Regeln zur Erkennung schädlicher Anhänge einrichten

Als Administrator können Sie Gmail so einrichten, dass alle E-Mail-Anhänge in der Sicherheits-Sandbox gescannt werden. Diese Einstellung ist standardmäßig deaktiviert.

1. Gehen Sie in der Admin-Konsole zum Menü  AppsGoogle WorkspaceGmailSpam, Phishing und Malware.

   Zu „Spam, Phishing und Malware“

   Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

2. Wählen Sie die Organisationseinheit aus, für die Sie Einstellungen konfigurieren möchten. Wenn Sie die Einstellungen für alle Nutzer konfigurieren möchten, wählen Sie die Einheit der obersten Ebene aus. Andernfalls wählen Sie eine der untergeordneten Organisationseinheiten aus.
3. Scrollen Sie im Bereich Spam, Phishing und Malware zu Sicherheits-Sandbox. Die Regeln für die Sicherheits-Sandbox werden unten in diesem Abschnitt angezeigt.
4. Sollen alle Anhänge gescannt werden, klicken Sie auf das Kästchen neben dem Feld Anhänge für alle Nutzer virtuell in einer Sandbox-Umgebung ausführen….

   Hinweis: Wenn das Kästchen angeklickt ist, werden auch dann, wenn Sie spezielle Sandbox-Regeln eingerichtet haben, alle Anhänge in der Sicherheits-Sandbox gescannt.

5. Klicke unten auf der Seite auf Speichern.

Fügen Sie Regeln hinzu, um festzulegen, welche Nachrichten gescannt werden.

1. Gehen Sie in der Admin-Konsole zum Menü  AppsGoogle WorkspaceGmailSpam, Phishing und Malware.

   Zu „Spam, Phishing und Malware“

   Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

2. Wählen Sie die Organisationseinheit aus, für die Sie Einstellungen konfigurieren möchten. Wenn Sie die Einstellungen für alle Nutzer konfigurieren möchten, wählen Sie die Einheit der obersten Ebene aus. Andernfalls wählen Sie eine der untergeordneten Organisationseinheiten aus.

3. Entfernen Sie im Bereich Spam, Phishing und Malware unter „Sicherheits-Sandbox“ das Häkchen aus dem Kästchen neben dem Feld Anhänge für alle Nutzer virtuell in einer Sandbox-Umgebung ausführen… Ist dieses Kästchen nicht angeklickt, werden Anhänge nur dann in der Sicherheits-Sandbox gescannt, wenn sie Sandbox-Regeln entsprechen.

4. Bewegen Sie den Mauszeiger im Bereich Spam, Phishing und Malware unten auf Regeln für die Sicherheits-Sandbox und klicken Sie dann auf Konfigurieren.

5. Geben Sie unter Regeln für die Sicherheits-Sandbox in das Feld Einstellung hinzufügen einen Namen für die Regel ein. Dieser Name wird auf der Seite „Einstellungen“ angezeigt.

6. Klicken Sie im Bereich Betroffene E‑Mails auf die Kästchen neben den Nachrichtentypen:

   • Eingehend: Nachrichten, die von externen Domains an Ihre Organisation gesendet wurden

   • Intern – Empfang: Nachrichten, die innerhalb der Domain und der Subdomains Ihrer Organisation gesendet und empfangen wurden

     Eine Domain ist intern, wenn sie eine bestätigte Workspace-Domain oder eine Subdomain oder übergeordnete Domain einer bestätigten Workspace-Domain ist.

7. Führen Sie im Abschnitt Fügen Sie Ausdrücke hinzu, die den Inhalt beschreiben, nach dem Sie in den einzelnen E-Mails suchen möchten die folgenden Schritte aus:

   1. Wählen Sie aus, ob ein beliebiger oder alle Ausdrücke übereinstimmen sollen. Wenn Sie sich z. B. für die Option Wenn die Nachricht mit einer BELIEBIGEN der folgenden Angaben übereinstimmt entscheiden, führt jede beliebige übereinstimmende Bedingung dazu, dass der Anhang in der Sicherheits-Sandbox gescannt wird.

   2. Klicken Sie im Feld Ausdrücke auf Hinzufügen.

   3. Wählen Sie in der Liste Optionen für den Ausdruck aus und klicken Sie dann auf Speichern.

      • Einfacher Inhaltsabgleich: Hierbei wird auf Übereinstimmungen mit Inhalt geprüft, den Sie angeben. Der einfache Inhaltsabgleich funktioniert wie die Suche in Gmail. Wenn Sie z. B. nach Kaufauftrag suchen, werden alle Strings zurückgegeben,die die Wörter Kauf und Auftrag enthalten. Weitere Informationen zu Suchoperatoren in Gmail

      • Erweiterter Inhaltsabgleich: Bei dieser Option können Sie zuerst die Position des Textstrings innerhalb der Nachricht und die Art der Übereinstimmung auswählen. Danach legen Sie fest, welche Inhalte gesucht werden sollen. Anders als beim einfachen Inhaltsabgleich muss der String hier genau übereinstimmen. In den Tabellen unten finden Sie eine Beschreibung der einzelnen Positionen innerhalb der Nachricht und der Übereinstimmungstypen. Weitere Informationen zu den Optionen für den erweiterten Inhaltsabgleich

      • Metadatenabgleich: Wählen Sie das gewünschte Attribut und die Art der Übereinstimmung aus. Geben Sie bei Bedarf den Übereinstimmungswert ein. In der Tabelle unten finden Sie eine Beschreibung der Metadatenattribute und Übereinstimmungstypen. Weitere Informationen zu Metadatenattributen und Übereinstimmungsarten

      • Abgleich mit vordefinierten Inhalten: Wählen Sie einen der vordefinierten Inhaltsdetektoren aus. Wählen Sie beispielsweise Kreditkartennummer oder Sozialversicherungsnummer aus. Sie können nach Wunsch festlegen, wie oft der Detektor in der Nachricht vorhanden sein muss, damit die definierte Aktion ausgelöst wird. Ein Scan kann auch ausgelöst werden, wenn der Detektor in der Nachricht einen Konfidenzschwellenwert erreicht. Hinweis:Diese Funktion ist nicht in allen Versionen verfügbar. Weitere Informationen finden Sie unter E-Mail-Verkehr mit der Funktion „Schutz vor Datenverlust“ überprüfen.

      Optionen für den erweiterten Inhaltsabgleich

      • Position: Der Bereich der E‑Mail, in dem der Inhalt auftaucht.

        Standorttyp	Beschreibung
        Header + Text	Die vollständigen Header und der Textkörper. einschließlich Anhänge (MIME-Bestandteile decodiert)
        Vollständige Header	Alle Header-Felder; Textkörper der Nachricht und Anhänge werden nicht berücksichtigt.
        Text	Der Haupttext der E‑Mail-Nachricht. einschließlich Anhänge (MIME-Bestandteile codiert)
        Betreff	Der Betreff der Nachricht im E‑Mail-Header
        Absender-Header	E-Mail-Adresse des Absenders, wie im Header „Von:“ angegeben. Sie kann sich von der des im Envelope-Absender angegebenen Absenders unterscheiden. Der Absender-Header besteht nur aus der E‑Mail-Adresse zwischen den spitzen Klammern. Der Name des Kontoinhabers gehört nicht dazu. Beispiel: Von: Erika Mustermann <emustermann@beispiel.de> Der Absender-Header ist emustermann@example.com. Hinweis: Der linke Teil einer @gmail.com- und @googlemail.com-Adresse wird in die kanonische Form konvertiert. Die Adresse erika.mustermann@gmail.com wird beispielsweise in erikamustermann@gmail.com konvertiert.
        Empfänger-Header	Die in den E‑Mail-Headern „An:“, „Cc:“ und „Bcc:“ angegebenen Empfänger. Die Angabe hier kann von der Eintragung unter Jeder Envelope-Empfänger abweichen. Es wird jeweils nur ein Empfänger verglichen. Sind zwei oder mehr Empfänger angegeben, wird die erweiterte Inhaltsregel nicht mit allen Empfängern in einem String abgeglichen. Wenn Sie eine Regel für Nachrichten einrichten möchten, die an mehrere Nutzer gesendet werden, sollten Sie vollständige Header verwenden. Der Empfänger-Header enthält die E‑Mail-Adresse, die sich innerhalb der spitzen Klammern befindet, nicht den Namen des Kontoinhabers. Beispiel: An: Erika Mustermann <emustermann@beispiel.de> Cc: Max Mustermann <mmustermann@beispiel.de> Bcc: Hans Müller <hmueller@beispiel.de> Die Empfänger-Header sind emustermann@example.com, maxmustermann@example.com und hmueller@example.com.
        Envelope-Absender	Der ursprüngliche Absender, der während der SMTP-Kommunikationsanfrage gemeldet wurde. Er kann von dem im Absender-Header abweichen. Er entspricht häufig, aber nicht immer, der Adresse im Return-Path-Header.
        Jeder Envelope-Empfänger	Die Empfänger, die während der SMTP-Kommunikationsanfrage gemeldet wurden. Sie können von denen im Empfänger-Header abweichen. Dazu können auch Einzelpersonen gehören, die als Teil einer Gruppenerweiterung hinzugefügt wurden. Es wird jeweils nur ein Empfänger verglichen. Sind zwei oder mehr Empfänger angegeben, wird die erweiterte Inhaltsregel nicht mit allen Empfängern in einem String abgeglichen.
        Rohnachricht	Die vollständigen Header und der Textkörper, einschließlich aller Anhänge und anderer MIME-Bestandteile der Nachricht. MIME-Bestandteile werden nicht decodiert.

      • Übereinstimmungstyp: Die Parameter, die zur Bestimmung einer Übereinstimmung verwendet werden.
        

        Keyword-Option	Beschreibung
        Beginnt mit	Es wird an der ausgewählten Position nach Inhalten gesucht, die mit dem festgelegten Zeichen oder dem festgelegten String beginnen.
        Endet mit	Es wird an der ausgewählten Position nach Inhalten gesucht, die mit dem festgelegten Zeichen oder dem festgelegten String enden.
        Text enthalten	Es wird an der ausgewählten Position nach Inhalten gesucht, die den festgelegten String haben.
        Enthält keinen Text	Es wird an der ausgewählten Position nach Inhalten gesucht, die den festgelegten String nicht haben.
        Ist gleich	Es wird an der ausgewählten Position nach Inhalten gesucht, die genau mit dem festgelegten String übereinstimmen.
        Ist leer	Es wird an der ausgewählten Position nach leeren Inhalten gesucht.
        Stimmt mit dem Regex überein	Es wird an der ausgewählten Position nach Inhalten gesucht, die mit dem festgelegten regulären Ausdruck übereinstimmen.
        Stimmt nicht mit Regex überein	Es wird an der ausgewählten Position nach Inhalten gesucht, die nicht mit dem angegebenen regulären Ausdruck übereinstimmen.
        Stimmt mit einem beliebigen Wort überein	Es wird an der ausgewählten Position nach Inhalten gesucht, die mit einem beliebigen Wort in der angegebenen Wortliste übereinstimmen.
        Stimmt mit allen Wörtern überein	Es wird an der ausgewählten Position nach Inhalten gesucht, die mit allen Wörtern in der angegebenen Wortliste übereinstimmen.

      • Inhalt: Der Text, der abgeglichen werden soll.

      Metadatenattribute und Übereinstimmungsarten

      Attribut	Keyword-Option	Beschreibung
      Authentifizierung von Nachrichten	Nachricht wurde authentifiziert Nachricht wurde nicht authentifiziert	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die von Ihrem Compliance-Ausdruck berücksichtigt werden sollen, ob authentifiziert oder nicht. Diese Option entspricht dem DMARC-Standard. Nachrichten gelten als authentifiziert, wenn sie entweder die SPF- oder die DKIM-Prüfung bestehen. Bestehen sie eine der beiden Prüfungen nicht, gelten sie als nicht authentifiziert. Weitere Informationen zu SPF, DKIM und DMARC
      Quell-IP-Adresse	Liegt im Bereich Liegt nicht im Bereich	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die bzw. die nicht in den IP-Bereich fallen, den Sie im Compliance-Ausdruck festlegen.
      Sichere Übertragung (TLS)	Die Verbindung ist TLS-verschlüsselt Die Verbindung ist nicht TLS-verschlüsselt	Wählen Sie diese Option aus, um empfangene Nachrichten zu erfassen, die von Ihrem Compliance-Ausdruck berücksichtigt werden sollen, ob TLS-verschlüsselt oder nicht.
      Nachrichtengröße	Ist größer als die folgende (MB) Ist kleiner als die folgende (MB)	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die größer oder kleiner als die in Ihrem Compliance-Ausdruck angegebene Größe sind. Geben Sie die gewünschte Nachrichtengröße (MB) in das Feld ein. Das ist die Rohgröße der gesamten Nachricht, die aufgrund der Codierung bis zu 33% höher sein kann als die Originalgröße der Nachricht und der Anhänge. Das liegt an der Codierung.
      S/MIME-Verschlüsselung	Nachricht ist mit S/MIME verschlüsselt Nachricht ist nicht mit S/MIME verschlüsselt	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die mit S/MIME verschlüsselt sind oder nicht. Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen
      Mit S/MIME signiert	Nachricht ist mit S/MIME signiert Nachricht ist nicht mit S/MIME signiert	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die mit S/MIME signiert sind oder nicht. Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen
      Gmail-Modus „Vertraulich“	Nachricht ist im Gmail-Modus „Vertraulich“ Nachricht ist nicht im Gmail-Modus „Vertraulich“	Wählen Sie diese Option aus, um Nachrichten zu erfassen, die im Gmail-Modus „Vertraulich“ sind oder nicht.

8. Prüfen Sie, ob Sicherheits-Sandbox ausführen als Aktion angezeigt wird, wenn Ausdrücke übereinstimmen. Bei übereinstimmenden Bedingungen wird immer das Scannen von Anhängen in der Sicherheits-Sandbox ausgelöst (Sicherheits-Sandbox ausführen).
9. Wenn Sie Ihre Einstellungen vorgenommen haben, klicken Sie auf Einstellung hinzufügen oder auf Speichern und dann unten auf der Gmail-Seite Erweiterte Einstellungen auf Speichern. Oder rufen Sie diese Einstellungen auf:
   • Anhänge scannen, wenn Nachrichten von bestimmten Adresslisten stammen
   • Anhänge bestimmter Kontotypen scannen
   • Anhänge von Absendern, Empfängern und Gruppen scannen (Envelope-Filter)

Sie können Adresslisten als Kriterien für das Scannen angeben. Adressenlisten enthalten E-Mail-Adressen, Domains oder beides.

Um festzustellen, ob eine Regel auf eine Adressenliste angewendet wird, werden die Werte für „Von“-Absender für empfangene E-Mails und Empfänger für gesendete E-Mails verwendet. Bei Absendern werden außerdem die Anforderungen an die Authentifizierung geprüft. Wenn mehrere Listen angegeben sind, muss eine Adresse mindestens mit einer Liste übereinstimmen, damit eine Regel angewendet wird.

1. Öffnen Sie das Feld Einstellung hinzufügen oder bearbeiten. Folgen Sie dazu der Anleitung unter Anhänge scannen, wenn Nachrichten bestimmten Regeln entsprechen.
2. Klicken Sie auf Optionen anzeigen.

3. Klicken Sie im Bereich Optionen auf das Kästchen neben Adressenlisten verwenden, um die Anwendung dieser Einstellung zu umgehen oder zu steuern.

4. Wählen Sie eine Option aus:

   • Diese Einstellung für bestimmte Adressen / Domains umgehen: Bei dieser Option wird die Regel für Übereinstimmungen mit der Adressliste übersprungen, unabhängig davon, ob in der Regel weitere Kriterien angegeben sind.

   • Diese Einstellung nur auf bestimmte Adressen / Domains anwenden: Eine Übereinstimmung mit der Adressliste wird zu einer Bedingung dafür, ob die Regel angewendet wird. Wenn es in der Regel weitere Kriterien wie Übereinstimmungsausdrücke, Kontotypen oder Envelope-Filter gibt, müssen diese Bedingungen ebenfalls zutreffen, damit die Regel angewendet wird.

5. Klicken Sie neben Es wurden noch keine Listen verwendet auf Aktuelle verwenden oder neue erstellen.

6. Führen Sie im Feld Verfügbare Listen eine der folgenden Aktionen aus:

   • Wählen Sie den Namen einer vorhandenen Liste aus und klicken Sie auf Verwenden.

   • Geben Sie in das Feld Neue Liste erstellen einen Namen für eine neue Liste ein und klicken Sie dann auf Erstellen.

7. So fügen Sie einer Liste E‑Mail-Adressen oder Domains hinzu:
   1. Bewegen Sie den Mauszeiger auf den Namen der Liste und klicken Sie auf Bearbeiten.
   2. Wenn Sie einer Liste E-Mail-Adressen oder Domains hinzufügen möchten, klicken Sie auf Hinzufügen.
   3. Geben Sie eine vollständige E-Mail-Adresse oder einen Domainnamen ein, z. B. solarmora.com. Wenn Sie mehrere Adressen hinzufügen möchten, trennen Sie sie durch Kommas oder Leerzeichen.
   4. Klicken Sie das Kästchen Keine Absender-Authentifizierung anfordern an, um die Regel für genehmigte Absender ohne Authentifizierung zu umgehen. Verwenden Sie diese Option mit Vorsicht, da sie potenziell zu Spoofing führen kann.
   5. Klicken Sie auf Speichern.

8. Wenn Sie alle Einstellungen konfiguriert haben, klicken Sie unten im Feld auf Einstellung hinzufügen und dann auf der Gmail-Seite Erweiterte Einstellungen unten auf Speichern. Andernfalls gehen Sie zu Betroffene Kontotypen.

Sie können festlegen, dass Nachrichten von bestimmten Kontotypen gescannt werden. Standardmäßig ist der Kontotyp Nutzer ausgewählt. Sie können jedoch auch mehrere Kontotypen angeben. Wenn Sie eine Einstellung für ausgehende E‑Mails einrichten, muss der Kontotyp mit dem Typ des Absenders übereinstimmen.

1. Öffnen Sie das Feld Einstellung hinzufügen oder bearbeiten. Folgen Sie dazu der Anleitung unter Anhänge scannen, wenn Nachrichten bestimmten Regeln entsprechen.
2. Klicken Sie auf Optionen anzeigen.
3. Wählen Sie im Bereich Optionen die gewünschten Einstellungen für Betroffene Kontotypen aus:
   • Nutzer
   • Unbekannte/Catchall-Konten
4. Wenn Sie Ihre Änderungen vorgenommen haben, klicken Sie auf Einstellung hinzufügen oder auf Speichern und dann unten auf der Gmail-Seite Erweiterte Einstellungen auf Speichern. Gehen Sie andernfalls zum Abschnitt mit weiteren Informationen zum Angeben eines Envelope-Filters.

Sie können Envelope-Informationen in E-Mails als Kriterien für das Scannen angeben. Zu den Informationen im E‑Mail-Umschlag gehören die E‑Mail-Adressen von Absender und Empfänger.

1. Öffnen Sie das Feld Einstellung hinzufügen oder bearbeiten. Folgen Sie dazu der Anleitung unter Anhänge scannen, wenn Nachrichten bestimmten Regeln entsprechen.
2. Klicken Sie auf Optionen anzeigen.
3. Wählen Sie im Bereich Optionen die gewünschten Einstellungen für Envelope-Filter aus: Sie können das Kästchen Nur für bestimmte Envelope-Absender, das Kästchen Nur für bestimmte Envelope-Empfänger oder beide anklicken.
4. Wählen Sie eine Option aus:

   • Einzelne E-Mail-Adresse: Legen Sie einen einzelnen Nutzer durch Eingabe der E-Mail-Adresse fest. Geben Sie die vollständige E-Mail-Adresse inklusive @-Zeichen und Domainname an. Bei dem Abgleich wird die Groß-/Kleinschreibung nicht beachtet.

   • Schemaabgleich: Geben Sie einen regulären Ausdruck ein, um mehrere Absender oder Empfänger in Ihrer Domain festzulegen. Klicken Sie auf Ausdruck testen, um zu prüfen, ob die Syntax korrekt ist. Sie können diese Einstellung z. B. nur auf drei bestimmte Nutzer anwenden. Geben Sie dazu die Liste der Nutzer mit dieser Syntax für reguläre Ausdrücke ein:

     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

     Im Ausdruck:
     • ^ entspricht dem Anfang einer neuen Zeile.
     • (?i) sorgt dafür, dass die Groß-/Kleinschreibung nicht berücksichtigt wird.
     • $ entspricht dem Ende einer Zeile.

     Weitere Informationen zur Verwendung regulärer Ausdrücke

   • Gruppenmitgliedschaft: Wählen Sie eine oder mehrere Gruppen aus der Liste aus. Bei Envelope-Absendern gilt diese Option nur für gesendete E-Mails. Bei Envelope-Empfängern gilt sie nur für empfangene E-Mails. Wenn noch keine Gruppen vorhanden sind, müssen Sie eine Gruppe erstellen.

5. Klicken Sie unten im Feld auf Einstellung hinzufügen oder auf Speichern und dann unten auf der Gmail-Seite Erweiterte Einstellungen auf Speichern.
   
   Anhänge werden gemäß den angegebenen Regeln gescannt.

Berichte und Kompatibilität mit anderen E‑Mail-Scans

Im Bericht Spamfilter – Malware können Sie sich ansehen, wie viele schädliche Anhänge erkannt wurden. Außerdem werden alle Nachrichten aufgelistet, die als schädlich identifiziert wurden. Die Anzahl der gescannten Anhänge wird nicht im Bericht angezeigt. Dieser Bericht ist im Google Workspace-Sicherheitsdashboard verfügbar.