Vai al contenuto

Protezione contro URL e codici QR

In Protezione contro URL e codici QR è possibile scegliere l’azione da intraprendere per i messaggi che contengono link o codici QR dannosi.

Nota

Se un’e-mail contiene un link incluso nell’elenco di URL illegali della Internet Watch Foundation, eliminare l’e-mail è obbligatorio per legge. I requisiti legali impediscono anche la visualizzazione del link in qualsiasi ambito di Sophos Central, inclusa la Cronologia dei messaggi. Vedere IWF: Elenco di URL.

Queste e-mail verranno sempre eliminate. Le impostazioni non saranno utilizzate nei criteri di Email Security.

Per sveltire l’elaborazione delle e-mail ed evitare ritardi, la Protezione URL interrompe la scansione di un messaggio quando individua un numero elevato di URL. Per motivi di sicurezza non pubblichiamo il limite che utilizziamo.

Per maggiore sicurezza, un messaggio con troppi URL viene messo in quarantena e contrassegnato come Non scansionabile - URL eccessivi. Questa misura di protezione permette di impedire agli autori degli attacchi di nascondere URL dannosi tra un gran numero di URL in un messaggio. Dato il rischio, l’impostazione E-mail non sottoposte a scansione nella configurazione dei criteri di Email Security e i mittenti autorizzati non possono ignorare la Protezione URL.

Sophos Email esegue anche la scansione dei codici QR individuati nel corpo dell’e-mail e negli allegati, come i formati di file e di immagine più comuni. Se un codice QR contiene un URL, estraiamo questo URL e applichiamo la stessa logica di rilevamento e le stesse azioni dei criteri che vengono utilizzate per i normali URL. È possibile visualizzare gli URL estratti nella scheda URL alla pagina Dettagli messaggio, nel report Cronologia dei messaggi. Verifichiamo se l’URL o il codice QR portano a un sito web dannoso o sospetto. In caso affermativo, intraprenderemo un’azione sul messaggio, come metterlo in quarantena o eliminarlo.

Se il messaggio viene messo in quarantena e poi rilasciato, sarà recapitato e gli URL non verranno riscritti.

Scansione degli URL e dei codici QR

Se si attiva la Scansione del codice QR, Sophos Email eseguirà la scansione dei messaggi alla ricerca di URL e codici QR dannosi, che potrebbero portare a siti web non sicuri, di phishing, o contenenti malware e ransomware.

È possibile selezionare il modo in cui Sophos Email sottopone i codici QR a scansione, selezionando una delle seguenti opzioni:

  • Estrai URL ed effettua la scansione per individuare potenziali minacce (opzione consigliata): estrae gli URL dai codici QR nelle immagini e negli allegati; successivamente, li controlla per individuare eventuali minacce note o contenuti di natura criminale. Se viene rilevata una minaccia, l’azione configurata viene applicata al messaggio.
  • Rileva tutte le e-mail che contengono codici QR: applica l’azione configurata a tutti i messaggi che contengono un codice QR, anche se il codice QR è pulito. I contenuti del codice QR non vengono analizzati o sottoposti a scansione.

È poi possibile scegliere l’azione da intraprendere per i messaggi che contengono URL o codici QR dannosi.

Scegliere tra le seguenti opzioni:

  • Metti in quarantena (azione consigliata): il messaggio verrà tenuto in quarantena. È possibile rilasciare i messaggi in quarantena, se si sa per certo che sono sicuri.
  • Elimina: il messaggio verrà eliminato immediatamente.

Se si seleziona Includi in Quarantena per l’utente finale, gli utenti potranno controllare, rilasciare o eliminare i messaggi. Vedere Quarantena per l’utente finale.

Se viene rilasciato un messaggio in quarantena a cui era stato assegnato il motivo “URL/codice QR”, l’utente riceverà una nuova e-mail con il messaggio pericoloso originale, allegato in formato ZIP protetto da password. Il nuovo messaggio e-mail conterrà la password per aprire l’allegato ZIP.

Protezione Time-of-Click degli URL

Se si attiva la Protezione Time-of-Click degli URL, gli URL contenuti nei messaggi in entrata vengono riscritti in modo da essere indirizzati verso Sophos Email Security, invece della destinazione iniziale.

Quando un utente clicca sul link, Sophos Email Security effettua una ricerca SXL e blocca il link se è malevolo. Se l’URL è innocuo, l’azione intrapresa quando si clicca sul link dipenderà dalle istruzioni specificate nei criteri. Ad esempio, se per i siti web a medio rischio l'azione impostata ne prevede l'autorizzazione, una volta controllato e classificato il link come non pericoloso, il link porterà l'utente alla destinazione originaria.

Nota

Gli URL aggiunti all’Elenco autorizzazioni Time-of-Click non verranno mai riscritti.

Restrizione

Time-of-Click non riscrive gli URL nei codici QR.

Se si passa il cursore del mouse su un collegamento riscritto, è possibile vedere il nome del dominio di destinazione all’inizio dell’URL riscritto, nel formato d=domain.com. Questo significa che si può vedere dove porta il link.

Quello che segue è un esempio di URL riscritto, con il dominio evidenziato dopo l’indirizzo del server Sophos.

Esempio di URL riscritto.

Avviso

Sophos Email non può valutare nuovamente un URL dopo che un altro prodotto lo ha riscritto.

È possibile selezionare l’azione che si desidera intraprendere per i siti web aventi i seguenti livelli di reputazione:

  • Alto rischio: include siti illegali, siti contenenti malware e siti di phishing.
  • Medio rischio: include siti associati a spam e proxy anonimi.
  • Non verificato: siti web la cui reputazione non può essere verificata.

Non è possibile autorizzare i siti web ad alto rischio.

È anche possibile scegliere se gli URL debbano essere riscritti in messaggi di testo in chiaro o all'interno di messaggi con firma sicura:

  • Messaggi di testo in chiaro: e-mail prive di formattazione HTML. Senza formattazione HTML e se è attivata la riscrittura dell'URL, l'intero URL codificato verrà visualizzato nell'e-mail. La riscrittura degli URL può essere bypassata in questi messaggi deselezionando l'opzione Riscrivi URL nei messaggi in chiaro..
  • Messaggi con firma sicura: la riscrittura degli URL potrebbe interrompere le firme dei messaggi firmati con S/MIME, PGP e DKIM. La riscrittura degli URL può essere bypassata in questi messaggi deselezionando l'opzione Riscrivi URL nei messaggi con firma sicura..

    Avviso

    Prestare estrema attenzione se si sceglie di non modificare i messaggi con firma sicura, poiché tali messaggi perderebbero la protezione. Gli URL non verranno riscritti e i banner intelligenti non saranno applicati ai messaggi con firma sicura.

Vedere Elenco di autorizzazione degli URL.

Avviso

Se si attiva la Protezione Time-of-Click degli URL e si utilizza un server di posta elettronica Google, potrebbero essere segnalati errori DMARC per i messaggi in entrata.

Questo potrebbe avvenire perché Google non elabora in modo coerente le e-mail provenienti dagli indirizzi IP nel suo elenco di IP del gateway. Per verificare le proprie impostazioni di posta elettronica e per ulteriori informazioni, vedere Limitazione della consegna dei messaggi ai soli indirizzi IP Sophos.