Utiliser des règles de flux d'e-mail pour analyser les pièces jointes des messages dans Exchange Online
Dans Exchange Online organisations ou organisations de Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez inspecter les pièces jointes des e-mails en configurant des règles de flux de courrier (également appelées règles de transport). Les règles de flux de messagerie vous permettent d’examiner les pièces jointes des e-mails dans le cadre de vos besoins de sécurité et de conformité de messagerie. Lorsque vous inspectez les pièces jointes, vous pouvez ensuite prendre des mesures sur les messages en fonction du contenu ou des caractéristiques des pièces jointes. Voici quelques tâches concernant les pièces jointes que vous pouvez effectuer à l'aide des règles de flux de messagerie :
- Recherchez les fichiers dont le texte correspond à un modèle que vous spécifiez et ajoutez une clause d’exclusion de responsabilité à la fin du message.
- Analysez le contenu des pièces jointes et, si elles contiennent les mots-clés que vous avez spécifiés, redirigez le message vers un modérateur pour approbation avant qu'il ne soit remis.
- Vérifiez les messages avec des pièces jointes qui ne peuvent pas être analysés, puis bloquez l'envoi du message dans son intégralité.
- Vérifiez les pièces jointes qui dépassent une certaine taille, puis informez l’expéditeur du problème, si vous choisissez d’empêcher la remise du message.
- Vérifiez si les propriétés d'un document Office en pièce jointe correspondent à des valeurs que vous spécifiez. Avec cette condition, vous pouvez intégrer les exigences de vos règles de flux de courrier et stratégies DLP à un système de classification tiers, tel que SharePoint ou l’infrastructure de classification de fichiers (FCI) Windows Server.
- Créez des notifications qui alertent les utilisateurs s'ils envoient un message déclenchant une règle de flux de messagerie.
- Bloquez tous les messages contenant des pièces jointes. Pour obtenir des exemples, consultez Utiliser des règles de flux de messagerie pour les scénarios de blocage des pièces jointes dans Exchange Online.
Remarque
Toutes ces conditions analysent les pièces jointes des archives compressées.
Exchange Online administrateurs peuvent créer des règles de flux de messagerie dans le Centre d’administration Exchange (EAC) dansRègles de flux> de courrier. Vous avez besoin d’autorisations pour effectuer cette procédure. Une fois que vous avez commencé à créer une règle, vous pouvez voir la liste complète des conditions liées aux pièces jointes en sélectionnant N’importe quelle pièce jointe sous Appliquer cette règle si. Les options applicables aux pièces jointes sont présentées dans le schéma suivant.
Pour plus d’informations sur les règles de flux de messagerie, y compris la gamme complète des conditions et actions que vous pouvez choisir, consultez Règles de flux de courrier (règles de transport) dans Exchange Online. Les clients Exchange Online Protection (EOP) et hybrides peuvent tirer parti des meilleures pratiques en matière de règles de flux de messagerie fournies dans Best Practices for Configuring EOP. Si vous êtes prêt à commencer à créer des règles, consultez Gérer les règles de flux de courrier dans Exchange Online.
Conseil
Si vous pensez que votre règle ne fonctionne pas correctement, commencez par case activée les pièces jointes du message. Pour examiner la ou les pièces jointes du message contenues lors de l’évaluation de la règle de flux de courrier, consultez Test-TextExtraction.
Cette méthode doit fonctionner.
Analyser le contenu des pièces jointes
Vous pouvez utiliser les conditions de règle de flux de messagerie dans le tableau suivant pour examiner le contenu des pièces jointes des messages. Pour ces conditions, seuls les 1 premiers mégaoctets (Mo) de texte extrait d’une pièce jointe sont inspectés. La limite de 1 Mo fait référence au texte extrait, et non à la taille de fichier de la pièce jointe. Par exemple, un fichier de 2 Mo peut contenir moins de 1 Mo de texte afin que tout le texte soit inspecté.
Pour commencer à utiliser ces conditions lors de l’inspection des messages, vous devez les ajouter à une règle de flux de messagerie. Pour plus d’informations sur la création ou la modification de règles, consultez Gérer les règles de flux de messagerie dans Exchange Online.
| Nom de la condition dans le CAE | Nom de la condition dans Exchange Online PowerShell | Description |
|---|---|---|
| Tout contenu de pièce jointe inclut N’importe quelle pièce jointe>le contenu comprend l’un de ces mots |
AttachmentContainsWords | Cette condition établit une correspondance avec les messages contenant des pièces jointes présentées dans un format de fichier pris en charge et comportant une chaîne ou un groupe de caractères spécifique. |
| Tout contenu de pièce jointe correspond à N’importe quelle pièce jointe>le contenu correspond à ces modèles de texte |
AttachmentMatchesPatterns | Cette condition établit une correspondance avec les messages contenant des pièces jointes présentées dans un format de fichier pris en charge et comportant un modèle de texte qui correspond à une expression régulière spécifiée. |
| Le contenu d'une pièce jointe ne peut pas être inspecté N’importe quelle pièce jointe>le contenu ne peut pas être inspecté |
AttachmentIsUnsupported | Les règles de flux de messagerie peuvent uniquement inspecter le contenu des types de fichiers pris en charge. Si la règle de flux de messagerie trouve une pièce jointe qui n’est pas prise en charge, la condition AttachmentIsUnsupported est déclenchée. Les types de fichiers pris en charge sont décrits dans la section suivante. |
Remarque
Les noms de condition dans Exchange Online PowerShell sont des noms de paramètres sur les applets de commande New-TransportRule et Set-TransportRule. Pour plus d'informations, consultez la rubrique New-TransportRule.
Pour plus d’informations sur les types de propriétés pour ces conditions, consultez Conditions de règle de flux de messagerie et exceptions (prédicats) dans Exchange Online.
Pour plus d’informations sur l’utilisation de Windows PowerShell pour se connecter à Exchange Online, consultez Se connecter à Exchange Online PowerShell.
Types de fichiers pris en charge pour l'analyse du contenu des règles de flux de messagerie
Le tableau suivant répertorie les types de fichiers pris en charge par les règles de flux de messagerie. Le système utilise la détection automatique des types de fichiers en analysant les propriétés de fichiers plutôt que l'extension réelle de nom de fichier, empêchant ainsi les expéditeurs de courrier indésirable de pouvoir contourner le filtrage des règles de flux de messagerie en renommant l'extension des fichiers. Une liste de types de fichiers avec du code exécutable pouvant être vérifié dans le contexte des règles de flux de messagerie est spécifiée plus loin dans cet article.
| Catégorie | Extension de fichier | Notes |
|---|---|---|
| Adobe PDF | Aucun | |
| Fichiers d'archives compressés | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z | Aucun |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml | Aucun |
| JSON | adaptivecard, .json, messagecard | Aucun |
| Courrier | .eml, .msg, .nws | Aucun |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw | Le contenu des pièces incorporées contenues dans ces types de fichier est également analysé. Cependant, les objets qui ne sont pas incorporés, comme les documents liés, ne sont pas analysés. Le contenu des propriétés personnalisées est également analysé. |
| Microsoft Office xml | .excelove my life, .powerpointml, .wordml | Aucun |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx | Aucun |
| Opendocument | .odp, .ods, .odt | Aucune partie des fichiers .odf n'est traitée. Par exemple, si le fichier .odf contient un document incorporé, le contenu de ce document incorporé n'est pas analysé. |
| Autre | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps | Aucun |
| Texte | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs | D’autres fichiers basés sur du texte sont également analysés. Cette liste est représentative. |
| XML | .infopathml, .jsp, .mspx, .xml | Aucun |
Analyser les propriétés de fichier des pièces jointes
Les conditions suivantes peuvent être incluses dans des règles de flux de messagerie afin d'inspecter plusieurs propriétés des pièces jointes aux messages. Pour commencer à utiliser ces conditions lors de l’inspection des messages, vous devez les ajouter à une règle de flux de messagerie. Pour plus d’informations sur la création ou la modification de règles, consultez Gérer les règles de flux de messagerie.
Remarque
Si vous souhaitez bloquer certains fichiers à l’aide de la condition de fichier AttachmentNameMatchesPatterns ou AttachmentExtensionMatchesWords, n’oubliez pas que cette condition inspecte l’extension de nom de fichier réelle et non les propriétés du fichier, ce qui est différent de l’inspection du contenu de fichier mentionnée précédemment pour d’autres conditions. Si vous devez bloquer un fichier en fonction de la détection de propriété de fichier système, par exemple, le fichier est renommé, utilisez plutôt la fonctionnalité « filtre de pièces jointes commun » de la stratégie Anti-Mailware .
| Nom de la condition dans le CAE | Nom de la condition dans Exchange Online PowerShell | Description |
|---|---|---|
| Le nom de fichier d'une pièce jointe correspond à N’importe quelle pièce jointe>le nom de fichier correspond à ces modèles de texte |
AttachmentNameMatchesPatterns | Cette condition détecte les messages comportant des pièces jointes dont le nom contient des caractères spécifiés. |
| L'extension d'un fichier de pièce jointe correspond à N’importe quelle pièce jointe>l’extension de fichier inclut ces mots |
AttachmentExtensionMatchesWords | Cette condition détecte les messages comportant des pièces jointes dont l'extension de fichier correspond à celle que vous avez spécifiée. |
| Une pièce jointe présente une taille supérieure ou égale à N’importe quelle pièce jointe>la taille est supérieure ou égale à |
AttachmentSizeOver | Cette condition détecte les pièces jointes dont la taille est supérieure ou égale à celle spécifiée. Cette condition fait référence aux tailles des pièces jointes individuelles, et non à la taille cumulée. Par exemple, si vous définissez une règle pour rejeter toute pièce jointe de 10 Mo ou plus, une seule pièce jointe d’une taille de 15 Mo est rejetée, mais un message contenant trois pièces jointes de 5 Mo est autorisé. |
| Le message n'a pas terminé l'analyse N’importe quelle pièce jointe>n’a pas terminé l’analyse |
AttachmentProcessingLimitExceeded | Cette condition correspond aux messages lorsqu’une pièce jointe n’est pas inspectée par l’agent de règles de flux de messagerie. |
| Une pièce jointe comporte un contenu exécutable N’importe quelle pièce jointe>contient du contenu exécutable |
AttachmentHasExecutableContent | Cette condition établit une correspondance avec les messages qui contiennent des fichiers exécutables sous forme de pièces jointes. Les types de fichiers pris en charge sont répertoriés ici. |
| Toutes les pièces jointes sont protégées par mot de passe N’importe quelle pièce jointe>est protégé par mot de passe |
AttachmentIsPasswordProtected | Cette condition détecte les messages dont des pièces jointes sont protégées par mot de passe. La détection de mot de passe fonctionne pour les documents Office, les fichiers compressés (.zip, .7z) et les fichiers .pdf. |
| Une pièce jointe comporte ces propriétés, y compris un de ces mots N’importe quelle pièce jointe>a ces propriétés, y compris l’un de ces mots |
AttachmentPropertyContainsWords | Cette condition détecte les messages dont une propriété donnée d'un document Office en pièce jointe contient des mots spécifiés. Une propriété et ses valeurs possibles sont séparées par un signe deux-points. Les valeurs multiples sont séparées par une virgule. Plusieurs paires propriété-valeur sont également séparées par une virgule. |
Remarque
Les noms de condition dans Exchange Online PowerShell sont des noms de paramètres sur les applets de commande New-TransportRule et Set-TransportRule. Pour plus d'informations, consultez la rubrique New-TransportRule.
Pour plus d’informations sur les types de propriétés pour ces conditions, consultez Conditions et exceptions de règle de flux de messagerie (prédicats) dans Exchange Online.
Pour plus d’informations sur la connexion à Exchange Online PowerShell, consultez Se connecter à Exchange Online PowerShell.
Types de fichiers exécutables pris en charge pour l'analyse des règles de flux de messagerie
Les règles de flux de messagerie utilisent la détection True Type pour inspecter les propriétés de fichier plutôt que seulement les extensions de fichier. Cette approche permet d’empêcher les pirates malveillants de contourner votre règle en renommant une extension de fichier. Le tableau suivant répertorie les types de fichiers exécutables pris en charge par ces conditions. Si un fichier qui n’est pas répertorié ici est trouvé, la AttachmentIsUnsupported condition est déclenchée.
| Type de fichier | Extension native |
|---|---|
| Fichier exécutable Windows 32 bits avec une extension de bibliothèque de liens dynamiques. | .dll |
| Fichier de programme exécutable auto-extractible. | .exe |
| Fichier exécutable de désinstallation. | .exe |
| Fichier de raccourci de programme. | .exe |
| Fichier exécutable Windows 32 bits. | .exe |
| Fichier de dessin XML Microsoft Visio. | .Vxd |
| Fichier de système d'exploitation OS/2. | .os2 |
| Fichier exécutable Windows 16 bits. | .w16 |
| Fichier de système d'exploitation du disque. | .dos |
| Fichier de test anti-virus standard de l'European Institute for Computer Antivirus Research (EICAR). | .Com |
| Fichier d'informations de programme Windows. | .Pif |
| Fichier de programme exécutable Windows. | .exe |
Importante
.rar (fichiers d’archive à extraction automatique créés avec l’archiveur WinRAR), .jar (fichiers d’archive Java) et .obj (code source compilé, fichiers d’objets 3D ou fichiers de séquence) ne sont pas considérés comme des types de fichiers exécutables. Pour bloquer ces fichiers, vous pouvez utiliser des règles de flux de messagerie qui recherchent des fichiers avec ces extensions, comme décrit plus haut dans cet article, ou vous pouvez configurer une stratégie anti-programme malveillant qui bloque ces types de fichiers (filtre des types de pièces jointes courants). Pour plus d’informations, consultez Configurer des stratégies anti-programme malveillant dans EOP.
Stratégies de protection contre la perte de données et règles de flux de messagerie de pièces jointes
Remarque
Cette section ne s’applique pas aux organisations EOP autonomes.
Pour vous aider à gérer les informations professionnelles importantes dans les e-mails, vous pouvez inclure n’importe quelle condition liée aux pièces jointes ainsi que les règles d’une stratégie de protection contre la perte de données (DLP).
Les stratégies DLP et les conditions liées aux pièces jointes peuvent vous aider à appliquer vos besoins métier en définissant ces besoins en tant que conditions de règle de flux de messagerie, exceptions et actions. Lorsque vous incluez l’inspection des informations sensibles dans une stratégie DLP, toutes les pièces jointes aux messages sont analysées uniquement pour ces informations. Toutefois, les conditions liées aux pièces jointes telles que la taille ou le type de fichier ne sont pas incluses tant que vous n’avez pas ajouté les conditions répertoriées dans cet article. La DLP n’est pas disponible avec toutes les versions d’Exchange ; Pour plus d’informations, consultez Protection contre la perte de données.
Pour plus d'informations
Pour plus d’informations sur le blocage général des e-mails avec des pièces jointes, quel que soit le status des programmes malveillants, consultez Scénarios courants de blocage des pièces jointes pour les règles de flux de messagerie dans Exchange Online.