URL 和 QR 碼保護
在 URL 和 QR 碼保護中,您可以選擇如何處理包含惡意連結或 QR 碼的電子郵件。
注意
如果電子郵件包含的連結是網路觀察基金會的犯罪 URL 清單中的連結,則根據法律要求,我們需要刪除該電子郵件。我們也依法要求不在任何地方顯示該連結,包括 Sophos Central 中的郵件歷史記錄。請參閱 IWF:URL 清單](https://www.iwf.org.uk/our-technology/our-services/url-list/)。
我們一律會刪除這些電子郵件。我們不會使用您的電子郵件安全性原則中的設定。
為了加快電子郵件處理並防止延遲,URL 防護功能會在郵件包含大量網址時停止掃描該郵件。出於安全原因,我們不會公佈使用的限制。
為了增強安全性,包含過多網址的訊息會被隔離並標記為 無法掃描 - 過多網址。這項安全措施有助於防止攻擊者將惡意網址隱藏在郵件中的大量網址中。鑑於存在此風險,Email Security 原則設定中的 未掃描郵件設定 以及允許的寄件者無法繞過 URL 防護。
Sophos Email 也會掃描電子郵件正文和附件中的 QR 碼,例如常見的檔案和影像格式。如果 QR 碼包含 URL,我們會提取它並應用與常規 URL 相同的偵測邏輯和原則動作。您可以在 URL 索引標籤中查看提取的 URL,該索引標籤位於 郵件詳細資訊 頁面下的訊息 歷程記錄報告中。我們會檢查 URL 或 QR 碼是否鏈接到有害或可疑的網站。如果確實如此,我們會針對該訊息採取行動,例如將其隔離或刪除。
如果您將電子郵件隔離然後釋放,它將被送達,且 URL 不會被重寫。
URL 和 QR 碼掃描
若您啟用「QR 碼掃描」功能,Sophos 電子郵件將掃描電子郵件中的惡意網址及 QR 碼,以防其導向不安全的網站、惡意軟體、勒索軟體或釣魚網站。
您可以選擇 Sophos Email 如何掃描 QR 碼,方法是從以下選項中選擇一項:
- 擷取 URL 並掃描潛在威脅 (推薦):從影像和附件中的 QR 碼提取任何 URL,然後檢查它們是否存在已知威脅或犯罪內容。如果檢測到威脅,將對該電子郵件應用配置的行動。
- 偵測所有帶 QR 碼的電子郵件:對所有包含 QR 碼的電子郵件應用您配置的行動,即使該 QR 碼是乾淨的。QR 碼的內容不會被掃描或分析。
然後,您可以選擇對包含惡意 URL 或 QR 碼的電子郵件採取何種行動。
在以下選項中選取:
- 隔離(推薦):郵件置於隔離中。如果您確定隔離的郵件是安全的,則可以將其釋放。
- 删除:郵件立即被删除。
如果您選擇 包含在最終用戶隔離中,您的用戶可以檢查、釋放或刪除電子郵件。請參見 終端使用者隔離。
如果釋放了原因為「URL/QR 碼」的隔離電子郵件,使用者將收到一封新電子郵件,原始的惡意電子郵件將作為密碼保護的 ZIP 檔案附加。新電子郵件包含開啟 ZIP 附件的密碼。
Time of Click URL 保護
如果您啟用 Time of Click URL 保護,則包含在傳入電子郵件中的 URL 將被重寫,以指向 Sophos Email 而非原始目的地。
當您點擊重寫的連結時,Sophos Email 會執行 SXL 查詢。
- 如果該連結是惡意的,則會被阻止。
- 如果該連結是乾淨的,則行動取決於您的原則設定。例如,如果您允許中等風險的網站,而該連結被分類為乾淨但中等風險,則該連結會在瀏覽器中打開。
Sophos Email 不會重寫您添加到 URL 允許清單中的 URL。允許清單僅匹配主機名稱,即 Sophos 在掃描時檢測到的 URL 的主機名稱部分。
範例
example.com
為了防止重寫,請將重定向或追蹤主機名稱添加到允許清單中。這確保了 Sophos Email 在應用掃描的同時,傳遞連結而不將其替換為 Sophos 重寫的 URL。
如果其他服務,例如 Microsoft Safe Links 或供應商的重定向或追蹤服務,在 Sophos 掃描之前重寫了連結,則 Sophos 只會看到重寫或追蹤的主機名稱。追蹤或重寫的主機名稱是這些服務用來檢查或追蹤用戶點擊的主機名稱。
範例
safelinks.protection.outlook.com
因此,您允許清單中的原始主機名稱將不會生效。
限制
Time of Click 不會重寫 QR 碼中的 URL。
如果將滑鼠懸停在重寫的連結上,則可以在重寫 URL 的開頭以格式 d=domain.com 看到目的地網域名稱。這表示您可以看到連結指向的位置。
以下是一個重寫後的 URL 範例,其中 Sophos 伺服器地址後的網域已被標示出來。
警告
Sophos Email 無法在其他產品重寫 URL 後重新評估該 URL。
您可以針對具有以下信譽等級的網站,選擇想要執行的操作:
- 高級風險:包含非法網站、含惡意程式網站及釣魚網站。
- 中級風險:包含與垃圾郵件和隱匿代理相關的網站。
- 未驗證:無法驗證信譽的網站。
您無法允許高風險網站。
您也可以控制是否要在純文字郵件以及經安全簽署的郵件中重寫 URL。
- 純文字郵件:指沒有 HTML 格式的電子郵件。如果沒有 HTML 格式,則啟用 URL 重寫時,整個編碼的 URL 將顯示在電子郵件中。您可以透過取消選擇 在純文字郵件中重寫 URL 選項來防止這些郵件中的 URL 重寫。
-
安全簽署的訊息:URL 重寫可能會破壞 S/MIME、PGP 和 DKIM 簽署郵件的簽名。您可以透過取消選擇 在安全簽署的電子郵件中重寫 URL 選項來防止這些電子郵件中的 URL 重寫。
警告
如果您選擇不修改安全簽署的電子郵件,請小心,因為這些電子郵件將失去保護。URL 將不會被重寫,智慧型橫幅也不會套用。
請參見 URL 允許清單。
警告
如果您啟用 Time of Click URL 防護功能,並且使用 Google 郵件伺服器,您可能會看到內送郵件回報 DMARC 驗證失敗。
這個問題可能是因為 Google 並未持續處理來自其閘道 IP 清單中 IP 位址的電子郵件。要檢查您的電子郵件設定並了解更多資訊,請參見 限制傳送至 Sophos IP 位址。
