Настройте правила для обнаружения вредоносных вложений.

Как администратор, вы можете настроить Gmail на сканирование всех вложений в электронных письмах в изолированной среде (Security Sandbox). По умолчанию эта настройка отключена.

1. В консоли администратора Google перейдите в меню. Приложения Google Workspace Гмайл Спам, фишинг и вредоносное ПО .

   Перейдите в раздел «Спам, фишинг и вредоносное ПО».

   Для этого требуются права администратора в настройках Gmail .

2. Выберите организационное подразделение, для которого вы хотите настроить параметры. Если вы хотите настроить параметры для всех, выберите подразделение верхнего уровня. Или выберите одно из дочерних организационных подразделений.
3. В разделе «Спам, фишинг и вредоносное ПО» перейдите к разделу «Песочница безопасности» . Правила песочницы безопасности находятся внизу этого раздела.
4. Чтобы просканировать все вложения, установите флажок « Включить виртуальное выполнение вложений в изолированной среде...» .

   Примечание : Если этот флажок установлен, все вложения сканируются в изолированной среде, даже если вы настроили специальные правила для этой среды.

5. Внизу страницы нажмите «Сохранить» .

Добавьте правила, чтобы указать, какие сообщения будут сканироваться.

1. В консоли администратора Google перейдите в меню. Приложения Google Workspace Гмайл Спам, фишинг и вредоносное ПО .

   Перейдите в раздел «Спам, фишинг и вредоносное ПО».

   Для этого требуются права администратора в настройках Gmail .

2. Выберите организационное подразделение, для которого вы хотите настроить параметры. Если вы хотите настроить параметры для всех, выберите подразделение верхнего уровня. Или выберите одно из дочерних организационных подразделений.

3. В разделе «Спам, фишинг и вредоносное ПО» , в подразделе «Песочница безопасности», снимите флажок « Разрешить виртуальное выполнение вложений в песочнице...» . Если этот флажок снят, вложения будут сканироваться в песочнице только в том случае, если они соответствуют правилам песочницы.

4. В нижней части раздела «Спам, фишинг и вредоносное ПО» наведите указатель мыши на «Правила песочницы безопасности» , затем нажмите «Настроить» .

5. В поле «Добавить параметр» в разделе «Правила песочницы безопасности» введите имя для правила. Это имя отобразится на странице настроек.

6. В разделе «Сообщения электронной почты, на которые будет оказано влияние» установите флажки рядом с типами сообщений:

   • Входящие сообщения — сообщения, отправленные в вашу организацию с внешних доменов.

   • Внутренние сообщения — сообщения, отправляемые и получаемые внутри доменов и поддоменов вашей организации.

     Домен считается внутренним, если он является проверенным доменом рабочей области, или поддоменом, или родительским доменом проверенного домена рабочей области.

7. В разделе « Добавьте выражения, описывающие содержимое, которое вы хотите найти в каждом сообщении» :

   1. Выберите, хотите ли вы сопоставить какие-либо или все выражения. Например, если вы выберете «Если ЛЮБОЕ из следующих выражений соответствует сообщению» , любое условие соответствия запустит сканирование вложений в песочнице безопасности.

   2. В поле «Выражения» нажмите «Добавить» .

   3. Выберите из списка то, что хотите указать в выражении, затем нажмите «Сохранить» .

      • Простое сопоставление содержимого — сопоставляет указанное вами содержимое. Простое сопоставление содержимого работает аналогично функции поиска в Gmail. Например, если вы ищете «заказ на покупку», возвращается любая строка, содержащая слова «покупка» и «заказ» . Узнайте больше об операторах поиска в Gmail .

      • Расширенное сопоставление содержимого — выберите местоположение текста в сообщении и тип сопоставления , а затем введите содержимое для поиска. В отличие от простого сопоставления содержимого, строка должна точно совпадать. В таблицах ниже приведено описание каждого местоположения в сообщении и типов сопоставления. Подробнее о параметрах расширенного сопоставления содержимого см . здесь.

      • Сопоставление метаданных — Выберите атрибут для сопоставления и тип сопоставления . При необходимости введите значение параметра «Соответствие» . Описание атрибутов метаданных и типов сопоставления см. в таблице ниже. Подробнее об атрибутах метаданных и типах сопоставления .

      • Предопределенное соответствие содержимого — выберите один из предопределенных детекторов содержимого. Например, выберите «Номер кредитной карты» или «Номер социального страхования» . При желании вы можете установить количество раз, которое детектор должен появиться в сообщении, чтобы запустить определенное вами действие. Вы также можете запустить сканирование, когда детектор в сообщении достигнет порогового значения достоверности. Примечание: Эта функция доступна не во всех версиях. Перейдите в раздел «Сканирование почтового трафика с помощью предотвращения потери данных», чтобы узнать больше.

      Параметры расширенного сопоставления контента

      • Местоположение — раздел электронного письма, где отображается содержимое.

        Тип местоположения	Описание
        Заголовки + Основной текст	Полный заголовок плюс текст. Включает вложения (части MIME декодированы).
        Полные заголовки	Все поля заголовка. Не включает текст сообщения и вложения.
        Тело	Основной текст электронного письма. Включает вложения (закодированные MIME-компоненты).
        Предмет	Тема сообщения, указанная в заголовке электронного письма.
        Заголовок отправителя	Адрес электронной почты отправителя, указанный в заголовке From:. Он может отличаться от адреса отправителя, указанного в поле Envelope sender. Заголовок отправителя содержит адрес электронной почты, заключенный в угловые скобки, и не включает имя владельца учетной записи. Например, рассмотрим: От: Джейн Доу <jdoe@example.com> В заголовке отправителя указан адрес jdoe@example.com. Примечание : Левая часть адресов @gmail.com и @googlemail.com преобразуется в каноническое представление. Например, jane.doe@gmail.com преобразуется в janedoe@gmail.com.
        Заголовок получателей	Получатель или получатели указываются в заголовках электронных писем: Кому:, Копия: и Скрытая копия:. Это может отличаться от получателей, указанных в поле «Любой получатель конверта» . Это позволяет сравнивать только одного получателя за раз. Если получателей двое или больше, расширенное правило содержимого не будет сопоставлять данные со всеми получателями в одной строке. Чтобы настроить правило для сообщений, отправляемых нескольким пользователям, используйте полные заголовки. В заголовке "Получатель" содержится адрес электронной почты, заключенный в угловые скобки, и отсутствует имя владельца учетной записи. Например, рассмотрим: Кому: Джейн Доу <jdoe@example.com> Копия: Джон Доу <johndoe@example.com> Скрытая копия: Джон Смит <jsmith@example.com> В заголовках получателей указываются адреса электронной почты: jdoe@example.com, johndoe@example.com и jsmith@example.com.
        Отправитель конверта	Исходный отправитель, указанный в запросе на SMTP-связь. Он может отличаться от отправителя, указанного в заголовке Sender. Часто, но не всегда, он совпадает с адресом, найденным в заголовке "Return-path".
        Любой получатель конверта	Получатель или получатели, указанные в запросе на SMTP-связь. Они могут отличаться от получателей, указанных в заголовке «Получатель». Это могут быть лица, добавленные в рамках расширения группы. Это позволяет сравнивать только одного получателя за раз. Если получателей двое или больше, расширенное правило содержимого не будет сопоставлять данные со всеми получателями в одной строке.
        Исходное сообщение	Полный текст заголовка, а также тело сообщения, включая все вложения и другие MIME-части. MIME-части не декодируются.

      • Тип совпадения — параметры, используемые для определения совпадения.
        

        Тип совпадения	Описание
        Начинается с	Выполняет поиск в выбранном месте содержимого, начинающегося с указанного символа или строки.
        Заканчивается	Выполняет поиск в выбранном месте содержимого, заканчивающегося указанным символом или строкой.
        Содержит текст	Выполняет поиск в выбранном месте содержимого, содержащего указанную строку.
        Не содержит текста	Выполняет поиск в выбранном месте контента, не содержащего указанную строку.
        Равен	Выполняет поиск в выбранном месте содержимого, точно соответствующего указанной строке.
        Пусто	Выполняет поиск в выбранном месте пустого содержимого.
        Соответствует регулярному выражению	Выполняет поиск в выбранном месте содержимого, соответствующего указанному регулярному выражению.
        Не соответствует регулярному выражению	Выполняет поиск в выбранном месте контента, не соответствующего указанному регулярному выражению.
        Соответствует любому слову	Выполняет поиск в выбранном месте контента, соответствующего любому слову из указанного списка слов.
        Соответствует всем словам	Выполняет поиск в выбранном месте контента, соответствующего всем словам из указанного списка.

      • Содержание — текст, который необходимо сопоставить.

      Атрибуты метаданных и типы соответствия

      Атрибут	Тип совпадения	Описание
      Аутентификация сообщений	Сообщение аутентифицировано. Сообщение не аутентифицировано.	Выберите этот параметр, чтобы включить в выражение соответствия требованиям сообщения, прошедшие или не прошедшие аутентификацию. Этот параметр соответствует стандарту DMARC. Сообщения считаются аутентифицированными, если они проходят проверку SPF или DKIM. Если сообщения не проходят одну из этих проверок аутентификации, они считаются неаутентифицированными. Подробнее о SPF, DKIM и DMARC можно прочитать здесь.
      Исходный IP-адрес	Находится в следующем диапазоне Не находится в следующем диапазоне	Выберите этот параметр, чтобы включить в выражение соответствия требованиям сообщения, попадающие или не попадающие в указанный диапазон IP-адресов.
      Безопасная передача (TLS)	Соединение зашифровано по протоколу TLS. Соединение не зашифровано по протоколу TLS.	Выберите этот параметр, чтобы включить в выражение соответствия требованиям полученные сообщения, зашифрованные или не зашифрованные с помощью TLS.
      Размер сообщения	Превышает следующие значения (МБ) Меньше, чем указано ниже (МБ)	Выберите этот параметр, чтобы включить в выражение соответствия требованиям сообщения большего или меньшего размера, чем указано. Введите размер сообщения в МБ в соответствующее поле. Размер — это исходный размер всего сообщения, который может быть до 33% больше, чем исходный размер сообщения и вложений. Это связано со стандартными накладными расходами на кодирование.
      Шифрование S/MIME	Сообщение зашифровано по протоколу S/MIME. Сообщение не зашифровано по протоколу S/MIME.	Выберите этот параметр, чтобы включить сообщения, зашифрованные по протоколу S/MIME, или сообщения, не зашифрованные таким образом. Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните свою версию.
      S/MIME подписан	Сообщение подписано по протоколу S/MIME. Сообщение не подписано по протоколу S/MIME.	Выберите этот параметр, чтобы включить сообщения, подписанные или не подписанные по протоколу S/MIME. Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните свою версию.
      конфиденциальный режим Gmail	Сообщение находится в режиме конфиденциальности Gmail. Сообщение не находится в режиме конфиденциальности Gmail.	Выберите этот параметр, чтобы включить в список сообщения, которые являются или не являются сообщениями в режиме конфиденциальности Gmail.

8. Убедитесь, что в качестве действия при совпадении выражений отображается «Запустить песочницу безопасности» . Соответствующие условия всегда запускают действие сканирования вложений в песочнице безопасности ( «Запустить песочницу безопасности» ).
9. Если все настройки заполнены, нажмите «Добавить настройку» или «Сохранить» , а затем нажмите «Сохранить» внизу страницы расширенных настроек Gmail . Или перейдите к следующим настройкам:
   • Проверяйте вложения, если сообщения поступают из определенных адресных списков.
   • Сканирование вложений из определенных типов учетных записей
   • Сканирование вложений от отправителей, получателей и групп (фильтр конвертов)

В качестве критериев сканирования можно указать списки адресов. Списки адресов могут включать адреса электронной почты, домены или и то, и другое.

Для определения применимости правила к списку адресов, это правило использует поле «От» для полученных писем и поле «Получатели» для отправленных писем . Для отправителей также проверяется требование аутентификации. Если указано несколько списков, адрес должен совпадать хотя бы с одним из них, чтобы правило было применено.

1. Откройте окно «Добавить или изменить настройки» , следуя инструкциям в разделе «Сканировать вложения, если сообщения соответствуют указанным правилам» .
2. Нажмите «Показать параметры» .

3. В разделе «Параметры» установите флажок «Использовать списки адресов для обхода или управления применением этой настройки» .

4. Выберите вариант:

   • Обход этого параметра для определенных адресов/доменов — Правило пропускается, если список адресов соответствует условию, независимо от любых других критериев, указанных в правиле.

   • Применять этот параметр только для определенных адресов/доменов — Совпадение со списком адресов становится условием применения правила. Если в правиле присутствуют другие критерии (выражения соответствия, типы учетных записей или фильтры конвертов), эти условия также должны совпадать, чтобы правило было применено.

5. Рядом с пунктом "Пока нет использованных списков" нажмите " Использовать существующий или создать новый" .

6. В поле «Доступные списки» выполните одно из следующих действий:

   • Выберите название существующего списка, затем нажмите « Использовать» .

   • Введите название для нового списка в поле «Создать новый список» , затем нажмите «Создать» .

7. Чтобы добавить адреса электронной почты или домены в список:
   1. Наведите указатель мыши на название списка, затем нажмите «Редактировать» .
   2. Добавьте в список адреса электронной почты или домены, нажмите «Добавить» .
   3. Введите полный адрес электронной почты или доменное имя, например, solarmora.com . Чтобы добавить несколько адресов, разделяйте каждый адрес запятой или пробелом.
   4. Установите флажок «Не требовать аутентификации отправителя» , чтобы обойти это правило для одобренных отправителей, у которых не настроена аутентификация . Используйте этот параметр с осторожностью, так как он потенциально может привести к подделке данных.
   5. Нажмите « Сохранить ».

8. Если все настройки заполнены, нажмите «Добавить настройку» внизу окна, а затем нажмите «Сохранить» внизу страницы расширенных настроек Gmail . В противном случае перейдите в раздел «Типы учетных записей, которые нужно изменить».

Для сканирования можно указать сообщения от определенных типов учетных записей. По умолчанию выбран тип учетной записи «Пользователи» , но можно указать несколько типов учетных записей. При настройке исходящих сообщений тип учетной записи должен совпадать с типом отправителя.

1. Откройте окно «Добавить или изменить настройки» , следуя инструкциям в разделе «Сканировать вложения, если сообщения соответствуют указанным правилам» .
2. Нажмите «Показать параметры» .
3. В разделе «Параметры» выберите параметры для типов учетных записей, которые будут затронуты :
   • Пользователи
   • Непризнанный/Универсальный
4. Если изменения внесены, нажмите «Добавить настройку» или «Сохранить» , а затем нажмите «Сохранить» внизу страницы расширенных настроек Gmail . В противном случае перейдите в раздел «Указать фильтр конвертов» .

В качестве критериев сканирования можно указать информацию о содержимом электронного письма. Эта информация включает адреса отправителя и получателя.

1. Откройте окно «Добавить или изменить настройки» , следуя инструкциям в разделе «Сканировать вложения, если сообщения соответствуют указанным правилам» .
2. Нажмите «Показать параметры» .
3. В разделе «Параметры» выберите настройки фильтра конвертов : установите флажок «Влиять только на отправителей конвертов» , флажок «Влиять только на получателей конвертов» или оба флажка.
4. Выберите вариант:

   • Один адрес электронной почты — Укажите одного пользователя, введя один адрес электронной почты. Это должен быть полный адрес электронной почты, включающий символ @ и доменное имя. Регистр не имеет значения.

   • Сопоставление с шаблоном — Введите регулярное выражение, чтобы указать набор отправителей или получателей в вашем домене. Нажмите «Проверить выражение» , чтобы убедиться в правильности синтаксиса. Например, примените этот параметр только к 3 конкретным пользователям, введя список пользователей с помощью следующего синтаксиса регулярного выражения:

     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

     В выражении:
     • ^ обозначает начало новой строки.
     • (?i) делает выражение нечувствительным к регистру.
     • Символ $ обозначает конец строки.

     Узнайте об использовании регулярных выражений.

   • Членство в группе — Выберите одну или несколько групп в списке. Для отправителей писем эта опция применяется только к отправленным письмам. Для получателей писем она применяется только к полученным письмам. Если вы еще этого не сделали, вам сначала нужно создать группу .

5. В нижней части окна нажмите «Добавить настройку» или «Сохранить» , затем в нижней части страницы расширенных настроек Gmail нажмите «Сохранить» .

Вложения сканируются в соответствии с установленными правилами.