使用郵件流程規則來檢查 Exchange Online 中的郵件附件
在 Exchange Online 組織或獨立 Exchange Online Protection (EOP) 沒有 Exchange Online 信箱的組織中,您可以設定郵件流程規則來檢查電子郵件附件, (也稱為傳輸規則) 。 郵件流程規則可讓您檢查電子郵件附件,作為傳訊安全性與合規性需求的一部分。 當您檢查附件時,您可以根據附件的內容或特性,對郵件採取動作。 以下是可使用郵件流程規則來執行的一些附件相關工作:
- 搜尋含有符合您指定模式之文字的檔案,並在訊息結尾新增免責聲明。
- 檢查附件內的內容,如果有您指定的任何關鍵字,則將郵件轉寄給仲裁者核准之後再傳遞。
- 檢查郵件是否有無法檢查的附件,然後阻止傳送整個郵件。
- 檢查超過特定大小的附件,然後如果您選擇防止郵件傳遞,請通知寄件者問題。
- 檢查所附加 Office 文件的屬性是否符合您指定的值。 在這種狀況下,您可以將郵件流程規則和 DLP 原則的需求整合到第三方分類系統,例如 SharePoint 或 Windows Server 檔案分類基礎結構 (FCI)。
- 建立通知,當使用者傳送的郵件符合郵件流程規則時,就向使用者發出警示。
- 封鎖所有含有附件的郵件。 如需範例,請 參閱針對 Exchange Online 中的附件封鎖案例使用郵件流程規則。
注意事項
上述所有狀況皆會掃描壓縮的封存附件。
Exchange Online 系統管理員可以在 Exchange 系統管理中心建立郵件流程規則, (電子郵件 流程>規則的 EAC) 。 您需要執行此程式的許可權。 開始建立新規則之後,您可以在 [套用此規則時] 下選取 [任何附件],以查看附件相關條件的完整清單。 下圖顯示附件相關選項。
如需郵件流程規則的詳細資訊 (包括您可以選擇的所有條件和動作),請參閱 Exchange Online 中的郵件流程規則 (傳輸規則)。 設定 EOP 的最佳做法中提供的郵件流程規則最佳做法對 Exchange Online Protection (EOP) 和混合式客戶有益。 如果您已準備好開始建立規則,請參閱在 Exchange Online 中管理郵件流程規則。
提示
如果您懷疑您的規則無法正常運作,請先檢查郵件包含的附件。 若要檢查哪些附件 () 郵件流程規則評估期間所包含的郵件,請參閱 Test-TextExtraction。
這個方法應該可以運作。
檢查附件內的內容
您可以使用下表中的郵件流程規則條件來檢查郵件附件的內容。 針對這些情況,只會檢查從附件擷取文字的前 1 MB (MB) 。 1 MB 的限制是指擷取的文字,而不是附件的檔案大小。 例如,2 MB 的檔案可能包含少於 1 MB 的文字,因此會檢查所有文字。
若要在檢查郵件時開始使用這些條件,您需要將這些條件新增至郵件流程規則。 如需建立或變更規則的詳細資訊,請 參閱管理 Exchange Online 中的郵件流程規則。
| EAC 中的條件名稱 | Exchange Online PowerShell 中的條件名稱 | 描述 |
|---|---|---|
|
任何附件的內容包含 任何附件>內容包含這些字組中的任何一個 |
AttachmentContainsWords | 此條件可找出支援的檔案類型附件包含指定之字串或字元群組的郵件。 |
|
任何附件的內容符合 任何附件>內容符合這些文字模式 |
AttachmentMatchesPatterns | 此條件可找出支援的檔案類型附件包含文字樣式符合指定規則運算式的郵件。 |
|
無法檢查任何附件的內容 任何附件>無法檢查內容 |
AttachmentIsUnsupported | 郵件流程規則只能檢查受支援檔案類型的內容。 如果郵件流程規則找到不支援的附件,則會觸發 AttachmentIsUnsupported 條件。 下一節會說明支援的檔案類型。 |
注意事項
Exchange Online PowerShell 中的條件名稱是 New-TransportRule 和 Set-TransportRule Cmdlet 上的參數名稱。 如需詳細資訊,請參閱 New-TransportRule。
如需這些條件之屬性類型的詳細資訊,請參閱 Exchange Online 中) (述詞的郵件流程規則條件和例外狀況。
如需如何使用 Windows PowerShell 連線到 Exchange Online 的相關信息,請參閱 連線到 Exchange Online PowerShell。
郵件流程規則內容檢查支援的檔案類型
下表列出郵件流程規則支援的檔案類型。 系統自動偵測檔案類型時會檢查檔案屬性,而非實際的副檔名,因此,可防止惡意的駭客將副檔名重新命名,而規避郵件流程規則篩選。 本文稍後會指定檔類型清單,其中包含可在郵件流程規則內容中檢查的可執行程序代碼。
| 類別 | 副檔名 | 附註 |
|---|---|---|
| Adobe PDF | 無 | |
| 壓縮的封存檔 | .arj、.bz2、.cab、.chm、.gz、.gzip、.lha、.lzh、.lzma、.mhtml、.msp、.rar、.rar4、.tar、.xar、.xz、.zip、.7z | 無 |
| HTML | .ascx、.asp、.aspx、.css、.hta、.htm、.html、.htw、.htx、.jhtml | 無 |
| JSON | adaptivecard、.json、messagecard | 無 |
| 郵件 | .eml、.msg、.nws | 無 |
| Microsoft Office | .doc、.docb、.docm、.docx、.dot、.dotm、.dotx、.obd、 .obt、.one、.pot、.potm、.potx、.ppa、.ppam、.pps、.ppsm、.ppsx、.ppt、.pptm、.pptx、.xlb、.xlc、.xlm、.xls、.xlsb、.xlsm、.xlsx、.xlt、.xltm、.xltx、.xlw | 也會檢查包含在這些檔案類型內之任何內嵌式組件的內容。 然而,不會檢查任何未內嵌的物件 (例如,連結的文件)。 也會掃描自定義屬性內的內容。 |
| Microsoft Office xml | .excelove my life, .powerpointml, .wordml | 無 |
| Microsoft Visio | .vdw、.vdx、.vsd、.vsdm、.vsdx、.vss、.vssm、.vssx、.vst、.vstm、.vstx、.vsx、.vtx | 無 |
| OpenDocument | .odp、.ods、.odt | 不會處理 .odf 檔案的任何部分。 例如,如果 .odf 檔案包含內嵌式文件,則不會檢查該內嵌式文件的內容。 |
| 其他 | .dfx、.dxf、.encoffmetro、.fluid、.mime、.pointpub、.pub、.rtf、.vtt、.xps | 無 |
| Text | .asm、.bat、.c、.class、.cmd、.cpp、.cs、.csv、.cxx、.def、 .dic、.h、.hpp、.hxx、.ibq、.idl、.inc、.inf、.ini、.inx、.java、.js、.json、.lnk、.log、.m3u、messagestorage、.mpx、.php、.pl、.pos、.tsv、.txt、.vcf、.vcs | 也會掃描以文字為基礎的其他檔案。 此清單具有代表性。 |
| XML | .infopathml、.jsp、.mspx、.xml | 無 |
檢查附件的檔案屬性
下列條件可用於郵件流程規則來檢查附加至郵件的檔案所擁有的不同屬性。 若要在檢查郵件時開始使用這些條件,您需要將這些條件新增至郵件流程規則。 如需建立或變更規則的詳細資訊,請參閱管理郵件流程規則。
注意事項
如果您想要使用文件條件 AttachmentNameMatchesPatterns 或 AttachmentExtensionMatchesWords 來封鎖特定檔案,請注意,此條件會檢查實際的擴展名,而不是文件屬性,這與先前提及的其他條件檔案內容檢查不同。 如果您需要根據系統檔案屬性偵測來封鎖檔案,例如,檔案已重新命名,請改用 反郵件軟體 原則的「一般附件篩選」功能。
| EAC 中的條件名稱 | Exchange Online PowerShell 中的條件名稱 | 描述 |
|---|---|---|
|
任何附件的檔案名稱符合 任何附件>檔名符合這些文字模式 |
AttachmentNameMatchesPatterns | 此條件會比對其附件的檔案名稱包含指定字元的郵件。 |
|
任何附件的副檔名符合 任何附件>擴展名包含這些字組 |
AttachmentExtensionMatchesWords | 此條件會比對其附件的副檔名符合指定字詞的郵件。 |
|
任何附件大於或等於 任何附件>size 大於或等於 |
AttachmentSizeOver | 此條件會在郵件的附件大於或等於指定大小時對郵件進行比對。 此條件是指個別附件的大小,而不是累計大小。 例如,如果您將規則設定為拒絕任何 10 MB 以上的附件,則會拒絕大小為 15 MB 的單一附件,但允許有三個 5 MB 附件的訊息。 |
|
郵件未完成掃描 任何附件>未完成掃描 |
AttachmentProcessingLimitExceeded | 當郵件流程規則代理程式未檢查附件時,此條件會比對郵件。 |
|
任何附件都有可執行的內容 任何附件>具有可執行內容 |
AttachmentHasExecutableContent | 此條件可找出包含可執行檔案附件的郵件。 此 處列出支援的檔案類型。 |
|
所有附件均受密碼保護 任何附件>受密碼保護 |
AttachmentIsPasswordProtected | 此條件可比對其附件不受密碼保護的郵件。 密碼偵測適用於 Office 檔、壓縮檔 (.zip、.7z) 和 .pdf 檔案。 |
|
任何附件具有這些屬性,包括任何這些文字 任何附件>具有這些屬性,包括這些字組中的任何一個 |
AttachmentPropertyContainsWords | 此條件會比對所附加 Office 文件的指定屬性包含指定文字的郵件。 屬性和其可能值會以冒號分隔。 多個值會以逗號分隔。 多個屬性/值組也會以逗號分隔。 |
注意事項
Exchange Online PowerShell 中的條件名稱是 New-TransportRule 和 Set-TransportRule Cmdlet 上的參數名稱。 如需詳細資訊,請參閱 New-TransportRule。
如需這些條件之屬性類型的詳細資訊,請參閱 Exchange Online 中) (述詞的郵件流程規則條件和例外狀況。
如需如何連線到 Exchange Online PowerShell 的資訊,請參閱 連線到 Exchange Online PowerShell。
郵件流程規則檢查支援的可執行檔類型
郵件流程規則會使用真正的類型偵測來檢查檔案屬性,而不是只檢查副檔名。 這種方法有助於防止惡意駭客透過重新命名擴展名來略過您的規則。 下表列出這些條件支援的可執行檔類型。 如果找到此處未列出的檔案,就會 AttachmentIsUnsupported 觸發條件。
| 檔案類型 | 原生副檔名 |
|---|---|
| 具有動態連結程式庫副檔名的 32 位元 Windows 可執行檔。 | .dll |
| 自我解壓縮的可執行程式檔。 | .exe |
| 解除安裝可執行檔。 | .exe |
| 程式捷徑檔案。 | .exe |
| 32 位元 Windows 執行檔。 | .exe |
| Microsoft Visio XML 繪圖檔案。 | .vxd |
| OS/2 作業系統檔案。 | .os2 |
| 16 位元 Windows 執行檔。 | .w16 |
| 磁碟作業系統檔案。 | .dos |
| 歐洲電腦防毒研究協會標準防毒測試檔案。 | .com |
| Windows 程式資訊檔案。 | .pif |
| Windows 可執行程式檔。 | .exe |
重要事項
系統不會將 .rar (以 WinRAR 封存程式建立的自我解壓縮封存檔案)、.jar (Java 封存檔案) 和 .obj (已編譯的原始碼檔案、3D 物件檔案或序列檔案) 檔案視為可執行檔類型。 若要封鎖這些檔案,您可以使用郵件流程規則來尋找這些擴展名的檔案,如本文稍早所述,或者您可以設定反惡意代碼原則,以封鎖這些文件類型, (常見的附件類型篩選) 。 如需詳細資訊, 請參閱在 EOP 中設定反惡意代碼原則。
資料外洩防護原則和附件郵件流程規則
注意事項
本節不適用於獨立 EOP 組織。
為了協助您管理電子郵件中的重要商務資訊,您可以包含任何附件相關條件,以及數據外洩防護 (DLP) 原則的規則。
DLP 原則和附件相關條件可將業務需求定義為郵件流程規則條件、例外狀況和動作,協助您強制執行這些需求。 在 DLP 原則中加入機密資訊檢查時,只會對郵件的任何附件掃描該資訊。 不過,除非您新增本文中所列的條件,否則不會包含附件相關條件,例如大小或檔類型。 DLP 不適用於所有版本的 Exchange;如需詳細資訊,請參閱 數據外洩防護。
相關資訊
如需廣泛封鎖附件電子郵件的詳細資訊,不論惡意代碼狀態為何,請參閱 Exchange Online 中郵件流程規則的常見附件封鎖案例。