Exchange Online中邮件流规则的常见附件阻止方案
在没有Exchange Online邮箱的Exchange Online组织或独立Exchange Online Protection (EOP) 组织中,可能需要阻止或拒绝某些类型的邮件以满足法律或合规性要求,或者满足特定的业务需求。 本文讨论阻止所有附件的常见方案示例,你可以使用邮件流规则 (已知的邮件流规则) 设置这些附件。
注意:
有关演示如何使用邮件流规则阻止特定附件的更多示例,请参阅使用邮件流规则检查Exchange Online中的邮件附件。
反恶意软件策略 EOP 允许通过打开和配置 常见附件 类型筛选器来阻止特定文件类型。 有关说明,请参阅 在 EOP 中配置反恶意软件策略。
若要开始使用邮件流规则阻止某些邮件类型,请执行以下步骤:
- 打开 Exchange 管理中心 (EAC)。 有关详细信息,请参阅 Exchange Online 中的 Exchange 管理中心。
- 转到 “邮件流>规则”。
- 选择“ + 添加规则 ”,然后选择“ 创建新规则”。
- 在打开的 “设置规则条件 ”页中,配置以下设置:
- 在“ 名称 ”框中,指定规则的名称。
- 选择相应的条件和操作。
注意
在 EAC 中,可以输入的最小附件大小为 1 KB,这应检测大多数附件。 但是,如果要检测每个任意大小的可能附件,则需要在 EAC 中创建规则后使用 PowerShell 将附件大小调整为 1 字节。 若要连接到 PowerShell,请参阅连接到Exchange Online PowerShell 或连接到独立Exchange Online Protection PowerShell。
嵌入图像被视为附件 (例如,签名) 中带有图片的邮件。 因此,建议不要对附件大小使用非常小的值,因为意外邮件将被阻止。
示例 1:阻止包含附件的邮件,并通知发件人
如果不希望组织中的某些人员发送或接收超过 10 兆字节的附件,可以设置邮件流规则来阻止具有此大小的附件的邮件。
在此示例中,将阻止向组织发送或从组织发送且附件大于 10 兆字节的所有邮件。
If all you want to do is block the message, you might want to stop rule processing once this rule is matched. 向下滚动规则对话框,并选中 “停止处理更多规则 ”复选框。
示例 2:在阻止入站邮件时通知预定收件人
If you want to reject a message but let the intended recipient know what happened, you can use the Notify the recipient with a message action.
可以在通知消息中包含占位符,以便它包含有关原始消息的信息。 占位符必须括在两个百分号 (%%) 中,当发送通知消息时,占位符将替换为来自原始消息的信息。 还可以在邮件中使用基本 HTML,例如 <br>、 <b>、 <i> 和 <img> 。
| 信息类型 | 占位符 |
|---|---|
| 邮件的发件人。 | %%From%% |
| 列于"收件人"行上的收件人。 | %%To%% |
| 列于"抄送"行上的收件人。 | %%Cc%% |
| 原始邮件的主题。 | %%Subject%% |
| 原始邮件的邮件头。 此列表类似于为原始邮件生成的传递状态通知中的标头列表, (DSN) 。 | %%Headers%% |
| 发送原始邮件的日期。 | %%MessageDate%% |
在此示例中,包含附件并发送给您组织的内部人员的所有邮件都会遭到阻止,并且收件人会收到通知。
示例 3:修改通知的主题行
向收件人发送通知时,主题行就是原始邮件的主题。 如果要修改主题,使其对收件人更清晰,则必须使用两个邮件流规则:
第一个规则将"无法送达"一词添加到包含附件的所有邮件的主题开头。
第二个规则阻止邮件,并使用原始邮件的新主题向发件人发送通知邮件。
重要
这两个规则必须具有完全相同的条件。 按顺序处理规则;因此,第一个规则添加单词“无法送达”,第二个规则将阻止邮件并通知收件人。
下面展示了第一个规则(如果您想向主题添加"无法送达"一词的话):
第二个规则执行阻止和通知操作(来自示例 2 的同一规则):
示例 4:应用具有时间限制的规则
如果遇到恶意软件爆发,则您不妨应用具有时间限制的规则,以便暂时阻止附件。 例如,以下规则具有开始和结束日期、时间:
示例 5:基于附件文件扩展名阻止邮件
如果要阻止用户发送或接收具有特定文件扩展名的附件的邮件,可以在 Microsoft 365 中创建传输规则。 这有助于保护组织免受恶意或不需要的文件(如可执行程序、脚本或宏)的侵害。 在此示例中,你将了解如何创建基于附件文件扩展名阻止邮件的传输规则。
创建传输规则的步骤
若要创建阻止具有某些附件类型的邮件的传输规则,请执行以下步骤:
登录到 Exchange 管理中心。
选择“ 邮件流 ”,然后选择“ 规则”。
选择“ + 添加规则 ”,然后选择“ 创建新规则”。
在“ 名称 ”框中,指定新规则的名称。
选择“ 如果应用此规则 ”下拉列表,指向 “任何附件”,然后选择“ 文件扩展名包括这些字词”。
在 “指定字词或短语 ”窗口中,键入要阻止的任何附件的文件扩展名,然后选择“ 添加 ”按钮将文件扩展名添加到列表中。 列表完成后,选择“ 保存”。
选择“ 执行以下操作” 下拉列表,指向 “阻止邮件”,然后选择“ 拒绝邮件并包含说明 ”或选择“ 删除邮件而不通知任何人”。
如果需要,请指定拒绝原因,通知将接收未送达报告的用户 (NDR) 邮件传递失败的原因,然后选择“ 保存”。
选择 “下一步” 按钮。
在下一页上,指定任何其他选项,例如规则模式和规则激活或停用时间,然后选择“ 下一步”。
查看规则后,选择“ 完成”。
默认情况下,传输规则创建为禁用。 请确保切换 “启用或禁用规则” 开关以启用规则。
使用 PowerShell 创建阻止具有可执行附件的邮件的规则
使用以下语法创建规则来阻止包含可执行附件的邮件:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
注意:
如果使用不带 RejectMessageReasonText 参数的 RejectMessageEnhancedStatusCode 参数,则默认文本为:传递未授权,邮件被拒绝。
如果使用 RejectMessageReasonText 参数而不使用 RejectMessageEnhancedStatusCode 参数,则默认代码为 5.7.1。
此示例创建一个名为“阻止可执行附件”的新规则,该规则以静默方式删除包含可执行附件的邮件。
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
有关语法和参数的详细信息,请参阅 New-TransportRule。