Проверка вложений с помощью правил потока обработки почты в Office 365Use mail flow rules to inspect message attachments in Office 365

Настройка правил потока обработки почты (также известной как правила транспорта) можно проверить вложений электронной почты в организации Office 365. Exchange Online предлагает почты поток обработки правил, которые обеспечивают возможностью для проверки вложений электронной почты в рамках системы обмена сообщениями безопасность и соответствие требованиям. При проверке вложения действие может использоваться для сообщений, выполнялся на основе содержимого или характеристики вложения. Ниже приведены некоторые задачи, связанные с вложения, можно выполнить с помощью правил поток почты.You can inspect email attachments in your Office 365 organization by setting up mail flow rules (also known as transport rules). Exchange Online offers mail flow rules that provide the ability to examine email attachments as a part of your messaging security and compliance needs. When you inspect attachments, you can then take action on the messages that were inspected based on the content or characteristics of those attachments. Here are some attachment-related tasks you can do by using mail flow rules:

  • Поиск файлов с текстом, который соответствует заданному шаблону, и добавление заявления об отказе в конец сообщения.Search for files with text that matches a pattern you specify, and add a disclaimer to the end of the message.

  • Проверка содержимого во вложениях и перенаправление сообщения модератору для утверждения перед доставкой в случае обнаружения указанных ключевых слов.Inspect content within attachments and, if there are any keywords you specify, redirect the message to a moderator for approval before it's delivered.

  • Проверка наличия сообщения с вложениями, которые невозможно изучить, и блокировка отправки всего сообщения.Check for messages with attachments that can't be inspected and then block the entire message from being sent.

  • Проверка на наличие вложений, превышающих определенный размер, с последующим уведомлением отправителя о проблеме, если вы отклоняете доставку сообщения.Check for attachments that exceed a certain size and then notify the sender of the issue if you choose to prevent the message from being delivered.

  • Проверьте, соответствуют ли значения, заданные свойства вложенный документ Office. Это условие интеграции требования поток почты правил и политик защиты от потери данных с системой классификации сторонних производителей, например, SharePoint Server 2013 или Windows Server 2012 R2 файл классификации инфраструктуры (FCI).Check whether the properties of an attached Office document match the values that you specify. With this condition, you can integrate the requirements of your mail flow rules and DLP policies with a third-party classification system, such as SharePoint Server 2013 or Windows Server 2012 R2 File Classification Infrastructure (FCI).

  • Создание уведомлений для пользователей, отправляющих сообщение, которое подпадает под действие правила потока обработки почты.Create notifications that alert users if they send a message that has matched a mail flow rule.

  • Блокировать все сообщения, содержащие вложения. Примеры распространенных сценариев блокировки вложений для правил потока обработки почтысм.Block all messages containing attachments. For examples, see Common attachment blocking scenarios for mail flow rules.

Примечание

Все эти условия будут проверять сжатые архивные вложения.All of these conditions will scan compressed archive attachments.

Exchange Online администраторы могут создавать почты поток правил в центре администрирования Exchange (EAC) в поток обработки почты > правила. Вы должны быть назначены разрешения, перед выполнением этой процедуры. После запуска создать новое правило, можно просмотреть полный список условий, связанных с вложением, нажав кнопку Дополнительные параметры > любого вложения в разделе Применить это правило, если. На следующей схеме показаны параметры, связанные с вложением.Exchange Online admins can create mail flow rules in the Exchange admin center (EAC) at Mail flow > Rules. You need to be assigned permissions before you can perform this procedure. After you start to create a new rule, you can see the full list of attachment-related conditions by clicking More options > Any attachment under Apply this rule if. The attachment-related options are shown in the following diagram.

Список условий для вложений

Дополнительные сведения о правилах поток обработки почты, включая весь спектр возможностей условия и действия, которые вы можете увидеть поток обработки почты правил (правил транспорта) в Exchange Online. Пользователи Exchange Online Protection (EOP) и гибридного смогут извлечь пользу из правил потока обработки почты рекомендации, приведенные в Best Practices for Configuring EOP. Если вы готовы приступить к созданию правила, ознакомьтесь со Управление правилами поток почты.For more information about mail flow rules, including the full range of conditions and actions that you can choose, see Mail flow rules (transport rules) in Exchange Online. Exchange Online Protection (EOP) and hybrid customers can benefit from the mail flow rules best practices provided in Best Practices for Configuring EOP. If you're ready to start creating rules, see Manage mail flow rules.

Проверка содержимого вложенийInspect the content within attachments

Проверять содержимое почты можно с помощью условий правил транспорта, указанных в приведенной ниже таблице. При этом анализируется только первый МБ текста, извлеченного из вложения. Обратите внимание на то, что ограничение в 1 МБ относится к извлеченному тексту, а не размеру файла вложения. Например, файл размером 2 МБ может содержать меньше 1 МБ текста, поэтому будет проверен весь текст.You can use the mail flow rule conditions in the following table to examine the content of attachments to messages. For these conditions, only the first one megabyte (MB) of text extracted from an attachment is inspected. Note that the 1 MB limit refers to the extracted text, not the file size of the attachment. For example, a 2 MB file may contain less than 1 MB of text, so all of the text would be inspected.

Чтобы использовать эти условия при проверке сообщений, их необходимо добавить в правило потока обработки почты. Сведения о создании и изменении правил см. в статье Manage mail flow rules.In order to start using these conditions when inspecting messages, you need to add them to a mail flow rule. Learn about creating or changing rules at Manage mail flow rules.

Имя условия в Центре администрирования ExchangeCondition name in the EAC Имя условия в Exchange Online PowerShellCondition name in Exchange Online PowerShell ОписаниеDescription
Содержимое любого вложения включаетAny attachment's content includes
Любое вложение > Имеет содержимое, которое включает любое из этих словAny attachment > content includes any of these words
AttachmentContainsWordsAttachmentContainsWords
Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов.This condition matches messages with supported file type attachments that contain a specified string or group of characters.
Содержимое любого вложения соответствуетAny attachment's content matches
Любое вложение > Имеет содержимое, которое соответствует этим текстовым шаблонамAny attachment > content matches these text patterns
AttachmentMatchesPatternsAttachmentMatchesPatterns
Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению.This condition matches messages with supported file type attachments that contain a text pattern that matches a specified regular expression.
Невозможно проверить содержимое каких-либо вложенийAny attachment's content can't be inspected
Любое вложение > Имеет содержимое, которое невозможно просмотретьAny attachment > content can't be inspected
AttachmentIsUnsupportedAttachmentIsUnsupported
Правила для потока обработки почты только можно проверить содержимое поддерживаемые типы файлов. Если правило поток почты обнаруживает вложение, который не поддерживается, запускается условие AttachmentIsUnsupported . В следующем разделе описаны поддерживаемые типы файлов.Mail flow rules only can inspect the content of supported file types. If the mail flow rule encounters an attachment that isn't supported, the AttachmentIsUnsupported condition is triggered. The supported file types are described in the next section.

Примечания.Notes:

Имена условий в Exchange Online PowerShell — имена параметров в командлетах New-TransportRule и Set-TransportRule . Дополнительные сведения содержатся в разделе New-TransportRule.The conditions names in Exchange Online PowerShell are parameters names on the New-TransportRule and Set-TransportRule cmdlets. For more information, see New-TransportRule.

Дополнительные сведения о типах свойств для этих условий см. в статьях Mail flow rule conditions and exceptions (predicates) in Exchange Online и Mail flow rule conditions and exceptions (predicates) in Exchange Online Protection.Learn more about property types for these conditions at Mail flow rule conditions and exceptions (predicates) in Exchange Online and Mail flow rule conditions and exceptions (predicates) in Exchange Online Protection.

Сведения об использовании Windows PowerShell для подключения к службе Exchange Online см. в статье Connect to Exchange Online Using Remote PowerShell.To learn how to use Windows PowerShell to connect to Exchange Online, see Connect to Exchange Online PowerShell.

Поддерживаемые типы файлов для проверки содержимого с помощью правил транспортаSupported file types for mail flow rule content inspection

В приведенной ниже таблице перечислены типы файлов, которые поддерживаются правилами потока обработки почты. Система автоматически обнаруживает типы файлов, изучая свойства файлов, а не их расширение. Так злоумышленники не смогут обойти фильтрацию правил транспорта, переименовав расширение файла. Список типов файлов с исполняемым кодом, которые можно проверять в контексте правил транспорта, изложен далее в этой статье.The following table lists the file types supported by mail flow rules. The system automatically detects file types by inspecting file properties rather than the actual file name extension, thus helping to prevent malicious hackers from being able to bypass mail flow rule filtering by renaming a file extension. A list of file types with executable code that can be checked within the context of mail flow rules is listed later in this topic.

КатегорияCategory Расширение файлаFile extension ПримечанияNotes
Office 2007 и более поздних версийOffice 2007 and later
.docm, .docx, .pptm, PPTX-файл, в формате PUB, .one, .xlsb, xlsm-файлы, .xlsx.docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx
Файлы Microsoft OneNote и Microsoft Publisher не поддерживаются по умолчанию.Microsoft OneNote and Microsoft Publisher files aren't supported by default.
Содержимое любых внедренных частей в файлах этих типов также проверяется. Однако объекты, которые не внедренные (например, связанные документы), не проверяются.The contents of any embedded parts contained within these file types are also inspected. However, any objects that aren't embedded (for example, linked documents) aren't inspected.
Office 2003Office 2003
DOC-файл, PPT, .xls.doc, .ppt, .xls
НетNone
Дополнительные файлы OfficeAdditional Office files
.RTF, .vdw, .vsd, .vss, .vst.rtf, .vdw, .vsd, .vss, .vst
НетNone
Adobe PDFAdobe PDF
PDF.pdf
НетNone
HTMLHTML
.HTML.html
НетNone
XMLXML
.XML, .odp, .ods, .odt.xml, .odp, .ods, .odt
НетNone
ТекстText
TXT, ASM, BAT, C, CMD, CPP, CXX, DEF, DIC, H, HPP, HXX, IBQ, IDL, INC, INF, INI, INX, JS, LOG, M3U, PL, RC, REG, TXT, VBS, WTX.txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, inf, .ini, inx, .js, .log, .m3u, .pl, .rc, .reg, .txt, .vbs, .wtx
НетNone
OpenDocumentOpenDocument
.ODP, .ods, .odt.odp, .ods, .odt
Части ODF-файлов не обрабатываются. Например, если ODF-файл содержит внедренный документ, содержимое этого документа не просматривается.No parts of .odf files are processed. For example, if the .odf file contains an embedded document, the contents of that embedded document aren't inspected.
Чертеж AutoCADAutoCAD Drawing
.DXF.dxf
Файлы AutoCAD 2013 не поддерживаются.AutoCAD 2013 files aren't supported.
ИзображениеImage
.jpg, TIFF..jpg, .tiff
Проверяется только текст метаданных, связанный с этими файлами изображений. Распознавание текста не применяется.Only the metadata text associated with these image files is inspected. There is no optical character recognition.
Сжатые архивные файлыCompressed archive files
BZ2, CAB, GZ, RAR, TAR, ZIP, 7Z.bz2, cab, .gz, .rar, .tar, .zip, .7z
Содержимое этих файлов, которые изначально имели поддерживаемый формат, изучаются и обрабатываются способом, подобным обработке сообщений с несколькими вложениями. Свойства сжатого архива не проверяются. Например, если тип файла-контейнера поддерживает примечания, это поле не просматривается.The content of these files, which were originally in a supported file type format, are inspected and processed in a manner similar to messages that have multiple attachments. The properties of the compressed archive file itself are not inspected. For example, if the container file type supports comments, that field isn't inspected.

Проверка свойств файла вложенияInspect the file properties of attachments

Для проверки различных свойств файлы, подключенные к сообщениям, в правилах поток почты можно использовать следующие условия. Чтобы начать использовать эти условия, при проверке сообщений, необходимо добавить их в правиле поток почты. Дополнительные сведения о создании или изменении правил Управление правилами потока обработки почтысм.The following conditions can be used in mail flow rules to inspect different properties of files that are attached to messages. In order to start using these conditions when inspecting messages, you need to add them to a mail flow rule. For more information about creating or changing rules, see Manage mail flow rules.

Имя условия в Центре администрирования ExchangeCondition name in the EAC Имя условия в Exchange Online PowerShellCondition name in Exchange Online PowerShell ОписаниеDescription
Любое имя вложенного файла, соответствующееAny attachment's file name matches
Любое вложение > Содержит файл, имя которого соответствует этим текстовым шаблонамAny attachment > file name matches these text patterns
AttachmentNameMatchesPatternsAttachmentNameMatchesPatterns
Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы.This condition matches messages with attachments whose file name contains the characters you specify.
Расширение файла любого вложения соответствуетAny attachment's file extension matches
Любое вложение > Содержит файл, расширение которого включает эти словаAny attachment > file extension includes these words
AttachmentExtensionMatchesWordsAttachmentExtensionMatchesWords
Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению.This condition matches messages with attachments whose file name extension matches what you specify.
Любое вложение размером не менееAny attachment is greater than or equal to
Любое вложение > размер больше или равноAny attachment > size is greater than or equal to
AttachmentSizeOverAttachmentSizeOver
Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному.This condition matches messages with attachments when those attachments are greater than or equal to the size you specify.
Сообщение не завершило сканированиеThe message didn't complete scanning
Любое вложение > Не прошло сканированиеAny attachment > didn't complete scanning
AttachmentProcessingLimitExceededAttachmentProcessingLimitExceeded
Это условие сопоставляет сообщения с вложениями, которые не проверяются агентом правил транспорта.This condition matches messages when an attachment is not inspected by the mail flow rules agent.
Любое вложение содержит исполняемое содержимоеAny attachment has executable content
Любое вложение > Содержит исполняемое содержимоеAny attachment > has executable content
AttachmentHasExecutableContentAttachmentHasExecutableContent
Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. В этом разделе перечислены поддерживаемые типы файлов.This condition matches messages that contain executable files as attachments. The supported file types are listed here.
Любое вложение защищено паролемAny attachment is password protected
Любое вложение > Защищено паролемAny attachment > is password protected
AttachmentIsPasswordProtectedAttachmentIsPasswordProtected
Это условие сопоставляет сообщения с вложениями, которые защищены паролем. Обнаружение пароль работает только для документов Office и ZIP-файлы.This condition matches messages with attachments that are protected by a password. Password detection only works for Office documents and .zip files.
Любое вложение содержит эти свойства, включающие любое из этих словAny attachment has these properties, including any of these words
Любое вложение > Имеет следующие свойства, включая любое из этих словAny attachment > has these properties, including any of these words
AttachmentPropertyContainsWordsAttachmentPropertyContainsWords
Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар свойств и значений также разделяются запятыми.This condition matches messages where the specified property of the attached Office document contains specified words. A property and its possible values are separated with a colon. Multiple values are separated with a comma. Multiple property/value pairs are also separated with a comma.

Примечания.Notes:

Имена условий в Exchange Online PowerShell — имена параметров в командлетах New-TransportRule и Set-TransportRule . Дополнительные сведения содержатся в разделе New-TransportRule.The conditions names in Exchange Online PowerShell are parameters names on the New-TransportRule and Set-TransportRule cmdlets. For more information, see New-TransportRule.

Дополнительные сведения о типах свойств для этих условий см. в статьях Mail flow rule conditions and exceptions (predicates) in Exchange Online и Mail flow rule conditions and exceptions (predicates) in Exchange Online Protection.Learn more about property types for these conditions at Mail flow rule conditions and exceptions (predicates) in Exchange Online and Mail flow rule conditions and exceptions (predicates) in Exchange Online Protection.

Сведения об использовании Windows PowerShell для подключения к службе Exchange Online см. в статье Connect to Exchange Online Using Remote PowerShell.To learn how to use Windows PowerShell to connect to Exchange Online, see Connect to Exchange Online PowerShell.

Поддерживаемые типы исполняемых файлов для проверки правилами транспортаSupported executable file types for mail flow rule inspection

Правила потока почты используйте определение типа значение true для проверки свойства файла, а не просто расширения имен файлов. Это позволяет запретить вредоносных злоумышленников пропускать правила посредством переименования расширение файла. Ниже перечислены типы исполняемых файлов, поддерживаемых эти условия. Если файл найден, нет в списке, AttachmentIsUnsupported запускается условие.The mail flow rules use true type detection to inspect file properties rather than merely the file extensions. This helps to prevent malicious hackers from being able to bypass your rule by renaming a file extension. The following table lists the executable file types supported by these conditions. If a file is found that is not listed here, the AttachmentIsUnsupported condition is triggered.

Тип файлаType of file Собственное расширениеNative extension
32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки.32-bit Windows executable file with a dynamic link library extension.
DLL.dll
Самораспаковывающийся исполняемый файл.Self-extracting executable program file.
EXE.exe
Исполняемый файл для удаления.Uninstallation executable file.
EXE.exe
Файл ярлыка программы.Program shortcut file.
EXE.exe
32-разрядный исполняемый файл Windows.32-bit Windows executable file.
EXE.exe
Файл документа Microsoft Visio в формате XML.Microsoft Visio XML drawing file.
об их.vxd
Файл операционной системы OS/2.OS/2 operating system file.
.OS2.os2
16-разрядный исполняемый файл Windows.16-bit Windows executable file.
.w16.w16
Файл дисковой операционной системы.Disk-operating system file.
.DOS.dos
Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ.European Institute for Computer Antivirus Research standard antivirus test file.
COM.com
Файл сведений о программе Windows.Windows program information file.
PIF.pif
Исполняемый файл Windows.Windows executable program file.
EXE.exe

Важно!

Файлы .rar (самоизвлекающиеся файлы архива, созданные архиватором WinRAR), .jar (файлы архива Java) и .obj (скомпилированный исходный код, 3D-объект или последовательные файлы) не считаются исполняемыми файлами. Чтобы заблокировать эти файлы, можно применить правила потока обработки почты, которые выполняют поиск файлов с этими расширениями (описано ранее в этой статье), или настроить политику защиты от вредоносных программ, которая блокирует эти типы файлов (фильтр основных типов вложений). Дополнительные сведения см. в статье Configure Anti-Malware Policies..rar (self-extracting archive files created with the WinRAR archiver), .jar (Java archive files), and .obj (compiled source code, 3D object, or sequence files) files are not considered to be executable file types. To block these files, you can use mail flow rules that look for files with these extensions as described earlier in this topic, or you can configure an antimalware policy that blocks these file types (the common attachment types filter). For more information, see Configure Anti-Malware Policies.

Политики защиты от потери данных и правила потока обработки почты для вложенийData loss prevention policies and attachment mail flow rules

Чтобы лучше управлять важной бизнес-информацией в электронной почте, вы можете включить любые условия, связанные с вложениями, а также правила защиты от потери данных.To help you manage important business information in email, you can include any of the attachment-related conditions along with the rules of a data loss prevention (DLP) policy.

Политики защиты от потери данных и условия, связанные с вложением может помочь принудительное применение бизнес-требованиям, определив эти потребности как условия правила потока обработки почты, исключений и действий. При включении проверки конфиденциальной информации в политику защиты от потери данных вложений в сообщения проверяются только эту информацию. Тем не менее связанные с вложением условий, например размер или тип файла, не включаются только после добавления условий, указанных в этом разделе. Защиты от потери данных доступен не для всех версий Exchange; Дополнительные Защита от потери данных.DLP policies and attachment-related conditions can help you enforce your business needs by defining those needs as mail flow rule conditions, exceptions, and actions. When you include the sensitive information inspection in a DLP policy, any attachments to messages are scanned for that information only. However, attachment-related conditions such as size or file type are not included until you add the conditions listed in this topic. DLP is not available with all versions of Exchange; learn more at Data loss prevention.

Дополнительные сведенияFor more information

Сведения о блокировке электронной почты с вложениями, независимо от их принадлежности к вредоносным программам, см. в статье Reducing Malware Threats Through File Attachment Blocking in Exchange Online Protection.For information on broadly blocking email with attachments, regardless of malware status, see Reducing Malware Threats Through File Attachment Blocking in Exchange Online Protection.