Aller au contenu

Contrôle antimalware étendu pour la messagerie

Vous pouvez appliquer la contrôle du contenu de la messagerie renforcé.

Cette option est uniquement disponible si Sophos Email Security est inclus dans votre licence.

Remarque

Si une option est verrouillée, votre administrateur Partenaire ou Entreprise a appliqué les paramètres généraux.

Contrôle renforcé du contenu et des propriétés des fichiers

Il s’agit de notre niveau de protection le plus élevé contre les malwares de messagerie. Il est activé par défaut.

Ce paramètre s’applique aux messages entrants et sortants.

Remarque

En cas de détection d’un malware dans un message, ce dernier est toujours rejeté.

Emails non contrôlés

Vous pouvez choisir l’action à effectuer sur les messages qui ne peuvent pas être contrôlés. Les actions disponibles sont :

  • Quarantaine
  • Supprimer
  • Marquer la ligne d’objet

Ce paramètre s’applique uniquement aux messages entrants.

Il existe plusieurs raisons pour lesquelles nous ne serons peut-être pas en mesure de contrôler des messages spécifiques :

  • Impossibilité d’accéder au fichier : le fichier est identifié correctement mais le logiciel ne peut pas y accéder pour le décompresser ou le contrôler.
  • Fichier corrompu : Le fichier est corrompu et n’est donc pas accessible.
  • Le fichier est identifié correctement mais son contenu n’est pas celui attendu : le fichier est identifié correctement et son accès est autorisé. Toutefois, son contenu n’est pas celui attendu. Le processus du contrôle antivirus génère une erreur.
  • Délai d’attente du contrôle dépassé : Le délai d’attente du contrôle antivirus est dépassé lors de la tentative de contrôle. Plusieurs raisons peuvent expliquer ce problème. Il se peut par exemple qu’un fichier soit compressé dans plusieurs niveaux imbriqués et que le contrôle antivirus dépasse la limite de temps du contrôle.
  • Pièce jointe compressée de grande taille : Si une pièce jointe compressée est de trop grande taille, elle ne peut pas être contrôlée. Il se peut que la pièce jointe soit imbriquée dans un trop grand nombre de niveaux de compression, que les fichiers compressés soient trop volumineux ou que la pièce jointe contienne trop de fichiers compressés.

Il s’agit uniquement d’exemples. Il peut y avoir d’autres raisons.

Les adresses email et domaines que vous ajoutez à la liste Autorisation / Blocage en entrée et les emails chiffrés par Sophos ne seront pas contrôlés.

Protection Time of Click des URL

Cette option est uniquement disponible avec une licence Email Advanced et elle est activée par défaut.

Lorsque la Protection Time of Click des URL est activée, les URL dans les messages entrants sont réécrites afin de diriger vers Sophos Email Security plutôt que vers la destination d’origine.

Lorsque vous cliquez sur un lien, Sophos Email Security procède à la vérification SXL et le bloque s’il s’agit d’un site malveillant. Si l’URL est saine, l’action entreprise lorsque vous cliquez sur le lien dépend de ce que vous avez indiqué dans la stratégie. Par exemple, si vous avez autorisé des sites Web à risque moyen, le lien vous dirigera vers la destination d’origine après vérification et sa classification dans la catégorie non malveillant.

Le nom de domaine est affiché au début de l’URL réécrite afin que vous puissiez voir où le lien vous redirigera, s’il est autorisé. Par exemple d=domain.com.

Avertissement

Sophos Email Security ne peut pas réévaluer une URL après sa réécriture par un autre produit.

Vous pouvez sélectionner l’action à effectuer pour les sites Web avec les niveaux de réputation suivants :

  • Risque élevé : inclut les sites illégaux, les sites contenant des malwares et les sites de phishing.
  • Risque moyen : inclut les sites associés à des activités de spam et des proxys d’anonymisation.
  • Non vérifié : la réputation du site Web ne peut pas être vérifiée.

Vous ne pouvez pas autoriser les sites Web à risque élevé.

Remarque

Les URL que vous ajoutez à la liste d’autorisation du Time of Click ne sont jamais réécrites lorsque vous cliquez dessus.

Vous pouvez également contrôler si les URL sont réécrites dans des messages en texte clair et dans des messages sécurisés par signature :

  • Messages en clair : emails sans format HTML. Sans le formatage HTML, l’URL encodée s’affiche dans l’email lorsque la réécriture d’URL est activée. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages en clair..
  • Messages sécurisés par signature : La réécriture d’URL peut endommager les signatures des messages signés avec S/MIME, PGP et DKIM. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages sécurisés par signature..

Avertissement

Faites très attention si vous choisissez d’éviter la réécriture d’URL. En effet, les URL dans ces messages ne seront plus protégées.

Voir Liste d’autorisation des URL.

Avertissement

Si vous activez la Protection Time of Click des URL et que vous utilisez un serveur de messagerie Google, il se peut que des échecs DMARC soient signalés pour les messages entrants.

Ceci peut être dû au fait que Google ne traite pas systématiquement les emails provenant d’adresses IP dans sa liste d’adresses IP de passerelle. Retrouvez plus de renseignements sur la vérification de vos paramètres de messagerie sur Restreindre la livraison aux adresses IP Sophos.

Analyse des menaces par Intelix

Cette option est uniquement disponible avec une licence Email Advanced et elle est activée par défaut.

Cette option envoie des emails au contenu potentiellement malveillant dans un environnement virtuel isolé dans lequel ils sont ouverts et vérifiés. S’ils sont malveillants, les emails sont supprimés. SophosLabs Intelix détecte les menaces dans les messages en utilisant l’analyse dynamique. L’analyse statique repose sur l’utilisation de différents modèles de Machine Learning, différents réseaux neuronaux, la réputation globale, le contrôle approfondi des fichiers et bien plus encore. L’analyse dynamique exécute un message dans une « sandbox » pour révéler sa vraie nature et ses capacités de menace potentielle.

Lorsque Emplacement du service Intelix est activé, vous pouvez sélectionner l’emplacement de votre choix.

Conseil

Sélectionnez Laisser Sophos décider (conseillé) pour rediriger automatiquement les messages pour des performances optimales.

Les messages potentiellement malveillants seront exécutés dans un environnement virtuel pour un examen plus approfondi.

Les messages sains seront livrés normalement. Les messages contenant des menaces avancées seront rejetés.

Protection contre l’usurpation d’identité

Cette option est uniquement disponible avec une licence Email Advanced et elle est activée par défaut.

Cette fonction détecte les emails qui prétendent avoir été envoyés par des marques connues ou par des personnes très importantes (VIP) de votre organisation.

Choisissez l’action à prendre lorsque cette fonction détecte des emails.

Si vous ajoutez un bandeau aux emails suspects, vous pouvez sélectionner les actions qui s’y affichent pour les utilisateurs.

Choisissez parmi les options suivantes :

  • Bloquer l’expéditeur : L’adresse email de l’expéditeur est ajoutée à une liste de blocage.
  • Signaler les messages de spam à Sophos : Les utilisateurs peuvent signaler les messages suspects à SophosLabs. Ceci nous aide à améliorer la détection d’usurpation d’identité.

Exemple de bandeau d’usurpation d’identité

Nous pouvons uniquement appliquer des bandeaux aux emails au format HTML, et pas aux emails en texte brut.

Dans les rapports récapitulatifs, ces emails sont appelés menace avancée.

Vous pouvez ajouter des adresses email pour les VIP dans Gestion VIP.

Retrouvez plus de renseignements sur Protection contre l’usurpation d’identité et gestion des VIP.

Configuration de la protection S/MIME

Vous pouvez protéger les messages à l’aide de S/MIME (Secure/Multipurpose Internet Mail Extensions). Il protège les messages entrants, sortants ou les deux.

Vous devez rejoindre le programme d’accès anticipé pour utiliser cette option.

Veuillez activer et configurer la protection S/MIME dans Paramètres > Paramètres S/MIME avant de l’utiliser dans les stratégies. Voir Paramètres S/MIME.

Vous pouvez vérifier les messages entrants par rapport aux certificats joints aux emails.

Sophos Email Security ne peut pas vérifier les messages entrants signés par le certificat auto-signé d’un tiers tant qu’il ne vous a pas envoyé son certificat. Veuillez télécharger ces certificats dans Vue générale > Paramètres généraux > Paramètres S/MIME > Certificats S/MIME externes. Voir Certificats S/MIME externes.

Si Sophos Email Security ne dispose pas de tous les certificats S/MIME pour chiffrer et signer un message sortant, il essaye de chiffrer le message via l’option Déployer le chiffrement. Voir Traitement des messages sortants.

Vous pouvez déchiffrer les messages entrants et chiffrer les messages sortants.

Vous pouvez choisir les actions suivantes à effectuer si un message échoue à une vérification S/MIME.

  • Mettre en quarantaine, supprimer ou livrer des emails entrants avec un message ajouté à la ligne d’objet pour alerter le destinataire.
  • Supprimer, mettre en quarantaine, livrer ou renvoyer un rapport de non remise des emails sortants.
  • Pour les messages sortants, vous pouvez sélectionner Déployer le chiffrement de tout le message à la sortie. Voir Traitement des messages sortants.

Traitement des messages entrants

Pour les messages entrants, si vous configurez uniquement l’une des options S/MIME (Vérifier les messages entrants ou Déchiffrer les messages entrants), seule la couche externe du message est traitée. Si l’option sélectionnée ne correspond pas au type de message entrant, le message échoue.

Pour les messages entrants, vous pouvez définir l’action d’échec sur Distribuer si les messages doivent être vérifiés ou déchiffrés après que Sophos Email Security les a traités. Par exemple, un utilisateur peut stocker ses certificats et ses clés privées dans son logiciel de messagerie.

Par exemple, si vous avez sélectionné Vérifier les messages entrants et que le message n’est pas signé, le message échoue. Ou, si vous avez sélectionné Déchiffrer les messages entrants et que le message n’est pas chiffré, le message échoue.

La façon dont les messages entrants sont traités dépend des paramètres S/MIME activés.

Si vous avez activé l’option Vérifier les messages entrants et désactivé l’option Déchiffrer les messages entrants, les messages sont traités comme décrit ci-dessous.

Conditions de message entrant Actions
Chiffré, puis signé. Message vérifié et transmis.

Si la vérification échoue, nous effectuons l’action que vous avez choisie. Nous ne déchiffrons pas le message.

Signé, puis chiffré. Aucune action S/MIME. Nous effectuons l’action que vous avez choisie.
Signé, non chiffré. Message vérifié et transmis.

Si la vérification échoue, nous effectuons l’action que vous avez choisie.

Chiffré, non signé. Aucune action S/MIME. Nous effectuons l’action que vous avez choisie.
Non signé ou chiffré. Aucune action S/MIME, message transmis.

Si vous désactivez Vérifier les messages entrants et Déchiffrer les messages entrants, les messages sont traités comme suit.

Conditions de message entrant Actions
Chiffré, puis signé. Aucune action S/MIME. Nous effectuons l’action que vous avez choisie.
Signé, puis chiffré. Message déchiffré et transmis.

Si le déchiffrement échoue, nous effectuons l’action que vous avez choisie.

Signé, non chiffré. Aucune action S/MIME. Nous effectuons l’action que vous avez choisie.
Chiffré, non signé. Message déchiffré et transmis.

Si le déchiffrement échoue, nous effectuons l’action que vous avez choisie.

Non signé ou chiffré. Aucune action S/MIME, message transmis.

Traitement des messages sortants

Sophos Email Security peut transmettre des messages chiffrés avec Déployer le chiffrement s’il n’est pas possible d’utiliser S/MIME. Par exemple, Sophos Email Security n’a peut être pas tous les certificats dont il a besoin pour que S/MIME fonctionne.

Pour activer cette fonction, procédez de la manière suivante :

  1. Dans Action d’échec pour les messages Sortants, sélectionnez Quarantaine ou Distribuer.
  2. Sélectionnez Déployer le chiffrement de tout le message à la sortie.

Si vous sélectionnez Distribuer et que le chiffrement S/MIME échoue, Sophos Email Security utilise « Déployer le chiffrement » pour chiffrer le message et l’envoie immédiatement.

Si vous sélectionnez Quarantaine et que le chiffrement S/MIME échoue, Sophos Email Security utilise « Déployer le chiffrement » pour chiffrer le message et l’envoie lorsque vous le libérez de la quarantaine. Retrouvez plus de renseignements sur l’option « Déployer le chiffrement » sur Chiffrement de la messagerie.

Haut de page