Проверка вложений с помощью правил обработки почтового потока

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2018-01-25

Вы можете проверять вложения почты в организации Office 365, настроив правила транспорта (еще зовутся правилами потока обработки почты). В Exchange Online доступны правила транспорта с возможностью проверки вложений почты для обеспечения защиты сообщений и соответствия требованиям. Проверив вложения, вы можете с учетом их содержимого или характеристик выполнить действия над соответствующими сообщениями. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять при помощи правил транспорта.

  • Поиск файлов с текстом, который соответствует заданному шаблону, и добавление заявления об отказе в конец сообщения.

  • Проверка содержимого во вложениях и перенаправление сообщения модератору для утверждения перед доставкой в случае обнаружения указанных ключевых слов.

  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.

  • Проверка на наличие вложений, превышающих определенный размер, с последующим уведомлением отправителя о проблеме, если вы отклоняете доставку сообщения.

  • Проверка соответствия свойств вложенного документа Office заданным значениям. Благодаря этому условию можно интегрировать требования правил транспорта и политик защиты от потери данных со сторонней системой классификации, такой как инфраструктура классификации файлов (FCI) Windows Server 2012 R2 или SharePoint Server 2013.

  • Создание уведомлений для пользователей, отправляющих сообщение, которое подпадает под действие правила потока обработки почты.

  • Блокирование всех сообщений с вложениями. Примеры см. в статье Распространенные сценарии блокирования вложений.

ПримечаниеПримечание.
Все эти условия будут проверять сжатые архивные вложения.

Администраторы Exchange Online могут создавать правила потока обработки почты в Центре администрирования Exchange. Для этого им нужно выбрать Поток обработки почты > Правила. Для выполнения этой процедуры необходимы соответствующие разрешения. Приступив к созданию правила, вы можете увидеть полный список условий, связанных с вложениями, щелкнув Дополнительные параметры > Применить это правило, если > Любое вложение. Параметры, связанные с вложениями, показаны на следующем рисунке.

Список условий для вложений

Дополнительные сведения о правилах потока обработки почты, включая полный диапазон доступных условий и действий, см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online. Пользователи гибридного развертывания и Exchange Online Protection (EOP) могут ознакомиться с рекомендациями в отношении правил транспорта, изложенными в статье Рекомендации по настройке EOP. Если вы готовы приступить к созданию правил, см. статью Управление правилами потока обработки почты.

Проверять содержимое почты можно с помощью условий правил транспорта, указанных в приведенной ниже таблице. При этом анализируется только первый МБ текста, извлеченного из вложения. Обратите внимание на то, что ограничение в 1 МБ относится к извлеченному тексту, а не размеру файла вложения. Например, файл размером 2 МБ может содержать меньше 1 МБ текста, поэтому будет проверен весь текст.

Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило потока обработки почты. Сведения о создании и изменении правил см. в статье Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в Exchange Online PowerShell Описание

Содержимое любого вложения включает

Любое вложение > Имеет содержимое, которое включает любое из этих слов

AttachmentContainsWords

Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов.

Содержимое любого вложения совпадает с

Любое вложение > Имеет содержимое, которое соответствует этим текстовым шаблонам

AttachmentMatchesPatterns

Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.

Невозможно проверить содержимое каких-либо вложений

Любое вложение > Имеет содержимое, которое невозможно просмотреть

AttachmentIsUnsupported

Правила потока обработки почты могут проверять только содержимое поддерживаемых типов. Если правило потока обработки почты обнаруживает вложение, которое не поддерживается, запускается условие AttachmentIsUnsupported. Поддерживаемые типы файлов описаны в следующем разделе.

Примечания:

Имена условий в Exchange Online PowerShell — имена параметров в командлетах New-TransportRule и Set-TransportRule. Дополнительные сведения см. в статье New-TransportRule.

Дополнительные сведения о типах свойств для этих условий см. в статьях Почтовые поток правила условий и исключений (предикаты) в Exchange Online и Почтовые поток правила условий и исключений (предикаты) в Exchange Online Protection.

Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.

В приведенной ниже таблице перечислены типы файлов, которые поддерживаются правилами потока обработки почты. Система автоматически обнаруживает типы файлов, изучая свойства файлов, а не их расширение. Так злоумышленники не смогут обойти фильтрацию правил транспорта, переименовав расширение файла. Список типов файлов с исполняемым кодом, которые можно проверять в контексте правил транспорта, изложен далее в этой статье.

 

Категория Расширение файла Примечания

Office 2007 и более поздних версий

.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx

Файлы Microsoft OneNote и Microsoft Publisher не поддерживаются по умолчанию.

Содержимое любых внедренных частей в файлах этих типов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются.

Office 2003

.doc, .ppt, .xls

Нет

Дополнительные файлы Office

.rtf, .vdw, .vsd, .vss, .vst

Нет

Adobe PDF

.pdf

Нет

HTML

.html

Нет

XML

.xml, .odp, .ods, .odt

Нет

Текст

TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX

Нет

OpenDocument

.odp, .ods, .odt

Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое этого документа не просматривается.

Чертеж AutoCAD

.dxf

Файлы AutoCAD 2013 не поддерживаются.

Изображение

.jpg, .tiff

Проверяется только текст метаданных, связанный с этими файлами изображений. Распознавание текста не применяется.

Сжатые архивные файлы

BZ2, CAB, GZ, RAR, TAR, ZIP, 7Z

Содержимое этих файлов, которые изначально имели поддерживаемый формат, изучаются и обрабатываются способом, подобным обработке сообщений с несколькими вложениями. Свойства сжатого архива не проверяются. Например, если тип файла-контейнера поддерживает примечания, это поле не просматривается.

Следующие условия можно использовать в правилах потока обработки почты для проверки различных свойств файлов, вложенных в сообщения. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Дополнительные сведения о создании или изменении правил см. в статье Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в Exchange Online PowerShell Описание

Любое имя вложенного файла, соответствующее

Любое вложение > Содержит файл, имя которого соответствует этим текстовым шаблонам

AttachmentNameMatchesPatterns

Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы.

Расширение файла любого вложения соответствует

Любое вложение > Содержит файл, расширение которого включает эти слова

AttachmentExtensionMatchesWords

Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению.

Любое вложение размером не менее

Любое вложение > имеет размер не меньше

AttachmentSizeOver

Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному.

Сообщение не завершило сканирование

Любое вложение > Не прошло сканирование

AttachmentProcessingLimitExceeded

Это условие сопоставляет сообщения с вложениями, которые не проверяются агентом правил транспорта.

Любое вложение содержит исполняемое содержимое

Любое вложение > Содержит исполняемое содержимое

AttachmentHasExecutableContent

Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. В этом разделе перечислены поддерживаемые типы файлов.

Любое вложение защищено паролем

Любое вложение > Защищено паролем

AttachmentIsPasswordProtected

Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Обнаружение пароля работает только для документов Office и ZIP-файлов.

Любое вложение содержит эти свойства, включающие любое из этих слов

Любое вложение > Имеет следующие свойства, включая любое из этих слов

AttachmentPropertyContainsWords

Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар свойств и значений также разделяются запятыми.

Примечания:

Имена условий в Exchange Online PowerShell — имена параметров в командлетах New-TransportRule и Set-TransportRule. Дополнительные сведения см. в статье New-TransportRule.

Дополнительные сведения о типах свойств для этих условий см. в статьях Почтовые поток правила условий и исключений (предикаты) в Exchange Online и Почтовые поток правила условий и исключений (предикаты) в Exchange Online Protection.

Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.

Правила потока обработки почты используют обнаружение подлинных типов, изучая свойства, а не только расширения файлов. Это не позволяет злоумышленникам обойти данное правило, переименовав расширение. В приведенной ниже таблице перечислены типы исполняемых файлов, которые поддерживают эти условия. Если обнаружен файл, которого нет в этой таблице, инициируется условие AttachmentIsUnsupported.

 

Тип файла Собственное расширение

32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки.

.dll

Самораспаковывающийся исполняемый файл.

.exe

Исполняемый файл для удаления.

.exe

Файл ярлыка программы.

.exe

32-разрядный исполняемый файл Windows.

.exe

Файл документа Microsoft Visio в формате XML.

.vxd

Файл операционной системы OS/2.

.os2

16-разрядный исполняемый файл Windows.

.w16

Файл дисковой операционной системы.

.dos

Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ.

.com

Файл сведений о программе Windows.

.pif

Исполняемый файл Windows.

.exe

ВажноВажно!
Файлы .rar (самоизвлекающиеся файлы архива, созданные архиватором WinRAR), .jar (файлы архива Java) и .obj (скомпилированный исходный код, 3D-объект или последовательные файлы) не считаются исполняемыми файлами. Чтобы заблокировать эти файлы, можно применить правила потока обработки почты, которые выполняют поиск файлов с этими расширениями (описано ранее в этой статье), или настроить политику защиты от вредоносных программ, которая блокирует эти типы файлов (фильтр основных типов вложений). Дополнительные сведения см. в статье Настройка политик защиты от вредоносных программ.

Чтобы лучше управлять важной бизнес-информацией в электронной почте, вы можете включить любые условия, связанные с вложениями, а также правила защиты от потери данных.

Политики защиты от потери данных и условия, связанные с вложениями, позволяют выполнить бизнес-требования, представив последние в виде условий, исключений и действий правил транспорта. Если добавить в политику защиты от потери данных анализ конфиденциальных данных, все вложения сообщений будут проверяться только на наличие этой информации. Однако условия, связанные с вложениями, такие как размер или тип файла, не будут добавляться, пока не добавить условия, указанные в этой статье. Компонент защиты от потери данных доступен не во всех версиях Exchange. Дополнительные сведения см. в статье Защита от потери данных.

Сведения о блокировке электронной почты с вложениями, независимо от их принадлежности к вредоносным программам, см. в статье Устранение угроз вредоносного ПО с помощью блокирования вложенных файлов в Exchange Online Protection.

 
Показ: