Een virusscan vangt bekende malware, maar een bijlage kan gevaarlijk zijn zonder dat de scanner aanslaat. Een script, een document met macro's of een uitvoerbaar bestand vermomd als factuur is risicovol ongeacht wat de scan zegt. Met bijlage-compliance blokkeer je zulke types proactief, voordat ze een gebruiker kunnen verleiden.
Waarom bestandstype blokkeren
Sommige bestandstypen zijn inherent gevaarlijk omdat ze code kunnen uitvoeren. Een uitvoerbaar bestand, een script of een macro-document kan bij openen je systeem overnemen. Voor de meeste organisaties is er geen legitieme reden zulke bestanden per e-mail te ontvangen.
Door hele categorieen te blokkeren sluit je een aanvalsroute af zonder afhankelijk te zijn van detectie. Het maakt niet uit of de specifieke malware bekend is, het bestandstype zelf komt er niet in. Gmail herkent het echte bestandstype bovendien ook als een afzender de extensie hernoemt, dus een .exe die factuur.pdf heet wordt alsnog gepakt.
Gmail blokkeert al een basisreeks
Gmail blokkeert standaard al een reeks gevaarlijke bestandstypen zoals uitvoerbare bestanden. De bijlage-compliance-regels laten je daar bovenop eigen beleid voeren, bijvoorbeeld ook macro-documenten of bepaalde scripttypen blokkeren die standaard wel doorgelaten worden.
Een bijlage-regel maken
Je maakt deze regels onder de compliance-instellingen van Gmail in de Admin-console. Je definieert op welke bijlagen de regel matcht en welke actie volgt.
Zo maak je een bijlage-compliance-regel
- Open de Admin-console en ga naar Apps, Google Workspace, Gmail, Compliance.
- Zoek Bijlage-compliance en klik op Configureren om een nieuwe regel toe te voegen.
- Kies op welke berichten de regel geldt: inkomend, uitgaand of intern.
- Kies de matchvoorwaarde: bestandstype, bestandsnaampatroon of berichtgrootte.
- Selecteer de risicovolle types die je wilt blokkeren.
- Kies de actie: Weigeren, In quarantaine plaatsen of een waarschuwingsheader toevoegen.
- Beperk de regel tot een organisatie-eenheid als je niet de hele organisatie wilt raken.
- Test breed in monitormodus voordat je op weigeren zet.
Welke types blokkeren
Niet elk type is even gevaarlijk. Richt je op de types die code uitvoeren of vaak voor aanvallen worden gebruikt. De onderstaande tabel geeft een werkbaar startpunt per categorie.
| Categorie | Risico | Aanbevolen actie |
|---|---|---|
| Uitvoerbare bestanden | Draaien direct code, vrijwel nooit legitiem per mail | Hard weigeren |
| Scripts | Voeren acties uit bij openen, hoog risico | Weigeren |
| Macro-documenten | Kantoorbestanden met ingebouwde macro's, populaire malwareroute | Quarantaine of waarschuwing |
| Versleutelde archieven | Niet te scannen, dus verdacht | Quarantaine zodat een beheerder kan beoordelen |
Vals positief vermijden
Het risico van bestandstype blokkeren is dat je legitieme bijlagen tegenhoudt. Een ontwerpteam dat scripts uitwisselt of een afdeling die macro-spreadsheets gebruikt, kan geraakt worden. Daarom test je breed en maak je uitzonderingen waar nodig.
Zet niet meteen op hard weigeren
Zet een nieuwe blokkeerregel nooit meteen op hard weigeren voor je hele organisatie. Een te brede regel kan dagelijks gebruikte bijlagen blokkeren zonder dat afzender of ontvanger het merkt, want geweigerde mail verdwijnt stil. Test eerst in monitormodus en bekijk wat je zou tegenhouden.
Beleid per afdeling
Verschillende afdelingen hebben verschillende behoeften. De financiele afdeling heeft misschien macro-spreadsheets nodig, terwijl de rest van het bedrijf die nooit gebruikt. Stel regels per organisatie-eenheid in zodat je streng kunt zijn waar het kan en soepeler waar het moet.
Bied een veilig alternatief
Combineer blokkeren met een veilig alternatief. Blokkeer je uitvoerbare bestanden in de mail, bied dan een gecontroleerde route via Drive met scanning. Zo voorkom je dat medewerkers het beleid omzeilen door bestanden buiten de organisatie te delen via onveilige kanalen omdat de mail niet werkt.
Blokkeert Gmail al gevaarlijke types standaard?
Ja, Gmail blokkeert standaard een basisreeks gevaarlijke types zoals uitvoerbare bestanden. Met bijlage-compliance-regels voeg je daar zelf extra types aan toe.
Kan ik macro-documenten blokkeren?
Ja, met een bijlage-compliance-regel die matcht op het betreffende bestandstype. Overweeg quarantaine of een waarschuwing in plaats van hard weigeren, omdat sommige afdelingen macro's legitiem gebruiken.
Wat doe ik met versleutelde archieven?
Plaats ze bij voorkeur in quarantaine, want een versleuteld archief kan niet gescand worden. Een beheerder beoordeelt dan of de bijlage veilig is.
Kan ik per afdeling verschillen?
Ja, regels gelden per organisatie-eenheid of groep. Zo blokkeer je streng waar het kan en houd je het soepel voor teams die bepaalde bestanden echt nodig hebben.
Wordt een hernoemd bestand alsnog herkend?
Ja. Gmail bepaalt het werkelijke bestandstype op basis van de inhoud, dus een uitvoerbaar bestand dat als pdf wordt hernoemd wordt nog steeds gedetecteerd.
Merkt de afzender dat een bericht geweigerd wordt?
Alleen als je dat instelt. Bij de actie weigeren kun je een afkeuringsbericht toevoegen, anders verdwijnt de mail stil. Daarom is testen in monitormodus belangrijk.
Verdachte bijlagen blokkeren op bestandstype is een sterke proactieve beveiliging die niet afhankelijk is van detectie. Richt je op de echt gevaarlijke types, test breed in monitormodus, maak afdelingsuitzonderingen en bied veilige alternatieven. Dan sluit je een belangrijke aanvalsroute zonder de productiviteit te schaden.