Aller au contenu

Email Security

Utilisez cette stratégie pour appliquer les paramètres de sécurité aux emails.

Filtrage du spam

Chaque email est analysé et se voit attribuer un score de spam. Plus le score est élevé, plus le message est susceptible d’être un message de spam. Les messages dont les scores de spam sont les plus élevés sont classés comme Spam confirmé.

Les messages sont rangés par catégorie en fonction de leur score de spam et vous pouvez choisir comment traités ces catégories. Les messages sont divisés en :

  • Spam confirmé : il s’agit de messages affichant des comportements de spam connus et vérifiés.
  • Envoi en masse : il s’agit de messages sollicités envoyés en masse, tels que des bulletins d’informations envoyés à une liste de diffusion.
  • Spam suspecté : il s’agit de messages identifiés comme suspects.

Choisissez une action pour chaque catégorie :

Les paramètres par défaut sont :

  • Spam confirmé : Quarantaine
  • Envoi en masse : Quarantaine
  • Spam suspecté : Distribuer

Paramètres du message de l’utilisateur

Lorsque vous activez Bandeaux intelligents, un bandeau s’affiche en haut des messages entrants pour indiquer si l’email est fiable.

Remarque

Les bandeaux intelligents sont uniquement insérés lorsque des emails sont reçus de l’extérieur de l’organisation. Si un employé interne transfère un tel email à un autre employé interne, la bannière reste dans l’email transféré.

Les emails provenant de Sophos, (par exemple ; les emails Résumé de la quarantaine), n’afficheront pas de bandeaux.

Avertissement

Nous vous recommandons fortement d’acheminer les emails sortants par Sophos Central avant d’activer les bandeaux intelligents. En cas contraire, les destinataires externes verront le bandeau dans les réponses ou les emails transférés et pourront modifier les listes d’autorisation et de blocage des utilisateurs.

Vous pouvez activer ou désactiver les types de bandeau suivants :

  • Fiable : L’email a été envoyé par un expéditeur autorisé et a passé DMARC avec succès.
  • Externe : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation.
  • Non fiable : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation et n’a pas passé l’authentification DNS (SPF, DKIM ou DMARC).

Paramètres de la quarantaine

Vous pouvez choisir d’envoyer un message de résumé de quarantaine à chaque boîte de réception protégée. Le message contient un tableau des messages de spam mis en quarantaine depuis l’envoi du dernier message de résumé de la quarantaine. Vous pouvez programmer l’envoi de ces messages.

Vous pouvez uniquement envoyer des messages de résumé de quarantaine aux utilisateurs. Vous ne pouvez pas les envoyer aux listes de distribution ou aux dossiers publics.

Les utilisateurs peuvent libérer ou supprimer les messages de spam en quarantaine en cliquant sur le lien adéquat du message de résumé de quarantaine.

Pour créer des messages de résumé de quarantaine, procédez comme suit :

  1. Activez Envoyer un email de résumé de quarantaine.
  2. Sélectionnez le moment auquel les messages doivent être envoyés.

    Conseil

    Tous les jours sont sélectionnés par défaut. Cliquez sur un jour pour le dessélectionner.

  3. Un créneau horaire est affiché par défaut. Vous pouvez en ajouter jusqu’à trois en cliquant sur Ajouter une autre heure. Pour supprimer un créneau horaire, cliquez sur l’icône Supprimer apparaissant à côté de son nom.

    Remarque

    Le créneau horaire par défaut ne peut pas être supprimé.

Vérification de l’expéditeur

Les vérifications de l’expéditeur vous permettent de vérifier si un email a bien été envoyé par l’expéditeur indiqué. Email Security utilise les vérifications DMARC, DKIM et Anomalies d’en-tête. Les vérifications de l’expéditeur sont effectuées dans l’ordre d’apparition. En cas d’échec de la vérification du premier expéditeur, les autres vérifications sont annulées.

Vous pouvez remplacer les vérifications de l’expéditeur en ajoutant des domaines et adresses email à la liste Autoriser.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une stratégie d’authentification de la messagerie et un protocole d’édition de rapports. Elle est basée sur les protocoles DKIM et SPF pour détecter et empêcher l’usurpation de la messagerie. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DMARC.

DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable utilisée pour signer et valider un message en fonction du domaine de l’expéditeur. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DKIM.

La vérification Anomalies d’en-tête identifie un email qui semble provenir de votre propre domaine alors qu’il vient d’un domaine externe en comparant l’en-tête de l’email avec l’adresse de dans l’enveloppe.

  • Si le domaine de l’adresse de correspond au domaine du destinataire, le message est considéré comme un faux.
  • Si l’adresse de dans l’en-tête est différentes de l’adresse de dans l’enveloppe, le message est considéré comme un faux.

Remarque

L’en-tête doit correspondre aux critères ci-dessus pour déclencher la vérification Anomalies d’en-tête.

Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications Anomalies d’en-tête.

Contrôle antimalware étendu pour la messagerie

Contenu amélioré et contrôle des propriétés des fichiers : Il s’agit de notre niveau de protection le plus élevé contre les malwares de messagerie. Il est activé par défaut.

Ce paramètre s’applique aux messages entrants et sortants.

Remarque

En cas de détection d’un malware dans un message, ce dernier est toujours rejeté.

Emails non contrôlés : Vous pouvez choisir l’action à effectuer sur les messages qui ne peuvent pas être contrôlés. Les actions disponibles sont :

  • Quarantaine
  • Supprimer
  • Marquer la ligne d’objet

Ce paramètre s’applique uniquement aux messages entrants.

Protection Time of Click des URL (licence Email Advanced uniquement) : Lorsque la protection Time of Click des URL est activée, les URL dans les messages entrants sont réécrites afin de diriger vers Sophos Email plutôt que vers la destination d’origine.

Lorsque vous cliquez sur un lien, Sophos Email procède à la vérification SXL et le bloque s’il s’agit d’un site malveillant. Si l’URL est saine, l’action entreprise lorsque vous cliquez sur le lien dépend de ce que vous avez indiqué dans la stratégie. Par exemple, si vous avez autorisé des sites Web à risque moyen, le lien vous dirigera vers la destination d’origine après vérification et sa classification dans la catégorie non malveillant.

Le nom de domaine est affiché au début de l’URL réécrite afin que vous puissiez voir où le lien vous redirigera, s’il est autorisé. Par exemple d=domain.com.

Vous pouvez sélectionner l’action à effectuer pour les sites Web avec les niveaux de réputation suivants :

  • Risque élevé : inclut les sites illégaux, les sites contenant des malwares et les sites de phishing.
  • Risque moyen : inclut les sites associés à des activités de spam et des proxys d’anonymisation.
  • Non vérifié : la réputation du site Web ne peut pas être vérifiée.

Vous ne pouvez pas autoriser les sites Web à risque élevé.

Remarque

Les URL que vous ajoutez à la liste d’autorisation du Time of Click ne sont jamais réécrites lorsque vous cliquez dessus.

Vous pouvez également contrôler si les URL sont réécrites dans des messages en texte clair et dans des messages sécurisés par signature :

  • Messages en texte brut : Fait référence aux emails sans formatage HTML. Sans le formatage HTML, l’URL encodée s’affiche dans l’email lorsque la réécriture d’URL est activée. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages en clair..
  • Messages sécurisés par signature : La réécriture d’URL peut endommager les signatures des messages signés avec S/MIME, PGP et DKIM. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages sécurisés par signature..

Avertissement

Faites très attention si vous choisissez d’éviter la réécriture d’URL. En effet, les URL dans ces messages ne seront plus protégées.

Voir Informations sur SXL (Sophos Extensible List).

Analyse des menaces par Intelix - (licence Email Advanced uniquement) : Cette option envoie des emails au contenu potentiellement malveillant dans un environnement virtuel isolé dans lequel ils sont ouverts et vérifiés. S’ils sont malveillants, les emails sont supprimés. SophosLabs Intelix détecte les menaces dans les messages en utilisant l’analyse dynamique. L’analyse statique repose sur l’utilisation de différents modèles de Machine Learning, différents réseaux neuronaux, la réputation globale, le contrôle approfondi des fichiers et bien plus encore. L’analyse dynamique exécute un message dans une « sandbox » pour révéler sa vraie nature et ses capacités de menace potentielle.

Lorsque Emplacement du service Intelix est activé, vous pouvez sélectionner l’emplacement de votre choix.

Conseil

Sélectionnez Laisser Sophos décider (conseillé) pour rediriger automatiquement les messages pour des performances optimales.

Les messages potentiellement malveillants seront exécutés dans un environnement virtuel pour un examen plus approfondi.

Les messages sains seront livrés normalement. Les messages contenant des menaces avancées seront rejetés.

Voir Sophos Sandstorm.

Protection contre l’usurpation d’identité (licence Email Advanced uniquement) : Cette fonction détecte les emails qui prétendent avoir été envoyés par des marques connues ou par des personnes très importantes (VIP) de votre organisation.

Choisissez l’action à prendre lorsque cette fonction détecte des emails.

Dans les rapports récapitulatifs, ces emails sont appelés menace avancée.

Vous pouvez ajouter des adresses email pour les VIP dans Gestion VIP.