Использование правил транспорта для проверки вложений сообщений

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-27

Вы можете изучать вложения в сообщения электронной почты в своей организации, настроив правила транспорта. В Exchange доступны правила, которые позволяют изучать вложения в процессе обеспечения безопасности и соблюдения требований при обмене сообщениями. Во время просмотра вложений вы можете выполнять действия с сообщениями на основе содержимого или характеристик этих вложений. Далее представлено несколько задач, связанных с вложениями, которые можно выполнять с помощью правил транспорта:

  • Поиск файлов в сжатых вложениях, например ZIP- и RAR-файлах, и добавление заявления об отказе в конце сообщения, если файл содержит текст, соответствующий указанному шаблону.

  • Изучение содержимого вложений и перенаправление сообщения модератору на утверждение перед доставкой, если во вложении найдены указанные ключевые слова.

  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.

  • Проверка вложений, размер которых превышает определенное значение, и уведомление отправителя о проблеме, если сообщение не будет доставлено.

  • Создание уведомлений для пользователей, отправивших сообщение, из-за которого сработало правило транспорта.

  • Блокирование всех сообщений с вложениями. Примеры см. в статье Распространенные сценарии блокирования вложений.

Администраторы Exchange могут создавать правила транспорта в Центр администрирования Exchange > Поток обработки почты > Правила. Для выполнения этой процедуры необходимы соответствующие разрешения. Приступив к созданию правила, вы можете увидеть полный список условий, связанных с вложениями, щелкнув Дополнительные параметры > Любое вложение в списке Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.

Диалоговое окно выбора правил, связанных с вложениями

Дополнительные сведения о правилах транспорта, включая полный диапазон доступных условий и действий, см. в разделе Правила обработки почтового потока и транспорта. Пользователи Exchange Online Protection (EOP) и гибридных сред могут воспользоваться рекомендациями по применению правил транспорт из статьи Рекомендации по настройке EOP. Если вы готовы начать создание правил, см. раздел Управление правилами потока обработки почты.

Вы можете использовать условия правила транспорта в следующей таблице для проверки содержимого вложений сообщений. При этом анализируются только первые 150 КБ вложения. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Сведения о создании и изменении правил см. в разделе Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание

Содержимое вложения содержит любое из этих слов

AttachmentContainsWords

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, содержащими заданную строку или группу символов.

Все содержимое вложения соответствует эти текстовые шаблоны

AttachmentMatchesPatterns

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.

Имена условий Командная консоль Exchange, перечисленные здесь — это параметры для командлета TransportRule.

Дополнительные сведения о командлете см. в статье New-TransportRule.

Дополнительные сведения о типах свойств этих условий см. в статье Conditions and exceptions for mail flow rules on Mailbox servers.

Правила транспорта могут проверять только содержимое поддерживаемых типов файлов. Если агент правил транспорта обнаруживает вложение, тип которого отсутствует в списке поддерживаемых типов файлов, вызывается условие AttachmentIsUnsupported. Поддерживаемые типы файлов перечислены в следующем разделе. Каждый файл, отсутствующий в списке, вызывает условие AttachmentIsUnsupported.

Если сообщение содержит сжатый архивный файл, такой как ZIP- или CAB-файл, агент правил транспорта проверяет файлы, содержащиеся в этом вложении. Такие сообщения обрабатываются способом, схожим с обработкой сообщений с несколькими вложениями. Свойства сжатых архивных файлов не проверяются. Например, если тип файла-контейнера поддерживает примечания, это поле не просматривается.

В следующей таблице перечислены типы файлов, которые поддерживаются правилами транспорта. Система автоматически обнаруживает типы файлов, изучая их свойства, а не расширение. Так пользователи, рассылающие нежелательную почту, не смогут обойти фильтрацию правил транспорта, переименовав расширение файла. Список типов файлов с исполняемым кодом, которые могут проверяться с помощью правил транспорта, представлен далее в этом разделе.

 

Категория Расширение файла Примечания

Office 2013, Office 2010 и Office 2007

.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx

Файлы Microsoft OneNote и Microsoft Publisher не поддерживаются по умолчанию. Поддержку этих типов файлов можно включить с помощью интеграции IFilter. Дополнительные сведения см. в разделе Регистрация фильтров IFilter из пакета фильтров с помощью Exchange 2013.

Содержимое любых внедренных частей внутри этих типов файлов также проверяется. Однако любые объекты помимо встроенных, например связанные, не анализируются.

Office 2003

.doc, .ppt, .xls

Нет

Дополнительные файлы Office

.rtf, .vdw, .vsd, .vss, .vst

Нет

Adobe PDF

.pdf

Нет

HTML

.html

Нет

XML

.xml, .odp, .ods, .odt

Нет

Текст

TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX

Нет

OpenDocument

.odp, .ods, .odt

Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое внедренного документа не просматривается.

Чертеж AutoCAD

.dxf

Файлы AutoCAD 2013 не поддерживаются.

Изображение

.jpg, .tiff

Проверяется только текст метаданных, связанный с этими файлами изображений. Распознавание текста не применяется.

Приведенные ниже условия правила транспорта проверяют свойства файла, вложенного в сообщение. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Список поддерживаемых типов файлов с исполняемым кодом, которые могут проверяться с помощью правил транспорта, представлен далее. Дополнительные сведения о создании и изменении правил см. в разделе Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание

Имя любого файла вложения соответствует этим текстовым шаблонам

AttachmentNameMatchesPatterns

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, если имя таких вложений содержит указанные символы.

Расширение любого файла вложения включает эти слова

AttachmentExtensionMatchesWords

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, если расширение имени файла соответствует указанному.

Размер любого вложения равен или превышает

AttachmentSizeOver

Это условие соответствует сообщениям с поддерживаемыми типами файлов вложений, если их размер больше указанного.

Любое вложение, проверка которого не завершена

AttachmentProcessingLimitExceeded

Это условие соответствует сообщениям, если вложение не было проверено агентом правил транспорта.

Любое вложение содержит исполняемое содержимое

AttachmentHasExecutableContent

Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. В этом разделе перечислены поддерживаемые типы файлов.

Любое вложение защищено паролем

AttachmentIsPasswordProtected

Это условие соответствует сообщениям с поддерживаемыми типами файлов вложений, если они защищены паролем.

Имена Командная консоль Exchange перечисленных здесь условий входят в число параметров, для которых требуется командлет TransportRule.

Дополнительные сведения о командлете см. в статье New-TransportRule.

Дополнительные сведения о типах свойств этих условий см. в статье Conditions and exceptions for mail flow rules on Mailbox servers.

Агент транспорта использует обнаружение подлинных типов, изучая свойства, а не только расширение файла. Это не позволяет злоумышленникам обойти данное правило, переименовав расширение. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. Если обнаружен файл, которого нет в этой таблице, инициируется условие AttachmentIsUnsupported.

 

Тип файла Собственное расширение

Самораспаковывающийся архив, созданный WinRAR.

.rar

32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки.

.dll

Самораспаковывающийся исполняемый файл.

.exe

Архивный файл Java.

.jar

Исполняемый файл для удаления.

.exe

Файл ярлыка программы.

.exe

Файл скомпилированного исходного кода, файла 3D-объекта или файл последовательности.

.obj

32-разрядный исполняемый файл Windows.

.exe

Файл документа Microsoft Visio в формате XML.

.vxd

Файл операционной системы OS/2.

.os2

16-разрядный исполняемый файл Windows.

.w16

Файл дисковой операционной системы.

.dos

Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ.

.com

Файл сведений о программе Windows.

.pif

Исполняемый файл Windows.

.exe

Поддерживаемые типы файлов, перечисленные в этом разделе, можно изменить в любое время с помощью интеграции IFilter. Подробнее см. в разделе Регистрация фильтров IFilter из пакета фильтров с помощью Exchange 2013.

Типы файлов, добавленные таким способом, становятся поддерживаемыми типами файлов и больше не вызывают условие AttachmentIsUnsupported.

Чтобы упростить управление важными бизнес-данными в электронной почте, вы можете добавить любые связанные с вложениями условия вместе с правилами политики защиты от потери данных (DLP). Например, можно разрешить отправку сообщений с номерами паспортов, только если эти данные находятся во вложении, защищенном паролем. Для этого выполните следующие действия.

  • Создайте политику DLP, которая проверяет сообщения на наличие конфиденциальных данных, связанных с паспортами. Дополнительные сведения см. в разделе Процедуры защиты от потери данных.

  • Добавьте исключение Любое вложение защищено паролем в области правила транспорта Кроме случаев, когда….

  • Определите действие, которое будет выполняться для сообщений, содержащих номера паспортов не защищенном файле.

Политики DLP и условия, связанные с вложениями, позволяют выполнить бизнес-требования, определив их как условия, исключения и действия правила транспорта. Если добавить в политику DLP анализ конфиденциальных данных, все вложения сообщений будут проверяться только на наличие этой информации. Однако условия, связанные с вложениями, такие как размер или тип файла, не будут использоваться, пока не добавить условия, указанные в этом разделе. Компонент DLP доступен не во всех версиях Exchange. Дополнительные сведения см. в разделе Защита от потери данных.

 
Показ: