Verwenden von Nachrichtenflussregeln zum Blockieren von Nachrichten mit ausführbaren Anlagen in Exchange Online

In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden Nachrichten mit schädlichen Anlagen (einschließlich ausführbarer Anlagen) durch Antischadsoftwarerichtlinien blockiert. Weitere Informationen finden Sie unter Antischadsoftwareschutz in EOP.

Um den Schutz weiter zu verbessern, können Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um Nachrichten zu identifizieren und zu blockieren, die ausführbare Anlagen enthalten, wie in diesem Artikel beschrieben.

Nach einem Ausbruch von Schadsoftware könnte ein Unternehmen diese Regel beispielsweise mit einem Zeitlimit anwenden, sodass betroffene Benutzer nach einem bestimmten Zeitraum zum Senden von Anlagen zurückkehren können.

Was sollten Sie wissen, bevor Sie beginnen?

• Ihnen müssen Berechtigungen in Exchange Online oder EOP zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Insbesondere benötigen Sie die Rolle Transportregeln , die standardmäßig den Rollengruppen Organisationsverwaltung, Complianceverwaltung und Datensatzverwaltung zugewiesen ist.

  Weitere Informationen finden Sie in den folgenden Themen:

  • Berechtigungen in Exchange Online
  • Verwalten von Rollengruppen in Exchange Online

• Informationen zum Öffnen des EAC in Exchange Online finden Sie unter Exchange Admin Center in Exchange Online. Informationen zum Öffnen des EAC im eigenständigen EOP finden Sie unter Exchange Admin Center in eigenständigem EOP.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

• Weitere Informationen zu Nachrichtenflussregeln in Exchange Online und eigenständigem EOP finden Sie in den folgenden Themen:

  • Nachrichtenflussregeln (Transportregeln) in Exchange Online
  • Nachrichtenflussregel-Bedingungen und -Ausnahmen (Prädikate) in Exchange Online
  • Aktionen für Nachrichtenflussregeln in Exchange Online

Verwenden des EAC zum Erstellen einer Regel, die Nachrichten mit ausführbaren Anlagen blockiert

1. Wechseln Sie im EAC zu Nachrichtenflussregeln>.

2. Wählen Sie +Regel hinzufügen und dann Create einer neuen Regel aus.

3. Konfigurieren Sie auf der daraufhin geöffneten Seite Regelbedingungen festlegen die folgenden Einstellungen:

   • Name: Geben Sie einen eindeutigen, beschreibenden Namen für die Regel ein.

   • Wenden Sie diese Regel an, wenn: Wählen Sie Beliebige Anlage>hat ausführbaren Inhalt aus.

   • Gehen Sie wie folgt vor: Wählen Sie Nachricht blockieren und dann die gewünschte Aktion aus:

     • Ablehnen der Nachricht und Einschließen einer Erklärung: Geben Sie im angezeigten Dialogfeld Ablehnungsgrund angeben den Text ein, der im Nichtzustellbarkeitsbericht angezeigt werden soll (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet). Der verwendete erweiterte Statuscode lautet standardmäßig 5.7.1.

     • Ablehnen der Nachricht mit dem erweiterten status Code von: Geben Sie im angezeigten Dialogfeld Erweiterten status Code eingeben den erweiterten status Code ein, der im NDR angezeigt werden soll. Gültige Werte sind 5.7.1 oder ein Wert von 5.7.900 bis 5.7.999. Der Standardmäßige Ablehnungstext lautet: Übermittlung nicht autorisiert, Nachricht abgelehnt.

     • Löschen Sie die Nachricht, ohne jemanden zu benachrichtigen (Wenn Sie diese Option auswählen, erhalten Sie nicht die Schaltfläche Speichern , sondern die Schaltfläche Weiter .)

4. Wenn Sie fertig sind, wählen Sie Speichern aus. Die Regel für das Blockieren von Anlagen ist nun in Kraft.

Verwenden von PowerShell zum Erstellen einer Regel, die Nachrichten mit ausführbaren Anlagen blockiert

Verwenden Sie die folgende Syntax, um eine Regel zum Blockieren von Nachrichten zu erstellen, die ausführbare Anlagen enthalten:

New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]

Hinweise:

• Wenn Sie den Parameter RejectMessageEnhancedStatusCode ohne den Parameter RejectMessageReasonText verwenden, lautet der Standardtext: Übermittlung nicht autorisiert, Nachricht abgelehnt.

• Wenn Sie den RejectMessageReasonText-Parameter ohne den RejectMessageEnhancedStatusCode-Parameter verwenden, ist der Standardcode 5.7.1.

Im folgenden Beispiel wird eine neue Regel mit dem Namen Ausführbare Anlagen blockieren erstellt, die Nachrichten, die ausführbare Anlagen enthalten, automatisch löscht.

New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true

Detaillierte Informationen zur Syntax und den Parametern finden Sie unter New-TransportRule.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie erfolgreich eine E-Mail-Flussregel zum Blockieren von Nachrichten erstellt haben, die ausführbare Anlagen enthalten:

• Wechseln Sie im EAC zu E-Mail-Flussregeln>> wählen Sie die Regel > aus, und wählen Sie Wählen Sie dann die Registerkarte Einstellungen aus, und überprüfen Sie die Einstellungen.

• Führen Sie in PowerShell den folgenden Befehl aus, um die Einstellungen zu überprüfen:

  Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage