Sécurité de la messagerie

Utilisez cette stratégie pour appliquer les paramètres de sécurité aux emails.

Les paramètres suivants s’appliquent uniquement aux messages entrants à l’exception de Contenu amélioré et contrôle des propriétés des fichiers, qui s’applique aux messages entrants et sortants.

Filtrage du spam

Chaque email est analysé et se voit attribuer un score de spam. Plus le score est élevé, plus le message est susceptible d’être un message de spam. Les messages dont les scores de spam sont les plus élevés sont classés comme Spam confirmé.

Les messages sont rangés par catégorie en fonction de leur score de spam et vous pouvez choisir comment traités ces catégories. Les messages sont divisés en :

  • Spam confirmé : il s’agit de messages affichant des comportements de spam connus et vérifiés.
  • Envoi en masse : il s’agit de messages sollicités envoyés en masse, tels que des bulletins d’informations envoyés à une liste de diffusion.
  • Spam suspecté : il s’agit de messages identifiés comme suspects.

Choisissez une action pour chaque catégorie :

Les paramètres par défaut sont :

  • Spam confirmé : Quarantaine
  • Envoi en masse : Quarantaine
  • Spam suspecté : Distribuer

Paramètres du message de l’utilisateur

Lorsque vous activez Bandeaux intelligents, un bandeau s’affiche en haut des messages entrants pour indiquer si l’email est fiable.

Remarque : Les bandeaux intelligents sont uniquement insérés lorsque des emails sont reçus de l’extérieur de l’organisation. Si un employé interne transfère un tel email à un autre employé interne, la bannière reste dans l’email transféré.

Les emails provenant de Sophos, (par exemple ; les emails Résumé de la quarantaine), n’afficheront pas de bandeaux.

Avertissement : Nous vous recommandons fortement d’acheminer les emails sortants par Sophos Central avant d’activer les bandeaux intelligents. En cas contraire, les destinataires externes verront le bandeau dans les réponses ou les emails transférés et pourront modifier les listes d’autorisation et de blocage des utilisateurs.

Vous pouvez activer ou désactiver les types de bandeau suivants :

  • Fiable : L’email a été envoyé par un expéditeur autorisé et a passé DMARC avec succès.
  • Externe : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation.
  • Non fiable : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation et n’a pas passé l’authentification DNS (SPF, DKIM ou DMARC).

Paramètres de la quarantaine

Vous pouvez choisir d’envoyer un message de résumé de quarantaine à chaque boîte de réception protégée. Le message contient un tableau des messages de spam mis en quarantaine depuis l’envoi du dernier message de résumé de la quarantaine. Vous pouvez programmer l’envoi de ces messages.

Vous pouvez uniquement envoyer des messages de résumé de quarantaine aux utilisateurs. Vous ne pouvez pas les envoyer aux listes de distribution ou aux dossiers publics.

Les utilisateurs peuvent libérer ou supprimer les messages de spam en quarantaine en cliquant sur le lien adéquat du message de résumé de quarantaine.

Pour créer des messages de résumé de quarantaine, procédez comme suit :

  1. Activez Envoyer un email de résumé de quarantaine.
  2. Sélectionnez le moment auquel les messages doivent être envoyés.
    Conseil : Tous les jours sont sélectionnés par défaut. Cliquez sur un jour pour le dessélectionner.
  3. Un créneau horaire est affiché par défaut. Vous pouvez en ajouter jusqu’à trois en cliquant sur Ajouter une autre heure. Pour supprimer un créneau horaire, cliquez sur l’icône Supprimer apparaissant à côté de son nom.
    Remarque : Le créneau horaire par défaut ne peut pas être supprimé.

Vérification de l’expéditeur

Les vérifications de l’expéditeur vous permettent de vérifier si un email a bien été envoyé par l’expéditeur indiqué. Email Security utilise les vérifications DMARC, DKIM et Anomalies d’en-tête. Les vérifications de l’expéditeur sont effectuées dans l’ordre d’apparition. En cas d’échec de la vérification du premier expéditeur, les autres vérifications sont annulées.

Vous pouvez remplacer les vérifications de l’expéditeur en ajoutant des domaines et adresses email à la liste Autoriser.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une stratégie d’authentification de la messagerie et un protocole d’édition de rapports. Elle est basée sur les protocoles DKIM et SPF pour détecter et empêcher l’usurpation de la messagerie. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DMARC.

Vous pouvez sélectionner :

  • Conforme à la stratégie de l’expéditeur : ce qui arrive au message dépend de ce que l’expéditeur a indiqué dans la stratégie DMARC. (Il s’agit de la valeur par défaut).
  • Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé.
  • Quarantaine : le message est mis en quarantaine.
  • Refuser : le message est refusé.
  • Distribuer : envoie le message au serveur de messagerie pour livraison.

DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable utilisée pour signer et valider un message en fonction du domaine de l’expéditeur. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DKIM.

Vous pouvez sélectionner :

  • Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. (Il s’agit de la valeur par défaut).
  • Quarantaine : le message est mis en quarantaine.
  • Refuser : le message est refusé.
  • Distribuer : envoie le message au serveur de messagerie pour livraison.

La vérification Anomalies d’en-tête identifie un email qui semble provenir de votre propre domaine alors qu’il vient d’un domaine externe en comparant l’en-tête de l’email avec l’adresse de dans l’enveloppe.

  • Si le domaine de l’adresse de correspond au domaine du destinataire, le message est considéré comme un faux.
  • Si l’adresse de dans l’en-tête est différentes de l’adresse de dans l’enveloppe, le message est considéré comme un faux.
Remarque : L’en-tête doit correspondre aux critères ci-dessus pour déclencher la vérification Anomalies d’en-tête.

Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications Anomalies d’en-tête.

Vous pouvez sélectionner :

  • Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. (Il s’agit de la valeur par défaut).
  • Quarantaine : le message est mis en quarantaine.
  • Refuser : le message est refusé.
  • Distribuer : envoie le message au serveur de messagerie pour livraison.

Contrôle antimalware étendu pour la messagerie

Contenu amélioré et contrôle des propriétés des fichiers : Il s’agit de notre niveau de protection le plus élevé contre les malwares de messagerie. Il est activé par défaut.

Ce paramètre s’applique aux messages entrants et sortants.

Remarque : En cas de détection d’un malware dans un message, ce dernier est toujours rejeté.

Emails non contrôlés : Vous pouvez choisir l’action à effectuer sur les messages qui ne peuvent pas être contrôlés. Les actions disponibles sont :

  • Quarantaine
  • Supprimer
  • Marquer la ligne d’objet

Ce paramètre s’applique uniquement aux messages entrants.

Protection Time of Click des URL (licence Email Advanced uniquement) : Lorsque la protection Time of Click des URL est activée, les URL dans les messages entrants sont réécrites afin de diriger vers Sophos Email plutôt que vers la destination d’origine.

Lorsque vous cliquez sur un lien, Sophos Email procède à la vérification SXL et le bloque s’il s’agit d’un site malveillant. Si l’URL est saine, l’action entreprise lorsque vous cliquez sur le lien dépend de ce que vous avez indiqué dans la stratégie. Par exemple, si vous avez autorisé des sites Web à risque moyen, le lien vous dirigera vers la destination d’origine après vérification et classification dans la catégorie non malveillant.

Le nom de domaine sera affiché au début de l’URL réécrite afin que vous puissiez voir où le lien vous redirigera, s’il est autorisé. Par exemple d=domaine.com.

Vous pouvez sélectionner l’action à effectuer pour les sites Web avec les niveaux de réputation suivants :

  • Risque élevé : inclut les sites illégaux, les sites contenant des malwares et les sites de phishing.
  • Risque moyen : inclut les sites associés à des activités de spam et des proxys d’anonymisation.
  • Non vérifié : la réputation du site Web ne peut pas être vérifiée.

Vous ne pouvez pas autoriser les sites Web à risque élevé.

Remarque : Les URL que vous ajoutez à la liste d’autorisation du Time of Click ne sont jamais réécrites lorsque vous cliquez dessus.

Vous pouvez également contrôler si les URL sont réécrites dans des messages en texte clair et dans des messages sécurisés par signature :

  • Messages en clair : emails sans format HTML. Lorsque la réécriture des URL sans format HTML est activée, l’URL codée apparaîtra complètement dans l’email. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages en clair..
  • Messages sécurisés par signature : La réécriture d’URL peut endommager les signatures des messages signés avec S/MIME, PGP et DKIM. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages sécurisés par signature..
Avertissement : Faites très attention si vous choisissez d’éviter la réécriture d’URL. En effet, les URL dans ces messages ne seront plus protégées.

Analyse des menaces par Intelix - (licence Email Advanced uniquement) : Cette option envoie des emails au contenu potentiellement malveillant dans un environnement virtuel isolé dans lequel ils sont ouverts et vérifiés. S’ils sont malveillants, les emails sont supprimés. SophosLabs Intelix détecte les menaces dans les messages en utilisant l’analyse dynamique. L’analyse statique repose sur l’utilisation de différents modèles de Machine Learning, différents réseaux neuronaux, la réputation globale, le contrôle approfondi des fichiers et bien plus encore. L’analyse dynamique exécute un message dans une « sandbox » pour révéler sa vraie nature et ses capacités de menace potentielle.

Lorsque Emplacement du service Intelix est activé, vous pouvez sélectionner l’emplacement de votre choix.

Conseil : Sélectionnez Laisser Sophos décider (conseillé) pour rediriger automatiquement les messages pour des performances optimales.

Les messages potentiellement malveillants seront exécutés dans un environnement virtuel pour un examen plus approfondi.

Les messages sains seront livrés normalement. Les messages contenant des menaces avancées seront rejetés.

Protection contre l’usurpation d’identité (licence Email Advanced uniquement) : Cette fonction détecte les emails qui prétendent avoir été envoyés par des marques connues ou par des personnes très importantes (VIP) de votre organisation.

Choisissez l’action à effectuer lorsque des emails sont détectés par cette fonction.

Dans les rapports récapitulatifs, ces emails sont appelés menace avancée.

Vous pouvez ajouter des adresses email pour les VIP dans Gestion VIP.