Проверка вложений с помощью правил потока почты в Exchange Online

В организациях Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online можно проверить вложения электронной почты, настроив правила потока обработки почты (также известные как правила транспорта). Правила потока обработки почты позволяют просматривать вложения электронной почты в рамках требований к безопасности и соответствию требованиям к обмену сообщениями. При проверке вложений можно выполнить действия с сообщениями на основе содержимого или характеристик вложений. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять при помощи правил транспорта.

  • Найдите файлы с текстом, соответствующим указанному шаблону, и добавьте заявление об отказе в конце сообщения.
  • Изучение содержимого вложений и перенаправление сообщения модератору на утверждение перед доставкой, если во вложении найдены указанные ключевые слова.
  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.
  • Проверьте наличие вложений, размер которых превышает определенный размер, а затем сообщите отправителю о проблеме, если вы решили предотвратить доставку сообщения.
  • Проверка соответствия свойств вложенного документа Office заданным значениям. С помощью этого условия можно интегрировать требования правил потока обработки почты и политик защиты от потери данных со сторонней системой классификации, например SharePoint или инфраструктурой классификации файлов Windows Server (FCI).
  • Создание уведомлений для пользователей, отправляющих сообщение, которое подпадает под действие правила потока обработки почты.
  • Блокирование всех сообщений с вложениями. Примеры см. в статье Использование правил потока обработки почты для сценариев блокировки вложений в Exchange Online.

Примечание.

Все эти условия будут проверять сжатые архивные вложения.

Администраторы Exchange Online могут создавать правила потока обработки почты в Центре администрирования Exchange (EAC) на страницеПравилапотока обработки> почты. Для выполнения этой процедуры требуются разрешения. После создания нового правила можно просмотреть полный список условий, связанных с вложением, выбрав Любое вложение в разделе Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.

Список условий для вложений.

Дополнительные сведения о правилах потока обработки почты, включая полный набор условий и действий, которые можно выбрать, см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online. Exchange Online Protection (EOP) и гибридные клиенты могут воспользоваться рекомендациями по правилам потока обработки почты, приведенными в разделе Рекомендации по настройке EOP. Если вы готовы приступить к созданию правил, см. статью Управление правилами потока обработки почты в Exchange Online.

Совет

Если вы подозреваете, что правило работает неправильно, сначала проверьте, какие вложения содержатся в сообщении. Сведения о том, какие вложения содержатся в сообщении во время оценки правила потока обработки почты, см. в разделе Test-TextExtraction.

Этот метод должен работать.

Проверка содержимого вложений

Для просмотра содержимого вложений сообщений можно использовать условия правила потока обработки почты, приведенные в следующей таблице. Для этих условий проверяется только первые 1 мегабайт (МБ) текста, извлеченного из вложения. Ограничение в 1 МБ относится к извлеченном тексту, а не к размеру файла вложения. Например, файл размером 2 МБ может содержать менее 1 МБ текста, чтобы весь текст проверялся.

Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в статье Управление правилами потока обработки почты в Exchange Online.

Имя условия в Центре администрирования Exchange Имя условия в Exchange Online PowerShell Описание
Содержимое любого вложения включает
Любое вложение>содержимое включает любое из этих слов
AttachmentContainsWords Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов.
Содержимое любого вложения совпадает с
Любое вложение>содержимое соответствует этим текстовым шаблонам
AttachmentMatchesPatterns Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.
Невозможно проверить содержимое каких-либо вложений
Любое вложение>содержимое не может быть проверено
AttachmentIsUnsupported Правила потока обработки почты могут проверять только содержимое поддерживаемых типов. Если правило потока обработки почты находит вложение, которое не поддерживается, активируется условие AttachmentIsUnsupported . Поддерживаемые типы файлов описаны в следующем разделе.

Примечание.

Поддерживаемые типы файлов для проверки содержимого с помощью правил транспорта

В следующей таблице перечислены типы файлов, поддерживаемые правилами потока обработки почты. Система автоматически обнаруживает типы файлов, проверяя свойства файла, а не фактическое расширение имени файла, что помогает предотвратить возможность злоумышленникам обойти фильтрацию правил потока обработки почты путем переименования расширения файла. Список типов файлов с исполняемым кодом, которые можно проверить в контексте правил потока обработки почты, будет указан далее в этой статье.

Категория Расширение файла Примечания
Adobe PDF PDF Нет
Сжатые архивные файлы .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z Нет
HTML .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml Нет
JSON adaptivecard, .json, messagecard Нет
Почта .eml, .msg, .nws Нет
Microsoft Office .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, xlsm, .xlsx, .xlt, .xltm, .xltx, .xltx, .xlltx, .xlw, .xlw Содержимое любых внедренных частей в файлах этих типов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются. Содержимое в пользовательских свойствах также сканируется.
Microsoft Office xml .excelove my life, .powerpointml, .wordml Нет
Microsoft Visio .vdw, .vdx, .vsd, .vsdm, .vsdx, .vssm, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx Нет
Opendocument ODP, .ods, .odt Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое внедренного документа не просматривается.
Прочее .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps Нет
Текст .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs Сканируются и другие текстовые файлы. Этот список является репрезентативным.
XML .infopathml, .jsp, .mspx, .xml Нет

Проверка свойств файла вложения

Следующие условия можно использовать в правилах потока обработки почты для проверки различных свойств файлов, присоединенных к сообщениям. Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в разделе Управление правилами потока обработки почты.

Примечание.

Если вы хотите заблокировать определенные файлы с помощью условия файла AttachmentNameMatchesPatterns или AttachmentExtensionMatchesWords, имейте в виду, что это условие проверяет фактическое расширение имени файла, а не свойства файла, которые отличаются от предыдущей проверки содержимого файла для других условий. Если необходимо заблокировать файл на основе обнаружения системного свойства файла, например, файл переименован, используйте функцию "общий фильтр вложений" политики защиты от почтовых программ .

Имя условия в Центре администрирования Exchange Имя условия в Exchange Online PowerShell Описание
Любое имя вложенного файла, соответствующее

Любое вложение>имя файла соответствует этим текстовым шаблонам

AttachmentNameMatchesPatterns Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы.
Расширение файла любого вложения соответствует

Любое вложение>расширение файла включает эти слова

AttachmentExtensionMatchesWords Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению.
Любое вложение размером не менее

Любое вложение>размер больше или равен

AttachmentSizeOver Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному.

Это условие относится к размерам отдельных вложений, а не к совокупному размеру. Например, если задать правило для отклонения любого вложения размером 10 МБ или больше, одно вложение размером 15 МБ отклоняется, но сообщение с тремя вложениями размером 5 МБ допускается.

Сообщение не завершило сканирование

Любое вложение>не завершена проверка

AttachmentProcessingLimitExceeded Это условие соответствует сообщениям, если вложение не проверяется агентом правил потока обработки почты.
Любое вложение содержит исполняемое содержимое

Любое вложение>содержит исполняемое содержимое

AttachmentHasExecutableContent Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. Здесь перечислены поддерживаемые типы файлов.
Любое вложение защищено паролем

Любое вложение>защищен паролем

AttachmentIsPasswordProtected Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Обнаружение паролей работает для документов Office, сжатых файлов (.zip, .7z) и .pdf файлов.
Любое вложение содержит эти свойства, включающие любое из этих слов

Любое вложение>имеет эти свойства, включая любое из этих слов

AttachmentPropertyContainsWords Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар "свойство-значение" также разделяются запятой.

Примечание.

Поддерживаемые типы исполняемых файлов для проверки правилами транспорта

Правила потока обработки почты используют обнаружение подлинных типов, изучая свойства, а не только расширения файлов. Такой подход помогает предотвратить возможность обхода правила злоумышленниками путем переименования расширения файла. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. При обнаружении файла, не указанного AttachmentIsUnsupported здесь, активируется условие.

Тип файла Собственное расширение
32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки. .dll
Самораспаковывающийся исполняемый файл. .exe
Исполняемый файл для удаления. .exe
Файл ярлыка программы. .exe
32-разрядный исполняемый файл Windows. .exe
Файл документа Microsoft Visio в формате XML. .Vxd
Файл операционной системы OS/2. .os2
16-разрядный исполняемый файл Windows. .w16
Файл дисковой операционной системы. .Dos
Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ. .Com
Файл сведений о программе Windows. .Pif
Исполняемый файл Windows. .exe

Важно!

.rar (самораспаковывающиеся архивные файлы, созданные с помощью архивировщика WinRAR), файлы .jar (архивные файлы Java) и .obj (скомпилированные исходные коды, файлы трехмерных объектов или файлов последовательностей) не считаются исполняемыми файлами. Чтобы заблокировать эти файлы, можно использовать правила потока обработки почты, которые ищут файлы с этими расширениями, как описано выше в этой статье, или настроить политику защиты от вредоносных программ, которая блокирует эти типы файлов (фильтр распространенных типов вложений). Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ в EOP.

Политики защиты от потери данных и правила потока обработки почты для вложений

Примечание.

Этот раздел не применяется к автономным организациям EOP.

Чтобы помочь вам управлять важной бизнес-информацией в сообщениях электронной почты, можно включить любые условия, связанные с вложением, а также правила политики защиты от потери данных (DLP).

Политики защиты от потери данных и условия, связанные с вложениями, могут помочь вам обеспечить соблюдение бизнес-потребностей, определив их как условия правил потока обработки почты, исключения и действия. При включении проверки конфиденциальной информации в политику защиты от потери данных все вложения к сообщениям проверяются только на наличие этой информации. Однако условия, связанные с вложением, такие как размер или тип файла, не включаются, пока вы не добавите условия, перечисленные в этой статье. Защита от потери данных доступна не во всех версиях Exchange; Дополнительные сведения см. в статье Защита от потери данных.

Дополнительные сведения

Сведения о широкой блокировке сообщений электронной почты с вложениями, независимо от состояния вредоносных программ, см. в статье Общие сценарии блокировки вложений для правил потока обработки почты в Exchange Online.