使用传输规则检查邮件附件
适用于:Exchange Server 2013
您可以通过设置传输规则,在组织中检查电子邮件附件。 Exchange 提供传输规则,作为邮件安全性和合规性的一部分,这些传输规则可以提供检查电子邮件附件的功能。 当您检查附件时,您可以根据这些附件的内容或特征对经过检查的邮件采取操作。 以下是您使用传输规则可以执行的一些与附件相关的任务:
搜索压缩附件中的文件,如 .zip 和 .rar 文件,如果有任何文本与您指定的模式匹配,则在邮件的结尾添加免责声明。
检查附件中的内容,如果有任何您指定的关键词,则将邮件重定向到仲裁人进行审批,然后再传递。
检查包含无法检查的附件的邮件,然后阻止整个邮件的发送。
检查超出特定大小的附件;如果选择阻止邮件传递,则通知发件人该问题。
创建通知,在用户发送与传输规则匹配的邮件时警告用户。
阻止包含附件的所有邮件。 有关示例,请参阅常见的附件阻止方案。
Exchange 管理员可以转到 Exchange 管理中心>邮件流>规则来创建传输规则。 You need to be assigned permissions before you can perform this procedure. 开始创建新规则后,可以通过单击“应用此规则 if”下的“更多选项>”“任何附件”来查看附件相关条件的完整列表。 The attachment-related options are shown in the following diagram.
.jpg "用于选择附件相关规则的对话框")
有关传输规则的详细信息,包括可选择的一系列条件和操作,请参阅 邮件流或传输规则。 Exchange Online Protection (EOP) 和混合客户可以从配置 EOP 的最佳做法中提供的传输规则最佳做法中受益。 如果已准备好开始创建规则,请参阅 在 Exchange 2013 中管理传输规则。
检查附件中的内容
您可以使用下表中的传输规则条件检查邮件附件的内容。 这些条件只检查附件的前 150 KB。 要在检查邮件时开始使用这些条件,您需要将它们添加到传输规则。 在 Exchange 2013 中管理传输规则中了解如何创建或更改规则
| EAC 中的条件名称 | 命令行管理程序中的条件名称 | 说明 |
|---|---|---|
| 任何附件内容包含这些词语中的任何一个 | AttachmentContainsWords |
此条件会匹配受支持的文件类型附件包含指定的字符串或一组字符的邮件。 |
| 任何附件内容与这些文本模式匹配 | AttachmentMatchesPatterns |
此条件会匹配受支持的文件类型附件包含的文本模式与指定正则表达式匹配的邮件。 |
此处所列条件的 Exchange 命令行管理程序名称是需要 TransportRule cmdlet 的参数。
要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule。
要了解这些条件的属性类型的详细信息,可参阅Conditions and Condition Properties for a Mailbox Server。
传输规则只检查受支持类型文件的内容。 如果传输规则代理遇到不在支持的文件类型列表中的附件,则会触发该 AttachmentIsUnsupported 条件。 下一节列出了受支持的文件类型。 任何未列出的文件都会触发条件 AttachmentIsUnsupported 。
压缩的存档文件
如果邮件包含压缩的存档文件,例如 .zip 或 .cab 文件,那么传输规则代理将检查附件中包含的各个文件。 处理此类邮件的方式与处理具有多个附件的邮件类似。 不检查压缩存档文件的属性。 例如,如果容器文件类型支持注释,则不检查该字段。
传输规则内容检查支持的文件类型
下表列出了传输规则支持的文件类型。 系统通过检查文件属性而不是实际文件扩展名来自动检测文件类型。 此行为有助于防止黑客通过重命名文件扩展名来绕过传输规则筛选。 拥有可执行代码,可以在传输规则情境中进行检查的文件类型列表可参见本主题后面部分。
| 类别 | 文件扩展名 | 注意 |
|---|---|---|
| Office 2013、Office 2010 和 Office 2007 | .docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx |
默认情况下,不支持 Microsoft OneNote 和 Microsoft Publisher 文件。 可以使用 IFilter 集成实现对这些文件类型的支持。 有关详细信息,请参阅向 Exchange 2013 注册 Filter Pack IFilter。 同时还会检查这些文件类型中包含的任何嵌入式部件的内容。 但是,不会检查任何未嵌入 (的对象,例如链接文档) 。 |
| Office 2003 | .doc, .ppt, .xls |
None |
| 其他 Office 文件 | .rtf, .vdw, .vsd, .vss, .vst |
None |
| Adobe PDF | .pdf |
None |
| HTML | .html | 无 |
| XML | .xml, .odp, .ods, .odt |
None |
| Text | .txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, inf, .ini, inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx |
None |
| OpenDocument | .odp, .ods, .odt |
不处理 .odf 文件的任何部分。 例如,如果 .odf 文件包含嵌入式文档,则不检查该嵌入式文档的内容。 |
| AutoCAD 绘图 | .dxf |
不支持 AutoCAD 2013 文件。 |
| 图像 | .jpg, .tiff |
仅检查与这些图像文件关联的元数据文本。 没有光学字符识别。 |
注意
安装 Exchange Server .dxf2024 年 3 月 SU 后,无法再检查AutoCAD绘图 () 和图像 .jpg, .tiff () 文件类型。 有关详细信息,请参阅 KB5037191。
检查附件的文件属性
以下传输规则条件检查附加到邮件的文件的属性。 要在检查邮件时开始使用这些条件,您需要将它们添加到传输规则。 拥有可执行代码,可以在传输规则情境中进行检查的受支持文件类型如下所列。 有关创建或更改规则的详细信息,请参阅 管理 Exchange 2013 中的传输规则。
| EAC 中的条件名称 | 命令行管理程序中的条件名称 | 说明 |
|---|---|---|
| 任何附件文件名匹配这些文本模式 | AttachmentNameMatchesPatterns |
当邮件的附件为支持的文件类型,并且附件的名称中包含您指定的字符时,则匹配此条件。 |
| 任何附件的文件扩展名包含这些词 | AttachmentExtensionMatchesWords |
当邮件的附件为支持的文件类型,并且附件的文件扩展名与您所指定的扩展名匹配时,则匹配此条件。 |
| 任何附件大小大于或等于 | AttachmentSizeOver |
当邮件的附件为支持的文件类型,并且附件的大小超出您所指定的大小时,则匹配此条件。 |
| 任何附件未完成扫描 | AttachmentProcessingLimitExceeded |
当传输规则代理未检查附件时,此条件与邮件匹配。 |
| 任何附件具有可执行内容 | AttachmentHasExecutableContent |
此条件会匹配包含可执行文件作为附件的邮件。 这里列出了受支持的文件类型。 |
| 任何附件采用密码保护 | AttachmentIsPasswordProtected |
当邮件的附件为支持的文件类型,并且附件采用密码保护,则匹配此条件。 |
此处所列条件的 Exchange 命令行管理程序名称是需要 TransportRule cmdlet 的参数。
- 要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule。
- 要了解这些条件的属性类型的详细信息,可参阅Conditions and Condition Properties for a Mailbox Server。
传输规则检查支持的可执行文件类型
传输代理通过检查文件属性(而不仅仅是文件扩展名)来使用真正的类型检测。 此检测有助于通过重命名文件扩展名来防止黑客绕过规则。 下表列出了这些条件支持的可执行文件类型。 如果找到此处未列出的文件,则会触发条件 AttachmentIsUnsupported 。
| 文件类型 | 本机扩展 |
|---|---|
| 使用 WinRAR 存档程序创建的自解压存档文件。 | .rar |
| 使用动态链接库扩展名的 32 位 Windows 可执行文件。 | .dll |
| 自解压的可执行程序文件。 | .exe |
| Java 存档文件。 | .jar |
| 卸载可执行文件。 | .exe |
| 程序快捷方式文件。 | .exe |
| 已编译的源代码文件或 3-D 对象文件或序列文件。 | .obj |
| 32 位 Windows 可执行文件。 | .exe |
| Microsoft Visio XML 绘图文件。 | .vxd |
| OS/2 操作系统文件。 | .os2 |
| 16 位 Windows 可执行文件。 | .w16 |
| 磁盘操作系统文件。 | .dos |
| 欧洲计算机研究所防病毒研究标准防病毒测试文件。 | .com |
| Windows 程序信息文件。 | .pif |
| Windows 可执行程序文件。 | .exe |
扩展受支持的文件类型的数目
本主题中列出的受支持的文件类型可以随时使用 IFilter 集成进行修改。 有关详细信息,请参阅向 Exchange 2013 注册 Filter Pack IFilter。
使用此过程添加的文件类型将成为受支持的文件类型,并且不再触发条件 AttachmentIsUnsupported 。
数据丢失预防策略和附件传输规则
为了帮助您管理电子邮件中的重要业务信息,您可以将任何与附件相关的条件包含在数据丢失预防 (DLP) 策略的规则内。 例如,您可能会希望允许发送包含护照号码的邮件,条件是仅当护照号码在密码保护的附件内。 为此,请执行以下步骤:
- 创建 DLP 策略,检查邮件中的与密码相关的敏感信息。 有关详细信息,请参阅 DLP 过程。
- 在“除非...” 传输规则区域中添加“任何附件受密码保护”例外。
- 定义对包含护照号码不在受保护文件中的邮件执行的操作。
DLP 策略和与附件相关的条件可以通过将您的业务需求定义为传输规则条件、例外和操作,来帮助您满足这些需求。 当您将敏感信息检查包含在 DLP 策略中时,会对任何邮件附件仅针对该信息进行扫描。 但是,在添加本主题中列出的条件之前,不会包含与附件相关的条件(如大小或文件类型)。 DLP 并非适用于所有版本的 Exchange;有关详细信息,请参阅 数据丢失防护。