Teilen über


Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online

In Exchange Online-Organisationen oder eigenständigen Exchange Online Protection-Organisationen (EOP) ohne Exchange Online-Postfächer können Sie E-Mail-Anlagen überprüfen, indem Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) einrichten. Nachrichtenflussregeln ermöglichen es Ihnen, E-Mail-Anlagen als Teil Ihrer Messagingsicherheits- und Complianceanforderungen zu untersuchen. Wenn Sie Anlagen überprüfen, können Sie dann basierend auf dem Inhalt oder den Merkmalen der Anlagen Aktionen für die Nachrichten ausführen. Im Folgenden finden Sie einige Aufgaben im Zusammenhang mit Anlagen, die Sie mithilfe von Nachrichtenflussregeln ausführen können:

  • Suchen Sie nach Dateien mit Text, der einem von Ihnen angegebenen Muster entspricht, und fügen Sie am Ende der Nachricht einen Haftungsausschluss hinzu.
  • Inhalt in Anlagen überprüfen und, wenn er von Ihnen angegebene Stichwörter enthält, die Nachricht vor der Zustellung zur Genehmigung an einen Moderator weiterleiten.
  • Nachrichten auf Anlagen überprüfen, die nicht überprüft werden können, und dann das Senden der gesamten Nachricht verhindern.
  • Suchen Sie nach Anlagen, die eine bestimmte Größe überschreiten, und benachrichtigen Sie dann den Absender über das Problem, wenn Sie die Zustellung der Nachricht verhindern möchten.
  • Überprüfen Sie, ob die Eigenschaften eines angefügten Office-Dokuments mit den von Ihnen angegebenen Werten übereinstimmen. Mit dieser Bedingung können Sie die Anforderungen Ihrer Nachrichtenflussregeln und DLP-Richtlinien in ein Klassifizierungssystem eines Drittanbieters wie SharePoint oder die Windows Server-Dateiklassifizierungsinfrastruktur (FCI) integrieren.
  • Erstellen Sie Benachrichtigungen, die Benutzer benachrichtigen, wenn sie eine Nachricht senden, die einer Nachrichtenflussregel entspricht.
  • Blockieren aller Nachrichten mit Anlagen. Beispiele finden Sie unter Verwenden von Nachrichtenflussregeln für Anlagenblockierungsszenarien in Exchange Online.

Hinweis

Alle diese Bedingungen scannen komprimierte Archivanlagen.

Exchange Online-Administratoren können Nachrichtenflussregeln im Exchange Admin Center (EAC) unter Nachrichtenflussregeln> erstellen. Sie benötigen Berechtigungen für dieses Verfahren. Nachdem Sie mit dem Erstellen einer neuen Regel begonnen haben, können Sie die vollständige Liste der Anlagebedingungen anzeigen, indem Sie unter Diese Regel anwenden die Option Beliebige Anlage auswählen, wenn. Die anlagenbezogenen Optionen sind im folgenden Diagramm dargestellt.

Liste der Bedingungen für Anlagen.

Weitere Informationen zu Nachrichtenflussregeln, einschließlich der vollständigen Auswahl von Bedingungen und Aktionen, finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online. Exchange Online Protection (EOP) und Hybridkunden können von den bewährten Methoden für nachrichtenflussregeln profitieren, die unter Best Practices for Configuring EOP (Best Practices for Configuring EOP) (Bewährte Methoden für die Konfiguration von EOP) bereitgestellt werden. Wenn Sie bereit sind, Regeln zu erstellen, lesen Sie Verwalten von Nachrichtenflussregeln in Exchange Online.

Tipp

Wenn Sie vermuten, dass Ihre Regel nicht ordnungsgemäß funktioniert, überprüfen Sie zunächst, welche Anlagen die Nachricht enthält. Informationen dazu, welche Anlagen die Nachricht während der Auswertung der E-Mail-Flussregel enthalten ist, finden Sie unter Test-TextExtraction.

Diese Methode sollte funktionieren.

Überprüfen des Anlageninhalts

Sie können die Bedingungen für die Nachrichtenflussregel in der folgenden Tabelle verwenden, um den Inhalt von Nachrichtenanlagen zu untersuchen. Für diese Bedingungen wird nur der erste Text von 1 MB untersucht, der aus einer Anlage extrahiert wurde. Der Grenzwert von 1 MB bezieht sich auf den extrahierten Text, nicht auf die Dateigröße der Anlage. Beispielsweise kann eine 2-MB-Datei weniger als 1 MB Text enthalten, sodass der gesamte Text überprüft wird.

Um diese Bedingungen beim Überprüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.

Bedingungsname im EAC Bedingungsname in Exchange Online PowerShell Beschreibung
Inhalt mindestens einer Anlage enthält
Beliebige Anlage>Inhalt enthält jedes dieser Wörter
AttachmentContainsWords Diese Bedingung ermittelt Nachrichten mit unterstützen Dateitypenanlagen, die eine angegebene Zeichenfolge oder Zeichengruppe enthalten.
Der Inhalt einer Anlage stimmt überein
Beliebige Anlage>Inhalt entspricht diesen Textmustern
AttachmentMatchesPatterns Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypenanlagen, die ein Textmuster enthalten, das mit einem angegebenen regulären Ausdruck übereinstimmt.
Der Inhalt keiner Anlage konnte überprüft werden
Beliebige Anlage>Inhalt kann nicht überprüft werden
AttachmentIsUnsupported Nachrichtenflussregeln können nur den Inhalt unterstützter Dateitypen überprüfen. Wenn die Nachrichtenflussregel eine Anlage findet, die nicht unterstützt wird, wird die AttachmentIsUnsupported-Bedingung ausgelöst. Die unterstützten Dateitypen werden im nächsten Abschnitt beschrieben.

Hinweis

Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenflussregeln

In der folgenden Tabelle sind die Dateitypen aufgeführt, die von Nachrichtenflussregeln unterstützt werden. Das System erkennt Dateitypen automatisch, indem es Dateieigenschaften statt der eigentlichen Dateinamenerweiterung untersucht, wodurch verhindert wird, dass böswillige Hacker die Filterung von Nachrichtenflussregeln umgehen können, indem sie eine Dateierweiterung umbenennen. Eine Liste der Dateitypen mit ausführbarem Code, der im Kontext von Nachrichtenflussregeln überprüft werden kann, wird weiter unten in diesem Artikel angegeben.

Kategorie Dateierweiterung Hinweise
.rtf, .vdw, .vsd, .vss, .vst .PDF Keine
Komprimierte Archivdateien .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z Keine
HTML .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml Keine
JSON adaptivecard, .json, messagecard Keine
E-Mail .eml, .msg, .nws Keine
Microsoft Office .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw Der Inhalt in diesen Dateitypen eingebetteter Teile wird ebenfalls überprüft. Objekte, die nicht eingebettet sind (z. B. verknüpfte Dokumente), werden jedoch nicht überprüft. Inhalte in den benutzerdefinierten Eigenschaften werden ebenfalls überprüft.
Microsoft Office XML .excelove my life, .powerpointml, .wordml Keine
Microsoft Visio .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx Keine
Opendocument ODP, .ods, .odt Von ODF-Dateien werden keine Teile verarbeitet. Wenn die ODF-Datei beispielsweise ein eingebettetes Dokument enthält, wird der Inhalt dieses eingebetteten Dokuments nicht überprüft.
Andere .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps Keine
Text .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs Andere Dateien, die textbasiert sind, werden ebenfalls gescannt. Diese Liste ist repräsentativ.
XML .infopathml, .jsp, .mspx, .xml Keine

Überprüfen der Dateieigenschaften von Anlagen

Die folgenden Bedingungen können in Nachrichtenflussregeln verwendet werden, um verschiedene Eigenschaften von Dateien zu überprüfen, die an Nachrichten angefügt sind. Um diese Bedingungen beim Überprüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln.

Hinweis

Wenn Sie bestimmte Dateien mithilfe der Dateibedingung AttachmentNameMatchesPatterns oder AttachmentExtensionMatchesWords blockieren möchten, beachten Sie, dass diese Bedingung die tatsächliche Dateinamenerweiterung und nicht die Dateieigenschaften überprüft, was sich von der zuvor erwähnten Dateiinhaltsüberprüfung anderer Bedingungen unterscheidet. Wenn Sie eine Datei basierend auf der Erkennung der Systemdateieigenschaft blockieren müssen, z. B. wenn die Datei umbenannt wird, verwenden Sie stattdessen das Feature "Allgemeiner Anlagenfilter" der Anti-Mailware-Richtlinie .

Bedingungsname im EAC Bedingungsname in Exchange Online PowerShell Beschreibung
Der Dateiname mindestens einer Anlage entspricht

Beliebige Anlage>Dateiname entspricht diesen Textmustern

AttachmentNameMatchesPatterns Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateiname die von Ihnen angegebenen Zeichen enthält.
Die Dateierweiterung mindestens einer Anlage entspricht

Beliebige Anlage>Die Dateierweiterung enthält diese Wörter

AttachmentExtensionMatchesWords Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateinamenerweiterung mit dem von Ihnen angegebenen übereinstimmt.
Eine Anlage ist größer als oder gleich

Beliebige Anlage>size ist größer als oder gleich

AttachmentSizeOver Diese Bedingung gleicht Nachrichten mit Anlagen ab, wenn diese Anlagen größer oder gleich der von Ihnen angegebenen Größe sind.

Diese Bedingung bezieht sich auf die Größe einzelner Anlagen, nicht auf die kumulierte Größe. Wenn Sie beispielsweise eine Regel festlegen, um eine Anlage mit einer Größe von 10 MB oder mehr abzulehnen, wird eine einzelne Anlage mit einer Größe von 15 MB abgelehnt, aber eine Nachricht mit drei Anlagen mit 5 MB zulässig.

Die Nachricht wurde nicht vollständig überprüft

Beliebige Anlage>Überprüfung nicht abgeschlossen

AttachmentProcessingLimitExceed Diese Bedingung entspricht Nachrichten, wenn eine Anlage nicht vom Nachrichtenflussregel-Agent überprüft wird.
Die unterstützten Dateitypen finden Sie hier.

Beliebige Anlage>verfügt über ausführbaren Inhalt

AttachmentHasExecutableContent Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypanlagen, wenn diese Anlagen durch ein Kennwort geschützt sind. Die unterstützten Dateitypen sind hier aufgeführt.
Weitere Informationen zum Cmdlet erhalten Sie unter New-TransportRule.

Beliebige Anlage>ist kennwortgeschützter

AttachmentIsPasswordProtected Diese Bedingung entspricht Nachrichten mit Anlagen, die durch ein Kennwort geschützt sind. Die Kennworterkennung funktioniert für Office-Dokumente, komprimierte Dateien (.zip, .7z) und .pdf Dateien.
Jede Anlage verfügt über diese Eigenschaften, einschließlich dieser Wörter.

Beliebige Anlage>hat diese Eigenschaften, einschließlich dieser Wörter

AttachmentPropertyContainsWords Diese Bedingung entspricht Nachrichten, in denen die angegebene Eigenschaft des angefügten Office-Dokuments angegebene Wörter enthält. Eine Eigenschaft und ihre möglichen Werte werden durch einen Doppelpunkt getrennt. Mehrere Werte werden durch ein Komma getrennt. Mehrere Eigenschaft-Wert-Paare werden ebenfalls durch ein Komma getrennt.

Hinweis

Unterstützte ausführbare Dateitypen für die Überprüfung von Nachrichtenflussregeln

Die Nachrichtenflussregeln verwenden die Erkennung des true-Typs, um Dateieigenschaften und nicht nur die Dateierweiterungen zu überprüfen. Dieser Ansatz trägt dazu bei, zu verhindern, dass böswillige Hacker Ihre Regel umgehen können, indem sie eine Dateierweiterung umbenennen. In der folgenden Tabelle werden die ausführbaren Dateitypen aufgelistet, die von diesen Bedingungen unterstützt werden. Wenn eine Datei gefunden wird, die hier nicht aufgeführt ist, wird die AttachmentIsUnsupported Bedingung ausgelöst.

Dateityp Systemeigene Erweiterung
.exe .dll
.jar .exe
.exe .exe
.obj .exe
.vxd .exe
.os2 .Vxd
.w16 .os2
.dos .w16
.com .Dos
.pif .Com
.exe .Pif
Die in diesem Artikel aufgeführten Dateitypen können jederzeit mithilfe der IFilter-Integration überprüft werden. Weitere Informationen finden Sie unter Registrieren von Filterpaket-IFiltern für Exchange 2013. .exe

Wichtig

.rar (selbstextrahierende Archivdateien, die mit dem WinRAR-Archiver erstellt wurden), .jar (Java-Archivdateien) und .obj -Dateien (kompilierter Quellcode, 3D-Objekt oder Sequenzdateien) werden nicht als ausführbare Dateitypen betrachtet. Um diese Dateien zu blockieren, können Sie Nachrichtenflussregeln verwenden, die nach Dateien mit diesen Erweiterungen suchen, wie weiter oben in diesem Artikel beschrieben, oder Sie können eine Antischadsoftwarerichtlinie konfigurieren, die diese Dateitypen blockiert (der allgemeine Filter für Anlagentypen). Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Richtlinien zur Verhinderung von Datenverlust und E-Mail-Flussregeln für Anlagen

Hinweis

Dieser Abschnitt gilt nicht für eigenständige EOP-Organisationen.

Damit Sie wichtige Geschäftsinformationen in E-Mails verwalten können, können Sie alle Anlagebedingungen zusammen mit den Regeln einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) einschließen.

DLP-Richtlinien und anlagenbezogene Bedingungen können Ihnen helfen, Ihre geschäftlichen Anforderungen zu erzwingen, indem sie diese Anforderungen als Bedingungen für Nachrichtenflussregel, Ausnahmen und Aktionen definieren. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst eingeschlossen, wenn Sie die in diesem Thema aufgeführten Bedingungen hinzufügen. Anlagenbezogene Bedingungen wie Größe oder Dateityp sind jedoch erst enthalten, wenn Sie die in diesem Artikel aufgeführten Bedingungen hinzufügen. DLP ist nicht für alle Versionen von Exchange verfügbar. weitere Informationen finden Sie unter Verhinderung von Datenverlust.

Weitere Informationen

Informationen zum umfassenden Blockieren von E-Mails mit Anlagen unabhängig vom Schadsoftwarestatus finden Sie unter Allgemeine Szenarien zum Blockieren von Anlagen für Nachrichtenflussregeln in Exchange Online.