Exchange Online 中的邮件流规则(传输规则)

在 Exchange Online 组织或没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中,可以使用邮件流规则 (也称为传输规则) 来标识通过组织传递的邮件并采取措施。

邮件流规则类似于收件箱规则,在邮件流规则中Outlook Outlook 网页版 (以前称为Outlook Web App) 。 主要区别在于邮件流规则在邮件传输过程中(而不是在邮件传递到邮箱后)对邮件采取操作。 邮件流规则包含更丰富的条件、例外和操作集,让你能灵活实现多种类型的邮件策略。

本文介绍了邮件流规则的组件其工作方式

有关创建、复制和管理邮件流规则的步骤,请参阅 管理邮件流规则。 可以选择强制实施每个规则、只是测试规则,或测试每个规则并通知发件人。 若要了解有关测试选项的详细信息,请参阅在Exchange Online中测试邮件流规则和策略 使用技巧 (策略提示在独立 EOP) 中) 。

有关匹配邮件流规则的邮件的摘要和详细报告,请参阅使用邮件保护报告查看有关恶意软件、垃圾邮件 和规则检测的数据

若要使用邮件流规则实现特定的邮件策略,请参阅邮件流规则过程Exchange Online。

邮件流规则组件

邮件流规则由条件、例外、操作和属性组成:

  • 条件:标识要应用操作的邮件。 一些条件检查邮件头字段(例如“收件人”、“发件人”或“抄送”字段)。 其他条件检查邮件属性(例如邮件主题、正文、附件、邮件大小或邮件分类)。 大多数条件要求你指定比较运算符(例如等于、不等于或包含)以及要匹配的值。 如果没有条件或例外,规则将应用到所有邮件。

    有关邮件流中邮件流规则条件Exchange Online,请参阅邮件流规则条件和例外 (中的) Exchange Online。

  • 例外:(可选)标识操作不应应用到的邮件。 条件中可用的相同邮件标识符同样在例外中可用。 例外会覆盖条件并阻止规则操作应用于邮件,即使邮件匹配所有配置的条件也是如此。

  • 操作:指定对与规则中的条件匹配且不匹配任何例外的邮件执行哪些操作。 例外会覆盖条件并阻止将操作应用于电子邮件,即使该邮件符合所有配置的条件也是如此。

    有关邮件流规则操作在邮件流中可用Exchange Online,请参阅邮件流规则操作Exchange Online。

  • 属性:指定条件、例外或操作之外的其他规则设置。 例如,应何时应用规则、是否强制实施或测试规则,以及规则可用的时间段。

    有关详细信息, 请参阅本文中的 邮件流规则属性部分。

多个条件、例外和操作

Use a transport rule so messages can bypass Clutter



组件 逻辑 备注
注释 AND 邮件必须匹配该规则的所有条件。如果需要匹配一个条件或另一个条件,请对每个条件使用不同的规则。例如,如果要为带有附件的邮件和包含指定文本的邮件添加相同的免责声明,请为每个条件创建一个规则。在 EAC 中,你可以轻松地复制规则。
邮件必须匹配该规则的所有条件。如果需要匹配一个条件或另一个条件,请对每个条件使用不同的规则。例如,如果您要为带有附件的邮件和内容匹配某个模式的邮件添加相同的免责声明,请为每个条件创建一个规则。您可以轻松地复制规则。 OR 一些条件允许你指定多个值。邮件必须匹配任一(并非全部)指定值。例如,如果电子邮件的主题为 Stock price information,并且 主题包含这些词中的任一个 条件被配置为匹配单词 Contoso 或 stock,则符合该条件,因为主题中至少包含指定值中的一个。
一些条件允许您指定多个值。如果一个条件允许输入多个值,则邮件必须与为该条件指定的任何值匹配。例如,如果电子邮件的主题为股价信息,并且主题包含这些词中的任一个条件被配置为匹配词 Contoso 或 stock,则符合该条件,因为主题中至少包含条件值中的一个。 OR 如果邮件匹配任何例外,则操作不会应用到邮件。该邮件不需要匹配所有例外。
如果邮件匹配任何例外,则不会执行操作。邮件不需要匹配所有例外。 AND 匹配规则条件的邮件获取规则中指定的所有操作。例如,如果选择了操作" 在邮件主题前面追加"和" 将收件人添加到密件抄送框",则两种操作都将应用至邮件。

请记住,某些操作 (,例如"在不通知任何人的情况下删除邮件"操作) 阻止后续规则应用于邮件。 其他 (例如,转发 邮件) 不允许其他操作。

还可以为规则设置操作,以便在应用该规则时,后续规则不会应用至邮件。

邮件流规则属性

下表介绍了邮件流规则中所提供的规则属性。



EAC 中的属性名称 PowerShell 中的参数名称 说明
优先级 Priority 指示规则应用于邮件的顺序。默认优先级基于规则创建的先后顺序(较早规则的优先级高于较新规则的优先级,先处理具有较高优先级的规则,然后再处理具有较低优先级的规则)。

通过在规则列表中上移或下移规则可更改 EAC 中规则的优先级。在 PowerShell中,可设置优先级编号(0 表示最高优先级)。

例如,如果有一个拒绝包含信用卡号码的邮件的规则,还有一个需要批准的规则,你希望拒绝规则先发生,并停止应用其他规则。

有关详细信息,请参阅设置 邮件流规则的优先级

使用严重性级别审核此规则 SetAuditSeverity 设置事件报告的严重性级别以及当邮件违反 DLP 策略时写入邮件跟踪日志的相应条目。 有效值为 DoNotAudit、Low、Medium 和 High。
模式 Mode 可以指定是否让规则立即处理邮件,或是否在不影响邮件传递(启用或不启用数据丢失防护或 DLP 策略提示)的情况下测试规则。

策略提示在 Outlook 或 Web 上的 Outlook 中显示简短说明,该说明可提供有关邮件创建者可能违反策略的信息。有关详细信息,请参阅 Policy Tips

有关模式详细信息,请参阅在邮件流中测试Exchange Online。

在以下日期激活此规则

在以下日期停用此规则

ActivationDate
ExpiryDate
指定启用该规则的日期范围。
选中或未选中 On 复选框 新规则 :New-TransportRule cmdlet 上的 Enabled 参数。
现有规则:使用 Enable-TransportRuleDisable-TransportRule cmdlet。

该值显示在规则的 State 属性中。

可以创建一个禁用规则,并在准备测试它时将其启用。或者,在不删除该规则的情况下将其禁用,以保留设置。
如果规则处理未完成,则延迟邮件 RuleErrorAction 如果无法完成规则处理,可以指定邮件的处理方式。默认情况下,系统将忽略该规则,但可以选择重新提交邮件进行处理。
匹配邮件中的发件人地址 SenderAddressLocation 如果规则使用检查发件人的电子邮件地址的条件或例外,则可以在邮件标头、 邮件信封或同时在两者中查找该值。
停止处理更多规则 StopRuleProcessing 这是一种规则操作,但它看起来像 EAC 中的属性。你可以选择在规则处理完某个邮件后,停止向邮件应用其他规则。
注释 Comments 可以输入有关规则的描述性注释。

如何将邮件流规则应用于邮件

All messages that flow through your organization are evaluated against the enabled mail flow rules in your organization. 规则按照 EAC 中的"邮件流""规则"页中列出的顺序进行处理,或基于 PowerShell 中的相应 > Priority 参数值进行处理。

每个规则还提供在规则匹配时停止处理其他规则的选项。此设置对于匹配多个邮件流规则中条件的邮件而言非常重要(想要哪个规则应用于邮件?全部?还是一个?)。

基于消息类型的处理的差异

通过组织进行传递的邮件有几种类型。下表显示了哪些邮件类型可以通过邮件流规则进行处理。



通过组织的邮件有几种类型。下表显示了哪些消息类型可以通过传输规则进行处理。 消息类型
常规邮件:包含 RTF 格式 (RTF) 、HTML 或纯文本邮件正文、多部分或备用邮件正文集的邮件。 可访问
邮件加密:通过邮件加密加密的邮件Microsoft 365或Office 365。 有关详细信息,请参阅加密。 规则可始终根据检查这些标头的条件来访问信封头并处理邮件。

对于检查或修改加密邮件内容的规则,需要验证是否启用了传输解密(强制或可选;默认为可选)。有关详细信息,请参阅 Enable or disable transport decryption(启用或禁用传输解密)。

有加密密钥。 有关详细信息,请参阅定义 加密电子邮件的规则

S/MIME 加密邮件 规则仅可根据检查这些标头的条件来访问信封头并处理邮件。

无法处理具有需要检查邮件内容的条件的规则或可以修改邮件内容的操作。

RMS 保护的邮件:应用了 AD RMS Active Directory Rights Management Services (或 Azure 权限) 或 Azure 权限 (策略) 的邮件。 规则可始终根据检查这些标头的条件来访问信封头并处理邮件。

对于检查或修改 RMS 保护的邮件内容的规则,需要验证是否启用了传输解密(强制或可选;默认为可选)。有关详细信息,请参阅 Enable or disable transport decryption(启用或禁用传输解密)。

已清除签名的邮件:已签名但未加密的邮件。
匿名邮件:匿名发件人发送的邮件。
阅读报告:为响应发件人的已读回执请求而生成的报告。 读取报告的邮件类别为 IPM.Note*.MdnReadIPM.Note*.MdnNotRead

我还应该知道些什么?

  • 规则 的版本RuleVersion 属性值在规则Exchange Online。
  • 创建或修改邮件流规则后,可能需要 30 分钟才能将新的或更新的规则应用于邮件。
  • 您可以创建传输规则以绕过 EOP 并允许邮件从内部发件人(如发送已知安全的附件的扫描仪、传真和其他受信任来源)无延迟地流动。 不要绕过筛选所有内部邮件;在这种情况下,遭到入侵的帐户可能会发送恶意内容。
  • 邮件流规则的历史记录和更改不会保留,因此无法将邮件流规则还原回以前的状态。

详细信息

管理邮件流规则

邮件流规则过程Exchange Online

日记、传输和收件箱规则限制