McAfee Security for Microsoft Exchange 8.6.0

配置邮件 URL 信誉设置

配置“邮件 URL 信誉”设置以检测电子邮件正文中的恶意 URL。

启用后,MSME 会扫描电子邮件正文中的每条 URL、获取信誉分数、将分数与定义的阈值进行比较并采取相应操作。

通过将 URL 从电子邮件正文中删除,软件会在邮件进入组织前对其进行处理。 如果某封电子邮件包含多个 URL,并且其中一个 URL 超过定义的阈值,会根据配置对该电子邮件采取操作。

启用该功能保护您的系统抵御拒绝服务 (DoS) 攻击、网络钓鱼链接、包含恶意软件的 URL 或有害 URL。

邮件 URL 信誉功能适用于以下策略:
“按访问”
“按需默认”
“按需(完全扫描)”
根据软件安装过程中选择的配置选项,默认情况下邮件 URL 信誉针对以下策略启用或禁用:
对于“默认配置” — 针对所有策略禁用。
对于“增强配置” — 仅针对按访问扫描策略启用。

第一次启用“邮件 URL 信誉”时,软件会从 McAfee GTI 服务器下载 URL 的本地缓存。

对于每条 URL,软件会按照本地数据库检查其信誉分数,并根据配置采取相应的操作。 如果本地数据库的信誉分数无法使用,那么软件会从 McAfee GTI 服务器获取分数。 软件通过 McAfee GTI 服务器进行检查并定期更新本地数据库。 如果本地数据库超过 30 天未进行更新,软件会在下次更新时下载整个数据库。 否则,会逐步进行更新。 默认情况下,本地数据库会每天更新一次。 您无法修改数据库的存储位置。

您无法使用 ePolicy Orchestrator 更新本地数据库,因为服务器需要直接连接到互联网。 但是,如果使用代理服务器下载反垃圾邮件规则,可使用相同的配置下载 URL 数据库。
任务
1 “策略管理器”中,选择具有“邮件 URL 信誉”扫描程序的子菜单项目。
“邮件 URL 信誉”保护仅适用于“按访问”“按需(默认)”“按需(完整扫描)”策略。
2 单击“主策略”或任何要配置的“子策略”,单击“列出所有扫描程序”选项卡,然后单击“邮件 URL 信誉”
3 “激活”中,选择“启用”
如果配置子策略的设置,选择“使用父策略中的配置”以继承父策略的设置。
如果将扫描程序添加到策略,您可以使用“您想要什么时候应用”下拉列表指定启用扫描程序的时间。
4 “选项”下拉列表中,可以选择:
“默认邮件 URL 设置” — 应用默认阈值。
“创建新选项集” — 根据需要定义阈值。
如果编辑现有设置,请确保为扫描程序设置提供独特的“实例名称”
5 若要定义扫描程序设置,请选择“创建新选项集”
6 “邮件 URL 信誉”页面,定义以下值并单击“保存”
“实例名称” “较低 URL 信誉阈值”
“较高 URL 信誉阈值” “每封电子邮件的最大 URL 数”
“较高 URL 信誉阈值”应始终高于“较低 URL 信誉阈值”

如果某个 URL 出现多次,则 URL 计分为 1 而不是出现的次数。 例如,如果电子邮件包含 50 条 URL 并且某条 URL 出现了 20 次,则 URL 的计分为 31 而不是 50。

7 “要采取的操作”部分,单击“编辑”以定义操作。
您还可以应用默认设置。
8 “邮件 URL 信誉操作”页面中,定义“邮件 URL 信誉分数高于较高阈值时”“邮件 URL 信誉分数低于较低阈值时”以及“邮件 URL 查找计数超过限制”的设置。
a “采取以下操作”下拉列表中,选择:
“将项目替换为警报”
“删除消息”
“允许通过”
选择“将项目替换为警报”后,请选择警报格式:
“默认邮件 URL 信誉警报” — 使用默认警报消息。
“创建” — 根据需要定义警报消息。 为“警报名称”输入独特的名称,定义警报消息,从“显示”下拉列表中定义文本格式,然后单击“保存”
McAfee 建议您以纯文本格式保存警报,这样所有电子邮件客户端都可查看文本内容。
b “并且”部分中,定义以下选项:
“记录” “通知内部发件人”
“隔离” “通知外部发件人”
“转发隔离电子邮件” “通知内部收件人”
“通知管理员” “通知外部收件人”
有关这些选项的定义,请参见“检测时可以采取的操作”。
9 单击“保存”以应用设置并返回至策略设置页面。
10 单击“应用”将这些设置实施到策略。
您可以在“检测到的项目” | “邮件 URL 信誉”页面中查看检测到的 URL。 在“查看结果”部分中,可以查看检测到的 URL 列表。 详细视图请单击“禁止的短语”列中的“阻止的 URL”

较高和较低 URL 信誉阈值示例

“较高 URL 信誉阈值”设置为 80“较低 URL 信誉阈值”设置为 50。 如果 URL 的信誉分数:
GTI 信誉分数为 操作
高于 80 根据邮件 URL 信誉设置采取操作。
低于 50 MSME 允许带有该 URL 的电子邮件。
介于 50 至 80 MSME 怀疑该 URL 可能含有恶意,并根据设置采取操作。
“高度怀疑”阈值检测最危险的恶意 URL。 如果降低阈值,则误报的可能性会变大。 误报 – 某条 URL 可能合法,但数据库则认为是潜在恶意 URL。