URL と QR コードの保護
「URL と QR コードの保護」では、悪意のあるリンクまたは QR コードを含むメッセージの扱いを選択できます。
注
メールに、インターネット監視財団の有害サイトの URL リストにあるリンクが含まれている場合、ソフォスはそのメールを削除することが法律上義務付けられています。また、メッセージの履歴を含め、Sophos Central 内のどこにもそのリンクを表示しないことが法律上義務付けられています。詳細は、次を参照してください: IWF: URL リスト。
このようなメールは常に削除されます。メールセキュリティポリシーの設定内容は使用されません。
メール処理を迅速化し、遅延を防止するために、URL 保護は大量の URL が検出されるとメッセージのスキャンを停止します。セキュリティ上の理由から、上限数は公表していません。
セキュリティを強化するために、URL が多すぎるメッセージは隔離され、 「スキャン不可能/過剰な URL」としてマークされます。このセキュリティ対策によって、攻撃者がメッセージ内の多数の URL の中に悪意のある URL を隠すのを阻止します。このようなリスクを考慮すると、メールセキュリティ ポリシー設定および許可された送信者のスキャンされなかったメールの処理の設定では、URL 保護をバイパスできません。
Sophos Email は、メール本体や添付ファイルにある QR コード (一般的なファイルや画像形式など) もスキャンします。 QR コードにURLが含まれている場合は、それを抽出し、通常の URL と同じ検出ロジックとポリシーアクションを適用します。抽出されたURLは、「メッセージの履歴」レポートの下の「メッセージの詳細」ページの「URL」タブで表示できます。UR Lまたは QR コードが有害または疑わしい Web サイトにリンクしているかどうかを確認します。該当する場合は、メッセージの隔離や削除などのアクションを実行します。
メッセージを隔離してから配信すると、メッセージは配信され、URL は書き換えられません。
URL と QR コードのスキャン
「QR コードスキャン」をオンにすると、Sophos Email はメッセージをスキャンして、安全でない Web サイト、マルウェア、ランサムウェア、またはフィッシングサイトにつながる可能性のある悪意のある URL と QR コードを探します。
Sophos Email が QR コードをスキャンする方法を選択するには、次のいずれかのオプションを選択します。
- URL を抽出して潜在的な脅威をスキャン (推奨): 画像や添付ファイルの QR コードから URL を抽出し、既知の脅威や犯罪的なコンテンツがないかどうかを確認します。脅威が検出されると、設定されたアクションがメッセージに適用されます。
- QR コードを含むすべてのメールを検出する: QR コードがクリーンであっても、設定したアクションを QR コードを含むすべてのメッセージに適用します。QR コードの内容はスキャンや分析されません。
次に、悪意のある URL または QR コードを含むメッセージに対して実行するアクションを選択できます。
次のオプションから選択します。
- 隔離 (推奨): メッセージは隔離されます。安全であることを確認できたら、隔離されたメッセージをリリースできます。
- 削除: メッセージはすぐに削除されます。
「エンドユーザー隔離エリアに含める」を選択すると、ユーザーはメッセージを確認、リリース、または削除できます。詳細は、エンドユーザー隔離エリアを参照してください。
隔離された「URL/QR コード」メッセージが解放されると、ユーザーは新しいメールを受信します。この際、元の悪意のあるメールはパスワードで保護された ZIP ファイルとして添付されます。新しいメールには、ZIP ファイルを開くためのパスワードが含まれます。
クリック時の URL 保護
「クリック時の URL 保護」がオンになっている場合、受信メッセージに含まれる URL の参照先が、元の場所から Sophos Email Security に書き換えられます。
リンクをクリックすると、Sophos Email Security で SXL ルックアップが実行され、悪質なリンクの場合はブロックされます。URL が安全である場合は、事前に設定した、リンクのクリック時のアクションが実行されます (ポリシーの設定内容に依存します)。たとえば、「リスク - 中」の Web サイトを「許可」に設定済みの場合、リンクを確認し、悪質なリンクでないと確認できた場合は、リンクの元の参照先が表示されます。
注
クリック時の保護の許可リストに追加した URL がクリック時に書き換えられることはありません。
制限事項
クリック時は QR コードの URL を書き換えません。
書き換えられたリンクにカーソルを合わせると、書き換えられた URL の先頭に宛先ドメイン名が d=domain.com
の形式で表示されます 。これによって、リンクの接続先を確認できます。
ここでは、ソフォスのサーバーアドレスの後にドメインが強調表示された書き換えられた URL の例を示します。
警告
Sophos Email では、別の製品が URL を書き換えた後でその URL を再評価できません。
次のレピュテーションレベルに基づいて、Web サイトを処理するアクションを選択できます。
- リスク - 高: 不正サイト、マルウェアを含むサイト、フィッシングサイトなど。
- リスク - 中: スパムや匿名プロキシに関するサイトなど。
- 未検証: レピュテーションが検証できない Web サイト。
「リスク - 高」の Web サイトに対して、「許可」を選択することはできません。
また、プレーンテキストやデジタル署名付きなど、メッセージの形式に応じて、メール内の URL を書き換えるかどうかを設定することもできます。
- プレーンテキスト形式のメッセージ: HTML 形式ではないテキスト形式のメールを指します。HTML 形式を使用しない場合、URL の書き換えがオンに設定されると、エンコードされた URL がすべてメールに表示されます。URL の書き換えを回避するには、「プレーンテキスト形式のメッセージ内の URL を書き換える」オプションを選択解除します。
-
デジタル署名されたメッセージ: URL の書き換えにより、S/MIME、PGP、および DKIM によって署名されたメッセージの署名が破損することがあります。URL の書き換えを回避するには、「デジタル署名されたメッセージ内の URL を書き換える」オプションを選択解除します。
警告
安全に署名されたメッセージを変更しないように選択した場合は、メッセージが保護されなくなるので注意してください。URL は書き換えられず、スマートバナーは署名されたメッセージに適用されません。
詳細は、URL の許可リストを参照してください。
警告
Google メールサーバーを使用している環境で「クリック時の URL 保護」をオンにすると、受信メッセージに対して DMARC エラーが報告されることがあります。
これは、ゲートウェイの IP リストにある IP アドレスからのメールを、Google が一貫して処理しないことが原因である可能性があります。メールの設定および詳細を確認するには、ソフォスの IP アドレスのみに配信を制限する方法を参照してください。