Condividi tramite


Usare le regole del flusso di posta per controllare gli allegati dei messaggi in Exchange Online

Nelle organizzazioni di Exchange Online o nelle organizzazioni autonome di Exchange Online Protection (EOP) senza cassette postali di Exchange Online, è possibile controllare gli allegati di posta elettronica configurando le regole del flusso di posta (note anche come regole di trasporto). Le regole del flusso di posta consentono di esaminare gli allegati di posta elettronica come parte delle esigenze di sicurezza e conformità della messaggistica. Quando si esaminano gli allegati, è possibile intervenire sui messaggi in base al contenuto o alle caratteristiche degli allegati. Ecco alcune attività relative agli allegati che si possono eseguire tramite l'utilizzo delle regole del flusso di posta:

  • Cercare i file con testo corrispondente a un modello specificato e aggiungere una dichiarazione di non responsabilità alla fine del messaggio.
  • Esaminare il contenuto all'interno degli allegati, nel caso ci sia una qualsiasi parola chiave specificata, reindirizzare il messaggio ad un moderatore per l'approvazione prima che venga distribuito.
  • Controllare i messaggi con allegati che non possono essere esaminati e quindi bloccare l'invio dell'intero messaggio.
  • Verificare la presenza di allegati che superano una determinata dimensione e quindi inviare una notifica al mittente del problema, se si sceglie di impedire il recapito del messaggio.
  • Verificare se le proprietà di un documento Office allegato corrispondano ai valori specificati. Con questa condizione, è possibile integrare i requisiti delle regole del flusso di posta e dei criteri DLP con un sistema di classificazione di terze parti, ad esempio SharePoint o l'infrastruttura di classificazione file di Windows Server.
  • Creare notifiche che avvisino gli utenti se inviano un messaggio con corrispondenza a una regola del flusso di posta.
  • Bloccare tutti i messaggi contenenti allegati. Per esempi, vedere Usare le regole del flusso di posta per gli scenari di blocco degli allegati in Exchange Online.

Nota

Tutte queste condizioni consentono di analizzare gli allegati dell'archivio compresso.

Gli amministratori di Exchange Online possono creare regole del flusso di posta nell'interfaccia di amministrazione di Exchange (EAC) inRegoleflusso di> posta. Per eseguire questa procedura sono necessarie autorizzazioni. Dopo aver iniziato a creare una nuova regola, è possibile visualizzare l'elenco completo delle condizioni correlate agli allegati selezionando Qualsiasi allegato in Applica questa regola se. Le opzioni relative agli allegati sono mostrate nel seguente diagramma.

Elenco di condizioni per gli allegati.

Per altre informazioni sulle regole del flusso di posta, inclusa l'intera gamma di condizioni e azioni che è possibile scegliere, vedere Regole del flusso di posta (regole di trasporto) in Exchange Online. I clienti Exchange Online Protection (EOP) e ibridi possono trarre vantaggio dalle procedure consigliate delle regole del flusso di posta fornite in Best Practices for Configuring EOP. Se si è pronti per iniziare a creare regole, vedere Gestire le regole del flusso di posta in Exchange Online.

Consiglio

Se si sospetta che la regola non funzioni correttamente, controllare prima di tutto gli allegati contenuti nel messaggio. Per controllare gli allegati contenuti nel messaggio durante la valutazione delle regole del flusso di posta, vedere Test-TextExtraction.

Questo metodo deve funzionare.

Analizzare il contenuto all'interno di allegati

È possibile usare le condizioni delle regole del flusso di posta nella tabella seguente per esaminare il contenuto degli allegati dei messaggi. Per queste condizioni, vengono controllati solo i primi 1 megabyte (MB) di testo estratto da un allegato. Il limite di 1 MB si riferisce al testo estratto, non alle dimensioni del file dell'allegato. Ad esempio, un file da 2 MB può contenere meno di 1 MB di testo in modo che tutto il testo venga controllato.

Per iniziare a usare queste condizioni durante l'ispezione dei messaggi, è necessario aggiungerli a una regola del flusso di posta. Per altre informazioni sulla creazione o la modifica di regole, vedere Gestire le regole del flusso di posta in Exchange Online.

Nome della condizione in EAC Nome della condizione in Exchange Online PowerShell Descrizione
Il contenuto di qualsiasi allegato include
Qualsiasi allegato>il contenuto include una qualsiasi di queste parole
AttachmentContainsWords Questa condizione cerca una corrispondenza con i messaggi a cui sono allegati tipi di file supportati contenenti una stringa o un gruppo di caratteri specificati.
Il contenuto di qualsiasi allegato è uguale a
Qualsiasi allegato>il contenuto corrisponde a questi modelli di testo
AttachmentMatchesPatterns Questa condizione genera una corrispondenza per i messaggi a cui sono allegati tipi di file supportati che contengono un modello di testo che corrisponde a un'espressione regolare specificata.
Il contenuto degli allegati non può essere esaminato
Qualsiasi allegato>il contenuto non può essere controllato
AttachmentIsUnsupported Le regole del flusso di posta possono analizzare solo il contenuto dei tipi di file supportati. Se la regola del flusso di posta trova un allegato non supportato, viene attivata la condizione AttachmentIsUnsupported . I tipi di file supportati sono descritti nella sezione successiva.

Nota

Tipi di file supportati per l'analisi del contenuto delle regole del flusso di posta

Nella tabella seguente sono elencati i tipi di file supportati dalle regole del flusso di posta. Il sistema usa il rilevamento automatico di tipi di file attraverso l'ispezione delle proprietà dei file invece che dell'estensione effettiva del file, impedendo in questo modo ad hacker malintenzionati di superare il filtro delle regole del flusso di posta rinominando l'estensione del file. Un elenco di tipi di file con codice eseguibile che può essere controllato nel contesto delle regole del flusso di posta viene specificato più avanti in questo articolo.

Categoria Estensione del file Note
Adobe PDF .pdf Nessuno
File di archivio compressi .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z Nessuno
HTML .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml Nessuno
JSON adaptivecard, .json, messagecard Nessuno
Posta .eml, .msg, .nws Nessuno
Microsoft Office .doc, docb, docm, .docx, dot, dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw Anche il contenuto delle parti incorporate comprese in questi tipi di file viene esaminato. Tuttavia, gli oggetti che non sono incorporati (ad esempio i documenti collegati) non vengono esaminati. Anche il contenuto all'interno delle proprietà personalizzate viene analizzato.
Xml di Microsoft Office .excelove my life, .powerpointml, .wordml Nessuno
Microsoft Visio .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx Nessuno
Opendocument .odp, .ods, .odt Non vengono elaborate parti di file .odf. Se, ad esempio, il file .odf contiene un documento incorporato, il contenuto del documento non viene esaminato.
Altro .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps Nessuno
Testo .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs Vengono analizzati anche altri file basati su testo. Questo elenco è rappresentativo.
XML .infopathml, .jsp, mspx, .xml Nessuno

Analizzare le proprietà del file degli allegati

Le condizioni seguenti possono essere usate nelle regole del flusso di posta per analizzare proprietà diverse di file allegati ai messaggi. Per iniziare a usare queste condizioni durante l'ispezione dei messaggi, è necessario aggiungerli a una regola del flusso di posta. Per altre informazioni sulla creazione o la modifica di regole, vedere Gestire le regole del flusso di posta.

Nota

Se si desidera bloccare determinati file usando la condizione file AttachmentNameMatchesPatterns o AttachmentExtensionMatchesWords, tenere presente che questa condizione sta controllando l'estensione effettiva del nome file e non le proprietà del file, che è diversa da quella indicata in precedenza per l'ispezione del contenuto del file di altre condizioni. Se è necessario bloccare un file in base al rilevamento delle proprietà dei file di sistema, ad esempio, il file viene rinominato, usare invece la funzionalità "filtro allegati comune" dei criteri Anti-Mailware .

Nome della condizione in EAC Nome della condizione in Exchange Online PowerShell Descrizione
Il nome di qualsiasi allegato è uguale a

Qualsiasi allegato>il nome del file corrisponde a questi modelli di testo

AttachmentNameMatchesPatterns Questa condizione genera una corrispondenza per i messaggi con allegati il cui nome file contiene i caratteri specificati.
L'estensione di qualsiasi allegato è uguale a

Qualsiasi allegato>l'estensione del file include queste parole

AttachmentExtensionMatchesWords Questa condizione genera una corrispondenza per i messaggi con allegati la cui estensione di file contiene gli elementi specificati.
Qualsiasi allegato è maggiore o uguale a

Qualsiasi allegato>size è maggiore o uguale a

AttachmentSizeOver Questa condizione genera una corrispondenza per i messaggi con allegati quando gli allegati hanno una dimensione superiore o uguale a quella specificata.

Questa condizione si riferisce alle dimensioni dei singoli allegati, non alle dimensioni cumulative. Ad esempio, se si imposta una regola per rifiutare qualsiasi allegato di 10 MB o superiore, un singolo allegato con dimensioni pari a 15 MB viene rifiutato, ma è consentito un messaggio con tre allegati da 5 MB.

Non ho completato l'analisi del messaggio

Qualsiasi allegato>non ha completato l'analisi

AttachmentProcessingLimitExceeded Questa condizione corrisponde ai messaggi quando un allegato non viene controllato dall'agente delle regole del flusso di posta.
L'allegato ha contenuto eseguibile

Qualsiasi allegato>ha contenuto eseguibile

AttachmentHasExecutableContent Questa condizione genera una corrispondenza per i messaggi che contengono file eseguibili come allegati. I tipi di file supportati sono elencati qui.
Tutti gli allegati sono protetti da password

Qualsiasi allegato>è protetto da password

AttachmentIsPasswordProtected Questa condizione genera una corrispondenza per i messaggi con allegati protetti da una password. Il rilevamento delle password funziona per i documenti di Office, i file compressi (.zip, .7z) e i file .pdf.
Un allegato contiene proprietà specifiche che includono una o più delle seguenti parole

Qualsiasi allegato>ha queste proprietà, inclusa una qualsiasi di queste parole

AttachmentPropertyContainsWords Questa condizione genera una corrispondenza per i messaggi in cui la proprietà specificata del documento di Office allegato contiene le parole specificate. Una proprietà e i relativi valori possibili sono separati da due punti. Più valori sono separati da una virgola. Anche più coppie proprietà-valore sono separate da una virgola.

Nota

Tipi di file supportati eseguibili per l'analisi delle regole del flusso di posta

Le regole del flusso di posta utilizzano il rilevamento True Type verificando le proprietà del file invece delle estensioni. Questo approccio consente di impedire agli hacker malintenzionati di ignorare la regola rinominando un'estensione di file. Nella tabella seguente sono elencati i tipi di file eseguibili supportati da queste condizioni. Se viene trovato un file non elencato qui, la AttachmentIsUnsupported condizione viene attivata.

Tipo di file Estensione nativa
File eseguibile di Windows a 32 bit con estensione di libreria di collegamento dinamico. .dll
File di programma eseguibile autoestraente. .exe
File eseguibile di disinstallazione. .exe
File di collegamento del programma. .exe
File eseguibile di Windows a 32 bit. .exe
File di disegno di Microsoft Visio XML. .Vxd
File del sistema operativo OS/2. .os2
File eseguibile di Windows a 16 bit. .w16
File di sistema operativo su disco. .Dos
File di test di virus dello standard dello European Institute for Computer Antivirus Research. .Com
File di informazioni del programma di Windows. .Pif
File di programma eseguibile di Windows. .exe

Importante

.rar (file di archivio autoestraente creati con l'archivio WinRAR), .jar (file di archivio Java) e .obj (codice sorgente compilato, file di sequenza o oggetti 3D) non sono considerati tipi di file eseguibili. Per bloccare questi file, è possibile usare regole del flusso di posta che cercano i file con queste estensioni come descritto in precedenza in questo articolo oppure è possibile configurare criteri antimalware che bloccano questi tipi di file (filtro dei tipi di allegati comuni). Per altre informazioni, vedere Configurare i criteri antimalware in EOP.

Criteri di prevenzione della perdita di dati e regole del flusso di posta dell'allegato

Nota

Questa sezione non si applica alle organizzazioni EOP autonome.

Per gestire informazioni aziendali importanti nei messaggi di posta elettronica, è possibile includere qualsiasi condizione correlata agli allegati insieme alle regole di un criterio di prevenzione della perdita dei dati (DLP).

Criteri di prevenzione della perdita di dati (DLP) e condizioni relative agli allegati possono soddisfare maggiormente le necessità aziendali definendo quelle condizioni delle regole del flusso di posta, eccezioni e azioni. Includendo l'ispezione di dati sensibili in un criterio di prevenzione della perdita di dati (DLP), tutti gli allegati vengono esaminati solo per quel dato richiesto. Tuttavia, le condizioni correlate agli allegati, ad esempio dimensioni o tipo di file, non vengono incluse fino a quando non si aggiungono le condizioni elencate in questo articolo. La prevenzione della perdita dei dati non è disponibile con tutte le versioni di Exchange. Per altre informazioni, vedere Prevenzione della perdita di dati.

Ulteriori informazioni

Per informazioni sul blocco generale della posta elettronica con allegati, indipendentemente dal malware, vedere Scenari di blocco degli allegati comuni per le regole del flusso di posta in Exchange Online.