Использование правил потока обработки почты для блокировки сообщений с исполняемыми вложениями в Exchange Online
В Exchange Online организациях или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков сообщения с вредоносными вложениями (включая исполняемые вложения) блокируются политиками защиты от вредоносных программ. Дополнительные сведения см. в разделе Защита от вредоносных программ в EOP.
Чтобы повысить защиту, можно использовать правила потока обработки почты (также известные как правила транспорта) для идентификации и блокировки сообщений, содержащих исполняемые вложения, как описано в этой статье.
Например, после вспышки вредоносных программ компания может применить это правило с ограничением по времени, чтобы затронутые пользователи могли вернуться к отправке вложений по истечении указанного периода времени.
Что нужно знать перед началом работы
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения в Exchange Online или EOP. В частности, требуется роль "Правила транспорта", которая по умолчанию назначается группам ролей "Управление организацией", "Управление соответствием требованиям" и "Управление записями".
Дополнительную информацию см. в следующих статьях:
Сведения об открытии центра администрирования Exchange в Exchange Online см. в разделе Центр администрирования Exchange в Exchange Online. Сведения об открытии EAC в автономном EOP см. в статье Центр администрирования Exchange в автономном EOP.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.
Дополнительные сведения о правилах потока обработки почты в Exchange Online и автономном EOP см. в следующих разделах:
Использование EAC для создания правила, которое блокирует сообщения с исполняемыми вложениями
В EAC перейдите в разделПравилапотока обработки> почты.
Выберите +Добавить правило , а затем — Создать новое правило.
На открывающейся странице Задание условий правила настройте следующие параметры:
Имя. Введите уникальное описательное имя правила.
Примените это правило, если: выберите Любое вложение>с исполняемым содержимым.
Выполните следующие действия. Выберите Блокировать сообщение , а затем выберите нужное действие.
отклонить сообщение и включить объяснение. В появившемся диалоговом окне Укажите причину отклонения введите текст, который вы хотите отображать в отчете о недоставке (также известном как сообщение о недоставке или отказе). Расширенный код состояния, который используется по умолчанию: 5.7.1.
отклонить сообщение с расширенным кодом состояния: в появившемся диалоговом окне Ввод кода расширенного состояния введите расширенный код состояния, который вы хотите отображать в отчете о недоставке. Допустимые значения: 5.7.1 или значение от 5.7.900 до 5.7.999. Текст отклонения по умолчанию: Доставка не авторизована, сообщение отказано.
удалите сообщение, не уведомляя никого (если вы выберете этот параметр, вы не получите кнопку Сохранить , но получите кнопку Далее .)
Когда вы закончите, выберите Сохранить. Теперь правило блокирования вложений вступило в силу.
Использование PowerShell для создания правила, которое блокирует сообщения с исполняемыми вложениями
Используйте следующий синтаксис, чтобы создать правило для блокировки сообщений, содержащих исполняемые вложения:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
Примечания.
Если используется параметр RejectMessageEnhancedStatusCode без параметра RejectMessageReasonText , текст по умолчанию: Доставка не авторизована, сообщение отказано.
Если используется параметр RejectMessageReasonText без параметра RejectMessageEnhancedStatusCode , код по умолчанию — 5.7.1.
В следующем примере создается новое правило с именем Блокировать исполняемые вложения , которое автоматически удаляет сообщения, содержащие исполняемые вложения.
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
Дополнительные сведения о синтаксисе и параметрах см. в статье New-TransportRule.
Как убедиться, что все получилось?
Чтобы убедиться, что вы успешно создали правило потока обработки почты для блокировки сообщений, содержащих исполняемые вложения, выполните одно из следующих действий:
В EAC перейдите враздел Правила>потока обработки>почты, выберите правило>, перейдите на вкладку Параметры и проверьте параметры.
В PowerShell выполните следующую команду, чтобы проверить параметры:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage