使用郵件流程規則來封鎖具有可執行檔附件的郵件 Exchange Online

  • 發行項

在 Exchange Online 組織或獨立 Exchange Online Protection (EOP) 沒有 Exchange Online 信箱的組織中,具有有害附件 (包括可執行檔附件) 的郵件會遭到反惡意代碼原則封鎖。 如需相關資訊,請參閱<EOP 中的反惡意程式碼保護>。

若要進一步增強保護,您可以使用郵件流程規則 (也稱為傳輸規則) ,以識別和封鎖包含可執行檔附件的郵件,如本文所述。

例如,在惡意代碼攻擊之後,公司可以使用時間限制套用此規則,讓受影響的使用者可以在一段指定的時間後返回傳送附件。

開始之前有哪些須知?

使用 EAC 建立規則,以封鎖具有可執行檔附件的訊息

  1. 在 EAC 中,移至 [郵件流程>規則]

  2. 取 [+新增規則] ,然後選取 [ 建立新規則]

  3. 在開啟的 [ 設定規則條件 ] 頁面中,設定下列設定:

    • 名稱:輸入規則的唯一描述性名稱。

    • 如果:選取任何附件>具有可執行內容,請套用此規則

    • 執行下列動作:選取 [封鎖訊息 ],然後選擇您想要的動作:

      • 拒絕訊息並包含說明:在出現的 [ 指定拒絕原因 ] 對話框中,輸入您想要出現在非傳遞報表中的文字 (也稱為 NDR 或退回的訊息) 。 使用的預設增強狀態代碼是5.7.1。

      • 拒絕具有增強狀態代碼的訊息:在出現的 [ 輸入增強狀態代碼 ] 對話框中,輸入您要在 NDR 中顯示的增強狀態代碼。 有效值為 5.7.1 或從 5.7.900 到 5.7.999 的值。 默認拒絕文字為:傳遞未獲授權、訊息遭拒。

      • 刪除訊息而不通知任何人 (如果您選擇此選項,您將不會取得 [儲存 ] 按鈕, 但會取得 [ 下一步 ] 按鈕。)

  4. 當您完成時,選取 [儲存]。 您的附件封鎖規則目前處於強制狀態。

使用 PowerShell 建立規則來封鎖具有可執行檔附件的訊息

使用下列語法來建立規則,以封鎖包含可執行檔附件的訊息:

New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]

附註

  • 如果您在沒有 RejectMessageReasonText 參數的情況下使用 RejectMessageEnhancedStatusCode 參數,預設文字為:傳遞未獲授權,訊息遭到拒絕。

  • 如果您使用 RejectMessageReasonText 參數而不使用 RejectMessageEnhancedStatusCode 參數,則預設程式代碼為 5.7.1。

下列範例會建立名為 「封鎖可執行檔附件 」的新規則,以無訊息方式刪除包含可執行檔附件的訊息。

New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true

如需詳細的語法和參數資訊,請參閱 New-TransportRule

如何知道這是否正常運作?

若要確認您已成功建立郵件流程規則來封鎖包含可執行檔附件的郵件,請執行下列任何步驟:

  • 在 EAC 中,移至 [郵件流程>規則]> 選取規則>選取 [編輯編輯] 圖示。選取 [設定] 索引標籤並確認設定。

  • 在 PowerShell 中,執行下列命令以確認設定:

    Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage