Exchange Online 中郵件流程規則的常見附件封鎖案例
在 Exchange Online 組織或獨立 Exchange Online Protection (EOP) 沒有 Exchange Online 信箱的組織中,您可能需要封鎖或拒絕特定類型的郵件,以符合法律或合規性需求,或符合特定商務需求。 本文討論封鎖所有附件的常見案例範例,您可以使用郵件流程規則 (已知的郵件流程規則) 來設定這些附件。
附註:
如需示範如何使用郵件流程規則封鎖特定附件的更多範例,請參閱使用郵件流程規則來檢查 Exchange Online 中的郵件附件。
反惡意代碼原則 EOP 可讓您開啟並設定 一般附件類型 篩選器,以封鎖特定的檔類型。 如需指示, 請參閱在 EOP 中設定反惡意代碼原則。
若要開始使用郵件流程規則來封鎖特定郵件類型,請執行下列步驟:
- 開啟 Exchange 系統管理中心 (EAC)。 如需詳細資訊,請參閱 Exchange Admin Center in Exchange Online。
- 移至 [郵件流程>規則]。
- 選 取 [+ 新增規則] ,然後選取 [ 建立新規則]。
- 在開啟的 [ 設定規則條件 ] 頁面中,設定下列設定:
- 在 [ 名稱] 方 塊中,指定規則的名稱。
- 選取您想要的條件和動作。
注意事項
在 EAC 中,您可以輸入的最小附件大小是 1 KB,這應該會偵測到大部分的附件。 不過,如果您想要偵測任何大小的每個可能附件,則必須在 EAC 中建立規則之後,使用 PowerShell 將附件大小調整為 1 個字節。 若要連線到 PowerShell,請參閱連線到 Exchange Online PowerShell 或連線到獨立 Exchange Online Protection PowerShell。
內嵌影像會被視為附件 (例如,在簽章) 中具有圖片的訊息。 基於這個理由,我們不建議針對附件大小使用非常小的值,因為會封鎖非預期的訊息。
範例 1:封鎖附件的訊息,並通知寄件者
如果您不想讓組織中的某些人員傳送或接收大於 10 MB 的附件,您可以設定郵件流程規則來封鎖具有此大小附件的郵件。
在此範例中,所有傳送至組織或從附件大於 10 MB 的訊息都會遭到封鎖。
如果您想要做的就是封鎖訊息,您可能會想要在此規則相符后停止規則處理。 向下卷動規則對話框,然後選取 [ 停止處理更多規則] 複選框。
範例 2:封鎖輸入郵件時通知預定的收件者
如果您想要拒絕郵件,但讓預定的收件者知道發生什麼事,您可以使用通知 收件者與郵件 動作。
您可以在通知訊息中包含佔位元,使其包含原始訊息的相關信息。 佔位元必須以兩個百分比符弧括住 (%%) ,而當通知訊息傳送時,佔位元會取代為原始訊息中的資訊。 您也可以在訊息中使用基本 HTML,例如 <br>、 <b>、 <i> 和 <img> 。
| 資訊類型 | 預留位置 |
|---|---|
| 訊息的寄件者。 | %%From%% |
| [收件者] 列在 [收件者] 行上。 | %%To%% |
| 列在 [副本] 行上的收件者。 | %%Cc%% |
| 原始訊息的主旨。 | %%Subject%% |
| 原始訊息中的標頭。 這份清單類似於針對原始訊息產生的 DSN) 傳遞狀態通知 (標頭清單。 | %%標頭%% |
| 原始訊息傳送日期。 | %%MessageDate%% |
在此範例中,所有包含附件並傳送給組織內部人員的郵件都會遭到封鎖,而且會通知收件者。
範例 3:修改通知的主旨行
當通知傳送給收件者時,主旨行是原始訊息的主旨。 如果您想要修改主旨,讓收件者更清楚,您必須使用兩個郵件流程規則:
第一個規則會將「undeliverable」 這個字新增至具有附件之任何訊息的主旨開頭。
第二個規則會封鎖訊息,並使用原始訊息的新主旨將通知訊息傳送給寄件者。
重要事項
這兩個規則必須具有相同的條件。 規則會依序處理;因此,第一個規則會新增 「undeliverable」 這個字,而第二個規則會封鎖訊息並通知收件者。
如果您想要將「undeliverable」 新增至主旨,第一個規則看起來會像這樣:
第二個規則會執行封鎖和通知, (範例 2 的相同規則) :
範例 4:套用具有時間限制的規則
如果您有惡意代碼暴發,您可能想要套用具有時間限制的規則,以便暫時封鎖附件。 例如,下列規則同時具有開始和停止日期和時間:
範例 5:根據附件擴展名封鎖訊息
如果您想要防止使用者傳送或接收具有特定擴展名附件的訊息,您可以在 Microsoft 365 中建立傳輸規則。 這可協助您保護組織免於遭受惡意或垃圾檔案的危害,例如可執行程式、腳本或宏。 在此範例中,您將瞭解如何建立傳輸規則,以根據附件的擴展名封鎖訊息。
建立傳輸規則的步驟
若要建立可封鎖具有特定附件類型的訊息的傳輸規則,請遵循下列步驟:
登入 Exchange 系統管理中心。
選取 [郵件流程] ,然後選取 [規則]。
選 取 [+ 新增規則] ,然後選取 [ 建立新規則]。
在 [ 名稱] 方 塊中,指定新規則的名稱。
選取 [ 如果是套用此規則 ] 下拉式清單,指向 [ 任何附件],然後選取 [擴展名包含這些文字]。
在 [ 指定單字或詞組 ] 視窗中,輸入您要封鎖之任何附件的擴展名,然後選取 [ 新增 ] 按鈕,將擴展名新增至清單。 清單完成時,選取 [ 儲存]。
選取 [ 執行下列動作 ] 下拉式清單,指向 [ 封鎖訊息],然後選取 [ 拒絕訊息並包含說明 ],或選取 [ 刪除訊息而不通知任何人]。
如果需要,請指定拒絕原因,以通知將接收非傳遞報告的使用者 (NDR) 郵件傳遞失敗的原因,然後選取 [儲存 ]。
選取 [ 下一步] 按鈕。
在下一個頁面上,指定任何其他選項,例如規則模式和規則啟用或停用時間,然後選取 [ 下一步]。
檢閱規則之後,選取 [ 完成]。
根據預設,傳輸規則會建立為停用。 請務必切換 [啟用或停用規則 ] 參數以啟用規則。
使用 PowerShell 建立規則來封鎖具有可執行檔附件的訊息
使用下列語法來建立規則,以封鎖包含可執行檔附件的訊息:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
附註:
如果您在沒有 RejectMessageReasonText 參數的情況下使用 RejectMessageEnhancedStatusCode 參數,預設文字為:傳遞未獲授權,訊息遭到拒絕。
如果您使用 RejectMessageReasonText 參數而不使用 RejectMessageEnhancedStatusCode 參數,則預設程式代碼為 5.7.1。
此範例會建立名為「封鎖可執行檔附件」的新規則,以無訊息方式刪除包含可執行檔附件的訊息。
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
如需詳細的語法和參數資訊,請參閱 New-TransportRule。