使用邮件流规则检查邮件附件

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2017-02-08

您可以通过设置传输规则,在组织中检查电子邮件附件。Exchange 提供传输规则,作为邮件安全性和合规性的一部分,这些传输规则可以提供检查电子邮件附件的功能。当您检查附件时,您可以根据这些附件的内容或特征对经过检查的邮件采取操作。以下是您使用传输规则可以执行的一些与附件相关的任务:

  • 搜索具有与指定模式相匹配的文本的文件,并将免责声明添加到邮件结尾。

  • 检查附件中的内容,如果有任何您指定的关键词,则将邮件重定向到仲裁人进行审批,然后再传递。

  • 检查包含无法检查的附件的邮件,然后阻止整个邮件的发送。

  • 检查超出特定大小的附件;如果选择阻止邮件传递,则通知发件人该问题。

  • 检查附加的 Office 文档的属性是否与您指定的值匹配。在此条件下,您可以使用第三方分类系统(如 SharePoint Server 2013 或 Windows Server 2012 R2 文件分类基础结构 (FCI))将 Exchange 传输规则要求与 DLP 策略要求相集成。

  • 创建通知,在用户发送与传输规则匹配的邮件时警告用户。

  • 阻止包含附件的所有邮件。有关示例,请参阅常见的附件阻止方案

注意注意:
所有这些情况均将扫描压缩的存档附件。

Exchange 管理员可以通过转到“Exchange 管理中心”>“邮件流”>“规则”,来创建传输规则。您必须先获得权限,然后才能执行此过程。开始创建新规则后,单击“在以下情况应用此规则”下方的“更多选项”>“任何附件”,便可查看与附件相关的条件的完整列表。与附件相关的选项如下图所示。

附件的条件列表

有关传输规则的详细信息,包括您可以选择的全部条件与操作,请参阅Exchange Online 中的邮件流规则(传输规则)。Exchange Online Protection (EOP) 和混合客户可以从配置 EOP 的最佳实践中提供的传输规则最佳实践中获益。如果您已经准备好要开始创建规则,请参阅管理邮件流规则

您可以使用下表中的传输规则条件检查邮件附件的内容。在这些条件下,只检查从附件中提取的前 1 MB 文本。请注意,1 MB 限制是指提取的文本,而不是附件的文件大小。例如,一个 2 MB 的文件可能包含小于 1 MB 的文本,因此将检查整个文本。

要在检查邮件时开始使用这些条件,您需要将它们添加到传输规则。要了解如何创建或更改规则,可参阅管理邮件流规则

 

EAC 中的条件名称 命令行管理程序中的条件名称 说明

任何附件内容包含这些词语中的任何一个

AttachmentContainsWords

此条件会匹配受支持的文件类型附件包含指定的字符串或一组字符的邮件。

任何附件内容与这些文本模式匹配

AttachmentMatchesPatterns

此条件会匹配受支持的文件类型附件包含的文本模式与指定正则表达式匹配的邮件。

在此处列出的条件的 Exchange 命令行管理程序 名称为需要 TransportRule cmdlet 的参数。

要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule

若要详细了解这些条件的属性类型,可参阅 Exchange Online 中的Conditions and condition properties和 Exchange Online Protection 中的Conditions and condition properties

若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell

传输规则只检查受支持类型文件的内容。如果传输规则代理遇到的附件不在受支持的文件类型的列表内,则将触发 AttachmentIsUnsupported 条件。下一节列出了受支持的文件类型。任何未列出的文件将触发 AttachmentIsUnsupported 条件。

下表列出了传输规则支持的文件类型。系统自动检测文件类型,方法是检查文件属性,而不是实际的文件扩展名,从而防止恶意黑客通过重命名文件扩展名来绕过传输规则筛选。拥有可执行代码,可以在传输规则情境中进行检查的文件类型列表可参见本主题后面部分。

 

类别 文件扩展名 注释

Office 2013、Office 2010 和 Office 2007

.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx

默认情况下,不支持 Microsoft OneNote 和 Microsoft Publisher 文件。

同时还会检查这些文件类型中包含的任何嵌入式部件的内容。但是,不检查任何未嵌入的对象(例如,链接的文档)。

Office 2003

.doc, .ppt, .xls

其他 Office 文件

.rtf, .vdw, .vsd, .vss, .vst

Adobe PDF

.pdf

HTML

.html

XML

.xml, .odp, .ods, .odt

文本

.txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc、inf, .ini、inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx

OpenDocument

.odp, .ods, .odt

不处理 .odf 文件的任何部分。例如,如果 .odf 文件包含嵌入式文档,则不检查该嵌入式文档的内容。

AutoCAD 绘图

.dxf

不支持 AutoCAD 2013 文件。

图像

.jpg, .tiff

仅检查与这些图像文件关联的元数据文本。没有任何光学字符识别。

压缩的存档文件

.bz2、cab, .gz, .rar, .tar, .zip, .7z

这些文件的格式属于最初受支持的文件类型,检查和处理这些文件的内容的方式与处理具有多个附件的邮件类似。不检查这些压缩存档文件本身的属性。例如,如果容器文件类型支持注释,则不检查该字段。

下列条件可用于传输规则,以检查附加到邮件的不同文件属性。要在检查邮件时开始使用这些条件,您需要将它们添加到传输规则。有关创建或更改规则的详细信息,请参阅管理邮件流规则

 

EAC 中的条件名称 命令行管理程序中的条件名称 说明

任何附件文件名匹配这些文本模式

AttachmentNameMatchesPatterns

此条件会匹配附件文件名称中包含指定字符的邮件。

任何附件的文件扩展名包含这些词

AttachmentExtensionMatchesWords

此条件会匹配附件文件扩展名与指定内容相匹配的邮件。

任何附件大小大于或等于

AttachmentSizeOver

当这些附件大于或等于指定大小时,此条件会匹配带有附件的邮件。

任何附件未完成扫描

AttachmentProcessingLimitExceeded

当邮件附件未经过传输规则代理的检查时,则匹配此条件。

任何附件具有可执行内容

AttachmentHasExecutableContent

此条件会匹配包含可执行文件作为附件的邮件。这里列出了受支持的文件类型。

任何附件采用密码保护

AttachmentIsPasswordProtected

此条件会匹配具有受密码保护的附件的邮件。密码检测只适用于 Office 文档和压缩的存档文件。

任何附件均具有这些属性,包括以下任何词语

AttachmentPropertyContainsWords

此条件会匹配其中附加 Office 文档的指定属性包含指定词语的邮件。用冒号分隔属性及其可能的值。用逗号分隔多个值。此外,使用逗号分隔多个属性/值对。

在此处列出的条件的 Exchange 命令行管理程序 名称为需要 TransportRule cmdlet 的参数。

要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule

若要详细了解这些条件的属性类型,可参阅 Exchange Online 中的Conditions and condition properties和 Exchange Online Protection 中的Conditions and condition properties

若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell

传输代理通过检查文件属性(而不仅仅是文件扩展名)来使用真正的类型检测。这会帮助阻止恶意黑客通过重命名文件扩展名来绕过您的规则。下表列出了这些条件支持的可执行文件类型。如果发现了未在此处列出的文件,将触发 AttachmentIsUnsupported 条件。

 

文件类型 本机扩展

使用 WinRAR 存档程序创建的自解压存档文件。

.rar

使用动态链接库扩展名的 32 位 Windows 可执行文件。

.dll

自解压的可执行程序文件。

.exe

Java 存档文件。

.jar

卸载可执行文件。

.exe

程序快捷方式文件。

.exe

已编译的源代码文件或 3-D 对象文件或序列文件。

.obj

32 位 Windows 可执行文件。

.exe

Microsoft Visio XML 绘图文件。

.vxd

OS/2 操作系统文件。

.os2

16 位 Windows 可执行文件。

.w16

磁盘操作系统文件。

.dos

欧洲计算机研究所防病毒研究标准防病毒测试文件。

.com

Windows 程序信息文件。

.pif

Windows 可执行程序文件。

.exe

为了帮助你管理电子邮件中的重要业务信息,你可以将任何与附件相关的条件包含在数据丢失预防 (DLP) 策略的规则内。

DLP 策略和与附件相关的条件可以通过将您的业务需求定义为传输规则条件、例外和操作,来帮助您满足这些需求。当您将敏感信息检查包含在 DLP 策略中时,会对任何邮件附件仅针对该信息进行扫描。但是,不包含与附件相关的条件,例如大小或文件类型,除非您添加本主题中列出的条件。DLP 并非对所有版本的 Exchange 都可用;要了解更多信息,请访问数据丢失预防

 
显示: