Häufige Blockierungsszenarien für Nachrichtenflussregeln in Exchange Online
In Exchange Online-Organisationen oder eigenständigen Exchange Online Protection-Organisationen (EOP) ohne Exchange Online-Postfächer müssen Sie möglicherweise bestimmte Nachrichtentypen blockieren oder ablehnen, um gesetzliche oder Complianceanforderungen zu erfüllen oder bestimmte geschäftliche Anforderungen zu erfüllen. In diesem Artikel werden Beispiele für gängige Szenarien zum Blockieren aller Anlagen erläutert, die Sie mithilfe von Nachrichtenflussregeln (auch bekannte Nachrichtenflussregeln) einrichten können.
Hinweise:
Weitere Beispiele zum Blockieren bestimmter Anlagen mithilfe von Nachrichtenflussregeln finden Sie unter Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online.
Anti-Malware-Richtlinien EOP ermöglichen es Ihnen, bestimmte Dateitypen zu blockieren, indem Sie den Filter für allgemeine Anlagentypen aktivieren und konfigurieren. Anweisungen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
Führen Sie die folgenden Schritte aus, um mit der Verwendung von Nachrichtenflussregeln zum Blockieren bestimmter Nachrichtentypen zu beginnen:
- Öffnen Sie das Exchange Admin Center (EAC). Weitere Informationen finden Sie unter Exchange Admin Center in Exchange Online.
- Wechseln Sie zu Nachrichtenflussregeln>.
- Wählen Sie + Regel hinzufügen und dann Neue Regel erstellen aus.
- Konfigurieren Sie auf der daraufhin geöffneten Seite Regelbedingungen festlegen die folgenden Einstellungen:
- Geben Sie im Feld Name einen Namen für die Regel an.
- Wählen Sie die gewünschten Bedingungen und Aktionen aus.
Hinweis
Im EAC beträgt die kleinste Anlagengröße, die Sie eingeben können, 1 Kilobyte, wodurch die meisten Anlagen erkannt werden sollten. Wenn Sie jedoch jede mögliche Anlage beliebiger Größe erkennen möchten, müssen Sie powerShell verwenden, um die Anlagengröße auf 1 Byte anzupassen, nachdem Sie die Regel im EAC erstellt haben. Informationen zum Herstellen einer Verbindung mit PowerShell finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell oder Herstellen einer Verbindung mit eigenständiger Exchange Online Protection PowerShell.
Eingebettete Bilder werden als Anlagen behandelt (z. B. Nachrichten mit einem Bild in der Signatur). Aus diesem Grund wird die Verwendung eines sehr kleinen Werts für die Anlagengröße nicht empfohlen, da unerwartete Nachrichten blockiert werden.
Beispiel 1: Blockieren von Nachrichten mit Anlagen und Benachrichtigen des Absenders
Wenn Sie nicht möchten, dass bestimmte Personen in Ihrer Organisation Anlagen senden oder empfangen, die größer als 10 Megabyte sind, können Sie eine Nachrichtenflussregel einrichten, um Nachrichten mit Anlagen dieser Größe zu blockieren.
In diesem Beispiel werden alle Nachrichten blockiert, die an oder von der Organisation mit Anlagen gesendet werden, die größer als 10 Megabyte sind.
Wenn Sie die Nachricht lediglich blockieren möchten, müssen Sie möglicherweise die Verarbeitung der Regel beenden, sobald diese Regel erfüllt ist. Scrollen Sie im Regeldialogfeld nach unten, und aktivieren Sie das Kontrollkästchen Verarbeitung weiterer Regeln beenden .
Beispiel 2: Benachrichtigen der vorgesehenen Empfänger, wenn eine eingehende Nachricht blockiert wird
Wenn Sie eine Nachricht ablehnen möchten, den vorgesehenen Empfänger jedoch darüber in Kenntnis setzen möchten, können Sie hierzu die Aktion Den Empfänger benachrichtigen verwenden.
Sie können Platzhalter in die Benachrichtigung einschließen, sodass sie Informationen zur ursprünglichen Nachricht enthält. Die Platzhalter müssen in zwei Prozentzeichen (%%) eingeschlossen werden, und wenn die Benachrichtigungsnachricht gesendet wird, werden die Platzhalter durch Informationen aus der ursprünglichen Nachricht ersetzt. Sie können in der Nachricht auch einfachen HTML-Code wie <br>, <<b>, i> und <img> verwenden.
| Art der Information | Platzhalter |
|---|---|
| Der Absender der Nachricht. | %%From%% |
| Die im Feld „An" aufgeführten Empfänger. | %%To%% |
| Die im Feld „Cc" aufgeführten Empfänger. | %%Cc%% |
| Betreff der ursprünglichen Nachricht. | %%Subject%% |
| Kopfzeilen aus der ursprünglichen Nachricht. Diese Liste ähnelt der Liste der Header in einer Übermittlungsstatusbenachrichtigung (DSN), die für die ursprüngliche Nachricht generiert wurde. | %%Headers%% |
| Datum, an dem die ursprüngliche Nachricht gesendet wurde. | %%MessageDate%% |
In diesem Beispiel werden alle Nachrichten mit Anlagen blockiert, die an Personen innerhalb Ihrer Organisation gesendet wurden, und eine Benachrichtigung an die Empfänger gesendet.
Beispiel 3: Ändern der Betreffzeile für Benachrichtigungen
Wenn eine Benachrichtigung an den Empfänger gesendet wird, entspricht die Betreffzeile dem Betreff der ursprünglichen Nachricht. Wenn Sie den Betreff so ändern möchten, dass es für den Empfänger klarer ist, müssen Sie zwei Nachrichtenflussregeln verwenden:
Die erste Regel fügt das Wort „Unzustellbar" an den Anfang des Betreffs von Nachrichten mit Anlagen.
Die zweite Regel blockiert die Nachricht und sendet eine Benachrichtigung an den Absender mit dem neuen Betreff der ursprünglichen Nachricht.
Wichtig
Beide Regeln müssen über die gleichen Bedingungen verfügen. Regeln werden in der richtigen Reihenfolge verarbeitet; Daher fügt die erste Regel das Wort "unzustellbar" hinzu, und die zweite Regel blockiert die Nachricht und benachrichtigt den Empfänger.
Die erste Regel könnte folgendermaßen aussehen, wenn Sie das Wort „Unzustellbar" zum Betreff hinzufügen möchten:
Und die zweite Regel führt das Blockieren und die Benachrichtigung aus (die gleiche Regel aus Beispiel 2):
Beispiel 4: Anwenden einer Regel mit einer Zeitbegrenzung
Wenn Sie einen Malwareausbruch haben, sollten Sie eine Regel mit einem Zeitlimit anwenden, um Anlagen vorübergehend zu blockieren. Die folgende Regel verfügt beispielsweise sowohl über einen Start- als auch einen Stopptag und eine Uhrzeit:
Beispiel 5: Blockieren von Nachrichten basierend auf der Dateierweiterung für Anlagen
Wenn Sie verhindern möchten, dass Benutzer Nachrichten mit Anlagen mit bestimmten Dateierweiterungen senden oder empfangen, können Sie eine Transportregel in Microsoft 365 erstellen. Dies kann Ihnen helfen, Ihre Organisation vor schädlichen oder unerwünschten Dateien wie ausführbaren Programmen, Skripts oder Makros zu schützen. In diesem Beispiel erfahren Sie, wie Sie eine Transportregel erstellen, die Nachrichten basierend auf der Dateinamenerweiterung der Anlage blockiert.
Schritte zum Erstellen einer Transportregel
Führen Sie die folgenden Schritte aus, um eine Transportregel zu erstellen, die Nachrichten mit bestimmten Anlagentypen blockiert:
Melden Sie sich beim Exchange Admin Center an.
Wählen Sie Nachrichtenfluss und dann Regeln aus.
Wählen Sie + Regel hinzufügen und dann Neue Regel erstellen aus.
Geben Sie im Feld Name einen Namen für die neue Regel an.
Wählen Sie die Dropdownliste Diese Regel anwenden aus, zeigen Sie auf Beliebige Anlage, und wählen Sie dann Dateierweiterung enthält diese Wörter aus.
Geben Sie im Fenster Wörter oder Ausdrücke angeben die Dateinamenerweiterung einer beliebigen Anlage ein, die Sie blockieren möchten, und klicken Sie dann auf die Schaltfläche Hinzufügen , um die Dateinamenerweiterung zur Liste hinzuzufügen. Wenn die Liste abgeschlossen ist, wählen Sie Speichern aus.
Wählen Sie die Dropdownliste Die folgenden Schritte ausführen aus, zeigen Sie auf Nachricht blockieren, und wählen Sie dann Nachricht ablehnen und Erklärung einschließen aus, oder wählen Sie Nachricht löschen aus, ohne jemanden zu benachrichtigen.
Wenn dies erforderlich ist, geben Sie einen Ablehnungsgrund an, um Benutzer, die den Unzustellbarkeitsbericht (Non-Delivery Report, NDR) erhalten, über den Grund zu informieren, warum die E-Mail-Übermittlung fehlgeschlagen ist, und wählen Sie dann Speichern aus.
Wählen Sie die Schaltfläche Weiter aus.
Geben Sie auf der nächsten Seite alle zusätzlichen Optionen an, z. B. Regelmodus und Regelaktivierungszeit oder Deaktivierungszeit, und wählen Sie dann Weiter aus.
Nachdem Sie die Regel überprüft haben, wählen Sie Fertig stellen aus.
Standardmäßig wird die Transportregel als deaktiviert erstellt. Stellen Sie sicher, dass Sie den Schalter Regel aktivieren oder deaktivieren aktivieren, um die Regel zu aktivieren.
Verwenden von PowerShell zum Erstellen einer Regel, die Nachrichten mit ausführbaren Anlagen blockiert
Verwenden Sie die folgende Syntax, um eine Regel zum Blockieren von Nachrichten zu erstellen, die ausführbare Anlagen enthalten:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
Hinweise:
Wenn Sie den Parameter RejectMessageEnhancedStatusCode ohne den Parameter RejectMessageReasonText verwenden, lautet der Standardtext: Übermittlung nicht autorisiert, Nachricht abgelehnt.
Wenn Sie den RejectMessageReasonText-Parameter ohne den RejectMessageEnhancedStatusCode-Parameter verwenden, ist der Standardcode 5.7.1.
In diesem Beispiel wird eine neue Regel mit dem Namen Ausführbare Anlagen blockieren erstellt, die Nachrichten, die ausführbare Anlagen enthalten, automatisch löscht.
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
Detaillierte Informationen zur Syntax und den Parametern finden Sie unter New-TransportRule.