Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В облачных организациях можно проверить вложения электронной почты, настроив правила потока обработки почты Exchange (также известные как правила транспорта). Правила потока обработки почты позволяют просматривать вложения электронной почты в рамках требований к безопасности и соответствию требованиям к обмену сообщениями. При проверке вложений можно выполнить действия с сообщениями на основе содержимого или характеристик вложений. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять при помощи правил транспорта.
- Найдите файлы с текстом, соответствующим указанному шаблону, и добавьте заявление об отказе в конце сообщения.
- Изучение содержимого вложений и перенаправление сообщения модератору на утверждение перед доставкой, если во вложении найдены указанные ключевые слова.
- Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.
- Проверьте наличие вложений, размер которых превышает определенный размер, а затем сообщите отправителю о проблеме, если вы решили предотвратить доставку сообщения.
- Проверка соответствия свойств вложенного документа Office заданным значениям. С помощью этого условия можно интегрировать требования правил потока обработки почты и политик защиты от потери данных с системой классификации сторонних корпораций, например SharePoint или инфраструктурой классификации файлов Windows Server (FCI).
- Создавайте уведомления, предупреждающие пользователей, если они отправляют сообщение, соответствующее правилу потока обработки почты.
- Блокирование всех сообщений с вложениями. Примеры см. в статье Использование правил потока обработки почты для сценариев блокировки вложений в Exchange Online.
Примечание.
Все эти условия сканируют сжатые архивные вложения.
Exchange Online администраторы могут создавать правила потока обработки почты в Центре администрирования Exchange (EAC) на страницеПравилапотока обработки> почты. Для выполнения этой процедуры требуются разрешения. После создания нового правила можно просмотреть полный список условий, связанных с вложением, выбрав Любое вложение в разделе Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.
Дополнительные сведения о правилах потока обработки почты, включая полный набор условий и действий, которые можно выбрать, см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online. Клиенты с Exchange Online Protection (EOP) для облачной защиты локальных сред электронной почты могут воспользоваться рекомендациями по правилам потока обработки почты, приведенными в разделе Рекомендации по настройке Exchange Online Protection для локальных организаций. Если вы готовы приступить к созданию правил, см. статью Управление правилами потока обработки почты в Exchange Online.
Совет
Если вы подозреваете, что правило работает неправильно, сначала проверка, какие вложения содержатся в сообщении.
Сведения о том, какие вложения содержатся в сообщении во время оценки правила потока обработки почты, см. в разделе Test-TextExtraction.
Этот метод должен работать.
Проверка содержимого вложений
Для просмотра содержимого вложений сообщений можно использовать условия правила потока обработки почты, приведенные в следующей таблице. Для этих условий проверяется только первые 2 мегабайта текста, извлеченного из вложения. Ограничение в 2 МБ относится к извлеченном тексту, а не к размеру файла вложения. Например, файл размером 4 МБ может содержать менее 2 МБ текста, чтобы весь текст проверялся.
Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в разделе Управление правилами потока обработки почты в Exchange Online.
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
|
Содержимое любого вложения включает Любое вложение>содержимое включает любое из этих слов |
AttachmentContainsWords | Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов. |
|
Содержимое любого вложения совпадает с Любое вложение>содержимое соответствует этим текстовым шаблонам |
AttachmentMatchesPatterns | Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению. |
|
Невозможно проверить содержимое каких-либо вложений Любое вложение>содержимое не может быть проверено |
AttachmentIsUnsupported | Правила потока обработки почты могут проверять только содержимое поддерживаемых типов. Если правило потока обработки почты находит вложение, которое не поддерживается, активируется условие AttachmentIsUnsupported . Поддерживаемые типы файлов описаны в следующем разделе. |
Примечание.
Имена условий в Exchange Online PowerShell являются именами параметров командлетов New-TransportRule и Set-TransportRule. Дополнительные сведения см. в разделе New-TransportRule.
Дополнительные сведения о типах свойств для этих условий см. в разделе Условия правил потока обработки почты и исключения (предикаты) в Exchange Online.
Сведения об использовании Windows PowerShell для подключения к Exchange Online см. в статье Подключение к Exchange Online PowerShell.
Поддерживаемые типы файлов для проверки содержимого с помощью правил транспорта
В следующей таблице перечислены типы файлов, поддерживаемые правилами потока обработки почты. Система автоматически обнаруживает типы файлов, проверяя свойства файла, а не фактическое расширение имени файла, что помогает предотвратить возможность злоумышленникам обойти фильтрацию правил потока обработки почты путем переименования расширения файла. Список типов файлов с исполняемым кодом, которые можно проверить в контексте правил потока обработки почты, будет указан далее в этой статье.
| Категория | Расширение файла | Примечания |
|---|---|---|
| Adobe PDF | Нет | |
| Сжатые архивные файлы | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z |
Нет |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml |
Нет |
| JSON | adaptivecard, .json, messagecard |
Нет |
| Почта | .eml, .msg, .nws |
Нет |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw |
Содержимое любых внедренных частей в файлах этих типов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются. Содержимое в пользовательских свойствах также сканируется. |
| Microsoft Office xml | .excelml, .powerpointml, .wordml |
Нет |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx |
Нет |
| OpenDocument | .odp, .ods, .odt |
.odf Части файлов не обрабатываются. Например, если .odf файл содержит внедренный документ, содержимое этого внедренного документа не проверяется. |
| Прочее | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps |
Нет |
| Текст | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, .messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs |
Сканируются и другие текстовые файлы. Этот список является репрезентативным. |
| XML | .infopathml, .jsp, .mspx, .xml |
Нет |
Проверка свойств файла вложения
Следующие условия можно использовать в правилах потока обработки почты для проверки различных свойств файлов, присоединенных к сообщениям. Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока обработки почты. Дополнительные сведения о создании или изменении правил см. в разделе Управление правилами потока обработки почты.
Примечание.
Условия AttachmentNameMatchesPatterns или AttachmentExtensionMatchesWords не проверяют свойства файла (например, для обнаружения .exe файлов, переименованных с .txt расширениями). Чтобы заблокировать файлы на основе обнаружения свойств файла, используйте фильтр общих вложений в политиках защиты от вредоносных программ.
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
| Имя файла любого вложения соответствует<br Br><> Любое имя файлавложения>соответствует этим текстовым шаблонам | AttachmentNameMatchesPatterns | Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы. |
| Расширение файла любого вложения соответствует<br Br><> Любое расширение файлавложения>включает эти слова | AttachmentExtensionMatchesWords | Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению. |
| Любое вложение больше или равно<br br><>Любой размер вложения>больше или равен | AttachmentSizeOver | Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному. <br><br> Это условие относится к размерам отдельных вложений, а не к совокупному размеру. Например, у вас есть правило, которое отклоняет сообщения с любым вложением размером более 10 МБ. Сообщение с одним вложением размером 15 МБ отклоняется, но допускается сообщение с тремя вложениями размером 5 МБ. |
| Сообщение не завершило< проверкуbr Br><>Любое вложение>не завершило сканирование | AttachmentProcessingLimitExceeded | Это условие соответствует сообщениям, если агент правил потока обработки почты не проверяет сообщение. |
| Любое вложение содержит исполняемое содержимое<br br><>Любое вложение>содержит исполняемое содержимое | AttachmentHasExecutableContent | Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. Здесь перечислены поддерживаемые типы файлов. |
| Любое вложение защищено паролем<br><br>Любое вложение>защищено паролем | AttachmentIsPasswordProtected | Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Обнаружение паролей работает для документов Office, сжатых файлов (.zip, .7z) и .pdf файлов. |
| Любое вложение имеет эти свойства, включая любое из этих слов<.br Br><>Любое вложение>имеет следующие свойства, включая любое из этих слов | AttachmentPropertyContainsWords | Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар "свойство-значение" также разделяются запятой. |
Примечание.
Имена условий в Exchange Online PowerShell являются именами параметров командлетов New-TransportRule и Set-TransportRule. Дополнительные сведения см. в разделе New-TransportRule.
Дополнительные сведения о типах свойств для этих условий см. в статье Условия и исключения (предикаты) правил потока обработки почты в Exchange Online.
Сведения о подключении к Exchange Online PowerShell см. в разделе Подключение к Exchange Online PowerShell.
Поддерживаемые типы исполняемых файлов для проверки правилами транспорта
Правила потока обработки почты используют обнаружение подлинных типов, изучая свойства, а не только расширения файлов. Такой подход помогает предотвратить возможность обхода правила злоумышленниками путем переименования расширения файла. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. При обнаружении файла, не указанного AttachmentIsUnsupported здесь, активируется условие.
| Тип файла | Собственное расширение |
|---|---|
| 32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки. | .dll |
| Самораспаковывающийся исполняемый файл. | .exe |
| Исполняемый файл для удаления. | .exe |
| Файл ярлыка программы. | .exe |
| 32-разрядный исполняемый файл Windows. | .exe |
| Файл документа Microsoft Visio в формате XML. | VXD-файл |
| Файл операционной системы OS/2. | .os2 |
| 16-разрядный исполняемый файл Windows. | .w16 |
| Файл дисковой операционной системы. | .дос |
| Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ. | .com |
| Файл сведений о программе Windows. | .pif |
| Исполняемый файл Windows. | .exe |
Важно!
.rar (самораспаковывающиеся архивные файлы, созданные с помощью архивировщика WinRAR), файлы .jar (архивные файлы Java) и .obj (скомпилированные исходные коды, файлы трехмерных объектов или файлов последовательностей) не считаются исполняемыми файлами. Чтобы заблокировать эти файлы, можно использовать один из следующих методов:
- Используйте правила потока обработки почты, которые ищут файлы с этими расширениями, как описано выше в этой статье.
- Настройте политику защиты от вредоносных программ, которая блокирует эти типы файлов с помощью фильтра общих вложений. Дополнительные сведения см. в разделе Настройка политик защиты от вредоносных программ.
Политики защиты от потери данных и правила потока обработки почты для вложений
Примечание.
Этот раздел не относится к Exchange Online Protection (EOP) для облачной защиты локальных сред электронной почты.
Чтобы помочь вам управлять важной бизнес-информацией в сообщениях электронной почты, можно включить любые условия, связанные с вложением, а также правила политики защиты от потери данных (DLP).
Политики защиты от потери данных и условия, связанные с вложениями, могут помочь вам обеспечить соблюдение бизнес-потребностей, определив их как условия правил потока обработки почты, исключения и действия. При включении проверки конфиденциальной информации в политику защиты от потери данных все вложения к сообщениям проверяются только на наличие этой информации. Однако условия, связанные с вложением, такие как размер или тип файла, не включаются, пока вы не добавите условия, перечисленные в этой статье. Защита от потери данных доступна не во всех версиях Exchange; Дополнительные сведения см. в статье Защита от потери данных.
Дополнительные сведения
Сведения о широкой блокировке сообщений электронной почты с вложениями независимо от состояния вредоносных программ см. в статье Общие сценарии блокировки вложений для правил потока обработки почты в Exchange Online.