Paramètres de l'Anti-phishing

Tout développer | Tout réduire

Avec le module de protection Anti-phishing, vous pouvez protéger les boîtes aux lettres de votre entreprise contre le phishing, l'usurpation d'identité, le piratage de conversation, les attaques de compromission d'emails professionnels et les liens malveillants pouvant être envoyés dans des messages électroniques.

Les liens de phishing mènent à des sites Internet frauduleux conçus pour voler les données personnelles des utilisateurs telles que leurs informations bancaires. Une attaque de phishing peut être déguisée par exemple sous la forme d'un message de votre banque contenant un lien vers son site Internet officiel. Si vous cliquez sur ce lien, vous êtes redirigé vers une copie exacte du site Internet de la banque et le navigateur peut même afficher l'adresse de la banque. Cependant, vous vous trouvez en fait sur un (faux) site Internet usurpant son identité. Toutes vos actions sur le site Internet sont suivies et peuvent être utilisées pour voler vos données personnelles.

Dans les attaques par usurpation d'identité et piratage de conversation, les expéditeurs malveillants falsifient les adresses email et le contenu des messages pour que les destinataires les considèrent comme étant dignes de confiance.

Par l'usurpation d'adresses email ou du piratage de conversation, les pirates informatiques qui tentent de compromettre des emails professionnels se présentent comme des personnes en qui les destinataires de l'email doivent avoir confiance pour obtenir des avantages illégaux.

Les liens malveillants mènent à des ressources Internet conçues pour diffuser des applications malveillantes.

L'application détecte les liens de phishing, l'usurpation d'identité et les liens malveillants selon les règles de détection développées par les experts de Kaspersky. Kaspersky met régulièrement à jour les règles et les méthodes de détection de liens de phishing et des liens malveillants.

Lors de l'analyse des messages à la recherche de liens de phishing, d'attaques de compromission d'emails professionnels et de liens malveillants, l'application analyse non seulement les liens, mais aussi l'objet des messages, leur contenu, leur conception graphique et d'autres attributs. L'analyse utilise les services Cloud de Kaspersky Security Network (KSN). À l'aide de KSN, l'application reçoit les informations les plus récentes sur les liens de phishing et les liens malveillants avant qu'ils ne soient recensés dans les bases de Kaspersky.

Lors de la création d'une stratégie de sécurité, vous pouvez spécifier les paramètres pour Anti-phishing.

Mode anti-phishing

Vous pouvez activer l'un des modes de fonctionnement suivants :

• Mode recommandé : procédure de détection habituelle

  Les messages contenant des liens de phishing et des liens malveillants ainsi que de l'usurpation d'identité, du piratage de conversation et des attaques de compromission d'emails professionnels seront détectés.

• Mode forcé : détection supplémentaire du contenu flou similaire au phishing

  Les messages contenant du phishing et des liens malveillants ainsi que des contenus douteux qui ressemblent à du phishing. seront détectés.

  Si vous activez ce mode, il est activé dans toutes les stratégies de sécurité actives.

Actions que l'application doit effectuer

Dans la zone Action, indiquez ce que l'application doit faire des messages dans lesquels des liens de phishing et des liens malveillants ainsi que des contenus douteux qui ressemblent à du phishing sont détectés :

• Supprimer et mettre en quarantaine le message

  Le message complet est supprimé de la boîte aux lettres de l'utilisateur et placé dans la Quarantaine.

• Déplacer vers le dossier Courrier indésirable

  Le message est déplacé de son dossier original d'origine vers le dossier Courrier indésirable.

• Laisser passer

  Le message reste inchangé dans la boîte aux lettres de l'utilisateur.

• Ajouter un tag à l'objet du message

  Vous pouvez ajouter un tag personnalisé aux sujets des messages affectés. Si nécessaire, changez l'étiquette du champ d'entrée de la case à cocher Ajouter un tag à l'objet du message.

  Cette option est disponible pour les actions Laisser passer et Déplacer vers le dossier Courrier indésirable.

• Supprimer définitivement : les messages supprimés ne peuvent être récupérés

  Pour afficher cette option, vous devez ouvrir la liste déroulante Autres options. Le message entier est supprimé de la boîte aux lettres de l'utilisateur après sa récupération.

  Veuillez noter que si vous sélectionnez Mode forcé : détection supplémentaire du contenu flou similaire au phishing, les messages ne contenant que des contenus douteux qui ressemblent à du phishing ne seront pas supprimés définitivement, mais placés dans la Quarantaine.

Notifications

Dans la zone Notifications, configurez les notifications qui seront envoyées automatiquement :

• Notifier les administrateurs à propos des détections

  Cette option vous permet d'activer et de configurer les notifications concernant les objets détectés. Les notifications sont désactivées par défaut.

  Pour activer et configurer les notifications, procédez comme suit :

  1. Cochez la case Notifier les administrateurs à propos des détections.
  2. Cliquez sur le bouton Sélectionner pour ajouter des destinataires.

     La fenêtre Notification pour les administrateurs apparaît.

  3. Saisissez les adresses email des destinataires qui recevront la notification.

     Vous pouvez spécifier jusqu'à 25 adresses email.

  4. Cliquez sur le bouton Plus ().

     Les adresses email sélectionnées seront affichées dans le champ Spécifiez une adresse email .

  5. Pour supprimer une adresse email de la liste, cliquez sur le bouton Supprimer () sur la ligne.
  6. Cliquez sur Enregistrer.

     La liste des adresses est sauvegardée. La notification sera envoyée aux adresses indiquées.

• Notifier le propriétaire de la boîte aux lettres à propos des messages supprimés

  Cette option vous permet de notifier l'utilisateur dans la boîte aux lettres duquel un message entier a été supprimé. Les notifications sont désactivées par défaut.

  Pour activer et configurer les notifications, procédez comme suit :

  1. Cochez la case Notifier le propriétaire de la boîte aux lettres à propos des messages supprimés.
  2. Si nécessaire, adaptez le modèle de la notification aux stratégies de sécurité de votre entreprise :
     1. Cliquez sur le bouton Modifier le modèle de notification .

        La fenêtre Modèle de notification s'ouvre.

     2. Modifier les champs Objet et/ou Corps du message.
     3. Si vous souhaitez restaurer le modèle par défaut, cliquez sur le bouton Réinitialiser.
     4. Cliquez sur Enregistrer.

     Dans votre modèle personnalisé, vous pouvez continuer à utiliser les variables du modèle par défaut afin de fournir à l'utilisateur des informations détaillées sur le message supprimé.

     Les notifications sont adressées aux propriétaires de boîtes aux lettres pour le compte du Service de sécurité qui sera indiqué dans le champ Expéditeur du message électronique correspondant. Vous ne pouvez pas envoyer de réponse à cet expéditeur.

     %FROM%. Expéditeur du message.

     %TO%. Destinataires du message, y compris les copies carbone.

     %SUBJECT%. Objet du message.

     %FOLDER%. Dossier de boîte aux lettres dans lequel le message a été détecté.

     %MSG_TIME%. Date et heure de réception des messages entrants, date et heure à laquelle le message a été envoyé pour les messages sortants et date et heure de création du brouillon pour les brouillons. Le fuseau horaire spécifié dans les paramètres de l'application est pris en compte.

     %DETECTED_FILES%. Liste des fichiers détectés dans la pièce jointe au message.

  Cette option est uniquement disponible pour les actions Supprimer et mettre en quarantaine le message et Supprimer définitivement : les messages supprimés ne peuvent être récupérés.

Liste d'autorisation

Dans la zone Liste d'autorisation, configurez les expéditeurs autorisés :

• Autoriser les messages des expéditeurs suivants 

  Cette option vous permet de configurer les expéditeurs autorisés. Ces expéditeurs sont considérés comme des expéditeurs de confiance et leurs messages ne sont pas traités.

  Pour configurer les expéditeurs autorisés, procédez comme suit :

  1. Cochez la case Autoriser les messages des expéditeurs suivants .
  2. Cliquez sur le bouton Sélectionner.

     La fenêtre Liste d'autorisation des expéditeurs s'ouvre.

  3. Cliquez sur le bouton Ajouter un expéditeur.

     La fenêtre Ajouter un expéditeur à la liste d'autorisation s'ouvre.

  4. Dans le champ de saisie Indiquez une adresse email complète ou un masque , fournissez une ou plusieurs adresses email qui doivent être ajoutées à la liste d'autorisation, séparées par des points-virgules ou des sauts de ligne.

     Si vous souhaitez ajouter plusieurs expéditeurs à la liste d'autorisation en même temps, vous pouvez utiliser des masques. Par exemple, si vous précisez le masque *@example.com, la liste d'autorisation contient toutes les adresses email du domaine @example.com. Vous pouvez également copier et coller une liste d'adresses email / de masques séparés par des points-virgules ou des sauts de ligne dans le champ de saisie.

     Représentation d'un nom de fichier au moyen de caractères génériques. Les caractères génériques standard utilisés dans les masques de fichiers sont * et ?, où * représente n'importe quel nombre de caractères quelconques et où ? représente un caractère unique quelconque.

  5. Cliquez sur Valider.

     Les adresses email / masques fournis sont affichés dans la liste.

     Si les adresses email / masques sont mal saisis, ils sont affichés dans la liste en rouge, et vous devez introduire des modifications pour les enregistrer.

  6. Cliquez sur Enregistrer pour enregistrer la liste des adresses / masques fournis.
  7. Si vous souhaitez supprimer une adresse email / un masque de la liste,
     1. Cliquez sur le bouton Supprimer () en regard de l'adresse email / du masque.
     2. Cliquez sur Enregistrer.
• Ne pas vérifier le système de contrôle SPF des expéditeurs autorisés

  Cette option vous permet de ne pas tenir compte des résultats de la vérification des expéditeurs autorisés par le système de contrôle Sender Policy Framework (SPF).

  De nouveaux messages à l'état Phishing provenant d'un expéditeur autorisé restent dans le dossier original, mais uniquement si le contrôle SPF vérifie l'authenticité de l'expéditeur.

  Un contrôle SPF permet, par définition, de vérifier qu'un email reçu d'un domaine provient d'un hôte autorisé par les administrateurs de ce domaine. Lors d'un contrôle SPF, l'adresse IP de l'émetteur du message est comparée à la liste de noms d'hôtes et d'adresses IP de sources éventuelles de messages pour le domaine.

  Si le résultat du contrôle SPF est « pass » (réussite) et que l'expéditeur du message est dans la liste d'autorisation, ce message reste inchangé dans la boîte aux lettres de l'utilisateur.

  Sinon, le programme considère que le contrôle SPF a révélé des violations de l'authenticité de l'expéditeur du message. Par conséquent, ce message est traité conformément aux paramètres de la stratégie pour le phishing.

  Pour désactiver la vérification du système de contrôle SPF des expéditeurs autorisés, procédez comme suit :

  1. Cochez la case Ne pas vérifier le système de contrôle SPF des expéditeurs autorisés.
  2. Cliquez sur Enregistrer.