Как настроить правила для выявления вредоносных прикрепленных файлов

Безопасная тестовая среда

Эта функция доступна только в пакетах G Suite Enterprise и G Suite Enterprise for Education.

Прикрепленные файлы в электронных письмах могут содержать вредоносные программы, которые не выявляются традиционными антивирусами. Для обнаружения этих угроз Gmail сканирует прикрепленные файлы или запускает их в виртуальной среде, так называемой безопасной тестовой среде. Файлы, определенные как угрозы, помещаются в папки "Спам" пользователей или в карантин.

Администратор может настроить для Gmail сканирование в безопасной тестовой среде прикрепленных файлов всех поддерживаемых типов или только тех, которые соответствуют заданным правилам.Кроме того, можно настроить правила соответствия содержания для управления вредоносными прикрепленными файлами.

В безопасной тестовой среде сканируются в том числе исполняемые файлы Microsoft Windows, файлы Microsoft Office и PDF-файлы.

О правилах безопасной тестовой среды и других типах сканирования

Вы можете создать правила, определяющие, какие прикрепленные файлы будут сканироваться в безопасной тестовой среде. Например, вы можете настроить сканирование электронных писем, которые соответствуют следующим условиям:

  • сообщение содержит определенный контент, например слово счет;
  • отправителями сообщения являются определенные пользователи;
  • письмо отправлено не из указанного домена;
  • адреса конверта соответствуют определенным шаблонам.

Как сканирование в безопасной тестовой среде влияет на другие типы сканирования

Сканирование в безопасной тестовой среде осуществляется независимо от других типов сканирования. Например, сканирование на соответствие содержания может быть нацелено на выявление личной информации, такой как номера кредитных карт, или блокировку прикрепленных файлов определенного типа либо размера. Gmail выполняет эти проверки независимо от сканирования в безопасной тестовой среде.

Примечание. Если прикрепленные к электронным письмам файлы заблокированы правилами соответствия содержания или проверкой перед доставкой, они не сканируются в безопасной тестовой среде.

Статьи по теме

Задержка доставки сообщений

Из-за сканирования прикрепленных файлов в безопасной тестовой среде сообщения могут приходить с задержкой до трех минут. Это максимальное время, которое требуется, чтобы просканировать прикрепленный файл и определить, является ли он вредоносным. Иногда сканирование завершается быстрее.
Как найти настройки безопасной тестовой среды
  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Приложения > G Suite > Gmail > Расширенные настройки.

    Совет. Ссылка на раздел "Расширенные настройки" находится в самом низу страницы Gmail.

  3. Откройте вкладку Общие настройки и выберите родительскую или дочернюю организацию.
  4. В разделе Спам, фишинг и вредоносное ПО найдите подраздел "Безопасная тестовая среда". Внизу этого раздела вы увидите список правил безопасной тестовой среды.
Как настроить сканирование всех прикрепленных файлов в безопасной тестовой среде

Вы можете настроить в Gmail сканирование всех прикрепленных файлов электронной почты, отправленной как из вашего домена, так и из внешних доменов.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Приложения > G Suite > Gmail > Расширенные настройки.

    Совет. Ссылка на раздел "Расширенные настройки" находится в самом низу страницы Gmail.

  3. Откройте вкладку Общие настройки и выберите родительскую организацию или организационное подразделение:
    • Настройки тестовой среды, заданные для родительской организации, применяются ко всем организационным подразделениям.
    • Настройки тестовой среды, заданные для организационного подразделения, имеют приоритет перед настройками, заданными для родительской организации.
  4. В разделе Спам, фишинг и вредоносное ПО найдите подраздел "Безопасная тестовая среда". Внизу этого раздела вы увидите список правил безопасной тестовой среды.
  5. Чтобы включить сканирование всех прикрепленных файлов, установите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде…

    Примечание. Если этот флажок установлен, в безопасной тестовой среде сканируются все прикрепленные файлы, даже когда заданы специальные правила.
  6. Нажмите Сохранить.

    Примечание. Изменения вступят в силу в течение часа.
Как настроить сканирование прикрепленных файлов только для некоторых сообщений

Вы можете задать правила, чтобы сканировать прикрепленные файлы только в тех письмах, которые соответствуют критериям.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Приложения > G Suite > Gmail > Расширенные настройки.

    Совет. Ссылка на раздел "Расширенные настройки" находится в самом низу страницы Gmail.

  3. Откройте вкладку Общие настройки и выберите организацию верхнего уровня. Настройки безопасной тестовой среды доступны только для родительской организации и применяются ко всем дочерним организациям.
  4. В разделе Спам, фишинг и вредоносное ПО рядом с параметром "Безопасная тестовая среда" снимите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде… Если этот флажок снят, прикрепленные файлы сканируются в безопасной тестовой среде, только если соответствуют правилам.

  5. В нижней части раздела Спам, фишинг и вредоносное ПО наведите указатель на параметр Правила безопасной тестовой среды и нажмите Настроить.

  6. В окне Добавление настроек раздела Правила безопасной тестовой среды введите название правила, которое будет отображаться на странице настроек.

  7. В разделе Типы сообщений установите флажки рядом с нужными типами сообщений:

    • Входящие: сообщения, отправленные в организацию из внешних доменов.

    • Внутреннее – получение: сообщения, отправленные и полученные в пределах доменов и субдоменов организации.

  8. В разделе Добавление выражений, описывающих контент, который нужно искать в каждом сообщении:

    1. Укажите, каким выражениям должно соответствовать сообщение: всем или любым.Например, если выбрать Если ХОТЯ БЫ ОДНО из приведенного ниже соответствует сообщению, то любое из условий, которым отвечает письмо, будет запускать сканирование в безопасной тестовой среде.

    2. В разделе Выражения нажмите Добавить.

    3. Выберите нужный параметр для выражения из списка и нажмите Сохранить.

      • Соответствие по простому содержанию: будет выполняться поиск соответствий указанному контенту.Эта функция работает по тому же принципу, что и поиск в Gmail. Например, если выполнить поиск по запросу номер заказа, будут возвращены все строки, содержащие слова номер и заказ.Подробнее…

      • Соответствие по расширенному содержанию: укажите местоположение текста в сообщении, выберите тип соответствия и введите слово или словосочетание. В отличие от соответствия по простому содержанию, в этом случае выполняется поиск строк с точным соответствием. Описания местоположений и типов соответствия приведены в таблице ниже. Подробнее…

      • Соответствие метаданных: выберите атрибут для поиска и тип соответствия. При необходимости введите значение соответствия. Описания атрибутов метаданных и типов соответствия приведены в таблице ниже. Подробнее…

      • Соответствие предварительно определенному содержимому: выберите один из стандартных детекторов контента, например номер кредитной карты или номер социального страхования. При необходимости также можно задать минимальное число совпадений с детектором, при котором активируется назначенное действие. Кроме того, можно настроить выполнение сканирования в случае, если детектор срабатывает с определенным порогом достоверности. Подробнее о сканировании трафика электронной почты с помощью функции DLPЭта функция доступна в пакетах G Suite Business и G Suite Enterprise. Сравнение версий

      Параметры соответствия по расширенному содержанию

      • Местоположение – раздел электронного письма, где расположено содержимое.

        Тип местоположения Описание
        Заголовки + текст сообщения Полные заголовки и текст сообщения, в том числе прикрепленные файлы (фрагменты MIME декодируются).
        Полные заголовки Все поля заголовков. Текст сообщения и прикрепленные файлы не включаются.
        Тело сообщения Основной текст сообщения электронной почты, включая прикрепленные файлы (фрагменты в формате MIME закодированы).
        Тема Тема сообщения в том виде, в котором она указана в заголовке письма.
        Заголовок "Отправитель"

        Адрес электронной почты отправителя в том виде, в котором он указан в заголовке "От". Он может отличаться от адреса отправителя, указанного в разделе Отправитель конверта.

        Заголовок "Отправитель" состоит из адреса электронной почты, указанного в угловых скобках, и не включает имя аккаунта.

        Пример:

        От: Анна Смирнова <asmirnova@example.com>

        Заголовок "Отправитель": asmirnova@example.com.

        Примечание. Левая часть адресов @gmail.com и @googlemail.com преобразуется в каноническое представление. Например, anna.smirnova@gmail.com превращается в annasmirnova@gmail.com.

        Заголовок "Получатели"

        Получатели сообщения, указанные в заголовках "Кому", "Копия" и "Скрытая копия". Они могут отличаться от значений в разделе Любой получатель конверта.

        Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов. Чтобы настроить правила для сообщений, отправленных нескольким пользователям, используйте полные заголовки.

        Заголовок "Получатели" состоит из адреса электронной почты, указанного в угловых скобках, и не включает имя аккаунта.

        Пример:

        Кому: Анна Смирнова <asmirnova@example.com>
        Копия: Иван Смирнов <ismirnov@example.com> Скрытая копия: Виктор Петров <vpetrov@example.com>

        Заголовок "Получатели": asmirnova@example.com, ismirnov@example.com и vpetrov@example.com.

        Отправитель конверта Изначальный отправитель, указанный в запросе на пересылку сообщения по протоколу SMTP. Он может отличаться от отправителя, указанного в разделе Заголовок "Отправитель". Часто (но не всегда) он соответствует значению в заголовке Return-path с адресом возврата.
        Любой получатель конверта

        Получатели, указанные в запросе на пересылку сообщения по протоколу SMTP. Они могут отличаться от получателей, указанных в разделе Заголовок "Получатели". Здесь также могут быть указаны отдельные участники групп, которым адресовано письмо.

        Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов.

        Необработанное сообщение Полные заголовки и текст сообщения, в том числе все прикрепленные файлы и другие фрагменты письма в формате MIME. Фрагменты в формате MIME не декодируются. Эти данные эквивалентны байтам сообщения RFC-2822.
      • Тип соответствия – параметры, используемые для определения соответствия.
        Тип соответствия Описание

        Начинается с

        В выбранном компоненте письма выполняется поиск текста, который начинается с указанного символа или строки.

        Заканчивается на

        В выбранном компоненте письма выполняется поиск текста, который заканчивается указанным символом или строкой.

        Содержит текст

        В выбранном компоненте письма выполняется поиск текста, который содержит указанную строку.

        Не содержит текста

        В выбранном компоненте письма выполняется поиск текста, который не содержит указанную строку.

        Совпадает c

        В выбранном компоненте письма выполняется поиск текста, который в точности соответствует указанной строке.

        Пусто

        В выбранном компоненте письма выполняется поиск пустой строки.

        Соответствует регулярному выражению

        В выбранном компоненте письма выполняется поиск текста, который соответствует указанному регулярному выражению. Подробные сведения о регулярных выражениях приведены ниже.

        Не соответствует регулярному выражению

        В выбранном местоположении выполняется поиск содержания, которое не соответствует указанному регулярному выражению. Подробные сведения о регулярных выражениях приведены ниже.

        Соответствует любому слову

        В выбранном компоненте письма выполняется поиск текста, который соответствует любому слову из указанного списка слов.

        Соответствует всем словам

        В выбранном компоненте письма выполняется поиск текста, который соответствует всем словам из указанного списка слов.

      • Содержание – текст, который используется для поиска.

      Атрибуты метаданных и типы соответствия

      Атрибут Тип соответствия Описание

      Аутентификация сообщения

      • Аутентификация пройдена
      • Аутентификация сообщения не выполняется

      Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые прошли или не прошли аутентификацию.

      Соответствует стандарту DMARC. Аутентификация пройдена, если: 1) пройдена проверка SPF и домен отправителя конверта совпал с доменом заголовка "От" или 2) пройдена DKIM-проверка домена заголовка "От". В остальных случаях аутентификация считается непройденной.

      Исходный IP-адрес

      • IP-адрес отправителя в выбранном диапазоне

      • IP-адрес отправителя за пределами выбранного диапазона

      Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые входят или не входят в заданный диапазон IP-адресов. Диапазон указывается в соответствующем поле.

      Безопасная передача по TLS

      • Подключение зашифровано по протоколу TLS

      • Подключение не зашифровано по протоколу TLS

      Выберите этот параметр, чтобы включить в поиск соответствий полученные сообщения, доставка которых зашифрована или не зашифрована по протоколу TLS.

      Размер сообщения
      • Размер сообщения больше выбранного (МБ)
      • Размер сообщения меньше выбранного (МБ)

      Выберите этот параметр, чтобы включить в поиск сообщения, размер которых меньше или больше указанного значения. Размер сообщений (в МБ) указывается в соответствующем поле.

      Примечание. Это непосредственый размер всего сообщения, который может быть на 33 % больше оригинального размера сообщения и прикрепленных к нему файлов из-за затрат на кодировку.

      Шифрование S/MIME

      • Сообщение с шифрованием S/MIME

      • Сообщение без шифрования S/MIME

      Выберите этот параметр, чтобы включить в поиск соответствий сообщения с шифрованием S/MIME или без него.

      Эта функция доступна только в пакетах G Suite Enterprise и G Suite Enterprise for Education.

      Подпись S/MIME

      • Сообщение с подписью S/MIME

        • Сообщение без подписи S/MIME

      Выберите этот параметр, чтобы включить в поиск соответствий сообщения с подписью S/MIME или без нее.

      Эта функция доступна только в пакетах G Suite Enterprise и G Suite Enterprise for Education.

      Конфиденциальный режим Gmail
      • Сообщение в конфиденциальном режиме Gmail
      • Сообщение не в конфиденциальном режиме Gmail
      Выберите этот параметр, чтобы включить в поиск соответствий сообщения, отправленные и полученные в конфиденциальном или не в конфиденциальном режиме Gmail.
  9. Убедитесь, что в качестве действия, которое выполняется при соответствии выражению, указан параметр Запустить безопасную тестовую среду.Соответствие условию всегда будет запускать сканирование прикрепленных файлов в тестовой среде (Запустить безопасную тестовую среду).
  10. Задав настройки, нажмите Добавление настроек или Сохранить в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. При необходимости задайте дополнительные настройки:

Перемещение вредоносных прикрепленных файлов в карантин

Обнаруженное в безопасной тестовой среде вредоносное ПО по умолчанию помещается в папку "Спам". Вместо этого можно настроить его перемещение в карантин.Для этого создайте правило соответствия содержания с помощью атрибута метаданных спам.

Сканирование прикрепленных файлов при получении сообщений от отправителя из определенного списка адресов

Списки адресов можно указывать в качестве критерия, на основании которого будет определяться соответствие правилам безопасной тестовой среды. Они могут содержать адреса электронной почты и доменные имена.

Чтобы определить, нужно ли применять правило к списку адресов, Gmail учитывает отправителя полученной почты и получателей отправленной почты. Для отправителей также проверяются требования аутентификации.Если указано несколько списков, адрес должен соответствовать по крайней мере одному из них, чтобы правило применялось.

Как указать списки адресов

  1. В окне Добавление настроек или Изменение настроек нажмите Показать параметры.Чтобы открыть это окно, следуйте инструкциям.

  2. В разделе Параметры установите флажок Использовать списки адресов для того, чтобы игнорировать параметр или применять его выборочно.

  3. Выберите один из вариантов:

    • Игнорировать этот параметр для определенных адресов/доменов: при соответствии списку адресов правило не будет применяться, даже если другие указанные в правиле критерии совпадают.

    • Применять этот параметр только для определенных адресов/доменов: соответствие списку адресов станет условием применения правила. Если в правиле указаны другие критерии, например выражения для поиска соответствия, типы аккаунтов или фильтры конвертов, эти условия также должны соответствовать заданному правилу, чтобы оно применялось.

  4. Рядом с параметром Списков нет нажмите Создайте новый список или используйте существующий.

  5. В окне Доступные списки выполните одно из следующих действий:

    • выберите название существующего списка и нажмите Использовать;

    • введите название нового списка в поле Создание списка и нажмите Создать.

  6. Чтобы внести в список адреса электронной почты или доменные имена:
    1. Наведите указатель на название списка и нажмите Изменить.
    2. Чтобы внести в список адреса электронной почты или доменные имена, нажмите Добавить.
    3. Введите полный адрес электронной почты или доменное имя, например solarmora.com. Чтобы добавить сразу несколько адресов, введите их через запятую или пробел.
    4. Установите флажок Не проводить аутентификацию отправителя, чтобы правило не применялось к одобренным отправителям, для которых не включена аутентификация (например, с помощью SPF или DKIM). Обратите внимание, что при использовании этой функции возникает риск спуфинга.
    5. Нажмите Сохранить.
  7. Задав настройки, нажмите Добавление настроек в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. При необходимости укажите типы аккаунтов.

Сканирование прикрепленных файлов от определенных типов аккаунтов

Типы аккаунтов можно указывать в качестве критерия, на основании которого будет определяться соответствие правилам безопасной тестовой среды.

По умолчанию выбран параметр Пользователи, но можно указать несколько типов аккаунтов.Для правил исходящей почты тип аккаунта должен соответствовать отправителю.

  1. В окне Добавление настроек или Изменение настроек нажмите Показать параметры.Чтобы открыть это окно, следуйте инструкциям.
  2. В разделе Параметры укажите значение для параметра Типы аккаунтов:
    • Пользователи
    • Нераспознанные/для приема всей почты домена
  3. Внеся изменения, нажмите Добавление настроек или Сохранить в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. При необходимости задайте фильтр конвертов.
Сканирование прикрепленных файлов от отправителей, получателей и групп (фильтр конвертов)

Данные конверта электронного письма, например адрес электронной почты отправителя или получателя, можно указать в качестве критерия для правил безопасной тестовой среды.

  1. В окне Добавление настроек или Изменение настроек нажмите Показать параметры.Чтобы открыть это окно, следуйте инструкциям.
  2. В разделе Параметры задайте настройки для параметра Фильтр конвертов: установите один или оба флажка Фильтровать только определенных отправителей и Фильтровать только определенных получателей.
  3. В раскрывающемся списке выберите один из вариантов:
    • Отдельный адрес электронной почты: укажите одного пользователя с помощью адреса электронной почты. Это должен быть полный адрес с символом @ и доменным именем. Регистр не имеет значения.

    • Соответствие по шаблону: укажите регулярное выражение, которое соответствует группе отправителей или получателей в вашем домене. Чтобы проверить правильность синтаксиса, нажмите Проверить выражение. Например, можно применить настройку только для трех пользователей. Для этого укажите их адреса электронной почты с помощью следующего регулярного выражения:

      ^(?i)(polzovatel1@solarmora\.com|polzovatel2@solarmora\.com|polzovatel3@solarmora\.com)$

      В этом выражении:

      • ^ соответствует началу новой строки.
      • (?i) делает выражение нечувствительным к регистру.
      • $ соответствует окончанию строки.

      Подробнее об использовании регулярных выражений

    • Участие в группе: выберите одну или несколько групп из списка. Для отправителей конверта этот параметр применяется только к отправленным сообщениям, а для получателей – только к полученным. Если у вас нет групп, создайте их.

  4. Нажмите Добавление настроек или Сохранить в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail.

    Прикрепленные файлы будут сканироваться в соответствии с заданными правилами.Изменения вступят в силу в аккаунтах пользователей в течение часа.

Как посмотреть отчеты и изменения, внесенные в настройки

Отчеты содержат данные о количестве просканированных прикрепленных файлов и обнаруженных вредоносных файлов. Они доступны на панели управления безопасностью G Suite.

Изменения, внесенные в настройки безопасной тестовой среды, можно посмотреть в журнале аудита администрирования.

Статьи по теме

Рекомендации по более эффективному тестированию правил

Эта информация оказалась полезной?
Как можно улучшить эту статью?