Usare le regole del flusso di posta per bloccare i messaggi con allegati eseguibili in Exchange Online

In Exchange Online organizzazioni o organizzazioni Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, i messaggi con allegati dannosi (inclusi gli allegati eseguibili) vengono bloccati dai criteri antimalware. Per altre informazioni, vedere Protezione antimalware in EOP.

Per migliorare ulteriormente la protezione, è possibile usare le regole del flusso di posta (note anche come regole di trasporto) per identificare e bloccare i messaggi che contengono allegati eseguibili, come descritto in questo articolo.

Ad esempio, in seguito a un'epidemia di malware, una società potrebbe applicare questa regola con un limite di tempo in modo che gli utenti interessati possano tornare all'invio di allegati dopo un periodo di tempo specificato.

Che cosa è necessario sapere prima di iniziare?

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni in Exchange Online o EOP. In particolare, è necessario il ruolo Regole di trasporto , assegnato per impostazione predefinita ai gruppi di ruoli Gestione organizzazione, Gestione conformità e Gestione record .

  Per ulteriori informazioni, vedere i seguenti argomenti:

  • Autorizzazioni in Exchange Online
  • Autorizzazioni in Exchange Online Protection autonomo
  • Usare EAC per modificare l'elenco di membri nei gruppi di ruoli

• Per aprire EAC in Exchange Online, vedere Interfaccia di amministrazione di Exchange in Exchange Online. Per aprire EAC in EOP autonomo, vedere Interfaccia di amministrazione di Exchange in EOP autonomo.

• Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

• Per altre informazioni sulle regole del flusso di posta in Exchange Online ed EOP autonomo, vedere gli argomenti seguenti:

  • Regole del flusso di posta (regole di trasporto) in Exchange Online
  • Condizioni ed eccezioni della regola del flusso di posta (predicati) in Exchange Online
  • Azioni della regola del flusso di posta in Exchange Online

Usare EAC per creare una regola che blocca i messaggi con allegati eseguibili

1. Nell'interfaccia di amministrazione di Exchange passare aRegoleflusso> di posta.

2. Selezionare +Aggiungi una regola e quindi selezionare Crea una nuova regola.

3. Nella pagina Imposta condizioni regola visualizzata configurare le impostazioni seguenti:

   • Nome: immettere un nome descrittivo univoco per la regola.

   • Applicare questa regola se: selezionare Qualsiasi allegato>con contenuto eseguibile.

   • Eseguire le operazioni seguenti: Selezionare Blocca il messaggio e quindi scegliere l'azione desiderata:

     • Rifiutare il messaggio e includere una spiegazione: nella finestra di dialogo Specifica motivo rifiuto visualizzata immettere il testo che si vuole visualizzare nel report di mancato recapito (noto anche come NDR o messaggio di mancato recapito). Il codice di stato avanzato predefinito utilizzato è 5.7.1.

     • Rifiutare il messaggio con il codice di stato avanzato di: nella finestra di dialogo Immettere il codice di stato avanzato visualizzato immettere il codice di stato avanzato che si vuole visualizzare nel rapporto di mancato recapito. I valori validi sono 5.7.1 o un valore compreso tra 5.7.900 e 5.7.999. Il testo di rifiuto predefinito è: recapito non autorizzato, messaggio rifiutato.

     • eliminare il messaggio senza notificare a nessuno (se si sceglie questa opzione, non si otterrà il pulsante Salva , ma si otterrà il pulsante Avanti .)

4. Al termine, scegli Salva. A questo punto, la regola di blocco degli allegati è attiva.

Usare PowerShell per creare una regola che blocca i messaggi con allegati eseguibili

Usare la sintassi seguente per creare una regola per bloccare i messaggi che contengono allegati eseguibili:

New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]

Note:

• Se si usa il parametro RejectMessageEnhancedStatusCode senza il parametro RejectMessageReasonText , il testo predefinito è: Recapito non autorizzato, messaggio rifiutato.

• Se si usa il parametro RejectMessageReasonText senza il parametro RejectMessageEnhancedStatusCode , il codice predefinito è 5.7.1.

Nell'esempio seguente viene creata una nuova regola denominata Blocca allegati eseguibili che elimina automaticamente i messaggi che contengono allegati eseguibili.

New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true

Per informazioni dettagliate su sintassi e parametri, vedere New-TransportRule.

Come verificare se l'operazione ha avuto esito positivo

Per verificare che sia stata creata correttamente una regola del flusso di posta per bloccare i messaggi che contengono allegati eseguibili, seguire questa procedura:

• Nell'interfaccia di amministrazione di Exchange passare aRegole>flusso> di posta selezionare la regola > selezionare , selezionare la scheda Impostazioni e verificare le impostazioni.

• In PowerShell eseguire il comando seguente per verificare le impostazioni:

  Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage