使用邮件流规则阻止Exchange Online中带有可执行附件的邮件
在没有Exchange Online邮箱Exchange Online组织或独立Exchange Online Protection (EOP) 组织中,反恶意软件策略会阻止包含有害附件 (包括可执行附件) 的邮件。 有关详细信息,请参阅 EOP 中的反恶意软件保护。
若要进一步增强保护,可以使用邮件流规则 (也称为传输规则) 来标识和阻止包含可执行附件的邮件,如本文所述。
例如,在恶意软件爆发后,公司可能会应用具有时间限制的此规则,以便受影响的用户可以在指定的时间段后重新发送附件。
开始前,有必要了解什么?
需要先在 Exchange Online 或 EOP 中分配权限,然后才能执行本文中的过程。 具体而言,需要 传输规则 角色,该角色默认分配给 组织管理、 合规性管理和 记录管理 角色组。
有关详细信息,请参阅下列主题:
若要在 Exchange Online 中打开 EAC,请参阅 Exchange Online 中的 Exchange 管理中心。 若要在独立 EOP 中打开 EAC,请参阅 独立 EOP 中的 Exchange 管理中心。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
有关Exchange Online和独立 EOP 中的邮件流规则的详细信息,请参阅以下主题:
使用 EAC 创建阻止具有可执行附件的邮件的规则
在 EAC 中,转到 “邮件流>规则”。
选择“ +添加规则 ”,然后选择“ 创建新规则”。
在打开的 “设置规则条件 ”页中,配置以下设置:
名称:输入规则的唯一描述性名称。
如果:选择“任何附件>包含可执行内容”,则应用此规则。
执行以下操作:选择“ 阻止邮件” ,然后选择所需的操作:
拒绝邮件并包含说明:在出现的“ 指定拒绝原因 ”对话框中,输入要在未送达报告中显示的文本, (也称为 NDR 或退回邮件) 。 使用的默认增强状态代码是 5.7.1。
拒绝具有增强状态代码的消息:在出现的 “输入增强状态代码 ”对话框中,输入要在 NDR 中显示的增强状态代码。 有效值为 5.7.1 或从 5.7.900 到 5.7.999 的值。 默认拒绝文本为:传递未授权,邮件被拒绝。
删除邮件而不通知任何人 (如果选择此选项,则不会显示“ 保存 ”按钮,但会显示“ 下一步 ”按钮。)
完成后,选择“保存”。 您的附件阻止规则现在开始强制执行。
使用 PowerShell 创建阻止具有可执行附件的邮件的规则
使用以下语法创建规则来阻止包含可执行附件的邮件:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
注意:
如果使用不带 RejectMessageReasonText 参数的 RejectMessageEnhancedStatusCode 参数,则默认文本为:传递未授权,邮件被拒绝。
如果使用 RejectMessageReasonText 参数而不使用 RejectMessageEnhancedStatusCode 参数,则默认代码为 5.7.1。
以下示例创建名为 “阻止可执行附件 ”的新规则,该规则以静默方式删除包含可执行附件的邮件。
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
有关语法和参数的详细信息,请参阅 New-TransportRule。
如何判断是否生效?
若要验证是否已成功创建邮件流规则来阻止包含可执行附件的邮件,请执行以下步骤:
在 EAC 中,转到“邮件流>规则>”,选择“编辑
的规则>,选择“设置”选项卡并验证设置。在 PowerShell 中,运行以下命令以验证设置:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage