Configurar regras para detectar anexos nocivos

Sandbox de segurança

Este recurso só está disponível no G Suite Enterprise e no G Suite Enterprise for Education.

Anexos de e-mail podem conter softwares maliciosos que nem sempre são detectados pelos programas antivírus tradicionais. Para identificar essas ameaças, o Gmail pode verificar ou executar anexos em um ambiente virtual chamado sandbox de segurança. Os anexos identificados como ameaças podem ser colocados na pasta "Spam" do usuário ou em quarentena.

Como administrador, você pode configurar o Gmail para verificar todos os tipos de anexo compatíveis no sandbox de segurança. Você também pode especificar regras para a verificação de anexos. Configure regras de compliance de conteúdo para gerenciar anexos maliciosos.

Os tipos de arquivo verificados no sandbox de segurança incluem arquivos executáveis do Microsoft Windows, arquivos do Microsoft Office e PDF.

Sobre as regras do sandbox de segurança e outras verificações

Você pode criar regras que especifiquem quais anexos são verificados no sandbox de segurança. Por exemplo, é possível criar regras para verificar anexos somente se as mensagens de e-mail:

  • apresentarem conteúdo específico, por exemplo, a palavra fatura;
  • vierem de usuários especificados;
  • forem enviadas de fora de um domínio especificado;
  • tiverem endereços de envelope que correspondam a padrões específicos.

Como as verificações do sandbox de segurança funcionam com outras verificações

As verificações do sandbox de segurança são feitas independentemente de outras verificações de compliance e pré-entrega. Por exemplo, suas verificações de compliance do conteúdo podem procurar informações pessoais, como números de cartão de crédito. As verificações de compliance de anexos podem bloquear arquivos com um tipo ou tamanho específico. O Gmail faz essas verificações de compliance e pré-entrega independentemente das verificações do sandbox de segurança. 

Observação: os anexos de e-mail bloqueados por regras de compliance e verificações de pré-entrega não são verificados pelo sandbox de segurança.  

Veja mais informações em:

Atraso na mensagem

É possível que a verificação de anexos no sandbox de segurança atrase a entrega de algumas mensagens em até três minutos. Esse é o tempo máximo necessário para verificar um anexo e determinar se ele é nocivo. Algumas verificações podem ser concluídas em menos tempo.
Encontrar as configurações do sandbox de segurança
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Apps e G Suite e Gmail e Configurações avançadas.

    Dica: para ver "Configurações avançadas", role até a parte inferior da página do Gmail.

  3. Na guia Configurações gerais, selecione uma organização ou suborganização.
  4. Role até "Sandbox de segurança" na seção Spam, phishing e malware. As regras do sandbox de segurança aparecem na parte inferior dessa seção.
Verificar todos os anexos no sandbox de segurança

Como administrador, você pode configurar o Gmail para verificar todos os anexos de e-mail, incluindo aqueles enviados do seu domínio e de domínios externos. 

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Apps e G Suite e Gmail e Configurações avançadas.

    Dica: para ver "Configurações avançadas", role até a parte inferior da página do Gmail.

  3. Na guia Configurações gerais, selecione sua organização de nível superior ou uma unidade organizacional:
    • As configurações do sandbox na organização de nível superior são aplicáveis a todas as unidades organizacionais.
    • As configurações do sandbox no nível da unidade organizacional têm precedência sobre as da organização de nível superior.
  4. Role até "Sandbox de segurança" na seção Spam, phishing e malware. As regras do sandbox de segurança aparecem na parte inferior dessa seção.
  5. Para verificar todos os anexos, marque a caixa Ativar a execução virtual de anexos em um ambiente sandbox....

    Observação: quando essa caixa é marcada, todos os anexos são verificados no sandbox de segurança, independentemente das regras especificadas nele.
     
  6. Na parte inferior da página, clique em Salvar

    Observação: suas alterações podem levar até uma hora para entrar em vigor.
Verificar anexos somente se as mensagens corresponderem às regras específicas

As regras que você especifica são usadas para identificar as mensagens de e-mail cujos anexos serão verificados.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Apps e G Suite e Gmail e Configurações avançadas.

    Dica: para ver "Configurações avançadas", role até a parte inferior da página do Gmail.

  3. Na guia Configurações gerais, selecione a organização de nível superior. As configurações do sandbox de segurança estão disponíveis apenas na organização de nível superior e se aplicam a todas as suborganizações.
  4. Na seção Spam, phishing e malware, em "Sandbox de segurança", desmarque a caixa Ativar a execução virtual de anexos em um ambiente sandbox.... Quando essa caixa é desmarcada, só os anexos que correspondem às regras do sandbox são verificados nele.

  5. Aponte para Regras do sandbox de segurança na parte inferior da seção Spam, phishing e malware e clique em Configurar.

  6. Na caixa Adicionar configuração, em Regras do sandbox de segurança, digite um nome para a regra. Esse nome aparece na página de configurações.

  7. Na seção Mensagens de e-mail afetadas, marque as caixas ao lado dos seguintes tipos de mensagem:

    • Entrada: mensagens enviadas para sua organização de domínios externos

    • Interno - recebendo: mensagens enviadas e recebidas nos domínios e subdomínios da sua organização 

  8. Na seção Adicione expressões que descrevam o conteúdo que você quer pesquisar em cada mensagem, siga estas etapas:

    1. Selecione se você quer corresponder qualquer expressão ou todas. Por exemplo, quando você seleciona Se qualquer uma das seguintes coincidir com a mensagem, a condição correspondente aciona a verificação do anexo no sandbox de segurança.

    2. Na caixa Expressões, clique em Adicionar.

    3. Na lista, escolha o que você quer especificar para a expressão e clique em Salvar.

      • Correspondência de conteúdo simples: faz a correspondência com o conteúdo que você especifica. A correspondência de conteúdo simples funciona como a função de pesquisa no Gmail. Por exemplo, se você pesquisar por ordem de compra, qualquer string com as palavras ordem e compra será retornada. Consulte os operadores de pesquisa do Gmail.

      • Correspondência de conteúdo avançado: selecione o Local do texto na mensagem e o Tipo de correspondência e digite o conteúdo a ser pesquisado. Diferentemente da correspondência de conteúdo simples, a string precisa ser uma correspondência exata. Consulte as tabelas abaixo para ver uma descrição de cada local na mensagem e os tipos de correspondência. Consulte Opções de correspondência de conteúdo avançado.

      • Correspondência de metadados: selecione o atributo para corresponder e o Tipo de correspondência. Se necessário, digite o Valor de correspondência. Consulte a tabela abaixo para ver uma descrição dos atributos de metadados e dos tipos de correspondência. Consulte Atributos de metadados e tipos de correspondência.

      • Correspondência de conteúdo predefinida: selecione um dos detectores de conteúdo predefinidos, como Número do cartão de crédito ou Número do seguro social. Também é possível definir o número de vezes que o detector precisa aparecer em uma mensagem para acionar a ação definida. Além disso, você pode acionar uma verificação quando o detector na mensagem atinge um limite de confiança. Para saber mais detalhes, consulte Verificar o tráfego de e-mails usando a Prevenção contra perda de dadosEste recurso está disponível no G Suite Business e no G Suite Enterprise. Comparar as edições

      Opções de correspondência de conteúdo avançado

      • Local: a seção da mensagem de e-mail onde o conteúdo aparece. 

        Tipo de local Descrição
        Cabeçalhos + texto Os cabeçalhos completos e o corpo da mensagem. Inclui os anexos (partes MIME decodificadas).
        Cabeçalhos completos Todos os campos do cabeçalho. Não inclui o corpo da mensagem ou os anexos.
        Texto A parte principal do texto da mensagem de e-mail. Inclui os anexos (partes MIME codificadas).
        Assunto O assunto da mensagem conforme apresentado no cabeçalho do e-mail.
        Cabeçalho do remetente

        O endereço de e-mail do remetente, conforme informado no cabeçalho "De". Ele pode ser diferente do remetente informado em Remetente do envelope.

        O cabeçalho do remetente é composto pelo endereço de e-mail, localizado entre os sinais de maior e menor, e não inclui o nome da conta.

        Por exemplo, considere o seguinte:

        De: Jane Silva <jsilva@example.com>

        O cabeçalho do remetente é jsilva@example.com.

        Observação: o lado esquerdo dos endereços @gmail.com e @googlemail.com é convertido na representação canônica. Por exemplo, jane.silva@gmail.com é convertido em janesilva@gmail.com.

        Cabeçalho de destinatários

        O destinatário ou os destinatários, conforme informado nos cabeçalhos de e-mail "Para", "Cc" e "Cco". Os destinatários podem ser diferentes dos informados em Qualquer destinatário do envelope.

        Compara apenas um destinatário de cada vez. Se houver dois ou mais destinatários, a regra de conteúdo avançado não corresponderá a todos os destinatários em uma string. Para configurar uma regra para mensagens enviadas para vários usuários, use cabeçalhos completos.

        O cabeçalho de destinatário é composto pelo endereço de e-mail, localizado entre os sinais de maior e menor, e não inclui o nome da conta.

        Por exemplo, considere o seguinte:

        Para: Jane Silva <jsilva@example.com>
        Cc: João Silva <joãosilva@example.com>
        Cco: João Santos <jsantos@example.com>

        Os cabeçalhos de destinatário são jsilva@example.com, joãosilva@example.com e jsantos@example.com.

        Remetente do envelope O remetente original que foi informado durante a solicitação de comunicação SMTP e que talvez não seja o remetente informado no Cabeçalho do remetente. Nem sempre esse remetente corresponde ao endereço encontrado no cabeçalho "Caminho de retorno".
        Qualquer destinatário do envelope

        O destinatário ou os destinatários informados durante a solicitação de comunicação SMTP. Esses destinatários podem ser diferentes dos informados no Cabeçalho do destinatário. Isso pode incluir indivíduos adicionados como parte da expansão de um grupo.

        Compara apenas um destinatário de cada vez. Se houver dois ou mais destinatários, a regra de conteúdo avançado não corresponderá a todos os destinatários em uma string.

        Mensagem bruta Os cabeçalhos completos mais o corpo da mensagem, incluindo todos os anexos e outras partes MIME da mensagem. As partes MIME não são decodificadas. Isso é equivalente a bytes de mensagem RFC-2822.
      • Tipo de correspondência: os parâmetros usados para determinar uma correspondência.
         
        Tipo de correspondência Descrição

        Começa com

        Pesquisa o local selecionado para encontrar conteúdo que comece com o caractere ou a string especificados.

        Termina com

        Pesquisa o local selecionado para encontrar conteúdo que termine com o caractere ou a string especificados.

        Contém texto

        Pesquisa o local selecionado para encontrar conteúdo que contenha a string especificada.

        Não contém texto

        Pesquisa o local selecionado para encontrar conteúdo que não contenha a string especificada.

        Igual a

        Pesquisa o local selecionado para encontrar conteúdo que corresponda exatamente à string especificada.

        Está vazio

        Pesquisa o local selecionado para encontrar conteúdo que esteja vazio.

        Corresponde ao regex

        Pesquisa o local selecionado para encontrar conteúdo que corresponda à expressão regular especificada. Consulte "Sobre a correspondência de regex" abaixo.

        Não corresponde ao regex

        Pesquisa o local selecionado para encontrar conteúdo que não corresponda à expressão regular especificada. Consulte "Sobre a correspondência de regex" abaixo.

        Corresponde a qualquer palavra

        Pesquisa o local selecionado para encontrar conteúdo que corresponda a qualquer palavra na lista de palavras especificada.

        Corresponde a todas as palavras

        Pesquisa o local selecionado para encontrar conteúdo que corresponda a todas as palavras na lista de palavras especificada.

      • Conteúdo: o texto a ser correspondido.

      Atributos de metadados e tipos de correspondência

      Atributo Tipo de correspondência Descrição

      Autenticação de mensagens

      • A mensagem está autenticada
      • A mensagem não está autenticada

      Selecione essa opção para incluir mensagens que estão autenticadas ou não na sua expressão de compliance.

      Compatível com o padrão DMARC. A mensagem será autenticada 1) se passar na verificação SPF e o domínio do remetente do envelope estiver alinhado ao cabeçalho do domínio ou 2) se o cabeçalho do domínio passar na verificação DKIM. Caso contrário, ela não será autenticada.

      IP de origem

      • Está dentro do seguinte intervalo

      • Não está dentro do seguinte intervalo

      Selecione essa opção para incluir mensagens que fazem parte ou não do intervalo de IPs especificado na sua expressão de compliance. Digite o intervalo no campo.

      Transporte seguro (TLS)

      • A conexão está criptografada via TLS

      • A conexão não está criptografada via TLS

      Selecione esta opção para incluir mensagens que são criptografadas ou não via TLS na sua expressão de compliance.

      Tamanho da mensagem
      • É maior do que a seguinte (MB)
      • É menor do que a seguinte (MB)

      Selecione essa opção para incluir mensagens que são maiores ou menores que o tamanho especificado na sua expressão de compliance. Digite o tamanho da mensagem em MB no campo.

      Observação: este é o tamanho bruto da mensagem, que pode ser até 33% maior que o tamanho original com os anexos devido à sobrecarga normal da codificação.

      Criptografia S/MIME

      • Mensagem criptografada pelo S/MIME

      • Mensagem não criptografada pelo S/MIME

      Selecione essa opção para incluir mensagens com ou sem a criptografia S/MIME.

      Este recurso só está disponível no G Suite Enterprise e no G Suite Enterprise for Education.

      assinado pelo S/MIME

      • Mensagem assinada pelo S/MIME

        • Mensagem não assinada pelo S/MIME

      Selecione esta opção para incluir mensagens com ou sem assinatura S/MIME.

      Este recurso só está disponível no G Suite Enterprise e no G Suite Enterprise for Education.

      Modo confidencial do Gmail
      • A mensagem está no modo confidencial do Gmail
      • A mensagem não está no modo confidencial do Gmail
      Selecione esta opção para incluir mensagens que estão ou não no modo confidencial do Gmail.
  9. Verifique se a opção Executar o sandbox de segurança aparece como a ação a ser executada se as expressões corresponderem. As condições de correspondência sempre acionam a verificação anexos no sandbox de segurança (Executar o sandbox de segurança).
  10. Se suas configurações estiverem completas, clique em Adicionar configuração ou em Salvar na parte inferior da caixa. Depois, clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Caso contrário, veja estas outras configurações nos links abaixo:

Colocar anexos maliciosos em quarentena

Por padrão, o malware detectado pelo sandbox de segurança é colocado na pasta de spam. Em vez disso, você pode colocar em quarentena os anexos de malware detectados pelo sandbox de segurança.  Crie uma regra de compliance do conteúdo usando o atributo de metadados spam.

Verificar anexos se as mensagens vierem de listas de endereços específicas

Você pode especificar listas de endereços como critério para definir se as mensagens correspondem às regras do sandbox de segurança. As listas podem conter endereços de e-mail, domínios ou essas duas opções.

Para determinar se uma regra se aplica a uma lista de endereços, o Gmail considera o remetente no campo "De" do e-mail recebido e os destinatários no campo "Para" do e-mail enviado. No caso dos remetentes, o requisito de autenticação também é marcado. Se várias listas forem especificadas, um endereço precisará corresponder a pelo menos uma delas para que uma regra seja aplicada.

Para especificar listas de endereços, siga estas etapas:

  1. Na caixa Adicionar ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas

  2. Na seção Opções, marque a caixa Usar listas de endereços para ignorar ou controlar a aplicação desta configuração.

  3. Selecione uma das seguintes opções:

    • Ignorar esta configuração para endereços / domínios específicos: pula a regra se a lista de endereços corresponder, independentemente de qualquer outro critério especificado na regra

    • Aplicar esta configuração apenas a endereços / domínios específicos: a correspondência da lista de endereços se torna uma condição para a aplicação da regra. Se houver outros critérios na regra, como expressões de correspondência, tipos de conta ou filtros de envelope, essas condições também precisarão corresponder à regra a ser aplicada.

  4. Ao lado de Nenhuma lista usada até agora, clique em Usar existente ou criar uma nova.

  5. Na caixa Listas disponíveis, siga um destes procedimentos:

    • Selecione o nome de uma lista existente e clique em Usar.

    • Digite um nome para uma nova lista no campo Criar nova lista e clique em Criar.

  6. Para adicionar endereços de e-mail ou domínios a uma lista, siga estas etapas:
    1. Passe o cursor sobre o nome da lista e clique em Editar.
    2. Para adicionar endereços de e-mail ou domínios à lista, clique em Adicionar.
    3. Digite um endereço de e-mail ou nome de domínio, como solarmora.com. Para adicionar vários endereços, separe cada um com uma vírgula ou um espaço.
    4. Marque a caixa Não necessitam de autenticação do remetente para ignorar a regra para os remetentes aprovados que não têm autenticação ativada, como SPF ou DKIM. Use essa opção com cuidado, já que ela pode gerar spoofing.
    5. Clique em Salvar.
  7. Se suas configurações estiverem completas, clique em Adicionar configuração na parte inferior da caixa. Depois, clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Caso contrário, consulte Tipos de contas afetadas.

Verificar anexos de tipos de conta específicos

Você pode especificar os tipos de conta como critérios para que as mensagens correspondam às regras do sandbox de segurança.

Por padrão, a opção Usuários é selecionada, mas você pode selecionar mais de um tipo. Se você estiver definindo uma configuração de saída, o tipo de conta precisará corresponder ao tipo do remetente.

  1. Na caixa Adicionar ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas
  2. Na seção Opções, selecione suas configurações para Tipos de contas afetadas:
    • Usuários
    • Não reconhecida/pega-tudo
  3. Se suas configurações estiverem completas, clique em Adicionar configuração ou em Salvar na parte inferior da caixa. Depois, clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Caso contrário, consulte Especificar um filtro de envelope.
Verificar anexos de remetentes, destinatários e grupos (filtro de envelope)

Você pode especificar as informações do envelope de e-mail como critérios nas regras do sandbox de segurança, como o endereço de e-mail do remetente ou do destinatário. 

  1. Na caixa Adicionar ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas
  2. Na seção Opções, selecione suas configurações em Filtro de envelope: marque a caixa Afetar apenas remetentes de envelopes específicos, a caixa Afetar apenas destinatários de envelopes específicos ou essas duas caixas.
  3. Na lista suspensa, selecione uma destas opções:
    • Endereço de e-mail único: para especificar um único usuário, digite um endereço de e-mail. Ele precisa ser um endereço de e-mail completo e incluir @ e o nome de domínio. A correspondência não diferencia maiúsculas e minúsculas.

    • Correspondência de padrão: digite uma expressão regular para especificar um conjunto de remetentes ou destinatários no seu domínio. Clique em Testar expressão para verificar se a sintaxe está correta. Por exemplo, para que a configuração seja aplicável apenas a três usuários, digite a lista de usuários usando a seguinte sintaxe de expressão regular:

      ^(?i)(usuário1@solarmora.com|usuário2@solarmora.com|usuário3@solarmora.com)$

      Na expressão:

      • ^ corresponde ao início de uma nova linha.
      • (?i) faz com que a expressão não diferencie maiúsculas de minúsculas;
      • $ corresponde ao fim de uma linha.

      Saiba mais sobre o uso de expressões regulares.

    • Filiação a grupo: selecione um ou mais grupos na lista. Para os remetentes do envelope, essa opção só é aplicável aos e-mails enviados. No caso dos destinatários do envelope, ela só é aplicável aos e-mails recebidos. Você precisará criar o grupo primeiro, caso ainda não tenha feito isso.

  4. Clique em Adicionar configuração ou em Salvar na parte inferior da caixa. Depois, clique em Salvar na parte inferior da página Configurações avançadas do Gmail

    Os anexos são verificados de acordo com as regras especificadas. A propagação das alterações nas contas de usuário pode levar até uma hora.

Ver relatórios e alterações nas configurações

Os relatórios mostram o número de anexos verificados e o número de anexos maliciosos identificados. Eles estão disponíveis no painel de segurança do G Suite

Você pode ver as alterações nas configurações do sandbox de segurança no registro de auditoria do Admin Console

Isso foi útil?
Como podemos melhorá-lo?