Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online
In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie E-Mail-Anlagen überprüfen, indem Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) einrichten. Mithilfe von Nachrichtenflussregeln können Sie E-Mail-Anlagen als Teil Ihrer Anforderungen an die Nachrichtensicherheit und -compliance untersuchen. Wenn Sie Anlagen prüfen, können Sie dann basierend auf dem Inhalt oder den Merkmalen der Anlagen Aktionen für die Nachrichten ausführen. Hier sind einige Aufgaben im Zusammenhang mit Anlagen, die Sie mithilfe von Nachrichtenflussregeln ausführen können:
- Suchen Sie nach Dateien mit Text, der einem von Ihnen angegebenen Muster entspricht, und fügen Sie am Ende der Nachricht einen Haftungsausschluss hinzu.
- Inhalt in Anlagen überprüfen und, wenn er von Ihnen angegebene Stichwörter enthält, die Nachricht vor der Zustellung zur Genehmigung an einen Moderator weiterleiten.
- Nachrichten auf Anlagen überprüfen, die nicht überprüft werden können, und dann das Senden der gesamten Nachricht verhindern.
- Suchen Sie nach Anlagen, die eine bestimmte Größe überschreiten, und benachrichtigen Sie dann den Absender über das Problem, wenn Sie die Zustellung der Nachricht verhindern möchten.
- Überprüfen Sie, ob die Eigenschaften eines angefügten Office Dokuments mit den von Ihnen angegebenen Werten übereinstimmen. Mit dieser Bedingung können Sie die Anforderungen Ihrer Nachrichtenflussregeln und DLP-Richtlinien in ein Drittanbieterklassifizierungssystem integrieren, z. B. SharePoint oder die Windows Server File Classification Infrastructure (FCI).
- Erstellen Sie Benachrichtigungen, die Benutzer benachrichtigen, wenn sie eine Nachricht senden, die einer Nachrichtenflussregel entspricht.
- Blockieren aller Nachrichten mit Anlagen. Beispiele finden Sie unter Verwenden von Nachrichtenflussregeln für Anlagenblockierungsszenarien in Exchange Online.
Hinweis
Alle diese Bedingungen scannen komprimierte Archivanlagen.
Exchange Online Administratoren können Nachrichtenflussregeln im Exchange Admin Center (EAC) unter Nachrichtenflussregeln > erstellen. Sie benötigen Berechtigungen, um dieses Verfahren ausführen zu können. Nachdem Sie mit der Erstellung einer neuen Regel begonnen haben, können Sie die vollständige Liste anlagenbezogener Bedingungen anzeigen, indem Sie unter Diese Regel anwenden auf >Mindestens eine Anlage klicken. Die anlagenbezogenen Optionen sind im folgenden Diagramm dargestellt.
Weitere Informationen zu Nachrichtenflussregeln, einschließlich der gesamten Palette von Bedingungen und Aktionen, die Sie auswählen können, finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online. Exchange Online Protection (EOP) und Hybridkunden können von den bewährten Methoden für den Nachrichtenfluss profitieren, die in den bewährten Methoden zum Konfigurieren von EOP bereitgestellt werden. Wenn Sie mit dem Erstellen von Regeln beginnen möchten, lesen Sie "Verwalten von Nachrichtenflussregeln" in Exchange Online.
Überprüfen des Anlageninhalts
Sie können die Nachrichtenflussregelbedingungen in der folgenden Tabelle verwenden, um den Inhalt von Nachrichtenanlagen zu untersuchen. Unter diesen Bedingungen werden nur die ersten 1 MB Text überprüft, die aus einer Anlage extrahiert wurden. Der Grenzwert von 1 MB bezieht sich auf den extrahierten Text, nicht auf die Dateigröße der Anlage. Eine 2 MB große Datei kann weniger als 1 MB Text enthalten. Auf diese Weise wird der gesamte Text geprüft.
Um diese Bedingungen beim Prüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.
| Bedingungsname im EAC | Bedingungsname in Exchange Online PowerShell | Beschreibung |
|---|---|---|
| Inhalt mindestens einer Anlage enthält Ein Anlageninhalt > enthält eines dieser Wörter |
AttachmentContainsWords | Diese Bedingung ermittelt Nachrichten mit unterstützen Dateitypenanlagen, die eine angegebene Zeichenfolge oder Zeichengruppe enthalten. |
| Der Inhalt einer Beliebigen Anlage stimmt überein Mindestens eine Anlage > Inhalt stimmt mit diesen Textmustern überein |
AttachmentMatchesPatterns | Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypenanlagen, die ein Textmuster enthalten, das mit einem angegebenen regulären Ausdruck übereinstimmt. |
| Der Inhalt keiner Anlage konnte überprüft werden Mindestens eine Anlage > Inhalt kann nicht überprüft werden |
AttachmentIsUnsupported | Nachrichtenflussregeln können nur den Inhalt unterstützter Dateitypen überprüfen. Wenn die Nachrichtenflussregel eine Anlage findet, die nicht unterstützt wird, wird die AttachmentIsUnsupported-Bedingung ausgelöst. Die unterstützten Dateitypen werden im nächsten Abschnitt beschrieben. |
Hinweis
Die Bedingungsnamen in Exchange Online PowerShell sind Parameternamen in den Cmdlets New-TransportRule und Set-TransportRule. Weitere Informationen finden Sie unter New-TransportRule.
Weitere Informationen zu Eigenschaftstypen für diese Bedingungen finden Sie unter Nachrichtenflussregelbedingungen und -ausnahmen (Prädikate) in Exchange Online.
Wie Sie mit Windows PowerShell eine Verbindung mit Exchange Online herstellen, können Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell nachlesen.
Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenflussregeln
In der folgenden Tabelle sind die Dateitypen aufgeführt, die von Nachrichtenflussregeln unterstützt werden. Das System erkennt Dateitypen automatisch, indem die Dateieigenschaften anstelle der tatsächlichen Dateinamenerweiterung überprüft werden, wodurch verhindert wird, dass böswillige Hacker die Filterung von Nachrichtenflussregeln umgehen können, indem sie eine Dateierweiterung umbenennen. Eine Liste der Dateitypen mit ausführbarem Code, die im Kontext von Nachrichtenflussregeln überprüft werden können, wird weiter unten in diesem Artikel aufgeführt.
| Kategorie | Dateierweiterung | Anmerkungen |
|---|---|---|
| Office 2007 und höher | .docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx | Microsoft OneNote und Microsoft Publisher Dateien werden standardmäßig nicht unterstützt. Der Inhalt in diesen Dateitypen eingebetteter Teile wird ebenfalls überprüft. Objekte, die nicht eingebettet sind (z. B. verknüpfte Dokumente), werden jedoch nicht überprüft. |
| Objekte, die jedoch nicht eingebettet sind, z. | .doc, .ppt, .xls | verknüpfte Dokumente, werden nicht überprüft. |
| Andere Office Dateien | RTF, VDW, VSD, VSS, VST | Weitere Office-Dateien |
| .rtf, .vdw, .vsd, .vss, .vst | ||
| HTML | .html | XML |
| .xml, .odp, .ods, .odt | .xml, ODP, ODS, ODT | TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX |
| OpenDocument | .odp, .ods, .odt | Von ODF-Dateien werden keine Teile verarbeitet. Wenn die ODF-Datei beispielsweise ein eingebettetes Dokument enthält, wird der Inhalt dieses eingebetteten Dokuments nicht überprüft. |
| Opendocument | ODP, ODS, ODT | .dxf AutoCAD 2013-Dateien werden nicht unterstützt. |
| Bild | DXF | Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. Es gibt keine optische Zeichenerkennung. |
| Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. | .jpg, TIFF | Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. Es gibt keine optische Zeichenerkennung. |
| Komprimierte Archivdateien | .bz2, cab, .gz, .rar, .tar, .zip, .7z | Der Inhalt dieser Dateien, die ursprünglich in einem unterstützten Dateiformat vorliegen, wird auf ähnliche Weise überprüft und verarbeitet wie Nachrichten mit mehreren Anlagen. Die Eigenschaften der komprimierten Archivdatei selbst werden nicht überprüft. Wenn beispielsweise der Dateityp "Container" Kommentare unterstützt, wird dieses Feld nicht überprüft. |
Überprüfen der Dateieigenschaften von Anlagen
Die folgenden Bedingungen können in Nachrichtenflussregeln verwendet werden, um verschiedene Eigenschaften von Dateien zu überprüfen, die an Nachrichten angefügt sind. Um diese Bedingungen beim Prüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln.
Hinweis
Wenn Sie bestimmte Dateien mithilfe der Dateibedingung "AttachmentNameMatchesPatterns " oder "AttachmentExtensionMatchesWords" blockieren möchten, beachten Sie, dass diese Bedingung die tatsächliche Dateinamenerweiterung und nicht die Dateieigenschaften überprüft. Dies ist anders als bei der oben erwähnten Dateiinhaltsüberprüfung anderer Bedingungen. Wenn Sie eine Datei basierend auf der Erkennung der Systemdateiproterty blockieren müssen, z. B. die Datei umbenannt wird, verwenden Sie stattdessen das Feature "Allgemeiner Anlagenfilter" der Anti-Mailware-Richtlinie .
| Bedingungsname im EAC | Bedingungsname in Exchange Online PowerShell | Beschreibung |
|---|---|---|
| Der Dateiname mindestens einer Anlage entspricht Mindestens eine Anlage > einen Dateinamen hat, der diesen Textmustern entspricht |
AttachmentNameMatchesPatterns | Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateiname die von Ihnen angegebenen Zeichen enthält. |
| Die Dateierweiterung mindestens einer Anlage entspricht Mindestens eine Anlage > eine Dateierweiterung hat, die diese Wörter enthält |
AttachmentExtensionMatchesWords | Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateinamenerweiterung ihren Angaben entspricht. |
| Eine Anlage ist größer als oder gleich Mindestens eine Anlage > Größe ist größer oder gleich |
AttachmentSizeOver | Diese Bedingung gleicht Nachrichten mit Anlagen ab, wenn diese Anlagen größer oder gleich der angegebenen Größe sind. Hinweis: Diese Bedingung bezieht sich auf die Größe einzelner Anlagen, nicht auf die kumulative Größe. Wenn Sie z. B. eine Regel zum Ablehnen einer Anlage mit mindestens 10 MB festlegen, wird eine einzelne Anlage mit einer Größe von 15 MB abgelehnt, aber eine Nachricht mit drei Anlagen mit 5 MB ist zulässig. |
| Die Nachricht wurde nicht vollständig überprüft Mindestens eine Anlage > Überprüfung nicht abgeschlossen wurde |
AttachmentProcessingLimitExceeded | Diese Bedingung stimmt mit Nachrichten überein, wenn eine Anlage nicht vom Nachrichtenflussregeln-Agent überprüft wird. |
| Mindestens eine Anlage hat ausführbaren Inhalt Mindestens eine Anlage > hat ausführbaren Inhalt |
AttachmentHasExecutableContent | Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypanlagen, wenn diese Anlagen durch ein Kennwort geschützt sind. Die unterstützten Dateitypen sind hier aufgeführt. |
| Jede Anlage ist kennwortgeschützt Jede Anlage > ist kennwortgeschützt |
AttachmentIsPasswordProtected | Diese Bedingung gleicht Nachrichten mit Anlagen ab, die durch ein Kennwort geschützt sind. Die Kennworterkennung funktioniert nur für Office Dokumente, .zip Dateien und 7z-Dateien. |
| Jede Anlage verfügt über diese Eigenschaften, einschließlich eines dieser Wörter Jede Anlage > hat diese Eigenschaften, einschließlich eines dieser Wörter |
AttachmentPropertyContainsWords | Diese Bedingung stimmt mit Nachrichten überein, bei denen die angegebene Eigenschaft des angefügten Office Dokuments angegebene Wörter enthält. Eine Eigenschaft und ihre möglichen Werte werden durch einen Doppelpunkt getrennt. Mehrere Werte werden durch ein Komma getrennt. Mehrere Eigenschafts-/Wertpaare werden ebenfalls durch ein Komma getrennt. |
Hinweis
Die Bedingungsnamen in Exchange Online PowerShell sind Parameternamen in den Cmdlets New-TransportRule und Set-TransportRule. Weitere Informationen finden Sie unter New-TransportRule.
Weitere Informationen zu Eigenschaftstypen für diese Bedingungen finden Sie unter Nachrichtenflussregelbedingungen und -ausnahmen (Prädikate) in Exchange Online.
Wenn Sie erfahren möchten, wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, lesen Sie Herstellen einer Verbindung mit Exchange Online PowerShell.
Unterstützte ausführbare Dateitypen für die Überprüfung von Nachrichtenflussregeln
Die Nachrichtenflussregeln verwenden die Echte Typerkennung, um Die Dateieigenschaften zu prüfen und nicht nur die Dateierweiterungen. Hierdurch wird verhindert, dass Hacker mit böswilligen Absichten Ihre Regel umgehen, indem sie eine Dateierweiterung umbenennen. In der folgenden Tabelle werden die ausführbaren Dateitypen aufgelistet, die von diesen Bedingungen unterstützt werden. Wenn eine Datei gefunden wird, die hier nicht aufgeführt ist, wird die AttachmentIsUnsupported Bedingung ausgelöst.
| Dateityp | Systemeigene Erweiterung |
|---|---|
| .exe | .dll |
| .jar | .exe |
| .exe | .exe |
| .obj | .exe |
| .vxd | .exe |
| .os2 | VXD |
| .w16 | .os2 |
| .dos | W16 |
| .com | DOS |
| .pif | .com |
| .exe | PIF |
| Die in diesem Artikel aufgeführten Dateitypen können jederzeit mithilfe der IFilter-Integration überprüft werden. Weitere Informationen finden Sie unter Registrieren von Filterpaket-IFiltern für Exchange 2013. | .exe |
Wichtig
.rar (selbstextrahierende Archivdateien, die mit dem WinRAR-Archivierer erstellt wurden), JAR-Dateien (Java-Archivdateien) und OBJ-Dateien (kompilierter Quellcode, 3D-Objekt oder Sequenzdateien) gelten nicht als ausführbare Dateitypen. Um diese Dateien zu blockieren, können Sie E-Mail-Flussregeln verwenden, die nach Dateien mit diesen Erweiterungen suchen, wie weiter oben in diesem Artikel beschrieben, oder Sie können eine Antischadsoftwarerichtlinie konfigurieren, die diese Dateitypen blockiert (der filter für allgemeine Anlagentypen). Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
Richtlinien zur Verhinderung von Datenverlust und Regeln für den Nachrichtenfluss von Anlagen
Hinweis
Dieser Abschnitt gilt nicht für eigenständige EOP-Organisationen.
das Senden von Nachrichten mit Ausweisnummern nur dann zulassen, wenn sich die Ausweisnummern in einer kennwortgeschützten Anlage befinden.
DLP-Richtlinien und anlagenbezogene Bedingungen können Ihnen helfen, Ihre Geschäftsanforderungen durchzusetzen, indem Sie diese Anforderungen als Bedingungen für Nachrichtenflussregeln, Ausnahmen und Aktionen definieren. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst eingeschlossen, wenn Sie die in diesem Thema aufgeführten Bedingungen hinzufügen. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst einbezogen, wenn Sie die in diesem Artikel aufgeführten Bedingungen hinzugefügt haben. DLP ist nicht mit allen Versionen von Exchange verfügbar. Weitere Informationen finden Sie unter Verhinderung von Datenverlust.
Weitere Informationen
Informationen zum weitgehenden Blockieren von E-Mails mit Anlagen, unabhängig vom Schadsoftwarestatus, finden Sie unter Allgemeine Anlagenblockierungsszenarien für Nachrichtenflussregeln in Exchange Online.