Usar regras de fluxo de email para bloquear mensagens com anexos executáveis no Exchange Online
Em organizações Exchange Online ou organizações EOP (Proteção do Exchange Online autônomas) sem caixas de correio Exchange Online, as mensagens com anexos prejudiciais (incluindo anexos executáveis) são bloqueadas por políticas anti-malware. Para obter mais informações, consulte Proteção anti-malware no EOP.
Para aprimorar ainda mais a proteção, você pode usar regras de fluxo de email (também conhecidas como regras de transporte) para identificar e bloquear mensagens que contêm anexos executáveis, conforme descrito neste artigo.
Por exemplo, após um surto de malware, uma empresa pode aplicar essa regra com um limite de tempo para que os usuários afetados possam voltar a enviar anexos após um período de tempo especificado.
Do que você precisa saber para começar?
Você precisa receber permissões em Exchange Online ou EOP antes de poder fazer os procedimentos neste artigo. Especificamente, você precisa da função Regras de Transporte , que é atribuída aos grupos de funções Gerenciamento de Organização, Gerenciamento de Conformidade e Gerenciamento de Registros por padrão.
Para mais informações, confira os seguintes tópicos:
Para abrir o EAC no Exchange Online, consulte Centro de administração do Exchange no Exchange Online. Para abrir o EAC no EOP autônomo, consulte Centro de administração do Exchange no EOP autônomo.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..
Para obter mais informações sobre regras de fluxo de email no EOP Exchange Online e autônomo, confira os seguintes tópicos:
Use o EAC para criar uma regra que bloqueia mensagens com anexos executáveis
No EAC, acesseRegras de fluxo> de email.
Selecione +Adicionar uma regra e selecione Criar uma nova regra.
Na página Definir condições de regra que é aberta, configure as seguintes configurações:
Nome: insira um nome exclusivo e descritivo para a regra.
Aplique essa regra se: Selecione Qualquer anexo>com conteúdo executável.
Faça o seguinte: Selecione Bloquear a mensagem e escolha a ação desejada:
rejeite a mensagem e inclua uma explicação: na caixa de diálogo Especificar a razão de rejeição exibida, insira o texto que você deseja exibir no relatório de não entrega (também conhecido como NDR ou mensagem de salto). O código de status aprimorado padrão usado é 5.7.1.
rejeite a mensagem com o código de status aprimorado de: Na caixa de diálogo Enter enhanced status code que aparece, insira o código de status aprimorado que você deseja exibir na NDR. Os valores válidos são 5.7.1 ou um valor de 5.7.900 a 5.7.999. O texto padrão de rejeição é: Entrega não autorizada, mensagem recusada.
exclua a mensagem sem notificar ninguém (se você escolher essa opção, não receberá o botão Salvar , mas receberá o botão Avançar .)
Quando terminar, selecione Salvar. A sua regra de bloqueio de anexo agora está em vigor.
Usar o PowerShell para criar uma regra que bloqueia mensagens com anexos executáveis
Use a seguinte sintaxe para criar uma regra para bloquear mensagens que contêm anexos executáveis:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
Observações:
Se você usar o parâmetro RejectMessageEnhancedStatusCode sem o parâmetro RejectMessageReasonText , o texto padrão será: Entrega não autorizada, mensagem recusada.
Se você usar o parâmetro RejectMessageReasonText sem o parâmetro RejectMessageEnhancedStatusCode , o código padrão será 5.7.1.
O exemplo a seguir cria uma nova regra chamada Bloquear Anexos Executáveis que exclui silenciosamente mensagens que contêm anexos executáveis.
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TransportRule.
Como saber se funcionou?
Para verificar se você criou com êxito uma regra de fluxo de email para bloquear mensagens que contêm anexos executáveis, faça qualquer uma das seguintes etapas:
No EAC, acesseRegras> de fluxo> de email selecione a regra >editar, selecione a guia Configurações e verifique as configurações.
No PowerShell, execute o seguinte comando para verificar as configurações:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage