Проверка вложений с помощью правил потока почты в Exchange Online
В Exchange Online организациях или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков можно проверить вложения электронной почты, настроив правила потока обработки почты (также известные как правила транспорта). Правила потока обработки почты позволяют просматривать вложения электронной почты в рамках требований к безопасности и соответствию требованиям к обмену сообщениями. При проверке вложений можно выполнить действия с сообщениями на основе содержимого или характеристик вложений. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять при помощи правил транспорта.
- Найдите файлы с текстом, соответствующим указанному шаблону, и добавьте заявление об отказе в конце сообщения.
- Изучение содержимого вложений и перенаправление сообщения модератору на утверждение перед доставкой, если во вложении найдены указанные ключевые слова.
- Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.
- Проверьте наличие вложений, размер которых превышает определенный размер, а затем сообщите отправителю о проблеме, если вы решили предотвратить доставку сообщения.
- Проверка соответствия свойств вложенного документа Office заданным значениям. С помощью этого условия можно интегрировать требования правил потока обработки почты и политик защиты от потери данных со сторонней системой классификации, например SharePoint или инфраструктурой классификации файлов Windows Server (FCI).
- Создание уведомлений для пользователей, отправляющих сообщение, которое подпадает под действие правила потока обработки почты.
- Блокирование всех сообщений с вложениями. Примеры см. в статье Использование правил потока обработки почты для сценариев блокировки вложений в Exchange Online.
Примечание.
Все эти условия будут проверять сжатые архивные вложения.
Exchange Online администраторы могут создавать правила потока обработки почты в Центре администрирования Exchange (EAC) на страницеПравилапотока обработки> почты. Для выполнения этой процедуры требуются разрешения. После создания нового правила можно просмотреть полный список условий, связанных с вложением, выбрав Любое вложение в разделе Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.
Дополнительные сведения о правилах потока обработки почты, включая полный набор условий и действий, которые можно выбрать, см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online. Exchange Online Protection (EOP) и гибридные клиенты могут воспользоваться рекомендациями по правилам потока обработки почты, приведенными в разделе Рекомендации по настройке EOP. Если вы готовы приступить к созданию правил, см. статью Управление правилами потока обработки почты в Exchange Online.
Совет
Если вы подозреваете, что правило работает неправильно, сначала проверка, какие вложения содержатся в сообщении. Сведения о том, какие вложения содержатся в сообщении во время оценки правила потока обработки почты, см. в разделе Test-TextExtraction.
Этот метод должен работать.
Проверка содержимого вложений
Для просмотра содержимого вложений сообщений можно использовать условия правила потока обработки почты, приведенные в следующей таблице. Для этих условий проверяется только первые 1 мегабайт (МБ) текста, извлеченного из вложения. Ограничение в 1 МБ относится к извлеченном тексту, а не к размеру файла вложения. Например, файл размером 2 МБ может содержать менее 1 МБ текста, чтобы весь текст проверялся.
Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в разделе Управление правилами потока обработки почты в Exchange Online.
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
| Содержимое любого вложения включает Любое вложение>содержимое включает любое из этих слов |
AttachmentContainsWords | Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов. |
| Содержимое любого вложения совпадает с Любое вложение>содержимое соответствует этим текстовым шаблонам |
AttachmentMatchesPatterns | Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению. |
| Невозможно проверить содержимое каких-либо вложений Любое вложение>содержимое не может быть проверено |
AttachmentIsUnsupported | Правила потока обработки почты могут проверять только содержимое поддерживаемых типов. Если правило потока обработки почты находит вложение, которое не поддерживается, активируется условие AttachmentIsUnsupported . Поддерживаемые типы файлов описаны в следующем разделе. |
Примечание.
Имена условий в Exchange Online PowerShell являются именами параметров командлетов New-TransportRule и Set-TransportRule. Дополнительные сведения см. в разделе New-TransportRule.
Дополнительные сведения о типах свойств для этих условий см. в разделе Условия правил потока обработки почты и исключения (предикаты) в Exchange Online.
Сведения об использовании Windows PowerShell для подключения к Exchange Online см. в статье Подключение к Exchange Online PowerShell.
Поддерживаемые типы файлов для проверки содержимого с помощью правил транспорта
В следующей таблице перечислены типы файлов, поддерживаемые правилами потока обработки почты. Система автоматически обнаруживает типы файлов, проверяя свойства файла, а не фактическое расширение имени файла, что помогает предотвратить возможность злоумышленникам обойти фильтрацию правил потока обработки почты путем переименования расширения файла. Список типов файлов с исполняемым кодом, которые можно проверить в контексте правил потока обработки почты, будет указан далее в этой статье.
| Категория | Расширение файла | Заметки |
|---|---|---|
| Adobe PDF | Нет | |
| Сжатые архивные файлы | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z | Нет |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml | Нет |
| JSON | adaptivecard, .json, messagecard | Нет |
| Почта | .eml, .msg, .nws | Нет |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, xlsm, .xlsx, .xlt, .xltm, .xltx, .xltx, .xlltx, .xlw, .xlw | Содержимое любых внедренных частей в файлах этих типов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются. Содержимое в пользовательских свойствах также сканируется. |
| Microsoft Office xml | .excelove my life, .powerpointml, .wordml | Нет |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vssm, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx | Нет |
| Opendocument | ODP, .ods, .odt | Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое внедренного документа не просматривается. |
| Прочее | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps | Нет |
| Текст | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs | Сканируются и другие текстовые файлы. Этот список является репрезентативным. |
| XML | .infopathml, .jsp, .mspx, .xml | Нет |
Проверка свойств файла вложения
Следующие условия можно использовать в правилах потока обработки почты для проверки различных свойств файлов, присоединенных к сообщениям. Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в разделе Управление правилами потока обработки почты.
Примечание.
Если вы хотите заблокировать определенные файлы с помощью условия файла AttachmentNameMatchesPatterns или AttachmentExtensionMatchesWords, имейте в виду, что это условие проверяет фактическое расширение имени файла, а не свойства файла, которые отличаются от предыдущей проверки содержимого файла для других условий. Если необходимо заблокировать файл на основе обнаружения системного свойства файла, например, файл переименован, используйте функцию "общий фильтр вложений" политики защиты от почтовых программ .
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
| Любое имя вложенного файла, соответствующее Любое вложение>имя файла соответствует этим текстовым шаблонам |
AttachmentNameMatchesPatterns | Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы. |
| Расширение файла любого вложения соответствует Любое вложение>расширение файла включает эти слова |
AttachmentExtensionMatchesWords | Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению. |
| Любое вложение размером не менее Любое вложение>размер больше или равен |
AttachmentSizeOver | Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному. Это условие относится к размерам отдельных вложений, а не к совокупному размеру. Например, если задать правило для отклонения любого вложения размером 10 МБ или больше, одно вложение размером 15 МБ отклоняется, но сообщение с тремя вложениями размером 5 МБ допускается. |
| Сообщение не завершило сканирование Любое вложение>не завершена проверка |
AttachmentProcessingLimitExceeded | Это условие соответствует сообщениям, если вложение не проверяется агентом правил потока обработки почты. |
| Любое вложение содержит исполняемое содержимое Любое вложение>содержит исполняемое содержимое |
AttachmentHasExecutableContent | Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. Здесь перечислены поддерживаемые типы файлов. |
| Любое вложение защищено паролем Любое вложение>защищен паролем |
AttachmentIsPasswordProtected | Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Обнаружение паролей работает для документов Office, сжатых файлов (.zip, .7z) и .pdf файлов. |
| Любое вложение содержит эти свойства, включающие любое из этих слов Любое вложение>имеет эти свойства, включая любое из этих слов |
AttachmentPropertyContainsWords | Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар "свойство-значение" также разделяются запятой. |
Примечание.
Имена условий в Exchange Online PowerShell являются именами параметров командлетов New-TransportRule и Set-TransportRule. Дополнительные сведения см. в разделе New-TransportRule.
Дополнительные сведения о типах свойств для этих условий см. в статье Условия и исключения (предикаты) правил потока обработки почты в Exchange Online.
Сведения о подключении к Exchange Online PowerShell см. в разделе Подключение к Exchange Online PowerShell.
Поддерживаемые типы исполняемых файлов для проверки правилами транспорта
Правила потока обработки почты используют обнаружение подлинных типов, изучая свойства, а не только расширения файлов. Такой подход помогает предотвратить возможность обхода правила злоумышленниками путем переименования расширения файла. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. При обнаружении файла, не указанного AttachmentIsUnsupported здесь, активируется условие.
| Тип файла | Собственное расширение |
|---|---|
| 32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки. | .dll |
| Самораспаковывающийся исполняемый файл. | .exe |
| Исполняемый файл для удаления. | .exe |
| Файл ярлыка программы. | .exe |
| 32-разрядный исполняемый файл Windows. | .exe |
| Файл документа Microsoft Visio в формате XML. | .Vxd |
| Файл операционной системы OS/2. | .os2 |
| 16-разрядный исполняемый файл Windows. | .w16 |
| Файл дисковой операционной системы. | .Dos |
| Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ. | .Com |
| Файл сведений о программе Windows. | .Pif |
| Исполняемый файл Windows. | .exe |
Важно!
.rar (самораспаковывающиеся архивные файлы, созданные с помощью архивировщика WinRAR), файлы .jar (архивные файлы Java) и .obj (скомпилированные исходные коды, файлы трехмерных объектов или файлов последовательностей) не считаются исполняемыми файлами. Чтобы заблокировать эти файлы, можно использовать правила потока обработки почты, которые ищут файлы с этими расширениями, как описано выше в этой статье, или настроить политику защиты от вредоносных программ, которая блокирует эти типы файлов (фильтр распространенных типов вложений). Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ в EOP.
Политики защиты от потери данных и правила потока обработки почты для вложений
Примечание.
Этот раздел не применяется к автономным организациям EOP.
Чтобы помочь вам управлять важной бизнес-информацией в сообщениях электронной почты, можно включить любые условия, связанные с вложением, а также правила политики защиты от потери данных (DLP).
Политики защиты от потери данных и условия, связанные с вложениями, могут помочь вам обеспечить соблюдение бизнес-потребностей, определив их как условия правил потока обработки почты, исключения и действия. При включении проверки конфиденциальной информации в политику защиты от потери данных все вложения к сообщениям проверяются только на наличие этой информации. Однако условия, связанные с вложением, такие как размер или тип файла, не включаются, пока вы не добавите условия, перечисленные в этой статье. Защита от потери данных доступна не во всех версиях Exchange; Дополнительные сведения см. в статье Защита от потери данных.
Дополнительные сведения
Сведения о широкой блокировке сообщений электронной почты с вложениями независимо от состояния вредоносных программ см. в статье Общие сценарии блокировки вложений для правил потока обработки почты в Exchange Online.