengono sottoposti a scansione nella sandbox solo se soddisfano le regole sandbox.

  5. Seleziona Regole sandbox per la sicurezza nella parte inferiore della sezione Spam, phishing e malware, quindi fai clic su Configura.

  6. Nella casella Aggiungi impostazione, in Regole sandbox per la sicurezza, inserisci un nome per la regola. Questo nome viene visualizzato nella pagina delle impostazioni.

  7. Nella sezione Messaggi email interessati, seleziona le caselle accanto ai tipi di messaggio:

    • In entrata: messaggi inviati all'organizzazione dai domini esterni.

    • Interni - ricezione: messaggi inviati e ricevuti all'interno dei domini e sottodomini dell'organizzazione. 

  8. Nella sezione Aggiungi le espressioni che descrivono i contenuti che vuoi cercare in ciascun messaggio:

    1. Indica se vuoi la corrispondenza con una o tutte le espressioni. Ad esempio, se selezioni Se UNO degli elementi che seguono corrisponde al messaggio, qualsiasi condizione corrispondente attiva una scansione dell'allegato in Sandbox per la sicurezza.

    2. Nella casella Espressioni, fai clic su Aggiungi.

    3. Scegli dall'elenco ciò che vuoi specificare per l'espressione, quindi fai clic su Salva.

      • Corrispondenza di contenuti semplice: viene cercata la corrispondenza specificata. La corrispondenza di contenuti semplice si comporta come la funzione di ricerca di Gmail. Ad esempio, se cerchi ordine di acquisto, viene restituita qualsiasi stringa contenente le parole ordine e acquisto. Consulta la sezione sugli operatori di ricerca di Gmail.

      • Corrispondenza di contenuti avanzata: seleziona la Posizione del testo nel messaggio e scegli il Tipo di corrispondenza, quindi inserisci i contenuti da cercare. A differenza della corrispondenza di contenuti semplice, la stringa deve essere una corrispondenza esatta. Per una descrizione delle singole posizioni all'interno del messaggio e dei tipi di corrispondenza, consulta le tabelle riportate di seguito. Vedi le opzioni per la corrispondenza di contenuti avanzata.

      • Corrispondenza metadati: seleziona l'attributo da cercare e il Tipo di corrispondenza. Se necessario, inserisci il Valore corrispondenza. Per una descrizione degli attributi dei metadati e dei tipi di corrispondenza, consulta la tabella riportata di seguito. Vedi Tipi di attributi e corrispondenza di metadati.

      • Corrispondenza del contenuto predefinito: scegli uno dei rilevatori di contenuti predefiniti, ad esempio Numero carta di credito o Codice fiscale. In alternativa, puoi impostare il numero di volte in cui il rilevatore deve essere visualizzato in un messaggio perché sia attivata l'azione che definisci. È anche possibile attivare una scansione se il rilevatore nel messaggio soddisfa una soglia di confidenza. Per maggiori dettagli, vedi Eseguire la scansione del traffico email con le regole DLPQuesta funzione è disponibile con le versioni G Suite Business e G Suite Enterprise. Confronta le versioni

      Opzioni per la corrispondenza di contenuti avanzata

      • Posizione: la sezione del messaggio email in cui vengono visualizzati i contenuti. 

        Tipo di posizione Descrizione
        Intestazioni + Corpo Le intestazioni complete più il corpo. Include gli allegati (parti MIME decodificate).
        Intestazioni complete Tutti i campi dell'intestazione. Non include il corpo del messaggio o gli allegati.
        Corpo La parte di testo principale del messaggio email. Include gli allegati (parti MIME codificate).
        Oggetto L'oggetto del messaggio presente nell'intestazione dell'email.
        Intestazione del mittente

        L'indirizzo email del mittente, come riportato nell'intestazione "Da:". Può essere diverso dal mittente indicato come mittente della busta.

        L'intestazione del mittente è costituita dall'indirizzo email tra parentesi angolari e non include il nome dell'account.

        Ad esempio, in questo caso,

        Da: Jane Doe <jdoe@example.com>

        l'intestazione del mittente è jdoe@example.com.

        Nota: la parte sinistra degli indirizzi @gmail.com e @googlemail.com è convertita nella rappresentazione classica. Ad esempio, jane.doe@gmail.com diventa janedoe@gmail.com.

        Intestazione dei destinatari

        Il destinatario o i destinatari riportati nelle intestazioni "A:" "Cc:" e "Ccn:" dell'email. Possono essere diversi dai destinatari indicati in Qualsiasi destinatario sulla busta.

        Questa opzione confronta un solo destinatario alla volta. Se sono presenti due o più destinatari, la regola avanzata sui contenuti non ricerca la corrispondenza con tutti i destinatari in una stessa stringa. Per impostare una regola per i messaggi inviati a più utenti, utilizza Intestazioni complete.

        L'intestazione dei destinatari è composta dall'indirizzo email, tra parentesi angolari, e non include il nome dell'account.

        Ad esempio, in questo caso,

        A: Jane Doe <jdoe@example.com>
        Cc: John Doe <johndoe@example.com> Ccn: John Smith <jsmith@example.com>

        le intestazioni dei destinatari sono jdoe@example.com, johndoe@example.com e jsmith@example.com.

        Mittente della busta Il mittente originario riportato durante la richiesta di comunicazione SMTP. Può essere diverso dal mittente riportato in Intestazione del mittente. Spesso, ma non sempre, corrisponde all'indirizzo indicato nell'intestazione "Return-path" (percorso di restituzione).
        Qualsiasi destinatario sulla busta

        Il destinatario o i destinatari riportati durante la richiesta di comunicazione SMTP, che possono essere diversi da quelli indicati in Recipient header (intestazione dei destinatari) e possono includere singoli utenti aggiunti durante l'espansione di un gruppo.

        Questa opzione confronta un solo destinatario alla volta. Se sono presenti due o più destinatari, la regola avanzata sui contenuti non ricerca la corrispondenza con tutti i destinatari in una stessa stringa.

        Messaggio non elaborato Le intestazioni complete più il corpo, inclusi gli allegati e altre parti MIME del messaggio. Le parti MIME non vengono decodificate ed equivalgono ai byte di messaggio del formato RFC-2822.
      • Tipo di corrispondenza: i parametri utilizzati per determinare una corrispondenza.
         
        Tipo di corrispondenza Descrizione

        Inizia con

        Cerca, nella posizione selezionata, contenuti che inizino con il carattere o la stringa specificati.

        Termina con

        Cerca, nella posizione selezionata, contenuti che terminino con il carattere o la stringa specificati.

        Contiene testo

        Cerca, nella posizione selezionata, contenuti che contengano la stringa specificata.

        Non contiene testo

        Cerca nella posizione selezionata i contenuti che non includono la stringa specificata.

        Uguale a

        Cerca, nella posizione selezionata, contenuti che corrispondano esattamente alla stringa specificata.

        È vuota

        Cerca, nella posizione selezionata, contenuti vuoti.

        Corrisponde a espressione regolare

        Cerca, nella posizione selezionata, contenuti che corrispondano all'espressione regolare specificata. Vedi Informazioni sulla corrispondenza a espressioni regolari, di seguito.

        Non corrisponde a espressione regolare

        Cerca nella posizione selezionata i contenuti che non corrispondono all'espressione regolare specificata. Vedi Informazioni sulla corrispondenza a espressioni regolari, di seguito.

        Corrispondenza con qualsiasi parola

        Cerca, nella posizione selezionata, contenuti che corrispondano a qualsiasi parola dell'elenco di parole specificato.

        Corrisponde a tutte le parole

        Cerca, nella posizione selezionata, contenuti che corrispondano a tutte le parole dell'elenco di parole specificato.

      • Contenuti: il testo per cui cercare la corrispondenza.

      Tipi di attributi e corrispondenza di metadati

      Attributo Tipo di corrispondenza Descrizione

      Autenticazione messaggio

      • Messaggio autenticato
      • Messaggio non autenticato

      Seleziona questa opzione per includere i messaggi che sono o non sono autenticati nell'espressione di conformità.

      Segue lo standard DMARC. Il messaggio è autenticato se 1) SPF va a buon fine e il dominio del mittente della busta è allineato al dominio della voce "Da" dell'intestazione oppure se 2) il controllo DKIM va a buon fine per il dominio presente nella voce "Da" dell'intestazione. Altrimenti il messaggio viene considerato non autenticato.

      IP di origine

      • Rientra nel seguente intervallo

      • Non rientra nel seguente intervallo

      Seleziona questa opzione per includere i messaggi che rientrano o non rientrano nell'intervallo di indirizzi IP specificato nell'espressione di conformità. Inserisci l'intervallo nel campo.

      Trasporto sicuro (TLS)

      • La connessione è criptata con TLS

      • La connessione non è criptata con TLS

      Seleziona questa opzione per includere i messaggi ricevuti che sono o non sono criptati con TLS nell'espressione di conformità.

      Dimensioni del messaggio
      • sono superiori alle seguenti (MB)
      • sono inferiori alle seguenti (MB)

      Seleziona questa opzione per includere i messaggi più grandi o più piccoli delle dimensioni specificate nell'espressione di conformità. Inserisci nel campo la dimensione dei messaggi in MB.

      Nota: si tratta delle dimensioni non elaborate dell'intero messaggio, che possono essere superiori del 33% rispetto alle dimensioni native del messaggio e degli allegati a causa del normale sovraccarico di codifica.

      Crittografia S/MIME

      • Messaggio criptato con S/MIME

      • Messaggio non criptato con S/MIME

      Seleziona questa opzione per includere i messaggi che sono o non sono criptati con S/MIME.

      Questa funzionalità è disponibile solo con G Suite Enterprise e G Suite Enterprise for Education.

      Con firma S/MIME

      • Messaggio firmato con S/MIME

        • Messaggio non firmato con S/MIME

      Seleziona questa opzione per includere i messaggi che sono o non sono firmati con S/MIME.

      Questa funzionalità è disponibile solo con G Suite Enterprise e G Suite Enterprise for Education.

      Modalità riservata di Gmail
      • Messaggio in modalità riservata di Gmail
      • Messaggio non in modalità riservata di Gmail
      Seleziona questa opzione per includere i messaggi che sono o non sono messaggi in modalità riservata di Gmail.
  9. Verifica che l'opzione Esegui sandbox per la sicurezza sia visualizzata come azione da eseguire se le espressioni corrispondono. Le condizioni di corrispondenza attivano sempre l'azione di scansione degli allegati in Sandbox per la sicurezza (Esegui sandbox per la sicurezza).
  10. Se le impostazioni sono complete, fai clic su Aggiungi impostazione o Salva nella parte inferiore della finestra, quindi fai clic su Salva in basso nella pagina delle impostazioni avanzate di Gmail. Altrimenti, vedi queste impostazioni aggiuntive:

Mettere in quarantena gli allegati dannosi

Per impostazione predefinita, il malware rilevato da Sandbox per la sicurezza viene inserito nella cartella dello spam. Inoltre, puoi mettere in quarantena gli allegati con malware rilevati da Sandbox per la sicurezza. Crea una regola di conformità dei contenuti utilizzando l'attributo di metadati spam.

Scansione di allegati se i messaggi provengono da elenchi di indirizzi specifici

Puoi specificare gli elenchi di indirizzi come criteri per stabilire se i messaggi corrispondono alle regole di Sandbox per la sicurezza. Tali elenchi possono contenere indirizzi email, domini o entrambi.

Per stabilire se una regola si applica a un elenco di indirizzi, Gmail controlla il mittente "da" per la posta ricevuta e i destinatari per la posta inviata. Per i mittenti viene controllato anche il requisito di autenticazione. Se sono specificati più elenchi, un indirizzo deve corrispondere ad almeno uno degli elenchi per poter applicare una regola.

Per specificare gli elenchi di indirizzi:

  1. Nella casella Aggiungi o Modifica impostazione, fai clic su Mostra opzioni. Per accedere a questa casella, vedi la sezione relativa alla scansione degli allegati quando i messaggi corrispondono alle regole specificate

  2. Nella sezione Opzioni, seleziona la casella Utilizza gli elenchi di indirizzi per ignorare o controllare l'applicazione di questa impostazione.

  3. Seleziona un'opzione:

    • Ignora questa impostazione per indirizzi/domini specifici: ignora la regola se l'elenco di indirizzi corrisponde, indipendentemente da altri criteri specificati nella regola.

    • Applica questa impostazione solo per indirizzi/domini specifici: la corrispondenza dell'elenco di indirizzi diventa una condizione per l'applicazione della regola. Se sono presenti altri criteri nella regola, ad esempio espressioni di corrispondenza, tipi di account o filtri di busta, anche queste condizioni devono corrispondere per applicare la regola.

  4. Accanto a Non è ancora stato utilizzato alcun elenco, fai clic su Utilizzane uno esistente o creane uno nuovo.

  5. Nella casella Elenchi disponibili, esegui una delle seguenti operazioni:

    • Seleziona il nome di un elenco esistente, quindi fai clic su Utilizza.

    • Inserisci un nome per un nuovo elenco nel campo Crea nuovo elenco, quindi fai clic su Crea.

  6. Per aggiungere indirizzi email o domini all'elenco:
    1. Passa il mouse sul nome dell'elenco e fai clic su Modifica.
    2. Aggiungi gli indirizzi email o i domini all'elenco e fai clic su Aggiungi.
    3. Inserisci un indirizzo email o un nome di dominio completi, ad esempio solarmora.com. Per aggiungere più indirizzi, separali con una virgola o uno spazio.
    4. Seleziona la casella di controllo Non richiedere l'autenticazione del mittente (non consigliato) per ignorare la regola per i mittenti approvati per i quali non è stato attivato un metodo di autenticazione, ad esempio SPF o DKIM. Utilizza questa opzione con cautela in quanto potrebbe favorire lo spoofing.
    5. Fai clic su Salva.
  7. Se le impostazioni sono complete, fai clic su Aggiungi impostazione nella parte inferiore della finestra, quindi fai clic su Salva in basso nella pagina delle impostazioni avanzate di Gmail. Altrimenti, consulta la sezione relativa ai tipi di account interessati.

Scansione di allegati da tipi di account specifici

Puoi specificare i tipi di account come criteri per stabilire se i messaggi corrispondono alle regole di Sandbox per la sicurezza.

Per impostazione predefinita, è selezionato il tipo Utenti, ma puoi selezionare più di un tipo. Se stai configurando un'impostazione in uscita, il tipo di account deve corrispondere al tipo del mittente.

  1. Nella casella Aggiungi o Modifica impostazione, fai clic su Mostra opzioni. Per accedere a questa casella, vedi la sezione relativa alla scansione degli allegati quando i messaggi corrispondono alle regole specificate
  2. Nella sezione Opzioni, seleziona le impostazioni relative ai Tipi di account interessati:
    • Utenti
    • Non riconosciuti/Catch-all
  3. Se le impostazioni sono complete, fai clic su Aggiungi impostazione o Salva nella parte inferiore della finestra, quindi fai clic su Salva in basso nella pagina delle impostazioni avanzate di Gmail. Altrimenti, consulta la sezione relativa alla definizione di un filtro busta.
Scansione di allegati da mittenti, destinatari e gruppi (filtro busta)

Puoi specificare le informazioni della busta dell'email, ad esempio l'indirizzo email del mittente o del destinatario, come criteri nelle regole di Sandbox per la sicurezza. 

  1. Nella casella Aggiungi o Modifica impostazione, fai clic su Mostra opzioni. Per accedere a questa casella, vedi la sezione relativa alla scansione degli allegati quando i messaggi corrispondono alle regole specificate
  2. Nella sezione Opzioni, seleziona le impostazioni per il Filtro busta: puoi selezionare la casella Viene applicato solo a mittenti della busta specifici, la casella Viene applicato solo a destinatari della busta specifici o entrambe.
  3. Nell'elenco a discesa, seleziona un'opzione:
    • Indirizzo email singolo: specifica un solo utente inserendo un indirizzo email. L'indirizzo email deve essere completo, inclusi il simbolo @ e il nome di dominio. La corrispondenza non distingue tra maiuscole e minuscole.

    • Corrispondenza pattern: puoi utilizzare un'espressione regolare per specificare un insieme di destinatari nel dominio. Fai clic su Verifica espressione per verificare che la sintassi sia corretta. Ad esempio, per accertarti che questa opzione sia applicata solo a tre utenti specifici, inserisci l'elenco degli utenti utilizzando la seguente sintassi di espressione regolare:

      ^(?i)(utente1@solarmora\.com|utente2@solarmora\.com|utente3@solarmora\.com)$

      Nell'espressione:

      • ^ corrisponde all'inizio di una nuova riga.
      • (?i) disattiva la distinzione tra maiuscole e minuscole.
      • $ corrisponde alla fine di una riga.

      Per ulteriori informazioni consulta le linee guida sull'utilizzo delle espressioni regolari.

    • Appartenenza al gruppo: seleziona uno o più gruppi presenti nell'elenco. Per i mittenti della busta, questa opzione si applica solo alla posta inviata. Per i destinatari della busta si applica solo alla posta ricevuta. Se non l'hai già fatto, devi innanzitutto creare il gruppo.

  4. Fai clic su Aggiungi impostazione o Salva nella parte inferiore della finestra, quindi fai clic su Salva in basso nella pagina delle impostazioni avanzate di Gmail. 

    La scansione degli allegati viene eseguita in base alle regole specificate. La propagazione delle modifiche agli account utente può richiedere fino a un'ora.

Visualizzare rapporti e modifiche alle impostazioni

Nel rapporto Filtro antispam: Malware è indicato il numero di allegati dannosi identificati e vengono elencati tutti i messaggi che sono stati identificati come dannosi. Il rapporto non mostra il numero di allegati scansionati. Questo rapporto è disponibile nella dashboard di sicurezza di G Suite

Puoi visualizzare le modifiche apportate alle impostazioni di Sandbox per la sicurezza nel log di controllo della Console di amministrazione

Informazioni correlate

Best practice per velocizzare la verifica delle regole

È stato utile?
Come possiamo migliorare l'articolo?