Sécurité de la messagerie
Utilisez cette stratégie pour appliquer les paramètres de sécurité aux emails.
Les paramètres suivants s’appliquent uniquement aux messages entrants à l’exception de Contenu amélioré et contrôle des propriétés des fichiers, qui s’applique aux messages entrants et sortants.
Filtrage du spam
Chaque email est analysé et se voit attribuer un score de spam. Plus le score est élevé, plus le message est susceptible d’être un message de spam. Les messages dont les scores de spam sont les plus élevés sont classés comme Spam confirmé.
Les messages sont rangés par catégorie en fonction de leur score de spam et vous pouvez choisir comment traités ces catégories. Les messages sont divisés en :
- Spam confirmé : il s’agit de messages affichant des comportements de spam connus et vérifiés.
- Envoi en masse : il s’agit de messages sollicités envoyés en masse, tels que des bulletins d’informations envoyés à une liste de diffusion.
- Spam suspecté : il s’agit de messages identifiés comme suspects.
Choisissez une action pour chaque catégorie :
Les paramètres par défaut sont :
- Spam confirmé : Quarantaine
- Envoi en masse : Quarantaine
- Spam suspecté : Distribuer
Paramètres du message de l’utilisateur
Lorsque vous activez Bandeaux intelligents, un bandeau s’affiche en haut des messages entrants pour indiquer si l’email est fiable.
Les emails provenant de Sophos, (par exemple ; les emails Résumé de la quarantaine), n’afficheront pas de bandeaux.
Vous pouvez activer ou désactiver les types de bandeau suivants :
- Fiable : L’email a été envoyé par un expéditeur autorisé et a passé l’authentification DNS avec succès (SPF, DKIM ou DMARC).
- Externe : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation.
- Non fiable : L’email a été envoyé par un expéditeur n’appartenant pas à votre organisation et n’a pas passé l’authentification DNS (SPF, DKIM ou DMARC).
Paramètres de la quarantaine
Vous pouvez choisir d’envoyer un message de résumé de quarantaine à chaque boîte de réception protégée. Le message contient un tableau des messages de spam mis en quarantaine depuis l’envoi du dernier message de résumé de la quarantaine. Vous pouvez programmer l’envoi de ces messages.
Les utilisateurs peuvent libérer ou supprimer les messages de spam en quarantaine en cliquant sur le lien adéquat du message de résumé de quarantaine.
Pour créer des messages de résumé de quarantaine :
- Activez Envoyer un email de résumé de quarantaine.
- Sélectionnez le moment auquel les messages doivent être envoyés. Conseil : Tous les jours sont sélectionnés par défaut. Cliquez sur un jour pour le dessélectionner.
- Un créneau horaire est affiché par défaut. Vous pouvez en ajouter jusqu’à trois en cliquant sur Ajouter une autre heure. Pour supprimer un créneau horaire, cliquez sur l’icône Supprimer apparaissant à côté de son nom.Remarque : Le créneau horaire par défaut ne peut pas être supprimé.
Vérification de l’expéditeur
Les vérifications de l’expéditeur vous permettent de vérifier si un email a bien été envoyé par l’expéditeur indiqué. Email Security utilise les vérifications DMARC, DKIM et Anomalies d’en-tête. Les vérifications de l’expéditeur sont effectuées dans l’ordre d’apparition. En cas d’échec de la vérification du premier expéditeur, les autres vérifications sont annulées.
Vous pouvez remplacer les vérifications de l’expéditeur en ajoutant des domaines et adresses email à la liste Autoriser.
DMARC (Domain-based Message Authentication, Reporting and Conformance) est une stratégie d’authentification de la messagerie et un protocole d’édition de rapports. Elle est basée sur les protocoles DKIM et SPF pour détecter et empêcher l’usurpation de la messagerie. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DMARC.
Vous pouvez sélectionner :
- Conforme à la stratégie de l’expéditeur : ce qui arrive au message dépend de ce que l’expéditeur a indiqué dans la stratégie DMARC. (Il s’agit de la valeur par défaut).
- Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé.
- Quarantaine : le message est mis en quarantaine.
- Refuser : le message est refusé.
- Distribuer : envoie le message au serveur de messagerie pour livraison.
DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable utilisée pour signer et valider un message en fonction du domaine de l’expéditeur. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DKIM.
Vous pouvez sélectionner :
- Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. (Il s’agit de la valeur par défaut).
- Quarantaine : le message est mis en quarantaine.
- Refuser : le message est refusé.
- Distribuer : envoie le message au serveur de messagerie pour livraison.
La vérification Anomalies d’en-tête identifie un email qui semble provenir de votre propre domaine alors qu’il vient d’un domaine externe en comparant l’en-tête de l’email avec l’adresse de dans l’enveloppe.
- Si le domaine de l’adresse de correspond au domaine du destinataire, le message est considéré comme un faux.
- Si l’adresse de dans l’en-tête est différentes de l’adresse de dans l’enveloppe, le message est considéré comme un faux.
Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications Anomalies d’en-tête.
Vous pouvez sélectionner :
- Marquer la ligne d’objet : Email Security ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. (Il s’agit de la valeur par défaut).
- Quarantaine : le message est mis en quarantaine.
- Refuser : le message est refusé.
- Distribuer : envoie le message au serveur de messagerie pour livraison.
Contrôle antimalware étendu pour la messagerie
Contenu amélioré et contrôle des propriétés des fichiers : Il s’agit de notre niveau de protection le plus élevé contre les malwares de messagerie. Il est activé par défaut.
Ce paramètre s’applique aux messages entrants et sortants.
Emails non contrôlés : Vous pouvez choisir l’action à effectuer sur les messages qui ne peuvent pas être contrôlés. Les actions disponibles sont :
- Quarantaine
- Supprimer
- Marquer la ligne d’objet
Ce paramètre s’applique uniquement aux messages entrants.
Protection Time of Click des URL (licence Email Advanced uniquement) : Lorsque la protection Time of Click des URL est activée, les URL dans les messages entrants sont réécrites afin de diriger vers Sophos Email plutôt que vers la destination d’origine.
Lorsque vous cliquez sur un lien, Sophos Email procède à la vérification SXL et le bloque s’il s’agit d’un site malveillant. Si l’URL est saine, l’action entreprise lorsque vous cliquez sur le lien dépend de ce que vous avez indiqué dans la stratégie. Par exemple, si vous avez autorisé des sites Web à risque moyen, le lien vous dirigera vers la destination d’origine après vérification et classification dans la catégorie non malveillant.
Le nom de domaine sera affiché au début de l’URL réécrite afin que vous puissiez voir où le lien vous redirigera, s’il est autorisé. Par exemple d=domaine.com
.
Vous pouvez sélectionner l’action à effectuer pour les sites Web avec les niveaux de réputation suivants :
- Risque élevé : inclut les sites illégaux, les sites contenant des malwares et les sites de phishing.
- Risque moyen : inclut les sites associés à des activités de spam et des proxys d’anonymisation.
- Non vérifié : la réputation du site Web ne peut pas être vérifiée.
Vous ne pouvez pas autoriser les sites Web à risque élevé.
Vous pouvez également contrôler si les URL sont réécrites dans des messages en texte clair et dans des messages sécurisés par signature :
- Messages en clair : emails sans format HTML. Lorsque la réécriture des URL sans format HTML est activée, l’URL codée apparaîtra complètement dans l’email. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages en clair..
- Messages sécurisés par signature : La réécriture d’URL peut endommager les signatures des messages signés avec S/MIME, PGP et DKIM. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages sécurisés par signature..
Sandstorm (licence Email Advanced uniquement) : Sandstorm envoie des emails au contenu potentiellement malveillant dans un environnement virtuel isolé dans lequel ils sont ouverts et vérifiés. S’ils sont malveillants, les emails sont supprimés.
Lorsque Sandstorm est activé, vous pouvez sélectionner l’emplacement Sandbox de votre choix.
Les messages potentiellement malveillants seront exécutés dans un environnement virtuel pour un examen plus approfondi.
Les messages sains seront livrés normalement. Les messages contenant des menaces avancées seront rejetés.
Impersonation Protection (licence Email Advanced uniquement) : Cette fonction détecte les emails qui prétendent avoir été envoyés par des marques connues ou par des personnes très importantes (VIP) de votre organisation.
Choisissez l’action à effectuer lorsque des emails sont détectés par cette fonction.
Dans les rapports récapitulatifs, ces emails sont appelés menace avancée.
Vous pouvez ajouter des adresses email pour les VIP dans Gestion VIP.