Как настроить правила для выявления вредоносных прикрепленных файлов

Безопасная тестовая среда

Эта функция доступна в версиях Enterprise Plus, Education Standard и Education Plus. Сравнение версий

Прикрепленные файлы в электронных письмах могут содержать вредоносные программы, которые не выявляются традиционными антивирусами. Для обнаружения этих угроз Gmail сканирует прикрепленные файлы или запускает их в безопасной тестовой среде. Файлы, определенные как угрозы, помещаются в папки "Спам" получателей.

Администратор может решить, как поступать с прикрепленными файлами:

настроить для Gmail сканирование прикрепленных файлов всех поддерживаемых типов в безопасной тестовой среде;
создать правила, определяющие, какие прикрепленные файлы будут сканироваться в безопасной тестовой среде;
настроить правила соответствия содержания для управления вредоносными прикрепленными файлами.

В безопасной тестовой среде сканируются в том числе исполняемые файлы Microsoft, файлы Microsoft Office и PDF-файлы. Безопасная тестовая среда поддерживает файлы, прикрепленные к сообщениям электронной почты, и файлы в архивах, таких как ZIP и RAR.

О правилах безопасной тестовой среды и других типах сканирования

Вы можете создать правила, определяющие, какие прикрепленные файлы будут сканироваться в безопасной тестовой среде. Например, вы можете настроить сканирование прикрепленных файлов, которые соответствуют следующим условиям:

содержат определенный контент, например слово счет;
отправлены указанными пользователями;
отправлены не из указанного домена;
их адреса конверта соответствуют определенным характеристикам.

В безопасной тестовой среде можно сканировать прикрепленные файлы, поступившие как из домена организации, так и от внешних пользователей.

Как сканирование в безопасной тестовой среде влияет на другие типы сканирования

Сканирование в безопасной тестовой среде осуществляется независимо от других типов сканирования. Например, сканирование на соответствие содержания может быть настроено на поиск персональных данных, таких как номера кредитных карт, или блокировку прикрепленных файлов определенного типа либо размера. В Gmail сканирование на соответствие содержания и проверка перед доставкой выполняются независимо от сканирования в безопасной тестовой среде.

Примечание. Если прикрепленные файлы были заблокированы в результате сканирования на соответствие содержания или проверки перед доставкой, в безопасной тестовой среде они не сканируются.

Дополнительные сведения

Задержка доставки сообщений

Из-за сканирования в безопасной тестовой среде сообщения могут приходить с задержкой до трех минут. Иногда сканирование завершается быстрее.

Где найти настройки безопасной тестовой среды

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ПриложенияGoogle WorkspaceGmailСпам, фишинг и вредоносное ПО.
Выберите организационное подразделение, для которого нужно задать настройки. Чтобы задать настройки для всех сотрудников, выберите организационное подразделение верхнего уровня. Если этого не требуется, выберите дочернее подразделение.
В разделе Спам, фишинг и вредоносное ПО найдите пункт Безопасная тестовая среда. Внизу вы увидите список правил безопасной тестовой среды.

Как настроить сканирование всех прикрепленных файлов в безопасной тестовой среде

Вы можете настроить в Gmail сканирование всех прикрепленных файлов электронной почты.

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ПриложенияGoogle WorkspaceGmailСпам, фишинг и вредоносное ПО.
Выберите организационное подразделение, для которого нужно задать настройки. Чтобы задать настройки для всех сотрудников, выберите организационное подразделение верхнего уровня. Если этого не требуется, выберите дочернее подразделение.
В разделе Спам, фишинг и вредоносное ПО найдите пункт Безопасная тестовая среда. Внизу вы увидите список правил безопасной тестовой среды.
Чтобы включить сканирование всех прикрепленных файлов, установите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде…
Примечание. Если этот флажок установлен, в безопасной тестовой среде сканируются все прикрепленные файлы, даже когда заданы специальные правила.
Внизу страницы нажмите Сохранить.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Как настроить сканирование прикрепленных файлов только для некоторых сообщений

Вы можете задать правила, чтобы сканировать прикрепленные файлы только в тех письмах, которые соответствуют критериям.

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ПриложенияGoogle WorkspaceGmailСпам, фишинг и вредоносное ПО.
Выберите организационное подразделение, для которого нужно задать настройки. Чтобы задать настройки для всех сотрудников, выберите организационное подразделение верхнего уровня. Если этого не требуется, выберите дочернее подразделение.
В разделе Спам, фишинг и вредоносное ПО рядом с параметром "Безопасная тестовая среда" снимите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде… Если этот флажок снят, прикрепленные файлы сканируются в безопасной тестовой среде, только если соответствуют правилам.
В нижней части раздела Спам, фишинг и вредоносное ПО наведите указатель на параметр Правила безопасной тестовой среды и нажмите Настроить.
В окне Добавление настроек раздела Правила безопасной тестовой среды введите название правила, которое будет отображаться на странице настроек.
В разделе Типы сообщений установите флажки рядом с нужными типами сообщений:
- Входящие: сообщения, отправленные в организацию из внешних доменов.
- Внутренние входящие: сообщения, отправленные и полученные в пределах доменов и субдоменов организации.

В разделе Добавление выражений, описывающих контент, который нужно искать в каждом сообщении:

Укажите, должно ли сообщение соответствовать любому из выражений или всем. Например, если выбрать Если ХОТЯ БЫ ОДНО из приведенного ниже соответствует сообщению, то любое из условий, которым отвечает письмо, будет запускать сканирование в безопасной тестовой среде.
В разделе Выражения нажмите Добавить.

Выберите нужный параметр для выражения из списка и нажмите Сохранить.

Соответствие по простому содержанию: будет выполняться поиск соответствий указанному контенту. Эта функция работает по тому же принципу, что и поиск в Gmail. Например, если выполнить поиск по запросу номер заказа, будут возвращены все строки, содержащие слова номер и заказ. Подробнее о поисковых операторах в Gmail…
Соответствие по расширенному содержанию: укажите местоположение текста в сообщении, выберите тип соответствия и введите слово или словосочетание. В отличие от соответствия по простому содержанию, в этом случае выполняется поиск строк с точным соответствием. Описания расположения и типов соответствия приведены в таблицах ниже (перейти).
Соответствие метаданных: выберите атрибут для поиска и тип соответствия. При необходимости введите значение соответствия. Описания атрибутов метаданных и типов соответствия приведены в таблице ниже (перейти).
Соответствие предварительно определенному содержимому: выберите один из стандартных детекторов контента, например номер кредитной карты или номер социального страхования. При необходимости можно задать минимальное число совпадений с детектором, при котором активируется назначенное действие. Кроме того, можно настроить выполнение сканирования в случае, если детектор срабатывает с определенным порогом достоверности. Примечание. Эта функция доступна не во всех версиях. Подробнее о сканировании электронной почты с помощью правил DLP…

Параметры соответствия по расширенному содержанию

Местоположение – раздел электронного письма, где расположено содержимое.

Тип местоположения	Описание
Заголовки + текст сообщения	Полные заголовки и текст сообщения, в том числе прикрепленные файлы (фрагменты MIME декодируются).
Полные заголовки	Все поля заголовков. Текст сообщения и прикрепленные файлы не включаются.
Тело сообщения	Основной текст сообщения электронной почты, включая прикрепленные файлы (фрагменты в формате MIME закодированы).
Тема	Тема сообщения в том виде, в котором она указана в заголовке письма.
Заголовок "Отправитель"	Адрес электронной почты отправителя в том виде, в котором он указан в заголовке "От". Он может отличаться от адреса отправителя, указанного в разделе Отправитель конверта. Заголовок "Отправитель" состоит из адреса электронной почты, указанного в угловых скобках, и не содержит имя владельца аккаунта. Пример: От: Анна Смирнова <asmirnova@example.com> Заголовок "Отправитель": asmirnova@example.com. Примечание. Левая часть адресов @gmail.com и @googlemail.com преобразуется в каноническое представление. Например, anna.smirnova@gmail.com превращается в annasmirnova@gmail.com.
Заголовок "Получатели"	Получатели сообщения, указанные в заголовках "Кому", "Копия" и "Скрытая копия". Они могут отличаться от значений в разделе Любой получатель конверта. Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов. Чтобы настроить правила для сообщений, отправленных нескольким пользователям, используйте полные заголовки. Заголовок "Получатели" состоит из адреса электронной почты, указанного в угловых скобках, и не содержит имя владельца аккаунта. Пример: Кому: Анна Смирнова <asmirnova@example.com> Копия: Иван Смирнов <ismirnov@example.com> Скрытая копия: Виктор Петров <vpetrov@example.com> Заголовок "Получатели": asmirnova@example.com, ismirnov@example.com и vpetrov@example.com.
Отправитель конверта	Изначальный отправитель, указанный в запросе на пересылку сообщения по протоколу SMTP. Он может отличаться от отправителя, указанного в разделе Заголовок "Отправитель". Часто (но не всегда) он соответствует значению в заголовке Return-path с адресом возврата.
Любой получатель конверта	Получатели, указанные в запросе на пересылку сообщения по протоколу SMTP. Они могут отличаться от получателей, указанных в разделе Заголовок "Получатели". Здесь также могут быть указаны отдельные участники групп, которым адресовано письмо. Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов.
Необработанное сообщение	Полные заголовки и текст сообщения, в том числе все прикрепленные файлы и другие фрагменты письма в формате MIME. Фрагменты в формате MIME не декодируются.

Тип соответствия – параметры, используемые для определения соответствий.

Тип соответствия	Описание
Начинается с	В выбранном компоненте письма выполняется поиск текста, который начинается с указанного символа или строки.
Заканчивается на	В выбранном компоненте письма выполняется поиск текста, который заканчивается на указанный символ или строку.
Содержит текст	В выбранном компоненте письма выполняется поиск текста, который содержит указанную строку.
Не содержит текст	В выбранном компоненте письма выполняется поиск текста, который не содержит указанную строку.
Равно	В выбранном компоненте письма выполняется поиск текста, который в точности соответствует указанной строке.
Пусто	В выбранном компоненте письма выполняется поиск пустой строки.
Соответствует регулярному выражению	В выбранном компоненте письма выполняется поиск текста, который соответствует указанному регулярному выражению.
Не соответствует регулярному выражению	В выбранном компоненте письма выполняется поиск текста, который не соответствует указанному регулярному выражению.
Соответствует любому слову	В выбранном компоненте письма выполняется поиск текста, который соответствует любому слову из указанного списка слов.
Соответствует всем словам	В выбранном местоположении выполняется поиск содержания, которое соответствует всем словам из указанного списка слов.

Содержание – текст, который используется для поиска.

Атрибуты метаданных и типы соответствия

Атрибут	Тип соответствия	Описание
Аутентификация сообщения	Аутентификация пройдена Аутентификация не пройдена	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые прошли или не прошли аутентификацию. Параметр соответствует стандарту DMARC. Аутентификация пройдена, если успешно выполнена проверка SPF или DKIM. В остальных случаях аутентификация считается непройденной. Подробнее об SPF, DKIM и DMARC…
Исходный IP-адрес	IP-адрес отправителя в выбранном диапазоне IP-адрес отправителя за пределами выбранного диапазона	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые входят или не входят в заданный диапазон IP-адресов.
Безопасная передача по TLS	Подключение зашифровано по протоколу TLS Подключение не зашифровано по протоколу TLS	Выберите этот параметр, чтобы включить в поиск соответствий полученные сообщения, доставка которых зашифрована или не зашифрована по протоколу TLS.
Размер сообщения	Размер сообщения больше выбранного (МБ) Размер сообщения меньше выбранного (МБ)	Выберите этот параметр, чтобы включить в поиск сообщения, размер которых меньше или больше указанного значения. Размер сообщений (в МБ) указывается в соответствующем поле. Это непосредственный размер всего сообщения, который может быть на 33 % больше оригинального размера сообщения и прикрепленных к нему файлов из-за наличия служебной информации, связанной с кодировкой.
Шифрование S/MIME	Сообщение с шифрованием S/MIME Сообщение без шифрования S/MIME	Выберите этот параметр, чтобы включить в поиск соответствий сообщения с шифрованием S/MIME или без него. Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus. Сравнение версий
Подпись S/MIME	Сообщение с подписью S/MIME Сообщение без подписи S/MIME	Выберите этот параметр, чтобы включить в поиск соответствий сообщения с подписью S/MIME или без нее. Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus. Сравнение версий
Конфиденциальный режим Gmail	Сообщение в конфиденциальном режиме Gmail Сообщение не в конфиденциальном режиме Gmail	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, отправленные и полученные в конфиденциальном или не в конфиденциальном режиме Gmail.

Убедитесь, что в качестве действия, которое выполняется при соответствии выражению, указан параметр Запустить безопасную тестовую среду. При соответствии условию всегда будет запускаться сканирование прикрепленных файлов в тестовой среде (Запустить безопасную тестовую среду).
Задав настройки, нажмите Добавление настроек или Сохранить, а затем – Сохранить в нижней части страницы расширенных настроек Gmail. При необходимости задайте дополнительные настройки:

Перемещение вредоносных прикрепленных файлов в карантин

Обнаруженное в безопасной тестовой среде вредоносное ПО по умолчанию помещается в папку "Спам". Вместо этого можно настроить его перемещение в карантин. Для этого создайте правило соответствия содержания с помощью атрибута метаданных Спам.

Сканирование прикрепленных файлов при получении сообщений от отправителя из заданных списков адресов

Списки адресов можно указывать в качестве критерия, на основании которого будет определяться соответствие правилам безопасной тестовой среды. Они могут содержать адреса электронной почты и доменные имена.

Чтобы определить, нужно ли применять правило к списку адресов, Gmail учитывает отправителя полученной почты и получателей отправленной почты. Для отправителей также проверяются требования аутентификации. Если указано несколько списков, адрес должен соответствовать по крайней мере одному из них, чтобы правило применялось.

Как указать списки адресов

В окне Добавление настроек или Изменение настроек нажмите Показать параметры. Чтобы открыть это окно, следуйте инструкциям.
В разделе Параметры установите флажок Использовать списки адресов для того, чтобы игнорировать параметр или применять его выборочно.
Выберите один из вариантов:
- Игнорировать этот параметр для определенных адресов/доменов: при соответствии списку адресов правило не будет применяться, даже если другие указанные в правиле критерии совпадают.
- Применять этот параметр только для определенных адресов/доменов. Соответствие списку адресов станет условием применения правила. Если в правиле указаны другие критерии (выражения для поиска соответствия, типы аккаунтов или фильтры конвертов), эти условия также должны соответствовать заданному правилу, чтобы оно применялось.
Рядом с параметром Списков нет нажмите Создайте новый список или используйте существующий.
В окне Доступные списки выполните одно из следующих действий:
- выберите название существующего списка и нажмите Использовать;
- введите название нового списка в поле Создание списка и нажмите Создать.
Чтобы внести в список адреса электронной почты или доменные имена:
1. Наведите указатель мыши на название списка и нажмите Изменить.
2. Чтобы внести в список адреса электронной почты или доменные имена, нажмите Добавить.
3. Введите полный адрес электронной почты или доменное имя, например solarmora.com. Чтобы добавить сразу несколько адресов, введите их через запятую или пробел.
4. Установите флажок Не проводить аутентификацию отправителя, чтобы правило не применялось к одобренным отправителям, для которых не включена аутентификация. Обратите внимание, что при использовании этой функции возникает риск спуфинга.
5. Нажмите Сохранить.
Задав настройки, нажмите Добавление настроек в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. При необходимости укажите типы аккаунтов.

Сканирование прикрепленных файлов от определенных типов аккаунтов

Типы аккаунтов можно указывать в качестве критерия, на основании которого будет определяться соответствие правилам безопасной тестовой среды.

По умолчанию выбран параметр Пользователи, но можно указать несколько типов аккаунтов. Для правил исходящей почты тип аккаунта должен соответствовать отправителю.

В окне Добавление настроек или Изменение настроек нажмите Показать параметры. Чтобы открыть это окно, следуйте инструкциям.
В разделе Параметры укажите значение для параметра Типы аккаунтов:
- Пользователи
- Нераспознанные/для приема всей почты домена
Задав настройки, нажмите Добавление настроек или Сохранить, а затем – Сохранить в нижней части страницы расширенных настроек Gmail. При необходимости задайте фильтр конвертов.

Сканирование прикрепленных файлов от отправителей, получателей и групп (фильтр конвертов)

Данные конверта электронного письма можно указать в качестве критерия для правил безопасной тестовой среды. Это может быть адрес электронной почты отправителя или получателя.

В окне Добавление настроек или Изменение настроек нажмите Показать параметры. Чтобы открыть это окно, следуйте инструкциям.
В разделе Параметры задайте настройки для параметра Фильтр конвертов: установите один или оба флажка Фильтровать только определенных отправителей и Фильтровать только определенных получателей.
Выберите один из вариантов:
- Отдельный адрес электронной почты. Укажите одного пользователя с помощью адреса электронной почты. Это должен быть полный адрес с символом @ и доменным именем. Регистр не имеет значения.
- Соответствие по шаблону: укажите регулярное выражение, которое соответствует группе отправителей или получателей в вашем домене. Чтобы проверить правильность синтаксиса, нажмите Проверить выражение. Например, можно применить настройку только для трех пользователей. Для этого укажите их адреса электронной почты с помощью следующего регулярного выражения:
  
  ^(?i)(polzovatel1@solarmora\.com|polzovatel2@solarmora\.com|polzovatel3@solarmora\.com)$
  
  В этом выражении:
  - ^ соответствует началу новой строки.
  - (?i) делает выражение нечувствительным к регистру.
  - $ соответствует окончанию строки.
  Подробнее об использовании регулярных выражений…
- Участие в группе: выберите одну или несколько групп из списка. Для отправителей конверта этот параметр применяется только к отправленным сообщениям, а для получателей – только к полученным. Если у вас нет групп, создайте их.
Нажмите Добавление настроек или Сохранить в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail.

Прикрепленные файлы будут сканироваться в соответствии с заданными правилами.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Как посмотреть отчеты и изменения, внесенные в настройки

Отчет Спам-фильтр – вредоносное ПО содержит данные о количестве обнаруженных вредоносных файлов. В нем также перечислены сообщения, которые были идентифицированы как вредоносные. Количество просканированных прикрепленных файлов в нем не указано. Отчет доступен на панели управления безопасностью Google Workspace.

Изменения, внесенные в настройки безопасной тестовой среды, можно посмотреть в журнале аудита администрирования.

Статьи по теме

_{Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.}

Эта информация оказалась полезной?

Как можно улучшить эту статью?