Konfigurowanie reguł do wykrywania szkodliwych załączników

Jako administrator możesz skonfigurować w Gmailu skanowanie w bezpiecznej piaskownicy wszystkich załączników e-maili. Domyślnie to ustawienie jest wyłączone.

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeGoogle WorkspaceGmailSpam, phishing i złośliwe oprogramowanie.

   Otwórz Spam, phishing i złośliwe oprogramowanie

   Wymaga uprawnień administratora Ustawienia Gmaila.

2. Wybierz jednostkę organizacyjną, której ustawienia chcesz skonfigurować. Aby skonfigurować ustawienia dla wszystkich, wybierz jednostkę najwyższego poziomu. Możesz też wybrać jedną z podrzędnych jednostek organizacyjnych.
3. Przewiń do ustawień bezpiecznej piaskownicy w sekcji Spam, phishing i złośliwe oprogramowanie. Reguły bezpiecznej piaskownicy znajdują się na końcu tej sekcji.
4. Aby skanować wszystkie załączniki, zaznacz pole Włącz wirtualne uruchamianie załączników w środowisku piaskownicy.

   Uwaga: jeśli to pole jest zaznaczone, wszystkie załączniki są skanowane w bezpiecznej piaskownicy, niezależnie od ustawionych reguł piaskownicy.

5. U dołu strony kliknij Zapisz.

Dodaj reguły określające, które wiadomości mają być skanowane.

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeGoogle WorkspaceGmailSpam, phishing i złośliwe oprogramowanie.

   Otwórz Spam, phishing i złośliwe oprogramowanie

   Wymaga uprawnień administratora Ustawienia Gmaila.

2. Wybierz jednostkę organizacyjną, której ustawienia chcesz skonfigurować. Aby skonfigurować ustawienia dla wszystkich, wybierz jednostkę najwyższego poziomu. Możesz też wybrać jedną z podrzędnych jednostek organizacyjnych.

3. W ustawieniach bezpiecznej piaskownicy w sekcji Spam, phishing i złośliwe oprogramowanie odznacz pole Włącz wirtualne uruchamianie załączników w środowisku piaskownicy. Jeśli to pole jest niezaznaczone, załączniki są skanowane w piaskownicy tylko wtedy, gdy pasują do reguł piaskownicy.

4. Najedź kursorem na opcję Reguły bezpiecznej piaskownicy u dołu sekcji Spam, phishing i złośliwe oprogramowanie i kliknij Skonfiguruj.

5. W polu Dodaj ustawienie w obszarze Reguły bezpiecznej piaskownicy wpisz nazwę reguły. Ta nazwa pojawi się na stronie ustawień.

6. W sekcji E-maile, których ma dotyczyć reguła zaznacz pola obok odpowiednich typów wiadomości:

   • Przychodzące – wiadomości wysyłane do Twojej organizacji z domen zewnętrznych.

   • Wewnętrzna – odbieranie – wiadomości wysyłane i odbierane w domenach i subdomenach organizacji.

     Domena jest wewnętrzna, jeśli jest zweryfikowaną domeną Workspace lub subdomeną bądź domeną nadrzędną zweryfikowanej domeny Workspace.

7. W sekcji Dodaj wyrażenia opisujące treść, którą chcesz wyszukać w każdej wiadomości:

   1. Wybierz, czy mają być dopasowywane dowolne czy wszystkie wyrażenia. Na przykład ustawienie Jeśli wiadomość pasuje do DOWOLNYCH z tych reguł oznacza, że spełnienie dowolnego z warunków spowoduje uruchomienie skanowania załącznika w bezpiecznej piaskownicy.

   2. W polu Wyrażenia kliknij Dodaj.

   3. Wybierz z listy odpowiednie ustawienia dotyczące wyrażenia i kliknij Zapisz.

      • Proste dopasowanie zawartości – dopasowanie do określonej treści. Proste dopasowanie zawartości działa podobnie do funkcji wyszukiwania w Gmailu. Jeśli na przykład wyszukasz wyrażenie numer zamówienia, zostaną zwrócone wszystkie ciągi ze słowami numer i zamówienia. Dowiedz się więcej o operatorach wyszukiwania dostępnych w Gmailu.

      • Zaawansowane dopasowanie zawartości – wskaż lokalizację tekstu w wiadomości, określ typ dopasowania i wpisz szukaną wartość. W odróżnieniu od prostego dopasowania zawartości to wyszukiwanie zwraca tylko dokładnie dopasowane wyniki. W tabelach poniżej znajdziesz opis poszczególnych lokalizacji w wiadomości oraz typów dopasowania. Dowiedz się więcej o opcjach zaawansowanego dopasowania zawartości.

      • Dopasowanie metadanych – wybierz wyszukiwany atrybut i typ dopasowania. W razie potrzeby określ wartość dopasowania. Opis poszczególnych atrybutów metadanych i typów dopasowania znajdziesz w tabeli poniżej. Dowiedz się więcej o atrybutach metadanych i typach dopasowania.

      • Dopasowanie do wstępnie zdefiniowanej treści – wybierz jeden z gotowych wzorców do wykrywania treści. Na przykład wybierz Numer karty kredytowej lub Numer ubezpieczenia społecznego. Opcjonalnie możesz ustawić, ile razy określona treść musi pojawić się w wiadomości, aby spowodowało to uruchomienie konkretnego działania. Możesz też ustawić uruchamianie skanowania, gdy wzorzec w wiadomości osiągnie odpowiedni poziom ufności. Uwaga: ta funkcja nie jest dostępna we wszystkich wersjach. Aby dowiedzieć się więcej, zapoznaj się z artykułem Skanowanie poczty e-mail przy użyciu reguł Zapobiegania utracie danych (DLP).

      Opcje zaawansowanego dopasowania zawartości

      • Lokalizacja – element e-maila, w którym pojawia się określona zawartość.

        Typ lokalizacji	Opis
        Nagłówki + treść	Pełne nagłówki wiadomości wraz z jej treścią. wraz z załącznikami (z odszyfrowywaniem części MIME).
        Pełne nagłówki	Wszystkie pola nagłówków, ale bez treści wiadomości ani załączników.
        Treść	Główna część tekstowa e-maila. wraz z załącznikami (z odszyfrowywaniem części MIME).
        Temat	Temat e-maila znajdujący się w nagłówku.
        Nagłówek nadawcy	Adres e-mail nadawcy wpisany w nagłówku „Od”. Może różnić się od nadawcy wskazanego w opcji Nadawca w danych koperty. W nagłówku nadawcy zawarty jest adres e-mail ujęty w nawiasy kątowe. Nagłówek nie obejmuje imienia ani nazwiska właściciela konta. Przykład: Od: Jolanta Kowalska <jkowalska@example.com> Nagłówkiem nadawcy jest jkowalska@example.com. Uwaga: w przypadku domen gmail.com i googlemail.com wartości po lewej stronie adresów są przekształcane zgodnie z formatem kanonicznym. Na przykład adres jolanta.kowalska@gmail.com jest przekształcany w jolantakowalska@gmail.com.
        Nagłówek adresatów	Adresaci określeni w nagłówkach e-maila (Do, DW, UDW). Ich adresy mogą różnić się od adresatów wpisanych w opcji Dowolny adresat w danych koperty. Przy użyciu tej opcji porównywany jest tylko jeden adresat naraz. Jeśli adresatów jest 2 lub więcej, reguła zaawansowanego dopasowania zawartości nie sprawdza wszystkich adresatów uwzględnionych w jednym ciągu. Aby skonfigurować regułę obsługującą wiadomości wysyłane do wielu osób, użyj pełnych nagłówków. W nagłówku adresata zawarty jest adres e-mail ujęty w nawiasy kątowe. Nagłówek nie obejmuje imienia ani nazwiska właściciela konta. Przykład: Do: Jolanta Kowalska <jkowalska@example.com> DW: Jan Kowalski <jankowalski@example.com> UDW: Jan Nowak <jnowak@example.com> Nagłówkami adresatów w tym przykładzie są jkowalska@example.com, jankowalski@example.com i jnowak@example.com.
        Nadawca w danych koperty	Pierwotny nadawca określony w ramach żądania komunikacji SMTP. Może różnić się od nadawcy wskazanego w opcji Nagłówek nadawcy. Często, ale nie zawsze, ta wartość odpowiada adresowi w nagłówku ścieżki zwrotnej (Return-path).
        Dowolny adresat w danych koperty	Adresaci określeni w żądaniu komunikacji SMTP. Mogą różnić się od adresatów wskazanych w opcji Nagłówek adresatów. Może to obejmować osoby dodane w ramach rozszerzenia grupy. Przy użyciu tej opcji porównywany jest tylko jeden adresat naraz. Jeśli adresatów jest 2 lub więcej, reguła zaawansowanego dopasowania zawartości nie sprawdza wszystkich adresatów uwzględnionych w jednym ciągu.
        Wiadomość nieprzetworzona	Pełne nagłówki wraz z treścią, w tym wszystkie załączniki i inne części typu MIME. Części MIME nie są odszyfrowywane.

      • Typ dopasowania – parametry używane do sprawdzania dopasowania.
        

        Typ dopasowania	Opis
        Rozpoczyna się od wyrażenia	Przeszukuje wybraną lokalizację pod kątem treści, która rozpoczyna się od określonego znaku lub ciągu.
        Kończy się na	Przeszukuje wybraną lokalizację pod kątem treści, która kończy się określonym znakiem lub ciągiem.
        Zawiera tekst	Przeszukuje wybraną lokalizację pod kątem treści, która zawiera określony ciąg.
        Nie zawiera tekstu	Przeszukuje wybraną lokalizację pod kątem treści, która nie zawiera określonego ciągu.
        Równa się	Przeszukuje wybraną lokalizację pod kątem treści, która ściśle odpowiada określonemu ciągowi.
        Jest pusta	Przeszukuje wybraną lokalizację pod kątem pustej treści.
        Pasuje do wyrażenia regularnego	Przeszukuje wybraną lokalizację pod kątem treści, która pasuje do określonego wyrażenia regularnego.
        Nie pasuje do wyrażenia regularnego	Przeszukuje wybraną lokalizację pod kątem treści, która nie pasuje do określonego wyrażenia regularnego.
        Pasuje do dowolnego słowa	Przeszukuje wybraną lokalizację pod kątem treści, która pasuje do dowolnego słowa z określonej listy.
        Pasuje do wszystkich słów	Przeszukuje wybraną lokalizację pod kątem treści, która pasuje do wszystkich słów z określonej listy.

      • Zawartość – wyszukiwany tekst.

      Atrybuty metadanych i typy dopasowania

      Atrybut	Typ dopasowania	Opis
      Uwierzytelnianie wiadomości	Wiadomość jest uwierzytelniona Wiadomość nie jest uwierzytelniona	Wybierz tę opcję, aby dołączyć wiadomości, które są (lub nie są) uwierzytelnione w wyrażeniu zgodności. Opcja jest zgodna ze standardem DMARC. Wiadomość zostaje uwierzytelniona, kiedy przejdzie kontrolę SPF lub DKIM. Jeśli wiadomość nie przejdzie jednego z testów uwierzytelniania, zostaje uznana za nieuwierzytelnioną. Dowiedz się więcej o SPF, DKIM i DMARC.
      Źródłowy adres IP	Należy do następującego zakresu Nie należy do następującego zakresu	Wybierz tę opcję, aby dołączyć wiadomości, które należą (lub nie należą) do określonego zakresu adresów IP w wyrażeniu zgodności.
      Protokół TLS	Połączenie jest szyfrowane przy użyciu TLS Połączenie nie jest szyfrowane przy użyciu TLS	Wybierz tę opcję, aby dołączyć przychodzące wiadomości, które są (lub nie są) szyfrowane przy użyciu TLS w wyrażeniu zgodności.
      Rozmiar wiadomości	Jest większa niż (MB) Jest mniejsza niż (MB)	Wybierz tę opcję, aby dołączyć wiadomości o rozmiarze większym lub mniejszym niż określony rozmiar w wyrażeniu zgodności. Wpisz w polu rozmiar wiadomości wyrażony w MB. Rozmiar wiadomości oznacza jej całkowity rozmiar, który może być nawet o 33% większy od jej treści wraz z załącznikami. Jest to spowodowane narzutem kodowania.
      Szyfrowanie S/MIME	Wiadomość jest zaszyfrowana przy użyciu S/MIME Wiadomość nie jest zaszyfrowana przy użyciu S/MIME	Wybierz tę opcję, aby dołączyć wiadomości, które są (lub nie są) zaszyfrowane przy użyciu S/MIME. Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard i Education Plus. Porównanie wersji
      Podpis S/MIME	Wiadomość jest podpisana przy użyciu S/MIME Wiadomość nie jest podpisana przy użyciu S/MIME	Wybierz tę opcję, aby dołączyć wiadomości, które są (lub nie są) podpisane przy użyciu S/MIME. Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard i Education Plus. Porównanie wersji
      Tryb poufny Gmaila	Wiadomość jest w trybie poufnym Gmaila Wiadomość nie jest w trybie poufnym Gmaila	Wybierz tę opcję, aby dołączyć wiadomości, które są (lub nie są) w trybie poufnym Gmaila.

8. Sprawdź, czy opcja Uruchom bezpieczną piaskownicę wyświetla się jako działanie w przypadku dopasowania wyrażeń. Spełnienie warunków zawsze wywołuje działanie skanowania załączników w bezpiecznej piaskownicy (Uruchom bezpieczną piaskownicę).
9. Po zakończeniu konfigurowania ustawień kliknij Dodaj ustawienie lub Zapisz, a następnie kliknij Zapisz u dołu strony Ustawienia zaawansowane dotyczącej Gmaila. Możesz też przejść do tych ustawień:
   • Skanowanie załączników, jeśli wiadomość pochodzi z określonej listy adresów
   • Skanowanie załączników z określonych typów kont
   • Skanowanie załączników określonych nadawców, odbiorców i grup (filtr danych koperty)

Jako kryteria skanowania możesz określić listy adresów. Listy adresów obejmują adresy e-mail i domeny.

Aby określić, czy reguła ma zastosowanie do listy adresów, wykorzystuje ona pole nadawcy „od” w przypadku wiadomości odebranych i adresatów w przypadku wiadomości wysłanych. Dodatkowo włączony jest wymóg uwierzytelniania nadawców. Jeśli określisz wiele list, reguła zostanie zastosowana w przypadku dopasowania adresu do co najmniej jednej z nich.

1. Otwórz pole Dodaj lub Edytuj ustawienie, wykonując czynności opisane w sekcji Skanowanie załączników do wiadomości, które pasują do określonych reguł.
2. Kliknij Pokaż opcje.

3. W sekcji Opcje zaznacz pole Użyj list adresowych do pomijania lub stosowania tego ustawienia.

4. Wybierz opcję:

   • Pomijaj to ustawienie w przypadku określonych adresów lub domen – reguła zostanie pominięta w przypadku dopasowania do listy adresowej, niezależnie od jakichkolwiek innych ustawionych kryteriów reguły.

   • Stosuj to ustawienie tylko do określonych adresów lub domen – dopasowanie do tej listy adresów będzie warunkiem zastosowania reguły. Jeśli reguła zawiera inne kryteria (dopasowanie wyrażeń, typy kont lub filtry danych koperty), to ich warunki również muszą zostać spełnione, aby reguła została zastosowana.

5. Obok pozycji Żadna lista nie została jeszcze użyta kliknij Użyj istniejącej lub utwórz nową.

6. W polu Dostępne listy wykonaj jedną z tych czynności:

   • Wybierz nazwę istniejącej listy, a następnie kliknij Użyj.

   • Wpisz nazwę nowej listy w polu Utwórz nową listę, a następnie kliknij Utwórz.

7. Aby dodać do listy adresy e-mail lub domeny:
   1. Wskaż nazwę listy i kliknij Edytuj.
   2. Dodaj adresy e-mail lub domeny do listy i kliknij Dodaj.
   3. Wpisz pełny adres e-mail lub nazwę domeny, na przykład solarmora.com. Jeśli dodajesz wiele adresów, oddziel je przecinkami lub spacjami.
   4. Jeśli chcesz pominąć regułę w przypadku zatwierdzonych nadawców, którzy nie mają włączonego uwierzytelniania, zaznacz pole Nie wymagaj uwierzytelniania nadawcy. Używaj tej opcji rozważnie, ponieważ jej włączenie może umożliwić podszywanie się.
   5. Kliknij Zapisz.

8. Po zakończeniu konfigurowania ustawień kliknij Dodaj ustawienie u dołu okna, a następnie kliknij Zapisz u dołu strony Ustawienia zaawansowane dotyczące Gmaila. Możesz też dodać typy kont, których ma dotyczyć reguła.

Możesz określić wiadomości z określonych typów kont pod kątem skanowania. Domyślnie wybrany jest konto typu Użytkownicy, ale możesz określić więcej niż jeden typ konta. Jeśli konfigurujesz ustawienie na potrzeby poczty wychodzącej, wybrany typ konta musi odpowiadać typowi nadawcy.

1. Otwórz pole Dodaj lub Edytuj ustawienie, wykonując czynności opisane w sekcji Skanowanie załączników do wiadomości, które pasują do określonych reguł.
2. Kliknij Pokaż opcje.
3. W sekcji Opcje wybierz ustawienia dla Typów kont, których ma dotyczyć reguła:
   • Użytkownicy
   • Nierozpoznane/Catch-all
4. Po zakończeniu konfigurowania ustawień kliknij Dodaj ustawienie lub Zapisz, a następnie kliknij Zapisz u dołu strony Ustawienia zaawansowane dotyczącej Gmaila. Możesz też jeszcze określić filtr danych koperty.

Jako kryteria skanowania możesz określić dane koperty wiadomości e-mail. Dane koperty wiadomości e-mail obejmują adresy e-mail nadawcy i odbiorcy.

1. Otwórz pole Dodaj lub Edytuj ustawienie, wykonując czynności opisane w sekcji Skanowanie załączników do wiadomości, które pasują do określonych reguł.
2. Kliknij Pokaż opcje.
3. W sekcji Opcje wybierz ustawienia w obszarze Filtr danych koperty: zaznacz pole Stosuj tylko do określonych nadawców w danych koperty, Stosuj tylko do określonych adresatów w danych koperty lub oba pola.
4. Wybierz jedną z tych opcji:

   • Jeden adres e-mail – wpisz adres e-mail jednego użytkownika. Musi to być kompletny adres e-mail zawierający znak @ i nazwę domeny. Wielkość liter nie jest rozróżniana w tej wartości.

   • Dopasowanie do wzorca – wpisz wyrażenie regularne, aby określić zbiór nadawców lub adresatów w domenie. Kliknij Testuj wyrażenie, aby sprawdzić, czy użyta składnia jest poprawna. Aby na przykład ustawienie obejmowało tylko 3 wybranych użytkowników, wpisz listę użytkowników przy użyciu podanej niżej składni wyrażenia regularnego:

     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

     W tym wyrażeniu:
     • ^ odpowiada początkowi nowego wiersza,
     • (?i) wyłącza rozróżnianie wielkości znaków w wyrażeniu,
     • $ odpowiada końcowi wiersza.

     Dowiedz się więcej o używaniu wyrażeń regularnych.

   • Członkostwo w grupie – wybierz co najmniej jedną grupę z listy. W przypadku nadawców w danych koperty ta opcja ma zastosowanie tylko do wysyłanych e-maili. W przypadku adresatów w danych koperty ma zastosowanie tylko do e-maili przychodzących. Jeśli jeszcze ich nie masz, musisz najpierw utworzyć odpowiednie grupy.

5. Kliknij Dodaj ustawienie lub Zapisz u dołu okna, a następnie kliknij Zapisz u dołu strony Ustawienia zaawansowane dotyczącej Gmaila.
   
   Załączniki są skanowane zgodnie z określonymi regułami.

Raporty i zgodność z innymi skanowaniami e-maili

Raport Filtr spamu – Złośliwe oprogramowanie pokazuje liczbę zidentyfikowanych złośliwych załączników. Zawiera też listę wszystkich wiadomości, które zostały zidentyfikowane jako złośliwe. Nie pokazuje liczby przeskanowanych załączników. Raport jest dostępny w panelu bezpieczeństwa Google Workspace.