Pular para o conteúdo

Varredura aprimorada de malware de e-mail

Você pode aplicar a varredura de conteúdo de e-mail avançada.

Restrição

Esta opção está disponível apenas se a sua licença incluir o Sophos Email Security.

Nota

Se uma opção estiver bloqueada, o seu parceiro ou Administrador Enterprise aplicou definições globais.

Varredura aprimorada de propriedades de arquivo e conteúdo

Nosso nível mais alto de proteção contra malware de e-mail. O default da opção é estar ativada.

Esta configuração se aplica a mensagens recebidas e enviadas.

Nota

Se um malware for detectado em uma mensagem, ela sempre será descartada.

Varredura de e-mails cancelada

É possível escolher o que acontece com mensagens que não podem ser verificadas. As ações disponíveis são:

  • Quarentena
  • Deletar
  • Tag da linha de assunto

Este ajuste se aplica somente a mensagens recebidas.

Existem vários motivos pelos quais talvez não consigamos fazer a varredura de mensagens específicas:

  • Incapacidade de acessar o arquivo: O arquivo é identificado corretamente, porém o software não é capaz de acessar o arquivo para descomprimi-lo ou fazer a sua varredura.
  • Arquivo corrompido: O arquivo está corrompido e não pode ser acessado.
  • Identificação correta de um arquivo, porém é encontrado um conteúdo inesperado: O arquivo é identificado corretamente e o acesso a ele é concedido, no entanto é encontrado um conteúdo inesperado. O processo de varredura do antivírus gera um erro.
  • O dispositivo de varredura atinge o tempo limite: O dispositivo de varredura do antivírus atinge o tempo limite durante a varredura. Existem vários motivos para que isso ocorra. Por exemplo: um arquivo é comprimido em muitos níveis aninhados ou o dispositivo de varredura do antivírus excede o limite de tempo da varredura.
  • Anexos grandes comprimidos: Caso um anexo comprimido seja muito grande, não é possível fazer a sua varredura. Pode ser que o anexo esteja aninhado em muitos níveis de compressão, os arquivos comprimidos incluídos sejam muito grandes ou haja muitos arquivos comprimidos no anexo.

Estes são apenas alguns exemplos. Pode haver outros motivos.

Não é feita a varredura dos endereços e domínios de e-mail que forem adicionados à lista de Permissão/Bloqueio de recebimento e tampouco dos e-mails encriptados da Sophos.

Proteção de URL Time-of-Click

Esta opção está disponível apenas com uma licença Email Advanced e está ativada por padrão.

Quando a Proteção de URL Time-of-Click está ativada, as URLs contidas nas mensagens recebidas são reescritas de modo a apontarem para o Sophos Email Security e não para o destino original.

Quando você clica no link, o Sophos Email Security faz uma busca na SXL e, se mal-intencionada, ela é bloqueada. Se a URL for segura, a ação seguida ao clique no link dependerá do que você especificou na política. Por exemplo, se você tiver definido websites de médio risco como permitidos, quando o link for verificado e classificado como seguro, você será levado ao destino original do link.

O nome de domínio é exibido no início da URL reescrita, de modo que você possa ver para onde o link o levará, se permitido. Por exemplo, d=domain.com.

Alerta

Sophos Email Security não pode reavaliar uma URL depois de ter sido reescrita por outro produto.

Você pode selecionar a ação que deseja adotar para sites da web com os seguintes níveis de reputação:

  • Risco alto: Inclui sites ilícitos, sites contendo malwares e sites de phishing.
  • Risco médio: Inclui sites associados a proxies de anonimato e spam.
  • Não verificado: A reputação do site não pode ser verificada.

Não é possível permitir websites de alto risco.

Nota

As URLs que você adiciona à lista de permissão Time-of-Click nunca são reescritas no momento do clique.

É possível também controlar se as URLs são reescritas nas mensagens de texto sem formatação e dentro de mensagens assinadas e protegidas:

  • Mensagens sem formatação: refere-se a e-mails sem formatação HTML. Sem formatação HTML, toda a URL codificada é exibida no e-mail quando a reescrita da URL é ativada. Você pode ignorar a reescrita da URL nessas mensagens desmarcando a opção Reescreve as URLs em mensagens de texto sem formatação..
  • Mensagens assinadas e protegidas: A reescrita da URL poderá quebrar a assinatura de mensagens assinadas com S/MIME, PGP e DKIM. Você pode ignorar a reescrita da URL nessas mensagens desmarcando a opção Reescreve as URLs contidas em mensagens seguramente assinadas..

Alerta

Fique atento caso decida ignorar a reescrita de URLs, pois as URLs nessas mensagens não estarão protegidas.

Consulte Lista de permissão de URLs.

Análise de Ameaças Intelix

Esta opção está disponível apenas com uma licença Email Advanced e está ativada por padrão.

Esta opção envia e-mails que podem possuir conteúdo mal-intencionado ativo para um ambiente virtual isolado, onde eles são abertos e verificados. Se os e-mails forem considerados mal-intencionados, serão removidos. O SophosLabs Intelix detecta ameaças em mensagens usando análises estática e dinâmica. A análise estática utiliza múltiplos modelos de Machine Learning, redes neurais, reputação global, varredura profunda de arquivo e outros. A análise dinâmica detona uma mensagem em um sandbox para revelar a verdadeira natureza e capacidade da ameaça.

Quando Serviço de localização do Intelix é ativado, você pode selecionar o seu local preferido.

Dica

Para um desempenho ideal, selecione Deixe que a Sophos decida (recomendado) para encaminhar automaticamente as mensagens.

As mensagens possivelmente mal-intencionadas serão executadas em um ambiente virtual para uma inspeção mais minuciosa.

As mensagens inofensivas serão entregues normalmente. As mensagens que contêm ameaças avançadas são descartadas.

Proteção contra clonagem

Esta opção está disponível apenas com uma licença Email Advanced e está ativada por padrão.

Este recurso detecta e-mails que fingem ser de marcas bem conhecidas ou de pessoas muito importantes (VIPs) em sua organização.

Escolha a ação a ser tomada quando esse recurso detectar e-mails.

Se você adicionar um banner a e-mails suspeitos, poderá selecionar as ações que os usuários veem no banner.

Escolha entre as opções a seguir:

  • Bloquear remetente: O endereço de e-mail do remetente é adicionado a uma lista de bloqueios.
  • Denunciar mensagens de spam à Sophos: Os usuários podem denunciar mensagens suspeitas ao SophosLabs. Isso nos ajuda a melhorar nossa detecção de clonagem.

Exemplo de banner de clonagem

Só podemos aplicar banners a e-mails em formato HTML, não a e-mails em texto sem formatação.

Nos relatórios de resumo, esses e-mails são marcados como ameaça avançada.

Você pode adicionar endereços de e-mail para VIPs em Gerenciamento de VIP.

Para obter mais informações, consulte Proteção contra clonagem e gerenciamento VIP.

Configuração de proteção S/MIME

Você pode proteger mensagens usando S/MIME (Secure/Multipurpose Internet Mail Extensions). Ele protege as mensagens recebidas, enviadas ou ambas.

Restrição

Você deve participar do Early Access Program para usar esta opção.

Você deve ativar e configurar a proteção S/MIME em Configurações > Configurações Secure MIME antes de usá-la em políticas. Consulte Configurações de S/MIME.

Você pode verificar as mensagens recebidas em relação aos certificados anexados aos e-mails.

O Sophos Email Security não pode verificar as mensagens recebidas assinadas pelo certificado autoassinado de um terceiro até que o certificado lhe seja enviado. Você deve carregar esses certificados em Visão geral > Configurações globais > Configurações Secure MIME > Certificados S/MIME externos. Consulte Certificados S/MIME externos.

Se o Sophos Email Security não tiver todos os certificados S/MIME para encriptar e assinar uma mensagem de saída, ele tenta encriptar a mensagem usando Encriptação de push. Consulte Processamento da saída da mensagem.

Você pode decodificar mensagens recebidas e encriptar mensagens enviadas.

Você pode escolher as seguintes ações se uma mensagem falhar em uma verificação S/MIME.

  • Colocar em quarentena, deletar ou entregar e-mails recebidos com uma mensagem adicionada à linha de assunto para alertar o destinatário.
  • Deletar, colocar em quarentena, entregar ou retornar os e-mails enviados.
  • Para as mensagens enviadas, você pode selecionar Encriptar por push toda a mensagem na liberação. Consulte Processamento da saída da mensagem.

Processamento de mensagens recebidas

Para as mensagens recebidas, se você configurar apenas uma das opções S/MIME (Verificar mensagens na entrada ou Decodificar mensagens na entrada), somente a camada externa da mensagem será processada. Se a opção selecionada não corresponder ao tipo de mensagem recebida, a mensagem falhará.

Para mensagens recebidas, você pode definir a ação de falha como Entregar se as mensagens precisarem ser verificadas ou descriptografadas depois que o Sophos Email Security as tiver processado. Por exemplo, um usuário pode ter seus certificados e chaves privadas armazenados no software de e-mail.

Por exemplo, se você tiver selecionado Verificar mensagens na entrada e a mensagem não estiver assinada, a mensagem falhará. Ou, se você tiver selecionado Decodificar mensagens na entrada e a mensagem não estiver encriptada, a mensagem falhará.

A maneira como as mensagens recebidas são processadas depende de quais configurações S/MIME estão ativadas.

Se você ativar Verificar mensagens na entrada e desativar Decodificar mensagens na entrada, as mensagens serão processadas da seguinte forma.

Condição das mensagens recebidas Ações
Criptografada e depois assinada. Mensagem verificada e entregue.

Se a verificação falhar, aplicamos a ação escolhida por você. Não decodificamos a mensagem.

Assinada e depois criptografada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Assinada, não criptografada. Mensagem verificada e entregue.

Se a verificação falhar, aplicamos a ação escolhida por você.

Criptografada, não assinada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Não assinada ou criptografada. Nenhuma ação de S/MIME, mensagem entregue.

Se você desativar Verificar mensagens na entrada e ativar Decodificar mensagens na entrada, as mensagens serão processadas da seguinte forma.

Condição das mensagens recebidas Ações
Criptografada e depois assinada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Assinada e depois criptografada. Mensagem decodificada e entregue.

Se a decodificação falhar, aplicamos a ação escolhida por você.

Assinada, não criptografada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Criptografada, não assinada. Mensagem decodificada e entregue.

Se a decodificação falhar, aplicamos a ação escolhida por você.

Não assinada ou criptografada. Nenhuma ação de S/MIME, mensagem entregue.

Processamento da saída da mensagem

O Sophos Email Security pode entregar mensagens encriptadas com Encriptação de push se não for possível usar S/MIME. Por exemplo, o Sophos Email Security pode não ter todos os certificados necessários para que o S/MIME funcione.

Para ativar esse recurso, siga este procedimento:

  1. Na Falha na ação das mensagens de saída, selecione Quarentena ou Entregar.
  2. Selecione Encriptar por push toda a mensagem na liberação.

Se você selecionar Entregar e a criptografia S/MIME falhar, o Sophos Email Security usa a Encriptação de push para criptografar a mensagem e a envia imediatamente.

Se você selecionar Quarentena e a criptografia S/MIME falhar, o Sophos Email Security usa a Encriptação de push para criptografar a mensagem e a envia quando você libera a mensagem da quarentena. Para obter mais informações sobre Encriptação de push, consulte Encriptação de E-mail.

Voltar ao topo