Проверка вложений с помощью правил обработки почтового потока

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2017-02-08

Вы можете проверять вложения в сообщения электронной почты в своей организации, настроив правила транспорта. Exchange предлагает правила транспорта с возможностью проверки вложений электронной почты в рамках требований, связанных с безопасностью сообщений и соответствием требованиям. Во время проверки вложений вы можете выполнять действия с проверенными сообщениями на основе содержимого или характеристик этих вложений. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять с помощью правил транспорта.

  • Поиск файлов с текстом, который соответствует заданному шаблону, и добавление заявления об отказе в конец сообщения.

  • Проверка содержимого во вложениях и перенаправление сообщения модератору для утверждения перед доставкой в случае обнаружения указанных ключевых слов.

  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.

  • Проверка на наличие вложений, превышающих определенный размер, с последующим уведомлением отправителя о проблеме, если вы отклоняете доставку сообщения.

  • Проверка соответствия свойств вложенного документа Office заданным значениям. С этим условием можно интегрировать требования правил транспорта Exchange и политик защиты от потери данных со сторонней системой классификации, такой как SharePoint Server 2013 или инфраструктура классификации файлов (FCI) Windows Server 2012 R2.

  • Создание уведомлений для пользователей, отправивших сообщение, из-за которого сработало правило транспорта.

  • Блокирование всех сообщений с вложениями. Примеры см. в статье Распространенные сценарии блокирования вложений.

ПримечаниеПримечание.
Все эти условия будут проверять сжатые архивные вложения.

Администраторы Exchange могут создавать правила транспорта в Центр администрирования Exchange > Поток обработки почты > Правила. Для выполнения этой процедуры необходимы соответствующие разрешения. Приступив к созданию правила, вы можете увидеть полный список условий, связанных с вложениями, щелкнув Дополнительные параметры > Любое вложение в списке Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.

Список условий для вложений

Дополнительные сведения о правилах транспорта, включая полный диапазон доступных условий и действий, см. в разделе Правила потока обработки почты (правила транспорта) в Exchange Online. Exchange Online Protection (EOP) и пользователи гибридного развертывания могут использовать преимущества рекомендаций транспортных правил, изложенные в Рекомендации по настройке EOP. Если вы готовы начать создание правил, см. раздел Управление правилами потока обработки почты.

Условия правила транспорта, изложенные в таблице ниже, можно использовать для проверки содержимого вложений в сообщения. При этом анализируются только первые 1 МБ текста, извлеченного из вложения. Обратите внимание, что ограничение в 1 МБ относится к извлеченному тексту, а не размеру файла вложения. Например, файл размером 2 МБ может содержать меньше 1 МБ текста, поэтому будет проверен весь текст.

Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Сведения о создании и изменении правил см. в статье Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание

Содержимое вложения содержит любое из этих слов

AttachmentContainsWords

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, содержащими заданную строку или группу символов.

Все содержимое вложения соответствует эти текстовые шаблоны

AttachmentMatchesPatterns

Это условие сопоставляет сообщения с поддерживаемыми типами файлов вложений, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.

Имена условий Командная консоль Exchange, перечисленные здесь — это параметры для командлета TransportRule.

Дополнительные сведения о командлете см. в статье New-TransportRule.

Дополнительные сведения о типах свойств этих условий см. в разделе Conditions and condition properties статьи Exchange Online и в разделе Conditions and condition properties статьи Exchange Online Protection.

Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.

Правила транспорта могут проверять только содержимое поддерживаемых типов файлов. Если агент правил транспорта обнаруживает вложение, тип которого отсутствует в списке поддерживаемых типов файлов, вызывается условие AttachmentIsUnsupported. Поддерживаемые типы файлов перечислены в следующем разделе. Каждый файл, отсутствующий в списке, вызывает условие AttachmentIsUnsupported.

В следующей таблице перечислены типы файлов, которые поддерживаются правилами транспорта. Система автоматически обнаруживает типы файлов, изучая свойства файлов, а не их расширение. Так злоумышленники не смогут обойти фильтрацию правил транспорта, переименовав расширение файла. Список типов файлов с исполняемым кодом, которые можно проверять в контексте правил транспорта, изложен далее в этом разделе.

 

Категория Расширение файла Примечания

Office 2013, Office 2010 и Office 2007

.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx

Файлы Microsoft OneNote и Microsoft Publisher не поддерживаются по умолчанию.

Содержимое любых внедренных частей внутри этих типов файлов также проверяется. Однако любые объекты помимо внедренных, например связанные документы, не проверяются.

Office 2003

.doc, .ppt, .xls

Нет

Дополнительные файлы Office

.rtf, .vdw, .vsd, .vss, .vst

Нет

Adobe PDF

.pdf

Нет

HTML

.html

Нет

XML

.xml, .odp, .ods, .odt

Нет

Текст

TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX

Нет

OpenDocument

.odp, .ods, .odt

Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое внедренного документа не просматривается.

Чертеж AutoCAD

.dxf

Файлы AutoCAD 2013 не поддерживаются.

Изображение

.jpg, .tiff

Проверяется только текст метаданных, связанный с этими файлами изображений. Распознавание текста не применяется.

Сжатые архивные файлы

BZ2, CAB, GZ, RAR, TAR, ZIP, 7Z

Содержимое этих файлов, которые изначально имели поддерживаемый формат, изучаются и обрабатываются способом, подобным обработке сообщений с несколькими вложениями. Свойства самого сжатого архива не проверяются. Например, если тип файла-контейнера поддерживает примечания, это поле не просматривается.

Следующие условия можно использовать в правилах транспорта для проверки различных свойств файлов, вложенных в сообщения. Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило транспорта. Дополнительные сведения о создании или изменении правил см. в статье Управление правилами потока обработки почты.

 

Имя условия в Центре администрирования Exchange Имя условия в командной консоли Описание

Имя любого файла вложения соответствует этим текстовым шаблонам

AttachmentNameMatchesPatterns

Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы.

Расширение любого файла вложения включает эти слова

AttachmentExtensionMatchesWords

Это условие сопоставляет сообщения с вложениями, расширение файла которых соответствует указанному расширению.

Размер любого вложения равен или превышает

AttachmentSizeOver

Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному.

Любое вложение, проверка которого не завершена

AttachmentProcessingLimitExceeded

Это условие соответствует сообщениям, если вложение не было проверено агентом правил транспорта.

Любое вложение содержит исполняемое содержимое

AttachmentHasExecutableContent

Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. В этом разделе перечислены поддерживаемые типы файлов.

Любое вложение защищено паролем

AttachmentIsPasswordProtected

Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Защита паролем работает только для документов Office и сжатых архивных файлов.

Любое вложение содержит эти свойства, включающие любое из этих слов

AttachmentPropertyContainsWords

Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар свойств и значений также разделяются запятыми.

Имена Командная консоль Exchange перечисленных здесь условий входят в число параметров, для которых требуется командлет TransportRule.

Дополнительные сведения о командлете см. в статье New-TransportRule.

Дополнительные сведения о типах свойств этих условий см. в разделе Conditions and condition properties статьи Exchange Online и в разделе Conditions and condition properties статьи Exchange Online Protection.

Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.

Агент транспорта использует обнаружение подлинных типов, изучая свойства, а не только расширение файла. Это не позволяет злоумышленникам обойти данное правило, переименовав расширение. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. Если обнаружен файл, которого нет в этой таблице, инициируется условие AttachmentIsUnsupported.

 

Тип файла Собственное расширение

Самораспаковывающийся архив, созданный WinRAR.

.rar

32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки.

.dll

Самораспаковывающийся исполняемый файл.

.exe

Архивный файл Java.

.jar

Исполняемый файл для удаления.

.exe

Файл ярлыка программы.

.exe

Файл скомпилированного исходного кода, файла 3D-объекта или файл последовательности.

.obj

32-разрядный исполняемый файл Windows.

.exe

Файл документа Microsoft Visio в формате XML.

.vxd

Файл операционной системы OS/2.

.os2

16-разрядный исполняемый файл Windows.

.w16

Файл дисковой операционной системы.

.dos

Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ.

.com

Файл сведений о программе Windows.

.pif

Исполняемый файл Windows.

.exe

Чтобы лучше управлять важной бизнес-информацией в электронной почте, вы можете включить любые условия, связанные с вложениями, а также правила защиты от потери данных.

Политики DLP и условия, связанные с вложениями, позволяют выполнить бизнес-требования, определив их как условия, исключения и действия правила транспорта. Если добавить в политику DLP анализ конфиденциальных данных, все вложения сообщений будут проверяться только на наличие этой информации. Однако условия, связанные с вложениями, такие как размер или тип файла, не будут использоваться, пока не добавить условия, указанные в этом разделе. Компонент DLP доступен не во всех версиях Exchange. Дополнительные сведения см. в разделе Защита от потери данных.

 
Показ: