Использование правил транспорта для проверки вложений сообщений

Область применения: Exchange Server 2013 г.

Вы можете изучать вложения в сообщения электронной почты в своей организации, настроив правила транспорта. В Exchange доступны правила, которые позволяют изучать вложения в процессе обеспечения безопасности и соблюдения требований при обмене сообщениями. Во время просмотра вложений вы можете выполнять действия с сообщениями на основе содержимого или характеристик этих вложений. Далее представлено несколько задач, связанных с вложениями, которые можно выполнять с помощью правил транспорта:

  • Поиск файлов в сжатых вложениях, например ZIP- и RAR-файлах, и добавление заявления об отказе в конце сообщения, если файл содержит текст, соответствующий указанному шаблону.

  • Изучение содержимого вложений и перенаправление сообщения модератору на утверждение перед доставкой, если во вложении найдены указанные ключевые слова.

  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.

  • Проверка вложений, размер которых превышает определенное значение, и уведомление отправителя о проблеме, если сообщение не будет доставлено.

  • Создание уведомлений для пользователей, отправивших сообщение, из-за которого сработало правило транспорта.

  • Блокирование всех сообщений с вложениями. Примеры см. в статье Common attachment blocking scenarios.

Администраторы Exchange могут создавать правила транспорта, перейдя в разделПравилапотока обработки почты>в центре> администрирования Exchange. Для выполнения этой процедуры необходимы соответствующие разрешения. После создания нового правила можно просмотреть полный список условий, связанных с вложением, выбрав Дополнительные параметры>Любое вложение в разделе Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.

Диалоговое окно для выбора правил, связанных с вложением.

Дополнительные сведения о правилах транспорта, включая полный набор условий и действий, которые можно выбрать, см. в разделе Поток обработки почты или правила транспорта. Exchange Online Protection (EOP) и гибридные клиенты могут воспользоваться рекомендациями по использованию правил транспорта, приведенными в разделе Рекомендации по настройке EOP. Если вы готовы приступить к созданию правил, см. статью Управление правилами транспорта в Exchange 2013.

Проверка содержимого вложений

Вы можете использовать условия правила транспорта в следующей таблице для проверки содержимого вложений сообщений. При этом анализируются только первые 150 КБ вложения. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Сведения о создании или изменении правил см. в статье Управление правилами транспорта в Exchange 2013

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание
Содержимое вложения содержит любое из этих слов AttachmentContainsWords Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, содержащими заданную строку или группу символов.
Все содержимое вложения соответствует эти текстовые шаблоны AttachmentMatchesPatterns Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.

Имена командной консоли Exchange для перечисленных здесь условий являются параметрами TransportRule , для которых требуется командлет .

Правила транспорта могут проверять только содержимое поддерживаемых типов файлов. Если агент правил транспорта обнаруживает вложение, которое отсутствует в списке поддерживаемых типов файлов, AttachmentIsUnsupported активируется условие. Поддерживаемые типы файлов перечислены в следующем разделе. Любой файл, не указанный в списке AttachmentIsUnsupported , активирует условие .

Сжатые архивные файлы

Если сообщение содержит сжатый архивный файл, такой как ZIP- или CAB-файл, агент правил транспорта проверяет файлы, содержащиеся в этом вложении. Такие сообщения обрабатываются способом, схожим с обработкой сообщений с несколькими вложениями. Свойства сжатых архивных файлов не проверяются. Например, если тип файла-контейнера поддерживает примечания, это поле не просматривается.

Поддерживаемые типы файлов для проверки содержимого с помощью правил транспорта

В следующей таблице перечислены типы файлов, поддерживаемые правилами транспорта. Система автоматически обнаруживает типы файлов, проверяя свойства файла, а не фактическое расширение имени файла. Это помогает предотвратить обход фильтрации правил транспорта злоумышленниками путем переименования расширения файла. Список типов файлов с исполняемым кодом, которые можно проверить в контексте правил транспорта, приведен далее в этом разделе.

Категория Расширение файла Заметки
Office 2013, Office 2010 и Office 2007 .docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx Файлы Microsoft OneNote и Microsoft Publisher не поддерживаются по умолчанию. Поддержку этих типов файлов можно включить с помощью интеграции IFilter. Дополнительные сведения см. в разделе Register Filter Pack IFilters with Exchange 2013.

Содержимое любых внедренных частей внутри этих типов файлов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются.
Office 2003 .doc, .ppt, .xls Нет
Дополнительные файлы Office .rtf, .vdw, .vsd, .vss, .vst Нет
Adobe PDF .pdf Нет
HTML .html Нет
XML .xml, .odp, .ods, .odt Нет
Текст .txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, inf, .ini, inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx Нет
Opendocument .odp, .ods, .odt Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое внедренного документа не просматривается.
Чертеж AutoCAD .dxf Файлы AutoCAD 2013 не поддерживаются.
Image .jpg, .tiff Проверяется только текст метаданных, связанный с этими файлами изображений. Оптическое распознавание символов отсутствует.

Примечание.

Типы файлов AutoCAD Drawing (.dxf) и Image (.jpg, .tiff) больше не могут проверяться после установки su Exchange Server марта 2024 г. Дополнительные сведения см. в KB5037191.

Проверка свойств файла вложения

Следующие условия правила транспорта проверяют свойства файла, присоединенного к сообщению. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Список поддерживаемых типов файлов с исполняемым кодом, которые могут проверяться с помощью правил транспорта, представлен далее. Дополнительные сведения о создании или изменении правил см. в статье Управление правилами транспорта в Exchange 2013.

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание
Имя любого файла вложения соответствует этим текстовым шаблонам AttachmentNameMatchesPatterns Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, если имя таких вложений содержит указанные символы.
Расширение любого файла вложения включает эти слова AttachmentExtensionMatchesWords Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, если расширение имени файла соответствует указанному.
Размер любого вложения равен или превышает AttachmentSizeOver Это условие соответствует сообщениям с поддерживаемыми типами файлов вложений, если их размер больше указанного.
Любое вложение, проверка которого не завершена AttachmentProcessingLimitExceeded Это условие соответствует сообщениям, если вложение не проверяется агентом правил транспорта.
Любое вложение содержит исполняемое содержимое AttachmentHasExecutableContent Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. В этом разделе перечислены поддерживаемые типы файлов.
Любое вложение защищено паролем AttachmentIsPasswordProtected Это условие соответствует сообщениям с поддерживаемыми типами файлов вложений, если они защищены паролем.

Имена командной консоли Exchange для перечисленных здесь условий являются параметрами TransportRule , для которых требуется командлет .

Поддерживаемые типы исполняемых файлов для проверки правил транспорта

Агент транспорта использует обнаружение подлинных типов, изучая свойства, а не только расширение файла. Это позволяет предотвратить обход правила хакерами путем переименования расширения файла. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. Если найден файл, не указанный здесь, AttachmentIsUnsupported активируется условие.

Тип файла Собственное расширение
Самораспаковывающийся архив, созданный WinRAR. .rar
32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки. .dll
Самораспаковывающийся исполняемый файл. .exe
Архивный файл Java. .jar
Исполняемый файл для удаления. .exe
Файл ярлыка программы. .exe
Файл скомпилированного исходного кода, файла 3D-объекта или файл последовательности. .obj
32-разрядный исполняемый файл Windows. .exe
Файл документа Microsoft Visio в формате XML. .vxd
Файл операционной системы OS/2. .os2
16-разрядный исполняемый файл Windows. .w16
Файл дисковой операционной системы. .dos
Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ. .com
Файл сведений о программе Windows. .pif
Исполняемый файл Windows. .exe

Расширение количества поддерживаемых типов файлов

Поддерживаемые типы файлов, перечисленные в этом разделе, можно изменить в любое время с помощью интеграции IFilter. Подробнее см. в разделе Register Filter Pack IFilters with Exchange 2013.

Типы файлов, добавляемых с помощью этого процесса, становятся поддерживаемыми типами файлов и больше не активируют AttachmentIsUnsupported условие.

Политики защиты от потери данных (DLP) и правила транспорта вложений

Чтобы упростить управление важными бизнес-данными в электронной почте, вы можете добавить любые связанные с вложениями условия вместе с правилами политики защиты от потери данных (DLP). Например, можно разрешить отправку сообщений с номерами паспортов, только если эти данные находятся во вложении, защищенном паролем. Для этого выполните следующие действия.

  • Создайте политику DLP, которая проверяет сообщения на наличие конфиденциальных данных, связанных с паспортами. Дополнительные сведения см. в статье Процедуры защиты от потери данных.
  • Добавьте исключение Любое вложение защищено паролем в области Правила транспорта Кроме случаев, если... .
  • Определите действие, выполняемое с почтой, содержащей номера паспортов, которых нет в защищенном файле.

Политики защиты от потери данных и условия, связанные с вложением, могут помочь вам обеспечить соблюдение бизнес-потребностей, определив их как условия правил транспорта, исключения и действия. При включении проверки конфиденциальной информации в политику защиты от потери данных все вложения к сообщениям проверяются только на наличие этой информации. Однако условия, связанные с вложением, такие как размер или тип файла, не включаются до тех пор, пока вы не добавите условия, перечисленные в этом разделе. Защита от потери данных доступна не во всех версиях Exchange; Дополнительные сведения см. в разделе Защита от потери данных.

Дополнительные сведения

Защита от потери данных в Exchange 2013

Поток обработки почты или правила транспорта

Условия правил транспорта (предикаты)