Configurar regras para detectar anexos nocivos

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  AppsGoogle WorkspaceGmailSpam, phishing e malware.
3. Selecione a unidade organizacional com as configurações que você quer definir. Se você quiser definir configurações para todos, selecione a unidade de nível superior. Também é possível selecionar uma das unidades organizacionais filhas.
4. Role até Sandbox de segurança na seção Spam, phishing e malware. As regras do sandbox de segurança aparecem na parte inferior dessa seção.

Por ser administrador, você pode configurar o Gmail para verificar todos os anexos de e-mail.

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  AppsGoogle WorkspaceGmailSpam, phishing e malware.
3. Selecione a unidade organizacional com as configurações que você quer definir. Se você quiser definir configurações para todos, selecione a unidade de nível superior. Também é possível selecionar uma das unidades organizacionais filhas.
4. Role até Sandbox de segurança na seção Spam, phishing e malware. As regras do sandbox de segurança aparecem na parte inferior dessa seção.
5. Para verificar todos os anexos, marque a caixa Ativar a execução virtual de anexos em um ambiente sandbox....

   Observação: quando essa caixa é marcada, todos os anexos são verificados no sandbox de segurança, qualquer que seja a regra especificada.

6. Na parte inferior da página, clique em Salvar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

As regras que você especifica são usadas para identificar as mensagens de e-mail cujos anexos serão verificados.

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  AppsGoogle WorkspaceGmailSpam, phishing e malware.
3. Selecione a unidade organizacional com as configurações que você quer definir. Se você quiser definir configurações para todos, selecione a unidade de nível superior. Também é possível selecionar uma das unidades organizacionais filhas.

4. Na seção Spam, phishing e malware, em "Sandbox de segurança", desmarque a caixa Ativar a execução virtual de anexos em um ambiente sandbox.... Quando essa caixa é desmarcada, só os anexos que correspondem às regras do sandbox são verificados nele.

5. Aponte para Regras do sandbox de segurança na parte inferior da seção Spam, phishing e malware e clique em Configurar.

6. Na caixa Adicionar configuração, em Regras do sandbox de segurança, digite um nome para a regra. Esse nome aparece na página de configurações.

7. Na seção Mensagens de e-mail afetadas, marque as caixas ao lado dos seguintes tipos de mensagem:

   • Entrada: mensagens enviadas para sua organização de domínios externos.

   • Interno - recebendo: mensagens enviadas e recebidas nos domínios e subdomínios da sua organização.

8. Na seção Adicione expressões que descrevam o conteúdo que você quer pesquisar em cada mensagem, siga estas etapas:

   1. Selecione se você quer corresponder qualquer expressão ou todas. Por exemplo, quando você seleciona Se QUALQUER UMA das seguintes opções coincidir com a mensagem, a condição correspondente aciona a verificação do anexo no sandbox de segurança.

   2. Na caixa Expressões, clique em Adicionar.

   3. Na lista, escolha o que você quer especificar para a expressão e clique em Salvar.

      • Correspondência de conteúdo simples: faz a correspondência com o conteúdo que você especifica. A correspondência de conteúdo simples funciona como a função de pesquisa no Gmail. Por exemplo, se você pesquisar por ordem de compra, qualquer string com as palavras ordem e compra será retornada. Saiba mais sobre os operadores de pesquisa do Gmail.

      • Correspondência de conteúdo avançado: selecione o Local do texto na mensagem e o Tipo de correspondência e digite o conteúdo a ser pesquisado. Diferentemente da correspondência de conteúdo simples, a string precisa ser uma correspondência exata. Consulte as tabelas abaixo para ver uma descrição de cada local na mensagem e os tipos de correspondência. Saiba mais em Opções de correspondência de conteúdo avançado.

      • Correspondência de metadados: selecione o atributo para corresponder e o Tipo de correspondência. Se necessário, digite o Valor de correspondência. Consulte as tabelas abaixo para ver uma descrição de cada atributo de metadados e os tipos de correspondência. Saiba mais em Atributos de metadados e tipos de correspondência.

      • Correspondência de conteúdo predefinida: selecione um dos detectores de conteúdo predefinidos. Por exemplo, selecione Número do cartão de crédito ou Número do CPF ou CNPJ. Também é possível definir o número de vezes que o detector precisa aparecer em uma mensagem para acionar a ação definida. Além disso, você pode acionar uma verificação quando o detector na mensagem atinge um limite de confiança. Observação: este recurso não está disponível em todas as edições. Saiba mais em Verificar o tráfego de e-mails usando regras da DLP.

      Opções de correspondência de conteúdo avançado

      • Local: a seção da mensagem de e-mail onde o conteúdo aparece.

        Tipo de local	Descrição
        Cabeçalhos + texto	Os cabeçalhos completos e o corpo da mensagem. Inclui os anexos (partes MIME decodificadas).
        Cabeçalhos completos	Todos os campos do cabeçalho. Não inclui o corpo da mensagem ou os anexos.
        Texto	A parte principal do texto da mensagem de e-mail. Inclui os anexos (partes MIME codificadas).
        Assunto	O assunto da mensagem conforme apresentado no cabeçalho do e-mail.
        Cabeçalho do remetente	O endereço de e-mail do remetente, conforme informado no cabeçalho "De". Ele pode ser diferente do remetente informado em Remetente do envelope. O cabeçalho do remetente é composto pelo endereço de e-mail, localizado entre os sinais de maior e menor, e não inclui o nome do proprietário da conta. Por exemplo, considere o seguinte: De: Jane Silva <jsilva@example.com> O cabeçalho do remetente é jsilva@example.com. Observação: o lado esquerdo dos endereços @gmail.com e @googlemail.com é convertido na representação canônica. Por exemplo, jane.silva@gmail.com é convertido em janesilva@gmail.com.
        Cabeçalho de destinatários	O destinatário ou os destinatários, conforme informado nos cabeçalhos de e-mail "Para", "Cc" e "Cco". Os destinatários podem ser diferentes dos informados em Qualquer destinatário do envelope. Compara apenas um destinatário de cada vez. Se houver dois ou mais destinatários, a regra de conteúdo avançado não corresponderá a todos os destinatários em uma string. Se você quiser configurar uma regra aplicável a mensagens enviadas para vários usuários, use cabeçalhos completos. O cabeçalho do remetente é composto pelo endereço de e-mail, localizado entre os sinais de maior e menor, e não inclui o nome do proprietário da conta. Por exemplo, considere o seguinte: Para: Jane Silva <jsilva@example.com> Cc: João Silva <joaosilva@example.com> Bcc: João Santos <jsantos@example.com> Os cabeçalhos de destinatário são jsilva@example.com, joaosilva@example.com e jsantos@example.com.
        Remetente do envelope	O remetente original que foi informado durante a solicitação de comunicação SMTP. Ele pode ser diferente do informado em Cabeçalho do remetente. Nem sempre esse remetente corresponde ao endereço encontrado no cabeçalho "Return-path".
        Qualquer destinatário do envelope	Um ou mais destinatários, conforme informado durante a solicitação de comunicação SMTP. Eles podem ser diferentes dos informados em Cabeçalho dos destinatários. Isso pode incluir indivíduos adicionados como parte da expansão de um grupo. Compara apenas um destinatário de cada vez. Se houver dois ou mais destinatários, a regra de conteúdo avançado não corresponderá a todos os destinatários em uma string.
        Mensagem bruta	Os cabeçalhos completos mais o corpo da mensagem, incluindo todos os anexos e outras partes MIME da mensagem. As partes MIME não são decodificadas.

      • Tipo de correspondência: os parâmetros usados para determinar uma correspondência.
         

        Tipo de correspondência	Descrição
        Começa com	Pesquisa o local selecionado para encontrar conteúdo que comece com o caractere ou a string especificados.
        Termina com	Pesquisa o local selecionado para encontrar conteúdo que termine com o caractere ou a string especificados.
        Contém texto	Pesquisa o local selecionado para encontrar conteúdo que contenha a string especificada.
        Não contém texto	Pesquisa o local selecionado para encontrar conteúdo que não contenha a string especificada.
        Igual a	Pesquisa o local selecionado para encontrar conteúdo que corresponda exatamente à string especificada.
        Está vazio	Pesquisa o local selecionado para encontrar conteúdo que esteja vazio.
        Corresponde ao regex	Pesquisa o local selecionado para encontrar conteúdo que corresponda à expressão regular especificada.
        Não corresponde ao regex	Pesquisa o local selecionado para encontrar conteúdo que não corresponda à expressão regular especificada.
        Corresponde a qualquer palavra	Pesquisa o local selecionado para encontrar conteúdo que corresponda a qualquer palavra na lista de palavras especificada.
        Corresponde a todas as palavras	Pesquisa o local selecionado para encontrar conteúdo que corresponda a todas as palavras na lista de palavras especificada.

      • Conteúdo: o texto a ser correspondido.

      Atributos de metadados e tipos de correspondência

      Atributo	Tipo de correspondência	Descrição
      Autenticação de mensagens	A mensagem está autenticada A mensagem não está autenticada	Selecione essa opção para incluir mensagens que estão autenticadas ou não na sua expressão de compliance. Ela está em conformidade com o padrão DMARC. As mensagens serão autenticadas se passarem nas verificações do SPF ou DKIM. Caso contrário, a mensagem será considerada não autenticada. Saiba mais sobre SPF, DKIM e DMARC.
      IP de origem	Está dentro do intervalo Não está dentro do intervalo	Selecione essa opção para incluir mensagens que fazem parte ou não do intervalo de IPs especificado na sua expressão de compliance.
      Transporte seguro (TLS)	A conexão está criptografada via TLS A conexão não está criptografada via TLS	Selecione esta opção para incluir mensagens que são criptografadas ou não via TLS na sua expressão de compliance.
      Tamanho da mensagem	Tem mais de (MB) Tem menos de (MB)	Selecione essa opção para incluir mensagens que são maiores ou menores que o tamanho especificado na sua expressão de compliance. Digite o tamanho da mensagem em MB no campo. Devido à sobrecarga de codificação, o tamanho da mensagem não processado pode ser até 33% maior que o tamanho base da mensagem e dos anexos.
      Criptografia S/MIME	Mensagem criptografada pelo S/MIME Mensagem não criptografada pelo S/MIME	Selecione esta opção para incluir mensagens com ou sem a criptografia S/MIME. Edições compatíveis com este recurso: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade e Education Plus:  Comparar sua edição
      Assinada pelo S/MIME	Mensagem assinada pelo S/MIME Mensagem não assinada pelo S/MIME	Selecione esta opção para incluir mensagens com ou sem assinatura S/MIME. Edições compatíveis com este recurso: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade e Education Plus:  Comparar sua edição
      Modo confidencial do Gmail	A mensagem está no modo confidencial do Gmail A mensagem não está no modo confidencial do Gmail	Selecione esta opção para incluir mensagens que estão ou não no modo confidencial do Gmail.

9. Confirme que a opção Executar o sandbox de segurança aparece como a ação a ser executada se as expressões corresponderem. As condições de correspondência sempre acionam a verificação de anexos no sandbox de segurança (Executar o sandbox de segurança).
10. Se as alterações estiverem completas, clique em Adicionar configuração ou Salvar e depois clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Também é possível acessar estas configurações:
    • Verificar anexos se as mensagens vierem de listas de endereços específicas
    • Verificar anexos de tipos de conta específicos
    • Verificar anexos de remetentes, destinatários e grupos (filtro de envelope)

Colocar anexos nocivos em quarentena

Por padrão, o malware detectado pelo sandbox de segurança é colocado na pasta de spam. Em vez disso, você pode colocar em quarentena os anexos de software maliciosos detectados pelo sandbox de segurança. Crie uma regra de compliance do conteúdo usando o atributo de metadados spam.

Você pode especificar listas de endereços como critério para definir se as mensagens correspondem às regras do sandbox de segurança. As listas podem incluir endereços de e-mail, domínios ou essas duas opções.

Para determinar se uma regra se aplica a uma lista de endereços, o Gmail considera o remetente no campo "De" do e-mail recebido e os destinatários no campo "Para" do e-mail enviado. No caso dos remetentes, o requisito de autenticação também é marcado. Se várias listas forem especificadas, um endereço precisará corresponder a pelo menos uma delas para que uma regra seja aplicada.

Para especificar listas de endereços, siga estas etapas:

1. Na caixa Adicionar configuração ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas.

2. Na seção Opções, marque a caixa Usar listas de endereços para ignorar ou controlar a aplicação desta configuração.

3. Selecione uma das seguintes opções:

   • Ignorar esta configuração para endereços / domínios específicos: pula a regra se a lista de endereços corresponder, independentemente de qualquer outro critério especificado na regra

   • Aplicar esta configuração apenas a endereços / domínios específicos: a correspondência da lista de endereços se torna uma condição para a aplicação da regra. Se houver outros critérios na regra, como expressões de correspondência, tipos de conta ou filtros de envelope, essas condições também precisarão corresponder à regra a ser aplicada.

4. Ao lado de Nenhuma lista usada até agora, clique em Usar existente ou criar uma nova.

5. Na caixa Listas disponíveis, siga um destes procedimentos:

   • Selecione o nome de uma lista existente e clique em Usar.

   • Digite um nome para uma nova lista no campo Criar nova lista e clique em Criar.

6. Para adicionar endereços de e-mail ou domínios a uma lista, siga estas etapas:
   1. Aponte para o nome da lista e clique em Editar.
   2. Para adicionar endereços de e-mail ou domínios à lista, clique em Adicionar.
   3. Digite um endereço de e-mail ou nome de domínio, como solarmora.com. Para adicionar vários endereços, separe-os por vírgulas ou espaços.
   4. Marque a caixa Não necessitam de autenticação do remetente se você quiser ignorar a regra para os remetentes aprovados que não configuraram a autenticação. Use essa opção com cuidado, já que ela tem o potencial de gerar spoofing.
   5. Clique em Salvar.

7. Caso suas configurações estejam completas, clique em Adicionar configuração na parte inferior da caixa. Depois, clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Caso contrário, acesse Tipos de contas afetadas.

Você pode especificar os tipos de conta como critérios para que as mensagens correspondam às regras do sandbox de segurança.

Por padrão, a opção Usuários é selecionada, mas você pode selecionar mais de um tipo. Se você estiver definindo uma configuração de saída, o tipo de conta precisará corresponder ao tipo do remetente.

1. Na caixa Adicionar configuração ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas.
2. Na seção Opções, selecione suas configurações para Tipos de contas afetadas:
   • Usuários
   • Não reconhecida/pega-tudo
3. Se as alterações estiverem completas, clique em Adicionar configuração ou Salvar e depois clique em Salvar na parte inferior da página Configurações avançadas do Gmail. Caso contrário, acesse Especificar um filtro de envelope.

Você pode especificar as informações do envelope de e-mail como critérios nas regras do sandbox de segurança. Os endereços de e-mail do destinatário e do remetente são exemplos de informações do envelope de e-mail.

1. Na caixa Adicionar configuração ou Editar configuração, clique em Mostrar opções. Para acessar essa caixa, consulte Verificar anexos se as mensagens corresponderem às regras especificadas.
2. Na seção Opções, selecione suas configurações em Filtro de envelope: marque a caixa Afetar apenas remetentes de envelopes específicos, a caixa Afetar apenas destinatários de envelopes específicos ou essas duas caixas.
3. Selecione uma opção:

   • Endereço de e-mail único: para especificar um único usuário, digite um endereço de e-mail. Ele precisa ser um endereço de e-mail completo e incluir @ e o nome de domínio. A correspondência não diferencia maiúsculas e minúsculas.

   • Correspondência de padrão: digite uma expressão regular para especificar um conjunto de remetentes ou destinatários no seu domínio. Clique em Testar expressão para verificar se a sintaxe está correta. Por exemplo, para que a configuração se aplique apenas a três usuários específicos, digite a lista de usuários usando a seguinte sintaxe de expressão regular:
     
     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$
     
     Na expressão:

     • ^ corresponde ao início de uma nova linha.
     • (?i) faz com que a expressão não diferencie maiúsculas de minúsculas.
     • $ corresponde ao fim de uma linha.

     Saiba mais sobre o uso de expressões regulares.

   • Filiação a grupo: selecione um ou mais grupos na lista. Para os remetentes do envelope, essa opção só é aplicável aos e-mails enviados. No caso dos destinatários do envelope, ela só é aplicável aos e-mails recebidos. Você precisará criar o grupo primeiro, caso ainda não tenha feito isso.

4. Clique em Adicionar configuração ou em Salvar na parte inferior da caixa. Em seguida, clique em Salvar na parte inferior da página Configurações avançadas do Gmail. 
   
   Os anexos são verificados de acordo com as regras especificadas.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

O relatório Filtro de spam: malware mostra o número de anexos maliciosos identificados. Ele também lista todas as mensagens identificadas como maliciosas, mas não mostra o número de anexos verificados. Esse relatório está disponível no painel de segurança do Google Workspace.

Você pode ver as mudanças nas configurações do sandbox de segurança no registro de auditoria do Admin Console.