Vai al contenuto

Scansione avanzata malware e-mail

È possibile applicare una scansione avanzata dei contenuti delle e-mail.

Restrizione

Questa opzione è disponibile solamente se la licenza che si possiede include anche Sophos Email Security.

Nota

Se un'opzione risulta bloccata, significa che il partner o l'amministratore di Enterprise ha applicato le impostazioni globali.

Scansione avanzata di contenuti e proprietà dei file

il nostro massimo livello di protezione contro il malware che si diffonde tramite e-mail. È abilitata per impostazione predefinita.

Questa impostazione è applicabile sia ai messaggi in entrata che a quelli in uscita.

Nota

Se all'interno di un messaggio viene rilevato del malware, sarà sempre rimosso.

E-mail non sottoposte a scansione

È possibile selezionare le azioni da intraprendere per i messaggi che non possono essere sottoposti a scansione. Le azioni disponibili sono:

  • Quarantena
  • Elimina
  • Contrassegna riga oggetto

Questa impostazione è applicabile solamente ai messaggi in entrata.

Ci possono essere vari motivi per cui non è possibile sottoporre a scansione alcuni messaggi:

  • Impossibilità di accedere al file: il file viene identificato correttamente, ma il software non è in grado di accedervi per decomprimerlo o sottoporlo a scansione.
  • File corrotto: il file è corrotto e non è possibile accedervi.
  • Identificazione corretta di un file, ma con contenuto inatteso: il file viene identificato correttamente ed è possibile accedervi, tuttavia viene rilevato contenuto imprevisto. Il processo della scansione antivirus restituisce un errore.
  • Timeout della scansione: durante la scansione, si verifica un timeout della scansione antivirus. Questo può accadere per vari motivi. Ad esempio quando un file viene compresso in livelli nidificati multipli oppure quando la scansione antivirus supera il limite di tempo massimo per la scansione.
  • Allegato compresso di grandi dimensioni: se un allegato compresso è troppo grande, non può essere sottoposto a scansione. L'allegato potrebbe essere nidificato in troppi livelli di compressione, i file compressi inclusi potrebbero essere troppo grandi, oppure potrebbero esserci troppi file compressi all'interno dell'allegato.

Questi sono solo alcuni esempi. Potrebbero esserci altri motivi.

Gli indirizzi e-mail e i domini aggiunti all'elenco Autorizzazione/blocco in entrata e le e-mail cifrate con Sophos non vengono sottoposti a scansione.

Protezione Time-of-Click degli URL

Questa opzione è disponibile solo con una licenza Email Advanced ed è attivata per impostazione predefinita.

Quando la Protezione Time-of-Click degli URL è attivata, gli URL contenuti nei messaggi in entrata vengono riscritti in modo da essere indirizzati verso Sophos Email Security, invece della destinazione originaria.

Quando un utente clicca sul link, Sophos Email Security effettua una ricerca SXL e blocca il link se è malevolo. Se l'URL è innocuo, l'azione intrapresa quando si clicca sul link dipenderà dalle istruzioni specificate nel criterio. Ad esempio, se per i siti web a medio rischio l'azione impostata ne prevede l'autorizzazione, una volta controllato e classificato il link come non pericoloso, il link porterà l'utente alla destinazione originaria.

Il nome del dominio è visualizzato all'inizio dell'URL riscritto, per cui, se viene autorizzato, sarà possibile vedere la destinazione del link. Ad esempio d=domain.com.

Avviso

Sophos Email Security non è in grado di analizzare nuovamente un URL dopo che è stato riscritto da un altro prodotto.

È possibile selezionare l’azione che si desidera intraprendere per i siti web aventi i seguenti livelli di reputazione:

  • Alto rischio: include siti illegali, siti contenenti malware e siti di phishing.
  • Medio rischio: include siti associati a spam e proxy anonimi.
  • Non verificato: siti web la cui reputazione non può essere verificata.

Non è possibile autorizzare i siti web ad alto rischio.

Nota

Gli URL aggiunti all'Elenco autorizzazioni Time-of-Click non verranno mai riscritti al momento del clic.

È anche possibile scegliere se gli URL debbano essere riscritti in messaggi di testo in chiaro o all'interno di messaggi con firma sicura:

  • Messaggi di testo in chiaro: le e-mail prive di formattazione HTML. Senza formattazione HTML e se è attivata la riscrittura dell'URL, l'intero URL codificato verrà visualizzato nell'e-mail. La riscrittura degli URL può essere bypassata in questi messaggi deselezionando l'opzione Riscrivi URL nei messaggi in chiaro..
  • Messaggi con firma sicura: la riscrittura degli URL potrebbe interrompere le firme dei messaggi firmati con S/MIME, PGP e DKIM. La riscrittura degli URL può essere bypassata in questi messaggi deselezionando l'opzione Riscrivi URL nei messaggi con firma sicura..

Avviso

Prestare molta attenzione se si sceglie di bypassare la riscrittura degli URL, in quanto così facendo gli URL contenuti in questi messaggi non saranno protetti.

Vedere Elenco di autorizzazione degli URL.

Analisi delle minacce di Intelix

Questa opzione è disponibile solo con una licenza Email Advanced ed è attivata per impostazione predefinita.

Questa opzione individua i messaggi e-mail che potrebbero includere contenuti dannosi attivi e li invia a un ambiente virtuale isolato, dove vengono aperti e verificati. Se ritenute malevole, le e-mail vengono rimosse. SophosLabs Intelix rileva le minacce contenute nei messaggi utilizzando l'analisi statica e dinamica. L'analisi statica sfrutta vari livelli di machine learning, reti neurali, reputazione globale, scansione profonda dei file e altro. L'analisi dinamica fa detonare un messaggio in una sandbox per rivelarne la vera natura e la probabilità che si tratti di una minaccia.

Quando è abilitata l'opzione Posizione del servizio Intelix, è possibile selezionare la posizione preferita per il servizio.

Consiglio

Selezionare Lascia che decida Sophos (opzione consigliata) per instradare automaticamente i messaggi e ottimizzare la performance.

I messaggi che potrebbero essere malevoli verranno eseguiti in un ambiente virtuale, per un'analisi approfondita.

I messaggi puliti saranno consegnati come di consueto. I messaggi che contengono minacce avanzate saranno rimossi.

Protezione contro gli attacchi di imitazione

Questa opzione è disponibile solo con una licenza Email Advanced ed è attivata per impostazione predefinita.

Questa funzionalità rileva le e-mail di hacker che fingono di essere marchi noti o persone molto importanti (VIP) dell'organizzazione.

Scegliere l'azione da intraprendere quando vengono rilevate e-mail segnalate da questa funzionalità.

Se si aggiunge un banner alle e-mail sospette, è possibile selezionare le azioni visualizzate dagli utenti nel banner.

Selezionare tra le seguenti opzioni:

  • Blocca mittente: l'indirizzo e-mail del mittente viene aggiunto a un elenco di blocco.
  • Segnala messaggi di spam a Sophos: gli utenti possono segnalare i messaggi sospetti ai SophosLabs. Questo ci aiuta a migliorare il rilevamento degli attacchi di imitazione.

Esempio di banner per i potenziali attacchi di imitazione

I banner possono essere applicati solo alle e-mail in formato HTML, non alle e-mail in testo normale.

Nei report di riepilogo, queste e-mail sono contrassegnate come minacce avanzate.

È possibile aggiungere indirizzi e-mail di VIP in Gestione VIP.

Per ulteriori informazioni, vedere Protezione contro gli attacchi di imitazione e gestione dei VIP.

Configurazione della protezione S/MIME

È possibile proteggere i messaggi utilizzando S/MIME (Secure/Multipurpose Internet Mail Extensions). Protegge i messaggi in entrata, in uscita o entrambi.

Restrizione

Per poter utilizzare questa opzione, occorre iscriversi al Programma di accesso in anteprima (Early Access Program, EAP).

Prima di poterla utilizzare nei criteri, occorre attivare e configurare la protezione S/MIME in Impostazioni > Impostazioni Secure MIME. Vedere Impostazioni S/MIME.

È possibile verificare i messaggi in entrata, mettendoli a confronto con i certificati allegati alle e-mail.

Sophos Email Security non può verificare i messaggi in entrata firmati da un certificato autofirmato di una terza parte, fino a quando questa terza parte non invia il proprio certificato. Questi certificati devono essere caricati in Panoramica > Impostazioni globali > Impostazioni Secure MIME > Certificati S/MIME esterni. Vedere Certificati S/MIME esterni.

Se Sophos Email Security non ha tutti i certificati S/MIME necessari per cifrare e firmare un messaggio in uscita, cercherà di cifrare il messaggio utilizzando come alternativa la Cifratura tramite push. Vedere Elaborazione dei messaggi in uscita.

È possibile decifrare i messaggi in entrata e cifrare i messaggi in uscita.

Si può scegliere tra le seguenti azioni da eseguire se un messaggio non supera un controllo S/MIME.

  • Quarantena, eliminazione o recapito delle e-mail in entrata con un messaggio aggiunto alla riga dell’oggetto per avvisare il destinatario.
  • Eliminazione, quarantena, recapito o rinvio al mittente delle e-mail in uscita.
  • Per i messaggi in uscita, è possibile selezionare Cifra tramite push l’intero messaggio al rilascio. Vedere Elaborazione dei messaggi in uscita.

Elaborazione dei messaggi in entrata

Per i messaggi in entrata, se si configura solo una delle opzioni S/MIME (Verifica messaggi in entrata o Decifra messaggi in entrata), viene elaborato solo il livello esterno del messaggio. Se l'opzione selezionata non trova corrispondenza con il tipo di messaggio in entrata, il messaggio non verrà recapitato.

Per i messaggi in entrata, è possibile impostare l’azione in caso di errore su Consegna, se si desidera che i messaggi vengano verificati o decifrati dopo che sono stati elaborati da Sophos Email Security. Ad esempio, un utente potrebbe avere certificati e chiavi private memorizzati nel proprio software di posta elettronica.

Ad esempio, se è stata selezionata l'opzione Verifica messaggi in entrata e il messaggio non è firmato, il messaggio non verrà recapitato. Oppure, se è stata selezionata Decifra messaggi in entrata e il messaggio non è cifrato, il messaggio non verrà recapitato.

Il modo in cui vengono elaborati i messaggi in entrata dipende dalle impostazioni S/MIME che sono abilitate.

Se si attiva Verifica messaggi in entrata e si disattiva Decifra messaggi in entrata, i messaggi vengono elaborati come segue.

Condizioni del messaggio in entrata Azioni
Cifrato, poi firmato. Messaggio verificato e recapitato.

Se la verifica non ha esito positivo, eseguiamo l’azione di esito negativo selezionata. Il messaggio non viene decifrato.

Firmato, poi cifrato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Firmato, non cifrato. Messaggio verificato e recapitato.

Se la verifica non ha esito positivo, eseguiamo l’azione di esito negativo selezionata.

Cifrato, non firmato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Non firmato e non cifrato. Nessuna azione S/MIME, messaggio recapitato.

Se si disattiva Verifica messaggi in entrata e si attiva Decifra messaggi in entrata, i messaggi vengono elaborati come segue.

Condizioni del messaggio in entrata Azioni
Cifrato, poi firmato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Firmato, poi cifrato. Messaggio decifrato e recapitato.

Se la decifratura non ha esito positivo, eseguiamo l’azione di esito negativo selezionata.

Firmato, non cifrato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Cifrato, non firmato. Messaggio decifrato e recapitato.

Se la decifratura non ha esito positivo, eseguiamo l’azione di esito negativo selezionata.

Non firmato e non cifrato. Nessuna azione S/MIME, messaggio recapitato.

Elaborazione dei messaggi in uscita

Se non è possibile utilizzare S/MIME, Sophos Email Security può recapitare i messaggi che sono stati cifrati con l’opzione Invia cifratura tramite push. Ad esempio, in alcuni casi Sophos Email Security potrebbe non avere tutti i certificati di cui ha bisogno per il funzionamento di S/MIME.

Per attivare questa funzionalità, procedere come segue:

  1. In Azione con esito negativo per i messaggi In uscita, selezionare Quarantena o Consegna.
  2. Selezionare Cifra tramite push l’intero messaggio al rilascio.

Se si seleziona Consegna e la cifratura S/MIME dà esito negativo, Sophos Email Security utilizzerà la Cifratura tramite push per cifrare il messaggio e lo invierà immediatamente.

Se si seleziona Quarantena e la cifratura S/MIME dà esito negativo, Sophos Email Security utilizzerà la Cifratura tramite push per cifrare il messaggio e lo invierà quando viene rilasciato dalla quarantena. Per maggiori informazioni sulla Cifratura tramite push, vedere Cifratura delle e-mail.

Torna su