Как настроить правила для выявления вредоносных прикрепленных файлов

Администратор может настроить Gmail таким образом, чтобы выполнялось сканирование всех прикрепленных файлов в безопасной изолированной среде. По умолчанию соответствующий параметр отключен.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияGoogle WorkspaceGmailСпам, фишинг и вредоносное ПО.
3. Выберите организационное подразделение, для которого нужно задать настройки. Чтобы задать настройки для всех сотрудников, выберите организационное подразделение верхнего уровня. Если этого не требуется, выберите дочернее подразделение.
4. В разделе Спам, фишинг и вредоносное ПО найдите пункт Безопасная тестовая среда. Внизу вы увидите список правил безопасной изолированной среды.
5. Чтобы включить сканирование всех прикрепленных файлов, установите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде…

   Примечание. Если этот флажок установлен, в безопасной изолированной среде сканируются все прикрепленные файлы, даже когда заданы специальные правила.

6. Внизу страницы нажмите Сохранить. 

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Вы можете добавить правила, чтобы указать, какие письма нужно сканировать.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияGoogle WorkspaceGmailСпам, фишинг и вредоносное ПО.
3. Выберите организационное подразделение, для которого нужно задать настройки. Чтобы задать настройки для всех сотрудников, выберите организационное подразделение верхнего уровня. Если этого не требуется, выберите дочернее подразделение.

4. В разделе Спам, фишинг и вредоносное ПО рядом с параметром "Безопасная тестовая среда" снимите флажок Включить виртуальное исполнение прикрепленных файлов в тестовой среде… Если этот флажок снят, прикрепленные файлы сканируются в безопасной изолированной среде, только если соответствуют правилам.

5. В нижней части раздела Спам, фишинг и вредоносное ПО наведите указатель на параметр Правила безопасной тестовой среды и нажмите Настроить.

6. В окне Добавление настроек раздела Правила безопасной тестовой среды введите название правила, которое будет отображаться на странице настроек.

7. В разделе Типы сообщений установите флажки рядом с нужными типами сообщений:

   • Входящие: сообщения, отправленные в организацию из внешних доменов.

   • Внутренние входящие: сообщения, отправленные и полученные в пределах доменов и субдоменов организации.

     Домен считается внутренним, если он является подтвержденным доменом рабочей области или субдоменом или родительским доменом такого домена.

8. В разделе Добавление выражений, описывающих контент, который нужно искать в каждом сообщении:

   1. Укажите, должно ли сообщение соответствовать любому из выражений или всем. Например, если выбрать Если ХОТЯ БЫ ОДНО из приведенного ниже соответствует сообщению, то любое из условий, которым отвечает письмо, будет запускать сканирование в безопасной изолированной среде.

   2. В разделе Выражения нажмите Добавить.

   3. Выберите нужный параметр для выражения из списка и нажмите Сохранить.

      • Соответствие по простому содержанию: будет выполняться поиск соответствий указанному контенту. Эта функция работает по тому же принципу, что и поиск в Gmail. Например, если выполнить поиск по запросу номер заказа, будут возвращены все строки, содержащие слова номер и заказ. Подробнее о поисковых операторах в Gmail…

      • Соответствие по расширенному содержанию: укажите местоположение текста в сообщении, выберите тип соответствия и введите слово или словосочетание. В отличие от соответствия по простому содержанию, в этом случае выполняется поиск строк с точным соответствием. Описания расположения и типов соответствия приведены в таблицах ниже (перейти).

      • Соответствие метаданных: выберите атрибут для поиска и тип соответствия. При необходимости введите значение соответствия. Описания атрибутов метаданных и типов соответствия приведены в таблице ниже (перейти).

      • Соответствие предварительно определенному содержимому: выберите один из стандартных детекторов контента, например номер кредитной карты или номер социального страхования. При необходимости можно задать минимальное число совпадений с детектором, при котором активируется назначенное действие. Кроме того, можно настроить выполнение сканирования в случае, если детектор срабатывает с определенным порогом достоверности. Примечание. Эта функция доступна не во всех версиях. Подробнее о сканировании электронной почты с помощью правил DLP…

      Параметры соответствия по расширенному содержанию

      • Местоположение – раздел электронного письма, где расположено содержимое. 

        Тип местоположения	Описание
        Заголовки + текст сообщения	Полные заголовки и текст сообщения, в том числе прикрепленные файлы (фрагменты MIME декодируются).
        Полные заголовки	Все поля заголовков. Текст сообщения и прикрепленные файлы не включаются.
        Тело сообщения	Основной текст сообщения электронной почты, включая прикрепленные файлы (фрагменты в формате MIME закодированы).
        Тема	Тема сообщения в том виде, в котором она указана в заголовке письма.
        Заголовок "Отправитель"	Адрес электронной почты отправителя в том виде, в котором он указан в заголовке "От". Он может отличаться от адреса отправителя, указанного в разделе Отправитель конверта. Заголовок "Отправитель" состоит из адреса электронной почты, указанного в угловых скобках, и не содержит имя владельца аккаунта. Пример: От: Анна Смирнова <asmirnova@example.com> Заголовок "Отправитель": asmirnova@example.com. Примечание. Левая часть адресов @gmail.com и @googlemail.com преобразуется в каноническое представление. Например, anna.smirnova@gmail.com превращается в annasmirnova@gmail.com.
        Заголовок "Получатели"	Получатели сообщения, указанные в заголовках "Кому", "Копия" и "Скрытая копия". Они могут отличаться от значений в разделе Любой получатель конверта. Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов. Чтобы настроить правила для сообщений, отправленных нескольким пользователям, используйте полные заголовки. Заголовок "Получатели" состоит из адреса электронной почты, указанного в угловых скобках, и не содержит имя владельца аккаунта. Пример: Кому: Анна Смирнова <asmirnova@example.com> Копия: Иван Смирнов <ismirnov@example.com> Скрытая копия: Виктор Петров <vpetrov@example.com> Заголовок "Получатели": asmirnova@example.com, ismirnov@example.com и vpetrov@example.com.
        Отправитель конверта	Изначальный отправитель, указанный в запросе на пересылку сообщения по протоколу SMTP. Он может отличаться от отправителя, указанного в разделе Заголовок "Отправитель". Часто (но не всегда) он соответствует значению в заголовке Return-path с адресом возврата.
        Любой получатель конверта	Получатели, указанные в запросе на пересылку сообщения по протоколу SMTP. Они могут отличаться от получателей, указанных в разделе Заголовок "Получатели". Здесь также могут быть указаны отдельные участники групп, которым адресовано письмо. Сравнение выполняется для каждого получателя в отдельности. Если их несколько, указанное в правиле значение не сравнивается со всей строкой адресатов.
        Необработанное сообщение	Полные заголовки и текст сообщения, в том числе все прикрепленные файлы и другие фрагменты письма в формате MIME. Фрагменты в формате MIME не декодируются.

      • Тип соответствия – параметры, используемые для определения соответствий.
         

        Тип соответствия	Описание
        Начинается с	В выбранном компоненте письма выполняется поиск текста, который начинается с указанного символа или строки.
        Заканчивается на	В выбранном компоненте письма выполняется поиск текста, который заканчивается на указанный символ или строку.
        Содержит текст	В выбранном компоненте письма выполняется поиск текста, который содержит указанную строку.
        Не содержит текст	В выбранном компоненте письма выполняется поиск текста, который не содержит указанную строку.
        Равно	В выбранном компоненте письма выполняется поиск текста, который в точности соответствует указанной строке.
        Пусто	В выбранном компоненте письма выполняется поиск пустой строки.
        Соответствует регулярному выражению	В выбранном компоненте письма выполняется поиск текста, который соответствует указанному регулярному выражению.
        Не соответствует регулярному выражению	В выбранном компоненте письма выполняется поиск текста, который не соответствует указанному регулярному выражению.
        Соответствует любому слову	В выбранном компоненте письма выполняется поиск текста, который соответствует любому слову из указанного списка слов.
        Соответствует всем словам	В выбранном местоположении выполняется поиск содержания, которое соответствует всем словам из указанного списка слов.

      • Содержание – текст, который используется для поиска.

      Атрибуты метаданных и типы соответствия

      Атрибут	Тип соответствия	Описание
      Аутентификация сообщения	Аутентификация пройдена Аутентификация не пройдена	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые прошли или не прошли аутентификацию. Параметр соответствует стандарту DMARC. Аутентификация пройдена, если успешно выполнена проверка SPF или DKIM. В остальных случаях аутентификация считается непройденной. Подробнее об SPF, DKIM и DMARC…
      Исходный IP-адрес	IP-адрес отправителя в выбранном диапазоне IP-адрес отправителя за пределами выбранного диапазона	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, которые входят или не входят в заданный диапазон IP-адресов.
      Безопасная передача по TLS	Подключение зашифровано по протоколу TLS Подключение не зашифровано по протоколу TLS	Выберите этот параметр, чтобы включить в поиск соответствий полученные сообщения, доставка которых зашифрована или не зашифрована по протоколу TLS.
      Размер сообщения	Размер сообщения больше выбранного (МБ) Размер сообщения меньше выбранного (МБ)	Выберите этот параметр, чтобы включить в поиск сообщения, размер которых меньше или больше указанного значения. Размер сообщений (в МБ) указывается в соответствующем поле. Это непосредственный размер всего сообщения, который может быть на 33 % больше оригинального размера сообщения и прикрепленных к нему файлов из-за наличия служебной информации, связанной с кодировкой.
      Шифрование S/MIME	Сообщение с шифрованием S/MIME Сообщение без шифрования S/MIME	Выберите этот параметр, чтобы включить в поиск соответствий сообщения с шифрованием S/MIME или без него. Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus. Сравнение версий
      Подпись S/MIME	Сообщение с подписью S/MIME Сообщение без подписи S/MIME	Выберите этот параметр, чтобы включить в поиск соответствий сообщения с подписью S/MIME или без нее. Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus. Сравнение версий
      Конфиденциальный режим Gmail	Сообщение в конфиденциальном режиме Gmail Сообщение не в конфиденциальном режиме Gmail	Выберите этот параметр, чтобы включить в поиск соответствий сообщения, отправленные и полученные в конфиденциальном или не в конфиденциальном режиме Gmail.

9. Убедитесь, что в качестве действия, которое выполняется при соответствии выражению, указан параметр Запустить безопасную тестовую среду. При соответствии условию всегда будет запускаться сканирование прикрепленных файлов в тестовой среде (Запустить безопасную тестовую среду).
10. Задав настройки, нажмите Добавление настроек или Сохранить, а затем – Сохранить в нижней части страницы расширенных настроек Gmail. При необходимости задайте дополнительные настройки:
    • Сканирование прикрепленных файлов при получении сообщений от отправителя из определенного списка адресов
    • Сканирование прикрепленных файлов от определенных типов аккаунтов
    • Сканирование прикрепленных файлов от отправителей, получателей и групп (фильтр конвертов)

Списки адресов можно указывать в качестве критерия, на основании которого будет выполняться сканирование. Они могут содержать адреса электронной почты и доменные имена.

Чтобы определить, нужно ли применять правило к списку адресов, учитывается отправитель полученной почты и получатели отправленной почты. Для отправителей также проверяются требования аутентификации. Если указано несколько списков, адрес должен соответствовать по крайней мере одному из них, чтобы правило применялось.

1. Откройте окно Добавление или Изменение настроек, следуя пошаговым инструкциям в разделе Сканирование прикрепленных файлов на основе определенных правил.
2. Нажмите Показать параметры.

3. В разделе Параметры установите флажок Использовать списки адресов для того, чтобы игнорировать параметр или применять его выборочно.

4. Выберите один из вариантов:

   • Игнорировать этот параметр для определенных адресов/доменов: при соответствии списку адресов правило не будет применяться, даже если другие указанные в правиле критерии совпадают.

   • Применять этот параметр только для определенных адресов/доменов. Соответствие списку адресов станет условием применения правила. Если в правиле указаны другие критерии (выражения для поиска соответствия, типы аккаунтов или фильтры конвертов), эти условия также должны соответствовать заданному правилу, чтобы оно применялось.

5. Рядом с параметром Списков нет нажмите Создайте новый список или используйте существующий.

6. В окне Доступные списки выполните одно из следующих действий:

   • выберите название существующего списка и нажмите Использовать;

   • введите название нового списка в поле Создание списка и нажмите Создать.

7. Чтобы внести в список адреса электронной почты или доменные имена:
   1. Наведите указатель мыши на название списка и нажмите Изменить.
   2. Чтобы внести в список адреса электронной почты или доменные имена, нажмите Добавить.
   3. Введите полный адрес электронной почты или доменное имя, например solarmora.com. Чтобы добавить сразу несколько адресов, введите их через запятую или пробел.
   4. Установите флажок Не проводить аутентификацию отправителя, чтобы правило не применялось к одобренным отправителям, для которых не включена аутентификация. Обратите внимание, что при использовании этой функции возникает риск спуфинга.
   5. Нажмите Сохранить.

8. Задав настройки, нажмите Добавление настроек в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. При необходимости укажите типы аккаунтов.

Вы можете настроить сканирование писем от аккаунтов определенных типов. По умолчанию выбран тип аккаунта Пользователи, но можно указать несколько типов. Для правил исходящей почты тип аккаунта должен соответствовать отправителю.

1. Откройте окно Добавление или Изменение настроек, следуя пошаговым инструкциям в разделе Сканирование прикрепленных файлов на основе определенных правил.
2. Нажмите Показать параметры.
3. В разделе Параметры укажите значение для параметра Типы аккаунтов:
   • Пользователи
   • Нераспознанные/для приема всей почты домена
4. Задав настройки, нажмите Добавление настроек или Сохранить, а затем – Сохранить в нижней части страницы расширенных настроек Gmail. При необходимости задайте фильтр конвертов.

В качестве критериев для сканирования можно указать данные конверта электронного письма. Данные конверта электронного письма содержат адреса электронной почты отправителя и получателя.

1. Откройте окно Добавление или Изменение настроек, следуя пошаговым инструкциям в разделе Сканирование прикрепленных файлов на основе определенных правил.
2. Нажмите Показать параметры.
3. В разделе Параметры задайте настройки для параметра Фильтр конвертов: установите один или оба флажка Фильтровать только определенных отправителей и Фильтровать только определенных получателей.
4. Выберите один из вариантов:

   • Отдельный адрес электронной почты. Укажите одного пользователя с помощью адреса электронной почты. Это должен быть полный адрес с символом @ и доменным именем. Регистр не имеет значения.

   • Соответствие по шаблону: укажите регулярное выражение, которое соответствует группе отправителей или получателей в вашем домене. Чтобы проверить правильность синтаксиса, нажмите Проверить выражение. Например, можно применить настройку только для трех пользователей. Для этого укажите их адреса электронной почты с помощью следующего регулярного выражения:
     
     ^(?i)(polzovatel1@solarmora\.com|polzovatel2@solarmora\.com|polzovatel3@solarmora\.com)$
     
     В этом выражении:

     • ^ соответствует началу новой строки.
     • (?i) делает выражение нечувствительным к регистру.
     • $ соответствует окончанию строки.

     Подробнее об использовании регулярных выражений…

   • Участие в группе: выберите одну или несколько групп из списка. Для отправителей конверта этот параметр применяется только к отправленным сообщениям, а для получателей – только к полученным. Если у вас нет групп, создайте их.

5. Нажмите Добавление настроек или Сохранить в нижней части окна, а затем – Сохранить внизу страницы расширенных настроек Gmail. 
   
   Прикрепленные файлы будут сканироваться в соответствии с заданными правилами.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Отчет Спам-фильтр – вредоносное ПО содержит данные о количестве обнаруженных вредоносных файлов. В нем также перечислены сообщения, которые были идентифицированы как вредоносные. Количество просканированных прикрепленных файлов в нем не указано. Отчет доступен на панели управления безопасностью Google Workspace.