Protection des URL et des codes QR
Dans Protection des URL et des codes QR, vous pouvez définir ce qui arrive aux messages contenant des liens malveillants ou des codes QR.
Remarque
Si un email contient un lien sur la liste des URL criminelles de la Fondation pour la surveillance d’Internet (IWF), nous sommes légalement tenus de supprimer l’email. Nous sommes également tenus légalement responsable de ne pas afficher le lien dans Sophos Central, y compris l’historique des messages. Retrouvez plus de renseignements sur IWF : Liste d’URL .
Nous supprimons toujours ces emails. Nous n’utilisons pas les paramètres de vos stratégies de protection de la messagerie.
Pour accélérer le traitement des emails et éviter les retards, la protection des URL interrompt le contrôle d’un message lorsqu’elle rencontre un trop grand nombre d’URL. Pour des raisons de sécurité, nous ne publions pas la limite que nous utilisons.
Pour une sécurité renforcée, un message contenant trop d’URL est mis en quarantaine et marqué comme Non contrôlable - Trop d’URL. Cette mesure de sécurité aide à empêcher les attaquants de dissimuler des URL malveillantes parmi un grand nombre d’URL dans un message. Compte tenu du risque, le paramètre Emails non contrôlés de la configuration de la stratégie Sécurité des messageries et les expéditeurs autorisés ne peuvent pas contourner la protection des URL.
Sophos Email scanne également les codes QR contenus dans le corps des emails et dans les pièces jointes, tels que les formats courants de fichiers et d'images. Si un QR code contient une URL, nous l'extrayons et appliquons la même logique de détection et les mêmes actions de stratégie que pour les URL ordinaires. Vous pouvez afficher les URL extraites dans l'onglet URL de la page Détails du message sous le rapport Historique des messages. Nous vérifions si l’URL ou le code QR est lié à un site Web nuisible ou suspect. Si c'est le cas, nous prenons les mesures nécessaires telles que la mise en quarantaine ou la suppression du message.
Si vous mettez le message en quarantaine puis que vous le relâchez, il sera livré et les URL ne seront pas réécrites.
Contrôle des URL et codes QR
Si vous activez la Lecture du code QR, Sophos Email contrôle les messages à la recherche d’URL et de codes QR malveillants susceptibles de mener à des sites Web dangereux, à des malwares, à des ransomwares ou à des sites de phishing.
Vous pouvez définir la manière dont Sophos Email contrôle les codes QR en sélectionnant l'une des options suivantes :
- Extraire les URL et contrôler les menaces potentielles (recommandé) : Extrait toutes les URL des codes QR contenus dans les images et les pièces jointes, puis effectue des vérifications permettant de détecter la présence de menaces connues ou de contenu malveillant. Si une menace est détectée, l'action configurée est appliquée au message.
- Détecter tous les emails avec des codes QR : Applique votre action configurée à tous les messages contenant un code QR, même si le code QR est propre. Le contenu du code QR n'est ni scanné ni analysé.
Vous pouvez ensuite choisir l'action à entreprendre sur les messages contenant des URL ou des codes QR malveillants.
Sélectionnez parmi les options ci-dessous :
- Quarantaine (conseillé) : Le message est maintenu en quarantaine. Vous pouvez libérer les messages en quarantaine quand vous êtes sûr qu’ils ne sont pas malveillants.
- Supprimer : Le message est immédiatement supprimé.
Si vous sélectionnez Inclure dans la quarantaine de l’utilisateur final, vos utilisateurs peuvent vérifier, libérer ou supprimer des messages. Voir Quarantaine de l’utilisateur final.
Si un message appartenant déjà la catégorie « URL/QR » est libéré de la quarantaine, l’utilisateur reçoit un nouvel email, contenant l’email malveillant d’origine en pièce jointe ZIP protégée par mot de passe. Le nouvel email contient le mot de passe permettant d’ouvrir le fichier ZIP joint.
Protection Time of Click des URL
Si vous activez la Protection Time of Click des URL, les URL contenues dans les messages entrants sont réécrites pour pointer vers Sophos Email Security au lieu de la destination d'origine.
Lorsque vous cliquez sur le lien, Sophos Email Security procède à la vérification SXL et le bloque s’il s’agit d’un site malveillant. Si l’URL est saine, l’action entreprise lorsque vous cliquez sur le lien dépend de ce que vous avez indiqué dans vos stratégies. Par exemple, si vous avez autorisé des sites Web à risque moyen, le lien vous dirigera vers la destination d’origine après vérification et sa classification dans la catégorie non malveillant.
Remarque
Les URL que vous ajoutez à la liste d’autorisation Time of Click ne sont jamais réécrites.
Restriction
La fonction Time of Click ne réécrit pas les URL dans les codes QR.
Si vous passez le curseur sur un lien réécrit, vous pouvez voir le nom de domaine de destination au début de l’URL réécrite, au format d=domain.com
. Cela signifie que vous pouvez voir la destination du lien.
Voici un exemple d’URL réécrite, avec le domaine mis en évidence après l’adresse du serveur Sophos.
Avertissement
Sophos Email ne peut pas réévaluer une URL après l'avoir réécrite par un autre produit.
Vous pouvez sélectionner l’action à effectuer pour les sites Web avec les niveaux de réputation suivants :
- Risque élevé : inclut les sites illégaux, les sites contenant des malwares et les sites de phishing.
- Risque moyen : inclut les sites associés à des activités de spam et des proxys d’anonymisation.
- Non vérifié : la réputation du site Web ne peut pas être vérifiée.
Vous ne pouvez pas autoriser les sites Web à risque élevé.
Vous pouvez également contrôler si les URL sont réécrites dans des messages en texte clair et dans des messages sécurisés par signature :
- Messages en texte brut : Fait référence aux emails sans formatage HTML. Sans le formatage HTML, l’URL encodée s’affiche dans l’email lorsque la réécriture d’URL est activée. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages en clair..
-
Messages sécurisés par signature : La réécriture d’URL peut endommager les signatures des messages signés avec S/MIME, PGP et DKIM. Vous pouvez éviter la réécriture d’URL dans ces messages en ne sélectionnant pas l’option Réécrire les URL dans des messages sécurisés par signature..
Avertissement
Faites attention si vous choisissez de ne pas modifier les messages signés de manière sécurisée car ils perdront leur protection. Les URL ne seront pas réécrites et les bandeaux intelligents ne seront pas appliquées aux messages signés.
Voir Liste d’autorisation des URL.
Avertissement
Si vous activez la Protection Time of Click des URL et que vous utilisez un serveur de messagerie Google, il se peut que des échecs DMARC soient signalés pour les messages entrants.
Ceci peut être dû au fait que Google ne traite pas systématiquement les emails provenant d’adresses IP dans sa liste d’adresses IP de passerelle. Retrouvez plus de renseignements sur la vérification de vos paramètres de messagerie sur Restreindre la livraison aux adresses IP Sophos.