Фильтрация вложений и содержимого

Фильтрация вложений и содержимого позволяет фильтровать файлы вложений по определенным критериям, а также проверять текст в сообщениях и в темах сообщений электронной почты на наличие запрещенных слов. Во время фильтрации вложений и содержимого Kaspersky Security ищет в сообщениях электронной почты текст и файлы вложений, соответствующие указанным критериям фильтрации, и применяет к ним действие, настроенное администратором: удаляет файл вложения, удаляет сообщение целиком или пропускает сообщение.

Фильтрация вложений и содержимого осуществляется по индивидуально настроенным правилам.

Kaspersky Security может вести запись событий, связанных с фильтрацией вложений и содержимого, в журнал событий Windows. Вы можете настроить запись событий в журнал событий Windows в узле Уведомления.

Kaspersky Security удаляет сообщения и вложения без возможности восстановления. Рекомендуется сохранять копии сообщений в резервном хранилище, чтобы избежать потери данных. Вы можете настроить эту функцию в параметрах фильтрации.

Kaspersky Security может уведомлять о действиях при фильтрации вложений и содержимого по электронной почте. Вы можете настроить отправку автоматических уведомлений в узле Уведомления.

Статистика по фильтрации вложений и содержимого отображается в узле <Имя сервера>, а также включается в отчеты для роли Транспортный концентратор.

Фильтрация вложений и содержимого доступна, если на сервере Microsoft Exchange установлен компонент Антивирус для роли Транспортный концентратор.

О предотвращении задержки сообщений при фильтрации вложений и содержимого

В исключительных случаях при сбое в работе антивирусного ядра время фильтрации вложений и содержимого в сообщениях может значительно увеличиваться. В таких случаях для предотвращения задержки сообщений модуль фильтрации вложений и содержимого временно переходит в режим ограниченной проверки. В этом режиме некоторые сообщения могут быть пропущены без фильтрации вложений и содержимого.

Включение фильтрации вложений

Чтобы включить фильтрацию вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выполните следующие действия:
   • Если вы хотите включить или выключить фильтрацию вложений и содержимого на нераспределенном Сервере безопасности, выберите узел этого Сервера безопасности.
   • Если вы хотите включить или выключить фильтрацию вложений и содержимого на Серверах безопасности, входящих в профиль, раскройте узел Профили и в нем выберите узел того профиля, на Серверах безопасности которого вы хотите включить или выключить фильтрацию вложений и содержимого.
2. Выберите узел Защита сервера.
3. Выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого установите флажок Включить фильтрацию вложений и содержимого.
5. Нажмите на кнопку Сохранить.

Фильтрация вложений и содержимого будет включена. Правила фильтрации будут доступны для настройки. Если ни одно правило не настроено, фильтрация вложений и содержимого неактивна.

Работа с правилами фильтрации вложений и содержимого

Правило – это совокупность условий, которые должны выполняться, для того чтобы программа применила к файлу вложения или содержимому сообщения электронной почты заданное действие.

Для каждого правила фильтрации вложений и содержимого администратор задает следующие условия:

• параметры файла вложения сообщения;
• получатели и / или отправители сообщения;
• исключения из правила (при необходимости).

В качестве условий фильтрации вложений и содержимого вы можете указать следующие параметры:

• Защита файла паролем.
• Ключевые слова.

  Программа проверяет текст и темы сообщений на наличие определенных слов, запрещенных в организации. Список регулярных выражений может быть добавлен в правило фильтрации вручную или из файла формата TXT.

  Программа не проверяет текст, содержащийся во вложениях, на наличие слов, запрещенных в организации.

• Имя и / или расширение файла.

  Вы можете указать имена файлов целиком или использовать маски имен файлов.

• Наличие макросов в файле.
• Размер файла в мегабайтах.
• Формат файла.

  Программа определяет формат файла по его структуре (т.е по способу хранения файла или его отображения на экране). Это позволяет выполнять фильтрацию вложений, если расширение файла вложения не совпадает с форматом этого файла (например, если расширение было намеренно изменено).

При выборе нескольких параметров правило будет применяться, если вложенный файл или содержимое сообщения соответствует хотя бы одному из них.

С отфильтрованными сообщениями программа может выполнить одно из следующих действий:

• удалить сообщение;
• удалить объект из вложения (или вложение);
• пропустить сообщение.

Если вложенный файл соответствует параметрам нескольких правил, программа выполнит действие правила с самыми строгими параметрами: удалит сообщение, объект из вложения или само вложение.

Программа может применять правила фильтрации к сообщениям для / от конкретных пользователей или групп пользователей.

Вы можете детализировать правила фильтрации вложений и содержимого, исключая сообщения из фильтрации. Вы можете исключать сообщения из проверки следующим образом:

• По адресу электронной почты отправителя.

  Программа не будет применять правила фильтрации к вложениям сообщений от указанных отправителей.

• По адресу электронной почты получателя.

  Программа не будет применять правила фильтрации к вложениям сообщений для указанных адресатов.

• По имени или маске имени файла.

  Программа не будет применять правила фильтрации к файлам вложений, которые соответствуют указанным именам или маскам имен.

• По формату файла.

  Программа не будет применять правила фильтрации к файлам указанных форматов.

Создание правила фильтрации вложений и содержимого

Чтобы создать правило фильтрации вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выберите узел соответствующего Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого нажмите на кнопку Добавить правило.
5. Нажмите на кнопку Сохранить.

Правило будет добавлено в список в левой части рабочей области. Имя по умолчанию – Новое правило. Параметры и условия выполнения правила будут доступны для настройки.

Настройка общих параметров и условий правила фильтрации вложений и содержимого

Развернуть всё | Свернуть всё

Чтобы настроить общие параметры и условия правила фильтрации вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выберите узел соответствующего Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого выделите правило, которое вы хотите настроить.
5. На закладке Общие параметры оставьте установленным флажок Включить правило, если вы хотите, чтобы правило стало активным сразу после настройки.

   Если вы не хотите применять правило сразу после настройки, снимите флажок.

6. В поле Имя правила измените имя правила или оставьте значение по умолчанию.
7. В раскрывающемся списке Действие выберите действие программы с вложениями и содержимым, которые соответствуют хотя бы одному из критериев фильтрации:
   • Пропускать. Программа разрешает пересылку сообщения электронной почты с запрещенными вложениями или содержимым. Этот вариант выбран по умолчанию. Для получения информации об отфильтрованных объектах вы можете настроить уведомления или запись событий в журнал событий Windows.
   • Удалять объект. Программа удаляет объект из вложения или вложение из сообщения электронной почты. К такому сообщению программа добавляет файл формата TXT, который содержит информацию обо всех удаленных вложениях.

     Если в сообщении электронной почты выявлено запрещенное содержимое (запрещенные слова в тексте или в теме сообщения), при выборе этого действия программа полностью удалит сообщение без возможности восстановления.

   • Удалять сообщение. Программа удаляет сообщение электронной почты с отфильтрованным вложением или содержимым без возможности восстановления этого сообщения. При выборе этого варианта рекомендуется сохранять копии сообщений в резервном хранилище, чтобы избежать потери данных.
8. Установите флажок Добавлять метку в тему сообщения, если вы хотите, чтобы программа добавляла к теме сообщения с отфильтрованным вложением или содержимым дополнительный текст (метку). Текст меток можно изменить. Значение меток по умолчанию: [Запрещенное вложение или содержимое].

   Добавление метки доступно при выборе действия Пропускать или Удалять объект.

9. Если вы хотите, чтобы перед обработкой объекта его копия сохранялась в резервном хранилище, установите флажок Сохранять копию объекта в резервном хранилище.
10. В раскрывающемся блоке Добавить условие выберите критерии, которым должен соответствовать объект для применения к нему правила фильтрации:
    • Защита паролем

      Выберите пункт меню Защита паролем, если вы хотите применять правило фильтрации к вложенным объектам, защищенным паролем.

    • Ключевые слова

      Фильтрация содержимого сообщений по регулярным выражениям.

      При выборе данного пункта меню становится доступна кнопка . При нажатии на кнопку открывается окно Ключевые слова, в котором вы можете указать регулярные выражения вручную. Вы также можете импортировать список регулярных выражений из файла формата TXT. Указанные регулярные выражения отобразятся в поле Список ключевых слов.

      Поиск ключевых слов производится по подстроке, без учета регистра. При вводе ключевого слова необходимо использовать конструкцию вида \b[Aa]bc\b.

      Вы так же можете добавлять сообщениям оценку вероятности нежелательной почты (SCL). Для этого установите флажок Добавлять SCL-оценку.

      По умолчанию флажок снят.

    • Маска имени файла

      Фильтрация файлов вложений и вложенных архивов по имени или расширению файла.

      При выборе данного пункта меню становится доступна кнопка . При нажатии на кнопку открывается окно Маски имен файлов, в котором вы можете указать имена и / или маски имен файлов вручную. Вы также можете импортировать список имен и / или масок имен файлов из файла формата TXT. Указанные имена и / или маски имен файлов отобразятся в поле Файлы со следующими масками.

      Программа проверяет файлы вложений и файлы во вложенных архивах. При обнаружении файлов, соответствующих критериям фильтрации, программа применяет к проверяемым сообщениям действие, заданное правилом.

    • Наличие макросов

      Фильтрация вложенных файлов Microsoft Office, содержащих макросы.

      Программа проверяет файлы Microsoft Office, в которых могут содержаться макросы. Программа определяет, что файл содержит макрос, по структуре файла. Эта функция позволяет выполнять фильтрацию вложений, содержащих макросы, в случае, если расширение файла вложения не совпадает с форматом этого файла, например, если расширение было изменено.

      Программа проверяет файлы вложений и файлы в архивах.

    • Ограничение размера файла

      Фильтрация вложений по размеру файла вложения.

      При выборе данного пункта меню становится активно поле с прокруткой справа. В поле с прокруткой вы можете указать максимальный размер файлов вложений, пересылаемых в сообщениях электронной почты. Вы можете указать размер вложений в диапазоне от 1 до 999 МБ. По умолчанию установлено значение 20 МБ. Если программа обнаруживает вложения, которые превышают указанный размер, то применяет к ним действие, настроенное в параметрах фильтрации.

    • Формат файла

      Фильтрация файлов вложений и вложенных архивов по формату файла.

      Программа определяет формат файла по его структуре (т.е по способу хранения файла или его отображения на экране). Это позволяет выполнять фильтрацию вложений, если расширение файла вложения не совпадает с форматом этого файла (например, если расширение было намеренно изменено).

      При выборе данного пункта меню, становится доступна кнопка . При нажатии на кнопку открывается окно Форматы файлов, в котором вы можете выбрать форматы файлов, к которым программа будет применять правило фильтрации. Выбранные форматы отобразятся в поле Файлы следующих форматов.

      Программа проверяет файлы вложений и файлы во вложенных архивах. При обнаружении файлов указанных форматов программа применяет к проверяемым сообщениям действие, заданное правилом фильтрации.

    Программа будет применять правило к объектам, соответствующим хотя бы одному из заданных условий.

11. Чтобы удалить условие, нажмите на кнопку рядом с соответствующим критерием.
12. Нажмите на кнопку Сохранить.

Настройка списков пользователей для правила фильтрации вложений и содержимого

Чтобы настроить список пользователей, к сообщениям от / для которых будет применяться правило фильтрации вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выберите узел соответствующего Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого выделите правило, к которому вы хотите применить изменения, и выберите закладку Пользователи.
5. Чтобы указать получателей сообщения, выберите один из следующих вариантов в блоке Применять правило к сообщениям для следующих получателей:
   • Все пользователи, если вы хотите применять правило к сообщениям для любых получателей;
   • Только внешние пользователи, если вы хотите применять правило к сообщениям для получателей, которые не принадлежат к вашей организации;
   • Отдельные пользователи или группы пользователей, если вы хотите применять правило к сообщениям для конкретных получателей или групп Active Directory.
6. Чтобы указать отправителей сообщения, выберите один из следующих вариантов в блоке Применять правило к сообщениям от следующих отправителей:
   • Все пользователи, если вы хотите применять правило к сообщениям от любых отправителей;
   • Только внешние пользователи, если вы хотите применять правило к сообщениям от отправителей, которые не принадлежат к вашей организации;
   • Отдельные пользователи или группы пользователей, если вы хотите применять правило к сообщениям от конкретных отправителей или групп Active Directory.

   Получатели и отправители, на которых распространяется правило, объединяются логическим оператором "И".

7. Нажмите на кнопку Сохранить.

Чтобы добавить в любой из списков запись из Active Directory, выполните следующие действия:

1. В блоке настроек для соответствующего типа пользователей нажмите на кнопку .
2. В открывшемся окне найдите нужную запись Active Directory и нажмите на кнопку OK.
3. Адреса, выбранные из Active Directory, обозначаются в списке следующими значками:
   • – простые пользователи, контакты, группы рассылки;
   • – группы безопасности.

Чтобы добавить в любой из списков SMTP-адрес или имя пользователя, выполните следующие действия:

1. Чтобы добавить SMTP-адрес или имя пользователя, введите его в поле ввода и нажмите на кнопку .

   Адреса, добавленные таким способом, обозначаются в списке значком .

   Адреса, добавленные таким способом, не проходят проверку на наличие в Active Directory.

2. Чтобы удалить SMTP-адрес или имя пользователя, выделите соответствующую строку и нажмите на кнопку .

Чтобы экспортировать список пользователей в файл, выполните следующие действия:

1. Нажмите на кнопку .
2. В открывшемся окне укажите название файла в поле Имя файла.
3. Нажмите на кнопку Сохранить.

Чтобы импортировать список пользователей из файла, выполните следующие действия:

1. Нажмите на кнопку .
2. В открывшемся окне в поле Имя файла укажите файл со списком пользователей.
3. Нажмите на кнопку Открыть.
4. Нажмите на кнопку Сохранить.

Настройка исключений из правила фильтрации вложений и содержимого

Развернуть всё | Свернуть всё

Чтобы настроить исключения из правила фильтрации вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выберите узел соответствующего Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого выделите правило, к которому вы хотите применить изменения, и выберите закладку Исключения.
5. В раскрывающемся блоке Добавить условие выберите критерии, по которым программа будет исключать объект из проверки:

   Маска имени файла

   Настройка исключений из фильтрации по имени или расширению вложенного файла.

   При выборе данного пункта меню становится доступна кнопка . При нажатии на кнопку открывается окно Маски имен файлов, в котором вы можете указать имена и / или маски имен файлов вручную. Вы также можете импортировать список имен и / или масок имен файлов из файла формата TXT. Указанные имена и / или маски имен файлов отобразятся в поле Файлы со следующими масками.

   Программа не будет применять правила фильтрации к файлам вложений, которые соответствуют указанным именам или маскам имен.

   Отдельные отправители

   Настройка исключений из фильтрации по адресу электронной почты, имени или учетной записи отправителя сообщения.

   При выборе данного пункта меню становится доступна кнопка . При нажатии на кнопку открывается окно Отправители, в котором вы можете указать SMTP-адрес, имя или учетную запись отправителей сообщения. Вы также можете импортировать список адресов из ранее экспортированного файла. Указанные значения отобразятся в поле Не применять правило к сообщениям от следующих отправителей.

   Программа не будет применять правила фильтрации к сообщениям от указанных пользователей.

   Отдельные получатели

   Настройка исключений из фильтрации по адресу электронной почты, имени или учетной записи получателя сообщения.

   При выборе данного пункта меню становится доступна кнопка . При нажатии на кнопку открывается окно Получатели, в котором вы можете указать SMTP-адрес, имя или учетную запись получателей сообщения. Вы также можете импортировать список адресов из ранее экспортированного файла. Указанные значения отобразятся в поле Не применять правило к сообщениям для следующих получателей.

   Программа не будет применять правила фильтрации к сообщениям, адресованным указанным пользователям.

   Формат файла

   Настройка исключений из фильтрации по формату файла вложения.

   Программа определяет формат файла по его структуре (т.е по способу хранения файла или его отображения на экране). Это позволяет выполнять фильтрацию вложений, если расширение файла вложения не совпадает с форматом этого файла (например, если расширение было намеренно изменено).

   При выборе данного пункта меню, становится доступна кнопка . При нажатии на кнопку открывается окно Форматы файлов, которые программа будет исключать при фильтрации. Выбранные форматы отобразятся в поле Не применять правило к файлам следующих форматов.

   Программа не будет применять правило фильтрации к объектам, соответствующим хотя бы одному из условий исключения.

6. Чтобы удалить условие исключения, нажмите на кнопку рядом с соответствующим критерием.
7. Нажмите на кнопку Сохранить.

Параметры исключений из фильтрации будут сохранены.

Удаление правила фильтрации вложений и содержимого

Чтобы удалить правило фильтрации вложений и содержимого, выполните следующие действия:

1. В дереве Консоли управления выберите узел соответствующего Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Защита для роли Транспортный концентратор.
4. В раскрывающемся блоке Фильтрация вложений и содержимого выберите правило, которое хотите удалить.
5. Нажмите на кнопку Удалить правило.
6. Нажмите на кнопку Сохранить.

Правило будет удалено.

О регулярных выражениях

Регулярные выражения используются для фильтрации содержимого сообщений при настройке общих параметров и условий фильтрации. Общие сведения о регулярных выражениях можно найти на сайте Microsoft по ссылке: справочник регулярных выражений.

Оптимизация регулярных выражений

Регулярные выражения можно оптимизировать для предотвращения поиска с возвратом, мешающего сопоставлению строки, а также для соблюдения таймаута выполнения операций.

Для оптимизации регулярных выражений необходимо соблюдать следующие правила:

• Используйте сверхжадные квантификаторы (++, *+).
• Если возможно, используйте несопоставляемую группу (?:) с внешними скобками.
• Старайтесь как можно реже использовать оператор альтернативы и находить совпадения в конце строки. Оператор альтернативы имеет самый низкий приоритет среди всех операторов регулярных выражений.
• Используйте привязки (^, $), которые соответствуют начальной и конечной позиции в строке.
• Используйте атомарные группы. Атомарные группы автоматически отбрасывают все позиции поиска с возвратом, запомненные любыми токенами внутри группы. Используется синтаксис (?> ...).
• В длинных регулярных выражениях старайтесь избегать экспоненциального роста поиска с возвратом. Рекомендуется избегать, например, выражений наподобие (qwerty.*)*.

Редактирование сообщения об удалении вложения во время фильтрации

Если по результатам фильтрации вложений программа удаляет файл вложения из сообщения электронной почты, то к исходному сообщению прикрепляется файл формата TXT. Файл содержит текст, информирующий пользователя о действии программы. По умолчанию в текст включен список удаленных объектов. Вы можете отредактировать содержание этого информационного сообщения и включить туда инструкции и другие сведения, актуальные для сотрудников вашей организации.

Чтобы отредактировать сообщение, информирующее пользователя об удалении вложенного объекта во время фильтрации, выполните следующие действия:

1. В дереве Консоли управления раскройте узел нужного Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области выберите закладку Дополнительные параметры Антивируса.
4. Нажмите на кнопку Редактировать (Сообщение об удалении вложения по правилу фильтрации).
5. В открывшемся окне в поле Текст сообщения отредактируйте содержание сообщения.
6. Нажмите OK.
7. Нажмите на кнопку Сохранить.