Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online

In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie E-Mail-Anlagen überprüfen, indem Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) einrichten. Mithilfe von Nachrichtenflussregeln können Sie E-Mail-Anlagen als Teil Ihrer Anforderungen an die Nachrichtensicherheit und -compliance untersuchen. Wenn Sie Anlagen prüfen, können Sie dann basierend auf dem Inhalt oder den Merkmalen der Anlagen Aktionen für die Nachrichten ausführen. Hier sind einige Aufgaben im Zusammenhang mit Anlagen, die Sie mithilfe von Nachrichtenflussregeln ausführen können:

  • Suchen Sie nach Dateien mit Text, der einem von Ihnen angegebenen Muster entspricht, und fügen Sie am Ende der Nachricht einen Haftungsausschluss hinzu.
  • Inhalt in Anlagen überprüfen und, wenn er von Ihnen angegebene Stichwörter enthält, die Nachricht vor der Zustellung zur Genehmigung an einen Moderator weiterleiten.
  • Nachrichten auf Anlagen überprüfen, die nicht überprüft werden können, und dann das Senden der gesamten Nachricht verhindern.
  • Suchen Sie nach Anlagen, die eine bestimmte Größe überschreiten, und benachrichtigen Sie dann den Absender über das Problem, wenn Sie die Zustellung der Nachricht verhindern möchten.
  • Überprüfen Sie, ob die Eigenschaften eines angefügten Office Dokuments mit den von Ihnen angegebenen Werten übereinstimmen. Mit dieser Bedingung können Sie die Anforderungen Ihrer Nachrichtenflussregeln und DLP-Richtlinien in ein Drittanbieterklassifizierungssystem integrieren, z. B. SharePoint oder die Windows Server File Classification Infrastructure (FCI).
  • Erstellen Sie Benachrichtigungen, die Benutzer benachrichtigen, wenn sie eine Nachricht senden, die einer Nachrichtenflussregel entspricht.
  • Blockieren aller Nachrichten mit Anlagen. Beispiele finden Sie unter Verwenden von Nachrichtenflussregeln für Anlagenblockierungsszenarien in Exchange Online.

Hinweis

Alle diese Bedingungen scannen komprimierte Archivanlagen.

Exchange Online Administratoren können Nachrichtenflussregeln im Exchange Admin Center (EAC) unter Nachrichtenflussregeln > erstellen. Sie benötigen Berechtigungen, um dieses Verfahren ausführen zu können. Nachdem Sie mit der Erstellung einer neuen Regel begonnen haben, können Sie die vollständige Liste anlagenbezogener Bedingungen anzeigen, indem Sie unter Diese Regel anwenden auf >Mindestens eine Anlage klicken. Die anlagenbezogenen Optionen sind im folgenden Diagramm dargestellt.

Liste der Bedingungen für Anlagen.

Weitere Informationen zu Nachrichtenflussregeln, einschließlich der gesamten Palette von Bedingungen und Aktionen, die Sie auswählen können, finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online. Exchange Online Protection (EOP) und Hybridkunden können von den bewährten Methoden für den Nachrichtenfluss profitieren, die in den bewährten Methoden zum Konfigurieren von EOP bereitgestellt werden. Wenn Sie mit dem Erstellen von Regeln beginnen möchten, lesen Sie "Verwalten von Nachrichtenflussregeln" in Exchange Online.

Überprüfen des Anlageninhalts

Sie können die Nachrichtenflussregelbedingungen in der folgenden Tabelle verwenden, um den Inhalt von Nachrichtenanlagen zu untersuchen. Unter diesen Bedingungen werden nur die ersten 1 MB Text überprüft, die aus einer Anlage extrahiert wurden. Der Grenzwert von 1 MB bezieht sich auf den extrahierten Text, nicht auf die Dateigröße der Anlage. Eine 2 MB große Datei kann weniger als 1 MB Text enthalten. Auf diese Weise wird der gesamte Text geprüft.

Um diese Bedingungen beim Prüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.

Bedingungsname im EAC Bedingungsname in Exchange Online PowerShell Beschreibung
Inhalt mindestens einer Anlage enthält
Ein Anlageninhalt > enthält eines dieser Wörter
AttachmentContainsWords Diese Bedingung ermittelt Nachrichten mit unterstützen Dateitypenanlagen, die eine angegebene Zeichenfolge oder Zeichengruppe enthalten.
Der Inhalt einer Beliebigen Anlage stimmt überein
Mindestens eine Anlage > Inhalt stimmt mit diesen Textmustern überein
AttachmentMatchesPatterns Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypenanlagen, die ein Textmuster enthalten, das mit einem angegebenen regulären Ausdruck übereinstimmt.
Der Inhalt keiner Anlage konnte überprüft werden
Mindestens eine Anlage > Inhalt kann nicht überprüft werden
AttachmentIsUnsupported Nachrichtenflussregeln können nur den Inhalt unterstützter Dateitypen überprüfen. Wenn die Nachrichtenflussregel eine Anlage findet, die nicht unterstützt wird, wird die AttachmentIsUnsupported-Bedingung ausgelöst. Die unterstützten Dateitypen werden im nächsten Abschnitt beschrieben.

Hinweis

Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenflussregeln

In der folgenden Tabelle sind die Dateitypen aufgeführt, die von Nachrichtenflussregeln unterstützt werden. Das System erkennt Dateitypen automatisch, indem die Dateieigenschaften anstelle der tatsächlichen Dateinamenerweiterung überprüft werden, wodurch verhindert wird, dass böswillige Hacker die Filterung von Nachrichtenflussregeln umgehen können, indem sie eine Dateierweiterung umbenennen. Eine Liste der Dateitypen mit ausführbarem Code, die im Kontext von Nachrichtenflussregeln überprüft werden können, wird weiter unten in diesem Artikel aufgeführt.

Kategorie Dateierweiterung Anmerkungen
Office 2007 und höher .docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx Microsoft OneNote und Microsoft Publisher Dateien werden standardmäßig nicht unterstützt.
Der Inhalt in diesen Dateitypen eingebetteter Teile wird ebenfalls überprüft. Objekte, die nicht eingebettet sind (z. B. verknüpfte Dokumente), werden jedoch nicht überprüft.
Objekte, die jedoch nicht eingebettet sind, z. .doc, .ppt, .xls verknüpfte Dokumente, werden nicht überprüft.
Andere Office Dateien RTF, VDW, VSD, VSS, VST Weitere Office-Dateien
.rtf, .vdw, .vsd, .vss, .vst .PDF .pdf
HTML .html XML
.xml, .odp, .ods, .odt .xml, ODP, ODS, ODT TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX
OpenDocument .odp, .ods, .odt Von ODF-Dateien werden keine Teile verarbeitet. Wenn die ODF-Datei beispielsweise ein eingebettetes Dokument enthält, wird der Inhalt dieses eingebetteten Dokuments nicht überprüft.
Opendocument ODP, ODS, ODT .dxf AutoCAD 2013-Dateien werden nicht unterstützt.
Bild DXF Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. Es gibt keine optische Zeichenerkennung.
Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. .jpg, TIFF Nur diesen Bilddateien zugeordneter Metadatentext wird überprüft. Es gibt keine optische Zeichenerkennung.
Komprimierte Archivdateien .bz2, cab, .gz, .rar, .tar, .zip, .7z Der Inhalt dieser Dateien, die ursprünglich in einem unterstützten Dateiformat vorliegen, wird auf ähnliche Weise überprüft und verarbeitet wie Nachrichten mit mehreren Anlagen. Die Eigenschaften der komprimierten Archivdatei selbst werden nicht überprüft. Wenn beispielsweise der Dateityp "Container" Kommentare unterstützt, wird dieses Feld nicht überprüft.

Überprüfen der Dateieigenschaften von Anlagen

Die folgenden Bedingungen können in Nachrichtenflussregeln verwendet werden, um verschiedene Eigenschaften von Dateien zu überprüfen, die an Nachrichten angefügt sind. Um diese Bedingungen beim Prüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln.

Hinweis

Wenn Sie bestimmte Dateien mithilfe der Dateibedingung "AttachmentNameMatchesPatterns " oder "AttachmentExtensionMatchesWords" blockieren möchten, beachten Sie, dass diese Bedingung die tatsächliche Dateinamenerweiterung und nicht die Dateieigenschaften überprüft. Dies ist anders als bei der oben erwähnten Dateiinhaltsüberprüfung anderer Bedingungen. Wenn Sie eine Datei basierend auf der Erkennung der Systemdateiproterty blockieren müssen, z. B. die Datei umbenannt wird, verwenden Sie stattdessen das Feature "Allgemeiner Anlagenfilter" der Anti-Mailware-Richtlinie .

Bedingungsname im EAC Bedingungsname in Exchange Online PowerShell Beschreibung
Der Dateiname mindestens einer Anlage entspricht

Mindestens eine Anlage > einen Dateinamen hat, der diesen Textmustern entspricht

AttachmentNameMatchesPatterns Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateiname die von Ihnen angegebenen Zeichen enthält.
Die Dateierweiterung mindestens einer Anlage entspricht

Mindestens eine Anlage > eine Dateierweiterung hat, die diese Wörter enthält

AttachmentExtensionMatchesWords Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateinamenerweiterung ihren Angaben entspricht.
Eine Anlage ist größer als oder gleich

Mindestens eine Anlage > Größe ist größer oder gleich

AttachmentSizeOver Diese Bedingung gleicht Nachrichten mit Anlagen ab, wenn diese Anlagen größer oder gleich der angegebenen Größe sind.

Hinweis: Diese Bedingung bezieht sich auf die Größe einzelner Anlagen, nicht auf die kumulative Größe. Wenn Sie z. B. eine Regel zum Ablehnen einer Anlage mit mindestens 10 MB festlegen, wird eine einzelne Anlage mit einer Größe von 15 MB abgelehnt, aber eine Nachricht mit drei Anlagen mit 5 MB ist zulässig.

Die Nachricht wurde nicht vollständig überprüft

Mindestens eine Anlage > Überprüfung nicht abgeschlossen wurde

AttachmentProcessingLimitExceeded Diese Bedingung stimmt mit Nachrichten überein, wenn eine Anlage nicht vom Nachrichtenflussregeln-Agent überprüft wird.
Mindestens eine Anlage hat ausführbaren Inhalt

Mindestens eine Anlage > hat ausführbaren Inhalt

AttachmentHasExecutableContent Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypanlagen, wenn diese Anlagen durch ein Kennwort geschützt sind. Die unterstützten Dateitypen sind hier aufgeführt.
Jede Anlage ist kennwortgeschützt

Jede Anlage > ist kennwortgeschützt

AttachmentIsPasswordProtected Diese Bedingung gleicht Nachrichten mit Anlagen ab, die durch ein Kennwort geschützt sind. Die Kennworterkennung funktioniert nur für Office Dokumente, .zip Dateien und 7z-Dateien.
Jede Anlage verfügt über diese Eigenschaften, einschließlich eines dieser Wörter

Jede Anlage > hat diese Eigenschaften, einschließlich eines dieser Wörter

AttachmentPropertyContainsWords Diese Bedingung stimmt mit Nachrichten überein, bei denen die angegebene Eigenschaft des angefügten Office Dokuments angegebene Wörter enthält. Eine Eigenschaft und ihre möglichen Werte werden durch einen Doppelpunkt getrennt. Mehrere Werte werden durch ein Komma getrennt. Mehrere Eigenschafts-/Wertpaare werden ebenfalls durch ein Komma getrennt.

Hinweis

Unterstützte ausführbare Dateitypen für die Überprüfung von Nachrichtenflussregeln

Die Nachrichtenflussregeln verwenden die Echte Typerkennung, um Die Dateieigenschaften zu prüfen und nicht nur die Dateierweiterungen. Hierdurch wird verhindert, dass Hacker mit böswilligen Absichten Ihre Regel umgehen, indem sie eine Dateierweiterung umbenennen. In der folgenden Tabelle werden die ausführbaren Dateitypen aufgelistet, die von diesen Bedingungen unterstützt werden. Wenn eine Datei gefunden wird, die hier nicht aufgeführt ist, wird die AttachmentIsUnsupported Bedingung ausgelöst.

Dateityp Systemeigene Erweiterung
.exe .dll
.jar .exe
.exe .exe
.obj .exe
.vxd .exe
.os2 VXD
.w16 .os2
.dos W16
.com DOS
.pif .com
.exe PIF
Die in diesem Artikel aufgeführten Dateitypen können jederzeit mithilfe der IFilter-Integration überprüft werden. Weitere Informationen finden Sie unter Registrieren von Filterpaket-IFiltern für Exchange 2013. .exe

Wichtig

.rar (selbstextrahierende Archivdateien, die mit dem WinRAR-Archivierer erstellt wurden), JAR-Dateien (Java-Archivdateien) und OBJ-Dateien (kompilierter Quellcode, 3D-Objekt oder Sequenzdateien) gelten nicht als ausführbare Dateitypen. Um diese Dateien zu blockieren, können Sie E-Mail-Flussregeln verwenden, die nach Dateien mit diesen Erweiterungen suchen, wie weiter oben in diesem Artikel beschrieben, oder Sie können eine Antischadsoftwarerichtlinie konfigurieren, die diese Dateitypen blockiert (der filter für allgemeine Anlagentypen). Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Richtlinien zur Verhinderung von Datenverlust und Regeln für den Nachrichtenfluss von Anlagen

Hinweis

Dieser Abschnitt gilt nicht für eigenständige EOP-Organisationen.

das Senden von Nachrichten mit Ausweisnummern nur dann zulassen, wenn sich die Ausweisnummern in einer kennwortgeschützten Anlage befinden.

DLP-Richtlinien und anlagenbezogene Bedingungen können Ihnen helfen, Ihre Geschäftsanforderungen durchzusetzen, indem Sie diese Anforderungen als Bedingungen für Nachrichtenflussregeln, Ausnahmen und Aktionen definieren. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst eingeschlossen, wenn Sie die in diesem Thema aufgeführten Bedingungen hinzufügen. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst einbezogen, wenn Sie die in diesem Artikel aufgeführten Bedingungen hinzugefügt haben. DLP ist nicht mit allen Versionen von Exchange verfügbar. Weitere Informationen finden Sie unter Verhinderung von Datenverlust.

Weitere Informationen

Informationen zum weitgehenden Blockieren von E-Mails mit Anlagen, unabhängig vom Schadsoftwarestatus, finden Sie unter Allgemeine Anlagenblockierungsszenarien für Nachrichtenflussregeln in Exchange Online.