Antimalware
Vous pouvez choisir l’action à effectuer en cas de détection d’un malware dans les messages.
Dans Contrôle antimalware étendu pour la messagerie, vous pouvez décider plus précisément ce qui arrive aux messages.
Contrôle antimalware
Dans Contrôle antimalware, vous pouvez décider quoi faire des messages contenant des malwares.
Choisissez parmi les options suivantes :
- Supprimer
- Quarantaine
Si un message appartenant aux catégories Malwares/Virus est libéré de la quarantaine, l’utilisateur reçoit un nouvel email, contenant l’email malveillant d’origine en pièce jointe ZIP protégée par mot de passe. Le nouvel email contient le mot de passe permettant d’ouvrir le fichier ZIP joint.
Contrôle renforcé du contenu et des propriétés des fichiers
Remarque
Ce paramètre s’applique aux messages entrants et sortants.
Si le Contrôle renforcé du contenu et des propriétés des fichiers est activé, les métadonnées du message et de ses pièces jointes sont utilisées dans les règles heuristiques pour déterminer si l’email contient un malware. Le paramètre par défaut, est « actif ».
Emails non contrôlés
Remarque
Ce paramètre s’applique uniquement aux messages entrants.
Vous pouvez choisir l’action à effectuer sur les messages qui ne peuvent pas être contrôlés. Les actions disponibles sont :
- Quarantaine
- Supprimer
- Marquer la ligne d’objet
- Ajouter un bandeau
Paramètres de bandeau intelligent
Lorsque le paramètre Ajouter un bandeau est sélectionné, un bandeau intelligent s’affiche en haut des messages entrants au format HTML qui ne peuvent pas être contrôlés, ce qui améliore la sensibilisation de l’utilisateur.
Vous pouvez modifier les paramètres et le texte prédéfini du bandeau intelligent. Ceci permet de contrôler les actions que les utilisateurs peuvent voir sur le bandeau intelligent. Choisissez parmi les options suivantes :
- Autoriser l’expéditeur : Si ce paramètre est activé, les utilisateurs voient Autoriser l’expéditeur sur le bandeau intelligent. Lorsqu’ils cliquent sur Autoriser l’expéditeur, une nouvelle page s’affiche confirmant que l’adresse email de l’expéditeur a été ajoutée à leur liste d’autorisation. Les utilisateurs peuvent gérer leur liste d’autorisation depuis Sophos Central Self Service Portal.
- Bloquer l’expéditeur : Si ce paramètre est activé, les utilisateurs voient Bloquer l’expéditeur sur le bandeau intelligent. Lorsqu’ils cliquent sur Bloquer l’expéditeur, une nouvelle page s’affiche leur permettant d’ajouter l’adresse email de l’expéditeur à leur liste de blocage. Alternativement, les utilisateurs peuvent signaler les messages suspects à SophosLabs.
- Signaler les messages à Sophos : Si ce paramètre est activé, les utilisateurs voient Rapport sur le bandeau intelligent. Lorsqu’ils cliquent sur Rapport, une nouvelle page apparaît leur permettant de signaler les messages aux SophosLabs. Ceci nous aide à améliorer la détection des menaces.
Remarque
Pour les messages texte brut, le bandeau intelligent s’affiche sous forme de texte au début du corps de l’email, avec le même contenu que vous avez défini.
Pourquoi les emails ne peuvent-ils pas être contrôlés ?
Voici quelques-unes des raisons pour lesquelles les emails ne peuvent pas être contrôlés :
- Impossibilité d’accéder au fichier : le fichier est identifié correctement mais le logiciel ne peut pas y accéder pour le décompresser ou le contrôler.
- Fichier corrompu : Le fichier est corrompu et n’est donc pas accessible.
- Contenu inattendu : Nous identifions le fichier correctement et pouvons y accéder, mais trouvons ensuite du contenu inattendu. Le processus du contrôle antivirus génère une erreur.
- Délai d’attente du contrôle dépassé : Le délai d’attente du contrôle antivirus est dépassé lors de la tentative de contrôle. Plusieurs raisons peuvent expliquer ce problème. Il se peut par exemple qu’un fichier soit compressé dans plusieurs niveaux imbriqués et que le contrôle antivirus dépasse la limite de temps du contrôle.
- Pièce jointe compressée de grande taille : Si une pièce jointe compressée est de trop grande taille, elle ne peut pas être contrôlée. Il se peut que la pièce jointe soit imbriquée dans un trop grand nombre de niveaux de compression, que les fichiers compressés soient trop volumineux ou que la pièce jointe contienne trop de fichiers compressés.
Il s’agit uniquement d’exemples. Il peut y avoir d’autres raisons.
Sophos Email effectue toujours un contrôle antimalware même si vous ajoutez l’adresse email et le domaine à la liste Autoriser/Bloquer le trafic entrant ou aux emails chiffrés Sophos.
Nous mettons également en quarantaine les messages qui contiennent un très grand nombre d’URL. Voir Protection Time of Click des URL.
Analyse des menaces par Intelix
Cette option envoie des emails au contenu potentiellement malveillant dans un environnement virtuel isolé dans lequel ils sont ouverts et vérifiés. SophosLabs Intelix détecte les menaces dans les messages en utilisant l’analyse dynamique. L’analyse statique repose sur l’utilisation de différents modèles de Machine Learning, différents réseaux neuronaux, la réputation globale, le contrôle approfondi des fichiers et bien plus encore. L’analyse dynamique exécute un message dans une « sandbox » pour révéler sa vraie nature et ses capacités de menace potentielle.
Les messages potentiellement malveillants sont exécutés dans un environnement virtuel pour un examen plus approfondi.
Les messages sains seront livrés normalement.
Vous pouvez configurer des actions pour les verdicts Intelix suivants :
- Intelix malveillant : Messages contenant une menace connue et vérifiée.
- Intelix suspect : Messages qui ne contiennent pas de menace connue et vérifiée mais qui affichent des caractéristiques qui les rendent suspects.
Remarque
Lorsque SophosLabs Intelix ne parvient pas à contrôler un message, celui-ci est marqué « Non contrôlable par Intelix » et mis en quarantaine. Ceci évite qu’un message malveillant soit livré en cas d’échec du contrôle.
Vous pouvez choisir les actions suivantes pour les messages de la catégorie Intelix malveillant :
- Quarantaine
- Supprimer
Vous pouvez choisir les actions suivantes pour les messages de la catégorie Intelix suspect :
- Quarantaine
- Distribuer
- Supprimer
- Marquer la ligne d’objet
Lorsque Emplacement du service Intelix est activé, vous pouvez sélectionner l’emplacement de votre choix.
Sélectionnez Laisser Sophos décider (conseillé) pour rediriger automatiquement les messages pour des performances optimales.
Quarantaine de l’utilisateur final
Si vous choisissez de mettre certains messages dans la quarantaine de l’utilisateur final, ceux-ci pourront être vérifiés, libérés ou supprimés par vos utilisateurs. Voir Quarantaine de l’utilisateur final.