Obecné nastavení ochrany

KSMG chrání e-maily přicházející a odcházející z organizace. Můžete nakonfigurovat následující nastavení ochrany:

• Ochrana modulem Anti-Virus
• Kontrola odkazů
• Ochrana modulem Anti-Spam
• Ochrana modulem Anti-Phishing
• Filtrování obsahu zpráv
• Ověřování odesílatele e-mailu
• Deaktivace obsahu

Obecné nastavení ochrany se použije při kontrole všech zpráv. Akce, které se mají provést u zpráv po kontrole, a další nastavení můžete konfigurovat pomocí pravidel zpracování zpráv.

Ochrana modulem Anti-Virus

KSMG chrání zprávy před viry: vyhledává v e-mailových zprávách viry a další ohrožující programy a dezinfikuje infikované objekty pomocí aktuální (nejnovější) verze databází modulu Anti-Virus.

Viry a další hrozby ve zprávách při kontrole vyhledává modul Anti-Virus. Tento modul kontroluje tělo zprávy a všechny přiložené soubory v jakémkoli formátu (přílohy) pomocí svých databází. Modul Anti-Virus zjišťuje a blokuje e-mailové přílohy, které jsou určeny omezenému počtu příjemců a jsou součástmi cílených útoků, jejichž cílem je zneužít slabých míst softwaru.

Můžete nakonfigurovat následující nastavení modulu Anti-Virus:

• Heuristická analýza

  Technologie určená ke zjišťování hrozeb, které nelze zjistit pomocí aktuální verze databází aplikace společnosti Kaspersky. Zjišťuje soubory, které mohou být infikovány neznámým virem nebo novou variantou známého viru.

• Maximální doba kontroly zpráv.
• Maximální hloubka kontroly archivu
• Výjimky z kontroly u určitých legitimních programů, které mohou být použity hackery

Na základě výsledků kontroly přiřadí Anti-Virus zprávě příslušný stav:

• Nezjištěné znamená, že zpráva není infikována.
• Infikované znamená, že zpráva je infikována; buď ji nelze dezinfikovat, nebo nedošlo k pokusu o dezinfekci.
• Dezinfikováno znamená, že zpráva byla dezinfikována.
• Šifrované znamená, že zprávu nelze zkontrolovat, protože je šifrovaná.
• Chyba znamená, že při kontrole zprávy došlo k chybě.
• Chyba databází znamená, že zprávu nelze zpracovat kvůli chybě při použití databází aplikace.
• Hrozba neoprávněného vniknutí znamená, že pomocí příslušného objektu mohou hackeři napadnout síť LAN.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Pravděpodobně infikováno znamená, že objekt obsahuje znaky malwaru.

Modul Anti-Virus je standardně povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Kontrola odkazů

Aplikace KSMG kontroluje, zda odkazy v těle zprávy nejsou škodlivé, reklamní nebo nesouvisejí s legitimními aplikacemi, které mohou poškodit počítač.

Můžete upravit následující nastavení kontroly odkazů:

• Maximální doba kontroly zpráv.
• Výjimky z kontroly.

  Můžete zakázat zjišťování reklamních odkazů a odkazů souvisejících s určitými legitimními programy.

Můžete také povolit nebo zakázat kontrolu odkazů v kódech QR. KSMG extrahuje odkazy z obrázků kódů QR a kontroluje je stejným způsobem jako odkazy v těle zprávy. KSMG podporuje extrakci odkazů z obrázků v následujících formátech:

• PNG
• JPEG nebo JPG
• GIF
• PDF

Na základě výsledků kontroly odkazů aplikace přiřadí zprávě jeden z následujících stavů:

• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Nezjištěné znamená, že zpráva neobsahuje žádné odkazy, které by bylo možno zjistit v souladu s nastavením aplikace.
• Chyba znamená, že kontrola vrátila chybu.
• Zjištěné znamená, že zpráva obsahuje škodlivé odkazy, reklamní odkazy nebo odkazy související s legitimními programy.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Ochrana modulem Anti-Spam

KSMG filtruje zprávy procházející poštovním serverem a odstraňuje nevyžádanou poštu (spam).

U zpráv vyhledává spam modul Anti-Spam. Tento modul u každé zprávy vyhledává znaky spamu. Nejdříve modul Anti-Spam kontroluje atributy první zprávy, jako je adresa odesílatele a příjemce, velikost a záhlavní (včetně polí Od a Komu). Poté analyzuje obsah zprávy (včetně záhlaví Předmět) a přiložené soubory.

Pokud je ve zprávě zjištěn spam nebo pravděpodobný spam, je zprávě přiřazen určitý stav v závislosti na skóre spamu. Hodnocení pravděpodobnosti, že je zpráva spam, je celé číslo od 0 do 100, které je součtem bodů udělených zprávě vždy, kdy je při jejím zpracování aktivován modul Anti-Spam. Hodnocení spamu bere v úvahu výsledky kontroly SPF a filtrování reputace zpráv.

Když je povolen modul Anti-Spam, je automaticky povolena ochrana před útoky BEC. Tato ochrana pomáhá rozpoznat falešné zprávy od hackerů, kteří se snaží ohrozit bezpečnost obchodní korespondence.

Můžete nakonfigurovat následující nastavení modulu Anti-Spam:

• Služba Moebius.

  Služba okamžité aktualizace databází modulu Anti-Spam, která umožňuje instalovat zásadní aktualizace v reálném čase.

  Služba Moebius porovná aktuální databázi součásti Anti-Spam používanou aplikací s databází na serveru Moebius a určí rozdíl. Chybějící položky jsou poté odeslány do řídicího uzlu přes HTTPS. Aby byla velikost přenášených dat přiměřená a server Moebius mohl normálně fungovat, musí být databáze modulu Anti-Spam aktualizovány pravidelně.

• Ochrana proti falšování služby Active Directory.

  Typ útoku založený na falšování (spoofingu) přenášených dat. Spoofing může být zaměřen na získání vyšších oprávnění, především obcházením ověřovacího mechanismu generováním požadavku podobného autentickému požadavku. Jednou z variant spoofingu je falšování HTTP hlavičky pro získání přístupu ke skrytému obsahu.

  Cílem spoofingu může být také oklamání uživatele. Klasickým příkladem takového útoku je falšování adresy odesílatele v emailech.

  Modul Anti-Spam pomáhá předcházet spoofingovým útokům, při kterých hackeři používají falešné jméno (Display Name) v záhlaví Mime From a doména, ze které byla zpráva odeslána, neodpovídá doméně konkrétní organizace. Můžete označit jednu skupinu Active Directory obsahující až 10 000 uživatelů, kteří budou chráněni proti spoofingu.

• Kontrolovat reputaci IP adres a domén.

  Tato možnost vám umožňuje kontrolovat data relace SMTP na základě záznamů o blokovaných IP adresách a doménách v databázích modulu Anti-Spam.

• Karanténa modulu Anti-Spam.

  Umístění zálohy, kde jsou dočasně uchovávány zprávy, pokud jim modul Anti-Spam nedokáže po kontrole přiřadit konečný stav.

  Karanténa modulu Anti-Spam je k dispozici, pouze pokud je povolena účast ve službě KSN.

  Po umístění zprávy do karantény modulu Anti-Spam aplikace kontaktuje servery KSN za účelem další kontroly zprávy. Cloudová služba KSN zlepšuje přesnost zjišťování spamu, protože databáze KSN obsahují aktuálnější informace než databáze modulu Anti-Spam používané aplikací.

• Maximální doba kontroly zpráv.
• Maximální doba uchování zprávy v karanténě modulu Anti-Spam
• Maximální počet zpráv v karanténě modulu Anti-Spam.
• Maximální velikost karantény modulu Anti-Spam.

Na základě výsledků kontroly modulem Anti-Spam přiřadí tento modul zprávě jeden z následujících stavů:

• Nezjištěné znamená, že zpráva neobsahuje spam.
• Spam znamená, že je zpráva s určitostí diagnostikovaná jako spam.
• Pravděpodobný spam znamená, že zpráva je pravděpodobně spam.
• Hromadná zpráva znamená, že zpráva patří k hromadné e-mailové kampani.
• Chyba znamená, že kontrola vrátila chybu.
• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Formální zpráva znamená, že aplikace zprávu považuje za automaticky generované upozornění (například automatické odpovědi uživatelů nebo upozornění na překročení velikosti schránky).
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Důvěryhodné znamená, že zpráva byla přijata od odesílatele, jehož doména je v seznamu povolených domén v databázích modulu Anti-Spam a zpráva prošla ověřením odesílatele DMARC.

Na základě výsledků kontroly se do zprávy může přidat záhlaví X X-MS-Exchange-Organization-SCL. Hodnota tohoto záhlaví obsahuje hodnocení SCL. Toto záhlaví můžete nakonfigurovat tak, aby bylo přidáno do nastavení zpracování zpráv.

Standardně je modul Anti-Spam povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Ochrana modulem Anti-Phishing

KSMG filtruje zprávy procházející poštovním serverem a odstraňuje phishing.

U zpráv vyhledává phishing modul Anti-Phishing. Modul Anti-Phishing analyzuje obsah zprávy (včetně záhlaví Předmět) a přiložené soubory.

Můžete nakonfigurovat maximální dobu trvání kontroly součástí Anti-Phishing.

Můžete také povolit nebo zakázat kontrolu odkazů v kódech QR. KSMG extrahuje odkazy z obrázků kódů QR a kontroluje je stejným způsobem jako odkazy v těle zprávy. KSMG podporuje extrakci odkazů z obrázků v následujících formátech:

• PNG
• JPEG nebo JPG
• GIF
• PDF

Na základě výsledků kontroly přiřadí Anti-Phishing zprávě příslušný stav:

• Nezjištěné znamená, že zpráva neobsahuje phishingové adresy URL, obrázky či text, kterým by hackeři mohli z uživatelů vylákat důvěrné údaje, ani odkazy na weby s malwarem.
• Phishing znamená, že bylo zjištěno, že zpráva obsahuje odkaz, obrázek nebo text, jimiž by hackeři mohli z uživatelů vylákat důvěrné údaje.
• Chyba znamená, že kontrola vrátila chybu.
• Chyba databází znamená, že zprávu nelze zkontrolovat, kvůli chybě databáze aplikace.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Modul Anti-Phishing je standardně povolen. Pokud potřebujete, můžete jej zakázat nebo můžete u jakéhokoli pravidla zakázat kontrolu tímto modulem.

Filtrování obsahu zpráv

Aplikace KSMG provádí filtrování obsahu zpráv, které procházejí poštovním serverem. Můžete omezit přenosy zpráv s konkrétními parametry poštovními serverem.

Můžete nakonfigurovat následující nastavení filtrování obsahu:

• Maximální doba kontroly zpráv.
• Maximální hloubka kontroly archivu

Jako výsledek filtrování obsahu přiřadí řídicí modul kontroly zpráv ScanLogic zprávám jeden z následujících stavů filtrování obsahu:

• Nezjištěné znamená, že ve zprávě nebylo zjištěno žádné porušení žádného z omezení zadaných v nastavení Filtrování obsahu.
• Shodný obsah znamená, že zpráva splňuje podmínky zadané v nastavení Filtrování obsahu.
• Chyba znamená, že kontrola zprávy vrátila chybu.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.

Standardně je filtrování obsahu zpráv povoleno. V případě potřeby můžete filtrování obsahu povolit v obecném nastavení ochrany nebo pro konkrétní pravidlo.

Ověřování odesílatele e-mailu

Ověřování odesílatele e-mailu má poskytnout další ochranu vaší podnikové poštovní infrastruktury před spamem a phishingem.

KSMG používá následující technologie ověření odesílatele e-mailu:

• Ověřování pomocí SPF (Sender Policy Framework).

  Ověření odesílatele e-mailu pomocí SPF – porovnání IP adres odesílatelů e-mailu se seznamem možných zdrojů zpráv vytvořeným správcem poštovního serveru.

  KSMG přijímá seznamy možných zdrojů zpráv ze serveru DNS.

  Ověření SPF by mělo být povoleno, pokud KSMG přijímá zprávy přímo z internetu. Ověření SPF můžete zakázat, pokud KSMG přijímá zprávy z interního zprostředkujícího serveru.

• Ověřování DKIM (DomainKeys Identified Mail).

  Ověření odesílatele e-mailu pomocí DKIM – ověření digitálních podpisů zpráv.

  Ke zprávám se přidává digitální podpis spojený s názvem domény organizace. KSMG tento digitální podpis ověří.

  Poté, co zpráva projde ověřením pomocí SPF a DKIM, program ověří, zda doména obsahující adresu odesílatele v poli Od e-mailové zprávy odpovídá identifikátorům SPF a DKIM.

• Ověřování DMARC (Domain-based Message Authentication, Reporting and Conformance).

  Ověření odesílatele e-mailu pomocí DMARC – ověření, které určí zásady a akce provedené u zpráv na základě ověřování odesílatele e-mailu metodou SPF a DKIM.

  K provedení ověřování DMARC musí být povoleno ověřování pomocí SPF a DKIM. Pokud je zakázáno ověřování SPF nebo DKIM, bude zakázáno také ověřování DMARC.

• Alignment domény odesílatele.

  Alignment domény odesílatele kontroluje, zda se shodují domény odesílatele zprávy uvedené v relaci SMTP (hodnota příkazu MAIL FROM) a ve zprávě (hodnota v záhlaví From MIME).

Aby bylo možno povolit ověřování odesílatele e-mailu pomocí SPF, DKIM a DMARC, musíte aplikaci KSMG povolit připojování k serveru DNS. Pokud je připojení k serveru DNS zakázáno, ověřování odesílatele e-mailu pomocí SPF, DKIM a DMARC je zakázáno.

Na základě výsledků ověření odesílatele e-mailu je zprávě přiřazen jeden z následujících stavů:

• Chyba znamená, že během ověřování došlo k chybě.
• Chyba databází znamená, že ověření nešlo provést.
• Nekontrolováno znamená, že zprávu nelze zkontrolovat podle nastavení aplikace.
• Bylo zjištěno porušení znamená, že minimálně u jednoho ověřování bylo zjištěno porušení.
• Nebylo zjištěno porušení znamená, že nebyla zjištěna porušení ověření.

Standardně jsou kontroly za účelem ověření odesílatele e-mailu povoleny. V případě potřeby můžete ověřování odesílatele e-mailu zakázat v obecném nastavení ochrany nebo pro konkrétní pravidlo.

Pro každý výsledek ověření SPF a DMARC můžete nakonfigurovat akci, která se má na zprávu použít.

Ověření odesílatele e-mailu se provádí v souladu s kombinací povolených technologií. Akce, která je ve skutečnosti aplikována na zprávu, je nejpřísnější ze všech použitelných akcí podle výsledků ověřování všemi povolenými technologiemi. Pokud je ze všech akcí nejpřísnější Přeskočit, je zprávě přiřazen stav Nebylo zjištěno porušení. Pokud je ze všech akcí nejpřísnější Odmítnout nebo Odstranit zprávu, je zprávě přiřazen stav Bylo zjištěno porušení.

Aby mohl vzdálený poštovní server provádět ověřování odesílatele e-mailu u odchozích zpráv (když je odesílatelem zprávy KSMG), musíte přidat záznamy SPF a DMARC do nastavení vašeho serveru DNS.

Deaktivace obsahu

KSMG odstraňuje ze zpráv potenciálně nebezpečný obsah, čímž minimalizuje pravděpodobnost přehlédnutí hrozby. Neutralizaci hrozeb ve zprávách provádí modul Deaktivace obsahu (dále také jen Deaktivace obsahu).

Funkce modulu Deaktivace obsahu je dostupná při použití licenčního klíče rozšířené úrovně.

Aplikace KSMG provede deaktivaci obsahu následujícím způsobem:

• Části MIME typů DOCX a XLSX jsou převedeny do formátu PDF.
• V části MIME typů HTML a TXT jsou z obsahu zprávy odstraněny odkazy, s výjimkou povolených adres URL. Z části MIME typu HTML je navíc odebrán JavaScript. Není přidáno nic, co by nahradilo odstraněné objekty.

Typy objektů, u nichž chcete obsah deaktivovat, můžete určit v nastavení modulu Deaktivace obsahu u pravidla zpracování zpráv.

Po deaktivaci části MIME přidá KSMG na začátek hodnoty každého atributu souboru, který bylo možné v části MIME identifikovat, disarmed_. Po převodu typu součásti MIME KSMG určí konečný typ v poli Content-Type a připojí konečnou příponu na konec hodnoty názvu souboru.

Modul Deaktivace obsahu nezpracovává archivy.

Můžete spravovat následující nastavení modulu Deaktivace obsahu:

• Maximální doba kontroly zpráv.
• Maximální velikost zprávy po deaktivaci obsahu převodem do formátu PDF.
• Režim odstranění aktivních prvků zprávy.
• Seznam povolených odkazů, které má modul Deaktivace obsahu povolit.

  Můžete si vytvořit vlastní seznam povolených odkazů nebo použít seznam sestavený a aktualizovaný odborníky společnosti Kaspersky.

V této části nápovědy O počítačové ochraně před určitými legitimními aplikacemi Konfigurace modulu Anti-Virus Konfigurace kontroly odkazů Konfigurace modulu Anti-Spam Konfigurace modulu Anti-Phishing Konfigurace filtrování obsahu Konfigurace externích služeb Konfigurace Ověření odesílatele e-mailu pro odchozí zprávy Konfigurace nastavení dezinfekce obsahu zpráv Konfigurace kontroly odkazů v kódech QR

Na začátek stránky