Usare le regole del flusso di posta per controllare gli allegati dei messaggi in Exchange Online
Nelle organizzazioni di Exchange Online o nelle organizzazioni autonome di Exchange Online Protection (EOP) senza cassette postali di Exchange Online, è possibile controllare gli allegati di posta elettronica configurando le regole del flusso di posta (note anche come regole di trasporto). Le regole del flusso di posta consentono di esaminare gli allegati di posta elettronica come parte delle esigenze di sicurezza e conformità della messaggistica. Quando si esaminano gli allegati, è possibile intervenire sui messaggi in base al contenuto o alle caratteristiche degli allegati. Ecco alcune attività relative agli allegati che si possono eseguire tramite l'utilizzo delle regole del flusso di posta:
- Cercare i file con testo corrispondente a un modello specificato e aggiungere una dichiarazione di non responsabilità alla fine del messaggio.
- Esaminare il contenuto all'interno degli allegati, nel caso ci sia una qualsiasi parola chiave specificata, reindirizzare il messaggio ad un moderatore per l'approvazione prima che venga distribuito.
- Controllare i messaggi con allegati che non possono essere esaminati e quindi bloccare l'invio dell'intero messaggio.
- Verificare la presenza di allegati che superano una determinata dimensione e quindi inviare una notifica al mittente del problema, se si sceglie di impedire il recapito del messaggio.
- Verificare se le proprietà di un documento Office allegato corrispondano ai valori specificati. Con questa condizione, è possibile integrare i requisiti delle regole del flusso di posta e dei criteri DLP con un sistema di classificazione di terze parti, ad esempio SharePoint o l'infrastruttura di classificazione file di Windows Server.
- Creare notifiche che avvisino gli utenti se inviano un messaggio con corrispondenza a una regola del flusso di posta.
- Bloccare tutti i messaggi contenenti allegati. Per esempi, vedere Usare le regole del flusso di posta per gli scenari di blocco degli allegati in Exchange Online.
Nota
Tutte queste condizioni consentono di analizzare gli allegati dell'archivio compresso.
Gli amministratori di Exchange Online possono creare regole del flusso di posta nell'interfaccia di amministrazione di Exchange (EAC) inRegoleflusso di> posta. Per eseguire questa procedura sono necessarie autorizzazioni. Dopo aver iniziato a creare una nuova regola, è possibile visualizzare l'elenco completo delle condizioni correlate agli allegati selezionando Qualsiasi allegato in Applica questa regola se. Le opzioni relative agli allegati sono mostrate nel seguente diagramma.
Per altre informazioni sulle regole del flusso di posta, inclusa l'intera gamma di condizioni e azioni che è possibile scegliere, vedere Regole del flusso di posta (regole di trasporto) in Exchange Online. I clienti Exchange Online Protection (EOP) e ibridi possono trarre vantaggio dalle procedure consigliate delle regole del flusso di posta fornite in Best Practices for Configuring EOP. Se si è pronti per iniziare a creare regole, vedere Gestire le regole del flusso di posta in Exchange Online.
Consiglio
Se si sospetta che la regola non funzioni correttamente, controllare prima di tutto gli allegati contenuti nel messaggio. Per controllare gli allegati contenuti nel messaggio durante la valutazione delle regole del flusso di posta, vedere Test-TextExtraction.
Questo metodo deve funzionare.
Analizzare il contenuto all'interno di allegati
È possibile usare le condizioni delle regole del flusso di posta nella tabella seguente per esaminare il contenuto degli allegati dei messaggi. Per queste condizioni, vengono controllati solo i primi 1 megabyte (MB) di testo estratto da un allegato. Il limite di 1 MB si riferisce al testo estratto, non alle dimensioni del file dell'allegato. Ad esempio, un file da 2 MB può contenere meno di 1 MB di testo in modo che tutto il testo venga controllato.
Per iniziare a usare queste condizioni durante l'ispezione dei messaggi, è necessario aggiungerli a una regola del flusso di posta. Per altre informazioni sulla creazione o la modifica di regole, vedere Gestire le regole del flusso di posta in Exchange Online.
| Nome della condizione in EAC | Nome della condizione in Exchange Online PowerShell | Descrizione |
|---|---|---|
|
Il contenuto di qualsiasi allegato include Qualsiasi allegato>il contenuto include una qualsiasi di queste parole |
AttachmentContainsWords | Questa condizione cerca una corrispondenza con i messaggi a cui sono allegati tipi di file supportati contenenti una stringa o un gruppo di caratteri specificati. |
|
Il contenuto di qualsiasi allegato è uguale a Qualsiasi allegato>il contenuto corrisponde a questi modelli di testo |
AttachmentMatchesPatterns | Questa condizione genera una corrispondenza per i messaggi a cui sono allegati tipi di file supportati che contengono un modello di testo che corrisponde a un'espressione regolare specificata. |
|
Il contenuto degli allegati non può essere esaminato Qualsiasi allegato>il contenuto non può essere controllato |
AttachmentIsUnsupported | Le regole del flusso di posta possono analizzare solo il contenuto dei tipi di file supportati. Se la regola del flusso di posta trova un allegato non supportato, viene attivata la condizione AttachmentIsUnsupported . I tipi di file supportati sono descritti nella sezione successiva. |
Nota
I nomi delle condizioni in PowerShell di Exchange Online sono nomi di parametri nei cmdlet New-TransportRule e Set-TransportRule . Per ulteriori informazioni, vedere New-TransportRule.
Per altre informazioni sui tipi di proprietà per queste condizioni, vedere Condizioni ed eccezioni delle regole del flusso di posta (predicati) in Exchange Online.
Per informazioni su come usare Windows PowerShell per connettersi a Exchange Online, vedere Connettersi a PowerShell di Exchange Online.
Tipi di file supportati per l'analisi del contenuto delle regole del flusso di posta
Nella tabella seguente sono elencati i tipi di file supportati dalle regole del flusso di posta. Il sistema usa il rilevamento automatico di tipi di file attraverso l'ispezione delle proprietà dei file invece che dell'estensione effettiva del file, impedendo in questo modo ad hacker malintenzionati di superare il filtro delle regole del flusso di posta rinominando l'estensione del file. Un elenco di tipi di file con codice eseguibile che può essere controllato nel contesto delle regole del flusso di posta viene specificato più avanti in questo articolo.
| Categoria | Estensione del file | Note |
|---|---|---|
| Adobe PDF | Nessuno | |
| File di archivio compressi | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z | Nessuno |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml | Nessuno |
| JSON | adaptivecard, .json, messagecard | Nessuno |
| Posta | .eml, .msg, .nws | Nessuno |
| Microsoft Office | .doc, docb, docm, .docx, dot, dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw | Anche il contenuto delle parti incorporate comprese in questi tipi di file viene esaminato. Tuttavia, gli oggetti che non sono incorporati (ad esempio i documenti collegati) non vengono esaminati. Anche il contenuto all'interno delle proprietà personalizzate viene analizzato. |
| Xml di Microsoft Office | .excelove my life, .powerpointml, .wordml | Nessuno |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx | Nessuno |
| Opendocument | .odp, .ods, .odt | Non vengono elaborate parti di file .odf. Se, ad esempio, il file .odf contiene un documento incorporato, il contenuto del documento non viene esaminato. |
| Altro | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps | Nessuno |
| Testo | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs | Vengono analizzati anche altri file basati su testo. Questo elenco è rappresentativo. |
| XML | .infopathml, .jsp, mspx, .xml | Nessuno |
Analizzare le proprietà del file degli allegati
Le condizioni seguenti possono essere usate nelle regole del flusso di posta per analizzare proprietà diverse di file allegati ai messaggi. Per iniziare a usare queste condizioni durante l'ispezione dei messaggi, è necessario aggiungerli a una regola del flusso di posta. Per altre informazioni sulla creazione o la modifica di regole, vedere Gestire le regole del flusso di posta.
Nota
Se si desidera bloccare determinati file usando la condizione file AttachmentNameMatchesPatterns o AttachmentExtensionMatchesWords, tenere presente che questa condizione sta controllando l'estensione effettiva del nome file e non le proprietà del file, che è diversa da quella indicata in precedenza per l'ispezione del contenuto del file di altre condizioni. Se è necessario bloccare un file in base al rilevamento delle proprietà dei file di sistema, ad esempio, il file viene rinominato, usare invece la funzionalità "filtro allegati comune" dei criteri Anti-Mailware .
| Nome della condizione in EAC | Nome della condizione in Exchange Online PowerShell | Descrizione |
|---|---|---|
|
Il nome di qualsiasi allegato è uguale a Qualsiasi allegato>il nome del file corrisponde a questi modelli di testo |
AttachmentNameMatchesPatterns | Questa condizione genera una corrispondenza per i messaggi con allegati il cui nome file contiene i caratteri specificati. |
|
L'estensione di qualsiasi allegato è uguale a Qualsiasi allegato>l'estensione del file include queste parole |
AttachmentExtensionMatchesWords | Questa condizione genera una corrispondenza per i messaggi con allegati la cui estensione di file contiene gli elementi specificati. |
|
Qualsiasi allegato è maggiore o uguale a Qualsiasi allegato>size è maggiore o uguale a |
AttachmentSizeOver | Questa condizione genera una corrispondenza per i messaggi con allegati quando gli allegati hanno una dimensione superiore o uguale a quella specificata. Questa condizione si riferisce alle dimensioni dei singoli allegati, non alle dimensioni cumulative. Ad esempio, se si imposta una regola per rifiutare qualsiasi allegato di 10 MB o superiore, un singolo allegato con dimensioni pari a 15 MB viene rifiutato, ma è consentito un messaggio con tre allegati da 5 MB. |
|
Non ho completato l'analisi del messaggio Qualsiasi allegato>non ha completato l'analisi |
AttachmentProcessingLimitExceeded | Questa condizione corrisponde ai messaggi quando un allegato non viene controllato dall'agente delle regole del flusso di posta. |
|
L'allegato ha contenuto eseguibile Qualsiasi allegato>ha contenuto eseguibile |
AttachmentHasExecutableContent | Questa condizione genera una corrispondenza per i messaggi che contengono file eseguibili come allegati. I tipi di file supportati sono elencati qui. |
|
Tutti gli allegati sono protetti da password Qualsiasi allegato>è protetto da password |
AttachmentIsPasswordProtected | Questa condizione genera una corrispondenza per i messaggi con allegati protetti da una password. Il rilevamento delle password funziona per i documenti di Office, i file compressi (.zip, .7z) e i file .pdf. |
|
Un allegato contiene proprietà specifiche che includono una o più delle seguenti parole Qualsiasi allegato>ha queste proprietà, inclusa una qualsiasi di queste parole |
AttachmentPropertyContainsWords | Questa condizione genera una corrispondenza per i messaggi in cui la proprietà specificata del documento di Office allegato contiene le parole specificate. Una proprietà e i relativi valori possibili sono separati da due punti. Più valori sono separati da una virgola. Anche più coppie proprietà-valore sono separate da una virgola. |
Nota
I nomi delle condizioni in PowerShell di Exchange Online sono nomi di parametri nei cmdlet New-TransportRule e Set-TransportRule . Per ulteriori informazioni, vedere New-TransportRule.
Per altre informazioni sui tipi di proprietà per queste condizioni, vedere Condizioni ed eccezioni delle regole del flusso di posta (predicati) in Exchange Online.
Per informazioni su come connettersi a PowerShell di Exchange Online, vedere Connettersi a PowerShell di Exchange Online.
Tipi di file supportati eseguibili per l'analisi delle regole del flusso di posta
Le regole del flusso di posta utilizzano il rilevamento True Type verificando le proprietà del file invece delle estensioni. Questo approccio consente di impedire agli hacker malintenzionati di ignorare la regola rinominando un'estensione di file. Nella tabella seguente sono elencati i tipi di file eseguibili supportati da queste condizioni. Se viene trovato un file non elencato qui, la AttachmentIsUnsupported condizione viene attivata.
| Tipo di file | Estensione nativa |
|---|---|
| File eseguibile di Windows a 32 bit con estensione di libreria di collegamento dinamico. | .dll |
| File di programma eseguibile autoestraente. | .exe |
| File eseguibile di disinstallazione. | .exe |
| File di collegamento del programma. | .exe |
| File eseguibile di Windows a 32 bit. | .exe |
| File di disegno di Microsoft Visio XML. | .Vxd |
| File del sistema operativo OS/2. | .os2 |
| File eseguibile di Windows a 16 bit. | .w16 |
| File di sistema operativo su disco. | .Dos |
| File di test di virus dello standard dello European Institute for Computer Antivirus Research. | .Com |
| File di informazioni del programma di Windows. | .Pif |
| File di programma eseguibile di Windows. | .exe |
Importante
.rar (file di archivio autoestraente creati con l'archivio WinRAR), .jar (file di archivio Java) e .obj (codice sorgente compilato, file di sequenza o oggetti 3D) non sono considerati tipi di file eseguibili. Per bloccare questi file, è possibile usare regole del flusso di posta che cercano i file con queste estensioni come descritto in precedenza in questo articolo oppure è possibile configurare criteri antimalware che bloccano questi tipi di file (filtro dei tipi di allegati comuni). Per altre informazioni, vedere Configurare i criteri antimalware in EOP.
Criteri di prevenzione della perdita di dati e regole del flusso di posta dell'allegato
Nota
Questa sezione non si applica alle organizzazioni EOP autonome.
Per gestire informazioni aziendali importanti nei messaggi di posta elettronica, è possibile includere qualsiasi condizione correlata agli allegati insieme alle regole di un criterio di prevenzione della perdita dei dati (DLP).
Criteri di prevenzione della perdita di dati (DLP) e condizioni relative agli allegati possono soddisfare maggiormente le necessità aziendali definendo quelle condizioni delle regole del flusso di posta, eccezioni e azioni. Includendo l'ispezione di dati sensibili in un criterio di prevenzione della perdita di dati (DLP), tutti gli allegati vengono esaminati solo per quel dato richiesto. Tuttavia, le condizioni correlate agli allegati, ad esempio dimensioni o tipo di file, non vengono incluse fino a quando non si aggiungono le condizioni elencate in questo articolo. La prevenzione della perdita dei dati non è disponibile con tutte le versioni di Exchange. Per altre informazioni, vedere Prevenzione della perdita di dati.
Ulteriori informazioni
Per informazioni sul blocco generale della posta elettronica con allegati, indipendentemente dal malware, vedere Scenari di blocco degli allegati comuni per le regole del flusso di posta in Exchange Online.