第11章 ShareTech Sandstorm#

現今釣魚郵件盛行，若以傳統的病毒過濾方式只能把惡意的程式過濾出來，對於新型態的釣魚郵件或郵件中有釣魚、木馬網址無法在第一時間阻擋，而 ShareTech 的 Sandstorm 機制就能阻擋這類的郵件。

Sandstorm 將自動比對郵件中是否夾帶惡意的木馬、釣魚執行檔或是網址，當有比對到類似的郵件，就會主動將郵件阻擋，並且 Sandstorm 的資料會自動更新，以維持阻擋力。

11-1、基本設定#

首先會顯示最後更新的時間，系統會每天自動檢查更新一次，點選【檢查更新】可執行立即更新。

【惡意程式過濾功能】：是否啟用惡意程式過濾功能，確保郵件安全。

【版本】：Sandstorm 的資料庫會每天自動更新，並將資料庫存在本機，萬一跟更新伺服器斷線，此功能仍然有效。

【不分析的附件副檔名】：若確定這些附件副檔名的檔案不會有釣魚或是惡意 URL 時，可讓這類型檔案不進入 sandstorm 的資料庫比對。

【要過濾的風險等級】：Sandstorm 會將資料庫中的釣魚郵件根據風險等級分成高、中、低 3 類，由管理者決定要套用哪些風險等級。

【分析附件檔案的最大容量】：當附件超過設定值就不會進入 sandstorm 的資料庫比對。數值需大於 0 KB，建議數值為 1024 KB。當分析檔案越大，所耗用的系統效能越重。

【分析檔案與自訂加入】：管理者可以將疑似釣魚、木馬的檔案上傳到 sandstorm 的資料庫比對，系統會告知比對結果。

當 Sandstorm 比對到惡意郵件後，該如何處理。

【符合過濾的郵件不歸檔】：啟用後，符合過濾的郵件就不會被歸檔。

【符合過濾的郵件轉到隔離區】：Sandstorm 比對到惡意郵件後，將郵件轉到隔離區，原來的收件者不會收到此郵件和通知信。

【符合過濾的附件副檔名改為】：Sandstorm 比對到惡意郵件後，將附件檔名改為指定文字，並將郵件傳給收件者。

【清除符合過濾的附件內容】：Sandstorm 比對到惡意郵件後，將附件檔案清除再將郵件傳給收件者。

【符合過濾的主旨提示文字】：Sandstorm 比對到惡意郵件後，發一封通知信給原來收件者，郵件的主旨如設定值，例如：This mail has Malware。

【URL 過濾功能】：啟用後，郵件會進行 URL 過濾分析。

【版本】：目前的版本，系統會每天自動檢查更新一次。

【要過濾的風險等級】：要過濾的惡意程式風險等級，分為低、中、高風險。

【分析連結與自訂加入】：可將有問題的 URL 填入分析，比對資料庫。

Note

IP/網域過濾的設定和 URL 過濾相同

【符合過濾的郵件不歸檔】：啟用後，符合過濾的郵件就不會被歸檔。

【符合過濾的處理方式】：針對符合 URL 過濾的郵件，設定其處理方式。

所有符合 Sandstorm 比對過濾的郵件都會被記錄下來，可在此查看所有紀錄，並可依條件搜尋。