Exchange Server 中的反恶意软件保护过程

Exchange Server包括邮箱服务器上安装的恶意软件代理。 有关 Exchange 中恶意软件筛选的详细信息，请参阅 Exchange Server 中的反恶意软件保护。

本主题介绍在 Exchange 中管理恶意软件筛选的以下过程：

• 在邮箱服务器上禁用或启用恶意软件筛选
• 绕过邮箱服务器上的恶意软件筛选
• 创建反恶意软件策略
• 查看反恶意软件策略
• 修改反恶意软件策略
• 启用和禁用反恶意软件策略
• 设置反恶意软件策略的优先级
• 删除反恶意软件策略
• 配置恶意软件筛选以扫描Exchange Online Protection (EOP) 已扫描的邮件。
• 为收件人或收件人组配置恶意软件筛选绕过。

开始前，有必要了解什么？

• 建议先在 Exchange 服务器上手动下载反恶意软件引擎和定义更新，然后再将其投入生产。 有关详细信息，请参阅 下载反恶意软件引擎和定义更新。

• 反恶意软件策略由恶意软件筛选器策略和恶意软件筛选器规则组成。 每个元素控制不重叠的不同设置。 这些元素之间的差异在 EAC 中不可见，但在 Exchange 命令行管理程序中是显而易见的，因为你使用不同的 cmdlet 来管理 *-MalwareFilterPolicy 和 *-MalwareFilterRule) (设置。 本主题介绍 EAC 中过程的反恶意软件策略，以及 Exchange 命令行管理程序中过程的恶意软件筛选器策略和恶意软件筛选器规则。 有关详细信息，请参阅 Exchange Server 中的反恶意软件保护。

• 你必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 反垃圾邮件和 反恶意软件权限主题中的“反恶意软件”条目。

• 若要了解本主题中的过程可能适用的键盘快捷键，请参阅 Exchange 管理中心内的键盘快捷键。

使用 Exchange 命令行管理程序在邮箱服务器上启用或禁用恶意软件筛选

在邮箱服务器上禁用恶意软件筛选会禁用恶意软件代理以及定义和引擎更新。

1. 若要在本地邮箱服务器上禁用恶意软件筛选，请在 Exchange 命令行管理程序中运行以下命令：

   & $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1
   

   若要在本地邮箱服务器上启用恶意软件筛选，请在 Exchange 命令行管理程序中运行以下命令：

   & $env:ExchangeInstallPath\Scripts\Enable-AntimalwareScanning.ps1
   

   如果命令成功，则会看到以下消息：

   Anti-malware scanning is successfully <enabled or disabled>. Please restart MSExchangeTransport for the changes to take effect.

   注意：启用脚本还根据需要应用恶意软件引擎和定义更新。

2. 通过运行以下命令重启 Exchange 传输服务，此命令将暂时中断服务器上的邮件流：

   Restart-Service MSExchangeTransport
   

   更改可能需要长达 10 分钟才能生效。

如何知道操作成功？

若要验证是否已在邮箱服务器上成功启用或禁用恶意软件筛选，请在 Exchange 命令行管理程序中运行此命令，并验证 Enabled 属性的值：

Get-TransportAgent "Malware Agent"

使用 Exchange 命令行管理程序绕过邮箱服务器上的恶意软件筛选

通过绕过恶意软件筛选，可以在服务器上暂时禁用恶意软件筛选，而不会中断邮件流 (无需重启 Exchange 传输服务) 。

注意：只有在对问题进行故障排除时， 才 应绕过邮箱服务器上的恶意软件筛选。 完成后，应重新打开恶意软件筛选。

若要绕过或重新启用邮箱服务器上的恶意软件筛选，请使用以下语法：

Set-MalwareFilteringServer -Identity <ServerIdentity> -BypassFiltering <$true | $false>

此示例绕过名为 Mailbox01 的服务器上的恶意软件筛选。

Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $true

此示例在同一服务器上重新启用恶意软件筛选。

Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $false

更改可能需要长达 10 分钟才能生效。

有关详细语法和参数信息，请参阅 Set-MalwareFilteringServer。

如何知道操作成功？

若要验证是否已暂时绕过或重新启用邮箱服务器上的恶意软件筛选，请在 Exchange 命令行管理程序中运行此命令，并验证 BypassFiltering 属性的值：

Get-MalwareFilteringServer | Format-List Name,BypassFiltering

创建反恶意软件策略

使用 EAC 创建反恶意软件策略

在 EAC 中创建反恶意软件策略会同时创建恶意软件筛选器规则和关联的恶意软件筛选器策略，同时对两者使用相同的名称。

1. 在 EAC 中，转到 “保护>恶意软件”筛选器，然后单击“ 新建 ”。

2. 在打开 的“新建反恶意软件策略 ”页中，配置以下设置：

   • 名称：输入策略的唯一描述性名称。

   • 说明：输入策略的可选说明。

   • 恶意软件检测响应：选择以下选项之一：

     • 删除整个邮件：阻止将整个邮件传递到目标收件人。 此值为默认值。

     • 删除所有附件并使用默认警报文本：将所有邮件附件 (不只是检测到的邮件附件) 替换为包含以下默认文本的文本文件：

       在此电子邮件附带的一个或多个附件中检测到恶意软件。 所有附件都已被删除。

     • 删除所有附件并使用自定义警报文本：将 (所有邮件附件，而不仅仅是) 检测到的邮件附件替换为包含你在 “自定义警报文本 ”字段中指定的自定义文本的文本文件。

     注意

     如果在入站或出站 邮件的邮件正文 中检测到恶意软件，则会删除整个邮件，而不管为 恶意软件检测响应配置何种设置。

   • 通知：此部分中的设置控制恶意软件筛选删除邮件时的通知。 这些设置不适用于所有附件替换为默认或自定义警报文本的邮件。

     • 发件人通知：选择以下一个或两个选项：

       • 通知内部发件人：内部发件人位于 Exchange 组织内部。

       • 通知外部发件人：外部发件人在 Exchange 组织外部。

     • 管理员通知：选择以下选项之一或两个选项：

       • 通知管理员来自内部发件人的未传递邮件：如果选择此选项，请在 “管理员 电子邮件地址”字段中输入通知电子邮件地址。

       • 通知管理员来自外部发件人的未传递邮件：如果选择此选项，请在 “管理员 电子邮件地址”字段中输入通知电子邮件地址。

     • 自定义通知：这些设置将替换发件人或管理员使用的默认通知文本。 有关默认值的详细信息，请参阅 反恶意软件策略。

       • 使用自定义通知文本：如果选择此选项，则需要使用 “发件人姓名 ”和“ 发件人地址 ”字段指定发件人的姓名和自定义通知邮件中使用的电子邮件。

       • 来自内部发件人的邮件：如果选择通知发件人或管理员来自内部发件人的无法传递的邮件，则需要使用 “主题” 和“ 邮件” 字段指定自定义通知邮件的主题和邮件正文。

       • 来自外部发件人的邮件：如果选择通知发件人或管理员来自外部发件人的无法传递的邮件，则需要使用 “主题” 和 “邮件” 字段指定自定义通知邮件的主题和邮件正文。

   • 应用于：本部分中的设置标识应用策略的内部收件人。

     • 如果：单击 “选择一个” 下拉列表，然后选择规则的条件：

       • 收件人为：指定 Exchange 组织中的一个或多个邮箱、邮件用户或邮件联系人。 在出现的 “选择成员 ”对话框中，从列表中选择一个或多个收件人，然后单击“ 添加”->。 在 “检查姓名 ”字段中，可以对多个电子邮件地址使用通配符， (例如：*@fabrikam.com) 。 完成后，单击“确定”。

       • 收件人域为：指定 Exchange 组织中一个或多个已配置的接受域中的收件人。 在显示的对话框中，选择一个或多个域，然后单击“ 添加”->。 完成后，单击“确定”。

       • 收件人是 的成员：指定 Exchange 组织中的一个或多个组。 在出现的 “选择成员 ”对话框中，从列表中选择一个或多个组，然后单击“ 添加”->。 完成后，单击“确定”。

     只能使用一个条件一次，但可以为条件指定多个值。 若要添加更多条件，请单击“ 添加条件 ”，然后从其余选项中进行选择。

     • 以下情况除外：若要添加规则的例外，请单击“ 添加例外”，单击 “选择一个 ”下拉列表，并为规则配置例外。 设置和行为与条件完全相同。

3. 完成后，单击“保存”。

使用 Exchange 命令行管理程序创建反恶意软件策略

在 Exchange 命令行管理程序中创建反恶意软件策略的过程分为两步：

1. 创建恶意软件筛选器策略。

2. 创建恶意软件筛选器规则，该规则指定应用规则的恶意软件筛选器策略。

注意：

• 可以创建新的恶意软件筛选器规则，并为其分配现有的未关联的恶意软件筛选器策略。 恶意软件筛选器规则不能与多个恶意软件筛选器策略相关联。

• 可以在 Exchange 命令行管理程序中的新反恶意软件策略上配置两个设置，这些设置在创建策略后才在 EAC 中可用：

  • 在 New-MalwareFilterPolicy cmdlet) 上创建禁用 (启用$false的新策略。

  • 在 New-MalwareFilterRule cmdlet) 上设置策略的优先级 (优先级<编号>) 。

• 在将恶意软件筛选器策略分配给恶意软件筛选规则之前，在 Exchange 命令行管理程序中创建的恶意软件筛选策略不会显示在 EAC 中。

• Exchange 命令行管理程序中提供的 EAC 中不可用的一个设置是，可以使用 New-MalwareFilterPolicy cmdlet 上的 BypassInboundMessages 或 BypassOutboundMessages 参数打开或关闭入站邮件或出站邮件的恶意软件筛选。

步骤 1：使用 Exchange 命令行管理程序创建恶意软件筛选器策略

若要创建恶意软件筛选器策略，请使用以下语法：

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-BypassInboundMessages <$true | $false>] [-BypassOutboundMessages <$true | $false>] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]

此示例使用以下设置创建名为 Contoso 恶意软件筛选策略的新恶意软件筛选器策略：

• 阻止包含恶意软件的邮件， (不使用 Action 参数，默认值为 DeleteMessage) 。

• 在邮件中检测到恶意软件时，请勿通知邮件发件人， (我们未使用 EnableExternalSenderNotifications 或 EnableInternalSenderNotifications 参数，并且两者的默认值为 $false) 。

• 在来自内部发件人的邮件中检测到恶意软件时，通知管理员 admin@contoso.com 。

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

有关详细语法和参数信息，请参阅 New-MalwareFilterPolicy。

步骤 2：使用 Exchange 命令行管理程序创建恶意软件筛选规则

若要创建恶意软件筛选器规则，请使用以下语法：

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

此示例使用以下设置创建名为 Contoso Recipients 的新恶意软件筛选器规则：

• 名为 Contoso 恶意软件筛选策略的恶意软件筛选器策略与规则相关联。

• 该规则适用于 contoso.com 域中的收件人。

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

有关详细语法和参数信息，请参阅 New-MalwareFilterRule。

如何知道操作成功？

若要验证是否已成功创建反恶意软件策略，请执行以下步骤：

• 在 EAC 中，转到 “保护>恶意软件筛选器”。 验证你创建的规则是否在列表中。 单击 “编辑 验证规则的设置。

• 在 Exchange 命令行管理程序中，将 PolicyName> 替换为<恶意软件筛选策略的名称，并运行以下命令以验证属性值：

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List

• 在 Exchange 命令行管理程序中，将 RuleName> 替换为<恶意软件筛选器规则的名称，并运行以下命令以验证属性值：

  Get-MalwareFilterRule -Identity "<RuleName>" | Format-List
  

• 使用欧洲计算机防病毒研究所 (EICAR) 测试文件验证恶意软件筛选器是否正常工作：

1. 打开记事本， (插入此文本，仅此文本) 到空文件中：

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   将文件保存为EICAR.txt，该位置易于查找，并且计算机防病毒程序无法扫描该文件。 文件的大小为 68 字节。

2. 创建电子邮件，将EICAR.txt文件附加到邮件，并将邮件发送给 Exchange 组织中的收件人，该收件人应受到恶意软件策略的影响。

3. 检查收件人的邮箱，验证恶意软件筛选是否对邮件起作用：邮件已删除，或者邮件已随附件的替换警报文本文件一起传递，并且通知邮件已传递给发件人和/或管理员。

4. 完成后，请删除EICAR.TXT文件，以便其他用户不会不必要地惊慌。

查看反恶意软件策略

使用 EAC 查看反恶意软件策略

1. 在 EAC 中，转到 “保护>恶意软件筛选器”。

2. 选择策略时，详细信息窗格中会显示有关该策略的信息。 若要查看有关策略的详细信息，请单击“ 编辑。

   • “已启用”属性值、“优先级”属性值和“应用于”选项卡上的设置均位于恶意软件筛选器规则中。

   • “ 常规 ”和“ 设置” 选项卡上的设置位于恶意软件筛选器策略中。

使用 Exchange 命令行管理程序查看恶意软件筛选策略

若要返回所有恶意软件筛选策略的摘要列表，请运行以下命令：

Get-MalwareFilterPolicy

若要返回有关特定恶意软件筛选器策略的详细信息，请使用以下语法：

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

此示例返回名为 Executives 的恶意软件筛选器策略的所有属性值。

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

此示例仅返回同一策略的指定属性。

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

有关详细语法和参数信息，请参阅 Get-MalwareFilterPolicy。

使用 Exchange 命令行管理程序查看恶意软件筛选规则

若要返回所有恶意软件筛选规则的摘要列表，请运行以下命令：

Get-MalwareFilterRule

若要返回有关特定恶意软件筛选器规则的详细信息，请使用以下语法：

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

此示例返回名为 Executives 的恶意软件筛选器规则的所有属性值。

Get-MalwareFilterRule -Identity "Executives" | Format-List

下面的示例仅返回同一规则的指定属性。

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

有关详细语法和参数信息，请参阅 Get-MalwareFilterRule。

修改反恶意软件策略

在 EAC 或 Exchange 命令行管理程序中修改恶意软件策略时，没有可用的其他设置。 它们与创建策略时可用的设置相同。

使用 EAC 修改反恶意软件策略

1. 在 EAC 中，转到 “保护>恶意软件筛选器”。

2. 选择该策略，然后单击“编辑 有关设置的信息，请参阅本主题中的 使用 EAC 创建反恶意软件策略 部分。

   注意：

   • 设置分为“常规”、“设置”和“应用于”选项卡，而不是一页上的所有内容。 “ 应用于 ”选项卡在名为“默认”的默认策略上不可用。

   • 无法重命名默认策略。

使用 Exchange 命令行管理程序修改恶意软件筛选器策略

若要修改恶意软件筛选器策略，请使用以下语法：

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

有关详细语法和参数信息，请参阅 Set-MalwareFilterPolicy。

使用 Exchange 命令行管理程序修改恶意软件筛选器规则

在 Exchange 命令行管理程序中修改恶意软件筛选器规则时，无法禁用或启用该规则， (Set-MalwareFilterRule cmdlet) 上没有 Enabled 参数。 请改用 Disable-MalwareFilterRule 和 Enable-MalwareFilterRule cmdlet，如本主题后面部分所述。

若要修改恶意软件筛选器规则，请使用以下语法：

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

有关详细的语法和参数信息，请参阅 Set-MalwareFilterRule。

启用或禁用反恶意软件策略

默认情况下，在 EAC 或 Exchange 命令行管理程序中创建反恶意软件策略时，会启用反恶意软件策略，但可以使用 Exchange 命令行管理程序创建禁用的恶意软件筛选规则， (使用 New-MalwareFilterRule cmdlet 和 Enabled 参数，其值 $false) 。

使用 EAC 启用或禁用反恶意软件策略

1. 在 EAC 中，转到 “保护>恶意软件筛选器”。

2. 从列表中选择策略，然后配置以下设置之一：

   • 禁用策略：清除 “已启用” 列中的复选框。

   • 启用策略：选中 “已启用” 列中的复选框。

使用 Exchange 命令行管理程序启用或禁用恶意软件筛选规则

若要在 Exchange 命令行管理程序中启用或禁用恶意软件筛选器规则，请使用以下语法：

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

此示例禁用名为 Marketing Department 的恶意软件筛选器规则。

Disable-MalwareFilterRule -Identity "Marketing Department"

下面的示例启用同一规则。

Enable-MalwareFilterRule -Identity "Marketing"

有关详细语法和参数信息，请参阅 Enable-MalwareFilterRule 和 Disable-MalwareFilterRule。

如何知道操作成功？

若要验证是否已成功启用或禁用反恶意软件策略，请使用以下任一过程：

• 在 EAC 中，转到 “保护>恶意软件”筛选器，在反恶意软件策略列表中，验证 “已启用” 列中复选框的状态。

• 在 Exchange 命令行管理程序中，运行以下命令以查看规则列表及其 State 属性值：

  Get-MalwareFilterRule
  

设置自定义反恶意软件策略的优先级

默认情况下，反恶意软件策略的优先级基于在 (较新的策略的优先级低于旧策略) 。 优先级较低的数字表示策略的优先级较高，策略按优先级顺序进行处理， (优先级较高的策略在) 低优先级策略之前进行处理。 没有两个策略可以有相同的优先级。

注意：

• 在 EAC 中，只能在创建反恶意软件策略后更改该策略的优先级。 在 Exchange 命令行管理程序中，可以在创建恶意软件筛选规则时替代默认优先级 (这可能会影响现有规则) 的优先级。

• 名为 Default 的默认反恶意软件策略的优先级值为“最低”，无法更改它。

使用 EAC 设置自定义反恶意软件策略的优先级

在 EAC 中，反恶意软件策略按其显示顺序进行处理， (第一个策略的 Priority 值为 0) 。 若要更改策略的优先级，请在列表中上下移动策略， (无法直接修改 EAC) 中的 优先级 编号。

1. 在 EAC 中，转到 “保护>恶意软件筛选器”。

2. 选择一个策略，然后单击“ 上移 () 或 下移 () 在列表中向上或向下移动规则。

使用 Exchange 命令行管理程序设置自定义恶意软件筛选器规则的优先级

可以设置的规则最高优先级值是 0。 可以设置的最小优先级值取决于规则的数量。 例如，如果有五个规则，则可以使用的优先级值为 0 到 4。 更改现有规则的优先级可对其他规则产生级联效应。 例如，假设有五个规则（优先级为 0 到 4），如果将某个规则的优先级更改为 2，则优先级为 2 的现有规则将更改为优先级 3，优先级为 3 的规则将更改为优先级 4。

若要在 Exchange 命令行管理程序中设置恶意软件筛选器规则的优先级，请使用以下语法：

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

下面的示例将名为“Marketing Department”的规则的优先级设置为 2。 优先级小于或等于 2 的所有现有规则的优先级都递减 1（即优先级数字都递增 1）。

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

注意：若要在创建新规则时设置该规则的优先级，请在 New-MalwareFilterRule cmdlet 上使用 Priority 参数。

如何知道操作成功？

若要验证是否已成功修改反恶意软件策略的优先级，请使用以下任一过程：

• 在 EAC 中，转到 “保护>恶意软件”筛选器，并验证列表中反恶意软件策略的 “优先级” 值。

• 在 Exchange 命令行管理程序中，运行以下命令以查看规则列表及其 优先级 属性值：

  Get-MalwareFilterRule
  

删除反恶意软件策略

注意：无法删除默认反恶意软件策略。

使用 EAC 删除反恶意软件策略

使用 EAC 删除反恶意软件策略时，恶意软件筛选器规则和相应的恶意软件筛选器策略都将被删除。

1. 在 EAC 中，转到 “保护>恶意软件筛选器”。

2. 从列表中选择要删除的反恶意软件策略，然后单击“ 删除 () 。

使用 Exchange 命令行管理程序删除恶意软件筛选器策略

使用 Exchange 命令行管理程序删除恶意软件筛选器策略时，不会删除相应的恶意软件筛选器规则。

若要在 Exchange 命令行管理程序中删除恶意软件筛选器策略，请使用以下语法：

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

此示例删除名为“市场营销部”的恶意软件筛选器策略。

Remove-MalwareFilterPolicy -Identity "Marketing Department"

有关详细语法和参数信息，请参阅 Remove-MalwareFilterPolicy。

使用 Exchange 命令行管理程序删除恶意软件筛选规则

使用 Exchange 命令行管理程序删除恶意软件筛选器规则时，不会删除关联的恶意软件筛选器策略。

若要删除 Exchange 命令行管理程序中的恶意软件筛选器规则，请使用以下语法：

Remove-MalwareFilterRule -Identity "<RuleName>"

此示例删除名为“市场营销部”的恶意软件筛选器规则：

Remove-MalwareFilterRule -Identity "Marketing Department"

有关详细语法和参数信息，请参阅 Remove-MalwareFilterRule。

如何知道操作成功？

若要验证是否已成功删除反恶意软件策略，请使用以下任一过程：

• 在 EAC 中，转到 “保护>恶意软件”筛选器，并验证删除的策略是否不再在列表中。

• 在 Exchange 命令行管理程序中，运行以下命令以验证已删除的恶意软件筛选器策略是否不再列出：

  Get-MalwareFilterPolicy
  

• 在 Exchange 命令行管理程序中，运行以下命令以验证已删除的恶意软件筛选器规则是否不再列出：

  Get-MalwareFilterRule
  

使用 Exchange 命令行管理程序配置恶意软件筛选以重新扫描已由 EOP 扫描的邮件

默认情况下，Exchange 中的恶意软件代理不会再次扫描已Exchange Online Protection (EOP) 扫描的传输中邮件。 但是，重新扫描这些消息可以提供针对恶意软件的另一层防御。

若要启用或禁用扫描已由 EOP 扫描的邮件中的恶意软件，请在 Exchange 命令行管理程序中使用以下语法：

Set-MalwareFilteringServer -Identity <ServerIdentity> -ForceRescan <$true | $false>

本示例允许在名为 Mailbox01 的邮箱服务器上扫描已由 EOP 扫描的邮件中的恶意软件。

Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $true

本示例对已由同一服务器上的 EOP 扫描的邮件中的恶意软件禁用扫描。

Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $false

如何知道操作成功？

若要验证是否已将恶意软件筛选配置为重新扫描已由 EOP 扫描的邮件，请在 Exchange 命令行管理程序中运行以下命令，并验证 ForceRescan 属性的值：

Get-MalwareFilteringServer | Format-List Name, ForceRescan

为收件人或收件人组配置恶意软件筛选绕过

若要允许特定收件人或收件人组接收带有附件的电子邮件，这些附件本来会被检测到并因此由默认反恶意软件策略删除，必须使用 EAC 或 PowerShell 创建新的反恶意软件策略。 应将此策略设置为扫描所有收件人的电子邮件，并且必须在该策略中为接收此类内容的收件人或组设置排除条件。

使用 EAC 创建新的反恶意软件策略：

这将创建一个恶意软件策略，该策略将扫描除发送给豁免用户或组的邮件之外的所有电子邮件流量。

使用 Exchange 命令行管理程序创建反恶意软件策略：

使用 Exchange 命令行管理程序修改恶意软件筛选规则。

创建反恶意软件策略并设置相应的排除项后，必须创建新的反恶意软件策略，以便未扫描的邮件绕过始终具有最低优先级的默认反恶意软件策略。 可以通过使用 Exchange 命令行管理程序将此反恶意软件筛选规则的参数 -BypassInboundMessages 的值设置为 True 来实现此更改。 有关详细语法和参数信息，请参阅 Set-MalwareFilterPolicy。

Set-MalwareFilterPolicy -Identity "<PolicyName>" -BypassInboundMessages $true

此方法不需要重启服务，并且允许 Exchange 管理员和安全团队暂时或永久绕过特定收件人或组的反恶意软件检测，从而在不损害整个 Exchange 组织的安全性的情况下，将无法传递的邮件传递到该特定子组，并最终在其系统和客户端内保留安全性。

如何知道操作成功？

Get-MalwareFilterPolicy "<PolicyName>" | fl BypassInboundMessages