本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

Use mail flow rules to inspect message attachments in Office 365

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2018-01-25

您可以通过设置邮件流的规则 (也称为传输) Office 365组织中检查电子邮件附件。Exchange Online提供了邮件流规则,提供的功能来检查电子邮件附件作为您的邮件传输的安全性和法规遵从性需求的一部分。当您检查附件时,您可以基于内容或特征的这些附件已检查的邮件执行操作。以下是您可以使用邮件流规则进行一些附件相关的任务:

  • 搜索具有与指定模式相匹配的文本的文件,并将免责声明添加到邮件结尾。

  • 检查附件中的内容,而且,如果您指定任何关键字,将邮件重定向到审批的审阅者交付之前。

  • 检查包含无法检查,然后中断发送整个邮件的附件的邮件。

  • 检查超出特定大小的附件;如果选择阻止邮件传递,则通知发件人该问题。

  • 检查附加的Office文档的属性是否与指定的值匹配。与这种情况,您可以集成您的邮件流规则和 DLP 策略与第三方的分类系统,例如SharePoint Server 2013或 Windows Server 2012 R2 文件分类基础结构 (FCI) 的要求。

  • 创建通知用户该通知是否发送一条消息匹配的邮件流规则。

  • 阻止包含附件的所有邮件。有关示例,请参阅常见的附件阻止方案

注意注意:
所有这些情况均将扫描压缩的存档附件。

Exchange Online管理员可以创建邮件流规则在Exchange 管理中心 (EAC) 在邮件流>规则。您需要分配权限才能执行此过程。在开始创建一个新规则后,可以通过单击多个选项来查看附件相关条件的完整列表 > 下才应用该规则任何附件。附件相关选项,如下图所示。

附件的条件列表

有关邮件流规则,包括全部的条件和操作,您可以选择,详细信息请参阅Exchange Online 中的邮件流规则(传输规则)。Exchange Online Protection(EOP) 和混合的客户可以受益于邮件流规则在配置 EOP 的最佳实践中提供的最佳做法。如果你准备好开始创建规则,请参阅管理邮件流规则

可以使用下表中的邮件流规则条件以检查对邮件的附件的内容。这些条件,仅第一兆字节 (MB) 从附件中提取文本的检查。请注意,1 MB 的限制是指提取的文本,不该附件的文件大小。例如,一个 2 MB 的文件可能包含小于 1 MB 的文本,以便将检查所有的文本。

为了开始使用这些条件在检查邮件时,您需要将其添加到邮件流规则。了解如何创建或更改规则在管理邮件流规则

 

EAC 中的条件名称 在Exchange Online PowerShell的条件名称 说明

任何附件的内容都包含

任何附件 > 内容包含这些词语中任何词语

AttachmentContainsWords

此条件会匹配受支持的文件类型附件包含指定的字符串或一组字符的邮件。

任何附件内容都匹配

任何附件 > 内容与这些文本模式匹配

AttachmentMatchesPatterns

此条件会匹配受支持的文件类型附件包含的文本模式与指定正则表达式匹配的邮件。

任何附件的内容无法检查

任何附件 > 无法检查内容

AttachmentIsUnsupported

只有邮件流规则可以检查受支持的文件类型的内容。如果邮件流规则遇到不支持的附件,则会触发AttachmentIsUnsupported条件。支持的文件类型的介绍详见下一节。

注意:

在Exchange Online PowerShell的条件名称是参数的New-TransportRuleSet-TransportRule的 cmdlet 名称。有关详细信息,请参阅New-TransportRule

了解更多关于这些条件在在联机 Exchange 邮件流规则条件和例外 (谓语)邮件流规则条件和例外 (谓语) 在 Exchange 在线保护的属性类型。

若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell

下表列出了支持邮件流规则的文件类型。系统会自动检测通过检查文件属性,而不是实际的文件扩展名,因而有助于防止恶意的黑客可以绕过邮件流规则筛选通过重命名文件扩展名的文件类型。在本主题后面列出可以检查邮件流规则的上下文中的可执行代码的文件类型的列表。

 

类别 文件扩展名 注释

Office 2007 和更高版本

.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx

默认情况下,Microsoft OneNote 和 Microsoft Publisher 文件不支持。

此外检查这些文件类型中包含任何嵌入部件的内容。但是,任何对象 (例如,链接的文档),不会嵌入未检查。

Office 2003

.doc, .ppt, .xls

其他 Office 文件

.rtf, .vdw, .vsd, .vss, .vst

Adobe PDF

.pdf

HTML

.html

XML

.xml, .odp, .ods, .odt

文本

.txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc、inf, .ini、inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx

OpenDocument

.odp, .ods, .odt

.Odf 文件的任何部分进行不处理。例如,如果.odf 文件中包含的嵌入的文档,不会检查该嵌入文档中的内容。

AutoCAD 绘图

.dxf

AutoCAD 2013 文件不受支持。

图像

.jpg, .tiff

仅检查与这些图像文件关联的元数据文本。没有任何光学字符识别。

压缩的存档文件

.bz2、cab, .gz, .rar, .tar, .zip, .7z

它们原本支持的文件类型格式,这些文件的内容是检查和处理的方式类似于具有多个附件的邮件。不检查压缩的存档文件自身的属性。例如,如果容器文件类型支持注释,不被检查该字段。

以下条件可以在邮件流规则,用于检查不同属性附加到邮件的文件。为了开始使用这些条件在检查邮件时,您需要将其添加到邮件流规则。有关创建或更改的规则的详细信息,请参阅管理邮件流规则

 

EAC 中的条件名称 在Exchange Online PowerShell的条件名称 说明

任何附件的文件名匹配

任何附件 > 文件名匹配这些文本模式

AttachmentNameMatchesPatterns

此条件会匹配附件文件名称中包含指定字符的邮件。

任何附件的文件扩展名匹配

任何附件 > 文件扩展名包含这些词语

AttachmentExtensionMatchesWords

此条件会匹配附件文件扩展名与指定内容相匹配的邮件。

任何附件都大于或等于

任何附件>大小不大于或等于

AttachmentSizeOver

当这些附件大于或等于指定大小时,此条件会匹配带有附件的邮件。

邮件未完成扫描

任何附件 > 未完成扫描

AttachmentProcessingLimitExceeded

此条件匹配邮件附件不检查邮件流规则代理。

任何附件具有可执行内容

任何附件 > 具有可执行内容

AttachmentHasExecutableContent

此条件会匹配包含可执行文件作为附件的邮件。这里列出了受支持的文件类型。

任何附件采用密码保护

任何附件 > 采用密码保护

AttachmentIsPasswordProtected

与此条件匹配包含由密码保护的附件的邮件。密码检测只适用于Office文档和.zip 文件中。

任何附件均具有这些属性,包括以下任何词语

任何附件 > 具有这些属性,包括以下任何词语

AttachmentPropertyContainsWords

此条件会匹配其中附加 Office 文档的指定属性包含指定词语的邮件。用冒号分隔属性及其可能的值。用逗号分隔多个值。此外,使用逗号分隔多个属性/值对。

注意:

在Exchange Online PowerShell的条件名称是参数的New-TransportRuleSet-TransportRule的 cmdlet 名称。有关详细信息,请参阅New-TransportRule

了解更多关于这些条件在在联机 Exchange 邮件流规则条件和例外 (谓语)邮件流规则条件和例外 (谓语) 在 Exchange 在线保护的属性类型。

若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell

邮件流规则使用真实类型检测来检查文件属性,而不是仅仅的文件扩展名。这有助于防止恶意的黑客来重命名文件扩展名来绕过您的规则。下表列出了所支持的这些条件的可执行文件类型。如果此处未列出,找到文件,则会触发AttachmentIsUnsupported条件。

 

文件类型 本机扩展

使用动态链接库扩展名的 32 位 Windows 可执行文件。

.dll

自解压的可执行程序文件。

.exe

卸载可执行文件。

.exe

程序快捷方式文件。

.exe

32 位 Windows 可执行文件。

.exe

Microsoft Visio XML 绘图文件。

.vxd

OS/2 操作系统文件。

.os2

16 位 Windows 可执行文件。

.w16

磁盘操作系统文件。

.dos

欧洲计算机研究所防病毒研究标准防病毒测试文件。

.com

Windows 程序信息文件。

.pif

Windows 可执行程序文件。

.exe

重要说明重要说明:
.rar(自解压存档文件用 WinRAR 存档程序创建), .jar (Java 档案文件),和.obj (编译的源代码、 3D 对象或序列文件) 的文件被认为是可执行文件类型。若要阻止这些文件,您可以使用邮件流规则寻找具有这些扩展名的文件,如本主题前面所述,或您可以配置将阻止这些文件类型 (通用附件类型筛选器) 的反恶意软件策略。有关详细信息,请参阅配置反恶意软件策略

为了帮助你管理电子邮件中的重要业务信息,你可以将任何与附件相关的条件包含在数据丢失预防 (DLP) 策略的规则内。

DLP 策略和相关附件的条件可以帮助您通过邮件流规则条件、 异常和操作定义这些需求来加强您的业务需求。在 DLP 策略中包含敏感信息检查,该信息只被扫描邮件的任何附件。但是,直到您添加了此主题中列出的条件,则不包含附件相关的条件,如大小或文件类型。DLP 不可用的所有版本的 Exchange。了解更多信息,请访问数据丢失预防

有关广泛阻止包含附件的电子邮件的信息(不论恶意软件状态如何),请参阅通过 Exchange Online Protection 中的文件附件阻止功能降低恶意软件的威胁

 
显示: