Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=email-url-qr-code-protection

Protezione contro URL e codici QR

In Protezione contro URL e codici QR è possibile scegliere l’azione da intraprendere per i messaggi che contengono link o codici QR dannosi.

Nota

Se un’e-mail contiene un link incluso nell’elenco di URL illegali della Internet Watch Foundation, eliminare l’e-mail è obbligatorio per legge. I requisiti legali impediscono anche la visualizzazione del link in qualsiasi ambito di Sophos Central, inclusa la Cronologia dei messaggi. Vedere IWF: Elenco di URL.

Queste e-mail verranno sempre eliminate. Le impostazioni non saranno utilizzate nei criteri di Email Security.

Per sveltire l’elaborazione delle e-mail ed evitare ritardi, la Protezione URL interrompe la scansione di un messaggio quando individua un numero elevato di URL. Per motivi di sicurezza non pubblichiamo il limite che utilizziamo.

Per maggiore sicurezza, un messaggio con troppi URL viene messo in quarantena e contrassegnato come Non scansionabile - URL eccessivi. Questa misura di protezione permette di impedire agli autori degli attacchi di nascondere URL dannosi tra un gran numero di URL in un messaggio. Dato il rischio, l’impostazione E-mail non sottoposte a scansione nella configurazione dei criteri di Email Security e i mittenti autorizzati non possono impedire l’esecuzione della Protezione degli URL.

Sophos Email esegue anche la scansione dei codici QR individuati nel corpo dell’e-mail e negli allegati, come i formati di file e di immagine più comuni. Se un codice QR contiene un URL, estraiamo questo URL e applichiamo la stessa logica di rilevamento e le stesse azioni dei criteri che vengono utilizzate per i normali URL. È possibile visualizzare gli URL estratti nella scheda URL alla pagina Dettagli messaggio, nel report Cronologia dei messaggi. Verifichiamo se l’URL o il codice QR portano a un sito web dannoso o sospetto. In caso affermativo, intraprenderemo un’azione sul messaggio, come metterlo in quarantena o eliminarlo.

Se il messaggio viene messo in quarantena e poi rilasciato, sarà recapitato e gli URL non verranno riscritti.

Scansione degli URL e dei codici QR

Se si attiva la Scansione del codice QR, Sophos Email eseguirà la scansione dei messaggi alla ricerca di URL e codici QR dannosi, che potrebbero portare a siti web non sicuri, di phishing, o contenenti malware e ransomware.

Procedura

È possibile selezionare il modo in cui Sophos Email sottopone i codici QR a scansione, selezionando una delle seguenti opzioni:

  • Estrai URL ed effettua la scansione per individuare potenziali minacce (opzione consigliata): estrae gli URL dai codici QR nelle immagini e negli allegati; successivamente, li controlla per individuare eventuali minacce note o contenuti di natura criminale. Se viene rilevata una minaccia, l’azione configurata viene applicata al messaggio.
  • Rileva tutte le e-mail che contengono codici QR: applica l’azione configurata a tutti i messaggi che contengono un codice QR, anche se il codice QR è pulito. I contenuti del codice QR non vengono analizzati o sottoposti a scansione.

È poi possibile scegliere l’azione da intraprendere per i messaggi che contengono URL o codici QR dannosi.

Scegliere tra le seguenti opzioni:

  • Metti in quarantena (azione consigliata): il messaggio verrà tenuto in quarantena. È possibile rilasciare i messaggi in quarantena, se si sa per certo che sono sicuri.
  • Elimina: il messaggio verrà eliminato immediatamente.

Se si seleziona Includi in Quarantena per l’utente finale, gli utenti potranno controllare, rilasciare o eliminare i messaggi. Vedere Quarantena per l’utente finale.

Se viene rilasciato un messaggio in quarantena a cui era stato assegnato il motivo “URL/codice QR”, l’utente riceverà una nuova e-mail con il messaggio pericoloso originale, allegato in formato ZIP protetto da password. Il nuovo messaggio e-mail conterrà la password per aprire l’allegato ZIP.

Protezione Time-of-Click degli URL

Se si attiva la Protezione Time-of-Click degli URL, gli URL contenuti nei messaggi in entrata vengono riscritti in modo da essere indirizzati verso Sophos Email, invece della destinazione iniziale.

Procedura

Quando si clicca su un link riscritto, Sophos Email esegue una ricerca in SXL.

  • Se il link è dannoso, viene bloccato.
  • Se il link è sicuro, l’azione dipenderà dalle proprie impostazioni dei criteri. Se, ad esempio, i siti web a rischio medio sono autorizzati e il link è classificato come sicuro ma a rischio medio, il link si aprirà nel browser.

Sophos Email non riscriverà gli URL che vengono aggiunti all’elenco di autorizzazione degli URL. L’elenco di autorizzazione troverà corrispondenza solo con il nome host (la parte del dominio dell’URL, ad esempio example.com) che Sophos rileverà al momento della scansione.

Per impedire la riscrittura, aggiungere all’elenco di autorizzazione il nome host di reindirizzamento o di monitoraggio. In questo modo, Sophos Email invierà il link senza sostituirlo con un URL riscritto da Sophos, pur applicando la scansione.

Se un altro servizio (come i Collegamenti sicuri di Microsoft o un servizio di reindirizzamento o di monitoraggio di un fornitore) riscrive il link prima che venga analizzato da Sophos, Sophos vedrà solo il nome host riscritto o di monitoraggio. Un nome host di monitoraggio (riscritto) è il dominio che questi servizi utilizzano per verificare o tenere traccia dei clic degli utenti (ad esempio safelinks.protection.outlook.com). Di conseguenza, il nome host originale nell’elenco di autorizzazione non verrà applicato.

Restrizione

Time-of-Click non riscrive gli URL nei codici QR.

Se si passa il cursore del mouse su un collegamento riscritto, è possibile vedere il nome del dominio di destinazione all’inizio dell’URL riscritto, nel formato d=domain.com. Questo significa che si può vedere dove porta il link.

Quello che segue è un esempio di URL riscritto, con il dominio evidenziato dopo l’indirizzo del server Sophos.

Esempio di URL riscritto.

Avviso

Sophos Email non può valutare nuovamente un URL dopo che un altro prodotto lo ha riscritto.

È possibile selezionare l’azione che si desidera intraprendere per i siti web aventi i seguenti livelli di reputazione:

  • Alto rischio: include siti illegali, siti contenenti malware e siti di phishing.
  • Medio rischio: include siti associati a spam e proxy anonimi.
  • Non verificato: siti web la cui reputazione non può essere verificata.

Non è possibile autorizzare i siti web ad alto rischio.

È anche possibile scegliere se gli URL debbano essere riscritti in messaggi di testo in chiaro o all'interno di messaggi con firma sicura:

  • Messaggi di testo in chiaro: e-mail prive di formattazione HTML. Senza formattazione HTML e se è attivata la riscrittura dell'URL, l'intero URL codificato verrà visualizzato nell'e-mail. La riscrittura degli URL può essere evitata in questi messaggi deselezionando l’opzione Riscrivi URL nei messaggi in chiaro.

  • Messaggi con firma sicura: la riscrittura degli URL potrebbe interrompere le firme dei messaggi firmati con S/MIME, PGP e DKIM. La riscrittura degli URL può essere evitata in questi messaggi deselezionando l’opzione Riscrivi URL nei messaggi con firma sicura.

    Avviso

    Prestare estrema attenzione se si sceglie di non modificare i messaggi con firma sicura, poiché perderebbero la protezione. Gli URL non verranno riscritti e i banner intelligenti non saranno applicati.

Vedere Elenco di autorizzazione degli URL.

Avviso

Se si attiva la Protezione Time-of-Click degli URL e si utilizza un server di posta elettronica Google, potrebbero essere segnalati errori DMARC per i messaggi in entrata.

Il problema potrebbe essere il fatto che Google non elabora in modo coerente le e-mail provenienti dagli indirizzi IP nel suo elenco di IP del gateway. Per verificare le proprie impostazioni di posta elettronica e per ulteriori informazioni, vedere Limitazione della consegna dei messaggi ai soli indirizzi IP Sophos.