Compartilhar via


Usar regras de fluxo de emails para inspecionar anexos de mensagens no Exchange Online

Em organizações do Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, pode inspecionar anexos de e-mail ao configurar regras de fluxo de correio (também conhecidas como regras de transporte). As regras de fluxo de correio permitem-lhe examinar anexos de e-mail como parte das suas necessidades de segurança e conformidade de mensagens. Quando inspeciona anexos, pode efetuar ações nas mensagens com base no conteúdo ou características dos anexos. Seguem-se algumas tarefas relacionadas com anexos que pode efetuar ao utilizar regras de fluxo de correio:

  • Procure ficheiros com texto que corresponda a um padrão que especifique e adicione uma exclusão de responsabilidade no final da mensagem.
  • Inspecionar o conteúdo de anexos e, se houver qualquer palavra-chave especificada, redirecionar a mensagem para um moderador para que ela seja aprovada antes de ser entregue.
  • Verificar mensagens com anexos que não podem ser inspecionados e bloquear o envio de toda a mensagem.
  • Verifique se existem anexos que excedam um determinado tamanho e, em seguida, notifique o remetente do problema se optar por impedir que a mensagem seja entregue.
  • Verifique se as propriedades de um documento do Office anexado correspondem aos valores que você especificou. Com esta condição, pode integrar os requisitos das suas regras de fluxo de correio e políticas DLP num sistema de classificação de terceiros, como o SharePoint ou a Infraestrutura de Classificação de Ficheiros (FCI) do Windows Server.
  • Crie notificações que alertem os utilizadores se enviarem uma mensagem que corresponda a uma regra de fluxo de correio.
  • Bloqueie todas as mensagens com anexos. Para obter exemplos, consulte Utilizar regras de fluxo de correio para cenários de bloqueio de anexos no Exchange Online.

Observação

Todas essas condições examinarão anexos de arquivo morto compactado.

Os administradores do Exchange Online podem criar regras de fluxo de correio no Centro de administração do Exchange (EAC) emRegras de fluxo> de correio. Precisa de permissões para efetuar este procedimento. Depois de começar a criar uma nova regra, pode ver a lista completa de condições relacionadas com anexos ao selecionar Qualquer anexo em Aplicar esta regra se. As opções relacionadas aos anexos são mostradas no seguinte diagrama.

Lista de condições para anexos.

Para obter mais informações sobre as regras de fluxo de correio, incluindo a gama completa de condições e ações que pode escolher, consulte Regras de fluxo de correio (regras de transporte) no Exchange Online. A Proteção do Exchange Online (EOP) e os clientes híbridos podem beneficiar das melhores práticas das regras de fluxo de correio fornecidas em Melhores Práticas para Configurar a EOP. Se estiver pronto para começar a criar regras, consulte Gerir regras de fluxo de correio no Exchange Online.

Dica

Se suspeitar que a regra não está a funcionar corretamente, verifique primeiro quais os anexos que a mensagem contém. Para inspecionar os anexos que a mensagem continha durante a avaliação da regra de fluxo de Correio, veja Test-TextExtraction.

Este método deve funcionar.

Inspecione o conteúdo em anexos

Pode utilizar as condições da regra de fluxo de correio na tabela seguinte para examinar o conteúdo dos anexos de mensagens. Para estas condições, só é inspecionado o primeiro 1 megabyte (MB) de texto extraído de um anexo. O limite de 1 MB refere-se ao texto extraído e não ao tamanho do ficheiro do anexo. Por exemplo, um ficheiro de 2 MB pode conter menos de 1 MB de texto para que todo o texto seja inspecionado.

Para começar a utilizar estas condições ao inspecionar mensagens, tem de as adicionar a uma regra de fluxo de correio. Para obter mais informações sobre como criar ou alterar regras, consulte Gerir regras de fluxo de correio no Exchange Online.

Nome da condição no EAC Nome da condição no PowerShell do Exchange Online Descrição
O conteúdo de qualquer anexo inclui
Qualquer anexo>conteúdo inclui qualquer uma destas palavras
AttachmentContainsWords Esta condição corresponde a mensagens com anexos de tipos de arquivos suportados que contêm uma sequência ou grupo de caracteres especificados.
O conteúdo de qualquer anexo corresponde
Qualquer anexo>o conteúdo corresponde a estes padrões de texto
AttachmentMatchesPatterns Esta condição corresponde a mensagens com anexos de tipos de arquivos suportados que contêm um padrão de texto que corresponde a uma expressão regular especificada.
O conteúdo de qualquer anexo não pode ser inspecionado
Qualquer anexo>não é possível inspecionar conteúdo
AttachmentIsUnsupported As regras de fluxo de correio só podem inspecionar o conteúdo dos tipos de ficheiro suportados. Se a regra de fluxo de correio encontrar um anexo que não é suportado, a condição AttachmentIsUnsupported é acionada. Os tipos de ficheiro suportados são descritos na secção seguinte.

Observação

Tipos de ficheiro suportados para inspeção de conteúdo da regra de fluxo de correio

A tabela seguinte lista os tipos de ficheiro suportados pelas regras de fluxo de correio. O sistema deteta automaticamente tipos de ficheiro ao inspecionar as propriedades do ficheiro em vez da extensão de nome de ficheiro real, ajudando assim a impedir que hackers maliciosos possam ignorar a filtragem de regras de fluxo de correio ao mudar o nome de uma extensão de ficheiro. Uma lista de tipos de ficheiro com código executável que pode ser verificada no contexto das regras de fluxo de correio é especificada mais à frente neste artigo.

Categoria Extensão de arquivo Observações
Adobe PDF .pdf Nenhum
Arquivos compactados .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z Nenhum
HTML .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml Nenhum
JSON placa adaptável, .json, cartão de mensagens Nenhum
Email .eml, .msg, .nws Nenhum
Microsoft Office .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw O conteúdo de quaisquer partes incorporadas contidas nesses tipos de arquivos também será inspecionado. No entanto, quaisquer objetos que não estejam incorporados (por exemplo, documentos ligados) não são inspecionados. Os conteúdos nas propriedades personalizadas também são analisados.
XML do Microsoft Office .excelove my life, .powerpointml, .wordml Nenhum
Microsoft Visio .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx Nenhum
OpenDocument .odp, .ods, .odt Nenhuma parte de arquivos .odf será processada. Por exemplo, se o arquivo .odf contiver um documento incorporado, o conteúdo desse documento incorporado não será verificado.
Outros .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps Nenhum
Texto .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs Outros ficheiros baseados em texto também são analisados. Esta lista é representativa.
XML .infopathml, .jsp, .mspx, .xml Nenhum

Inspecionar as propriedades de arquivo dos anexos

As seguintes condições podem ser utilizadas nas regras de fluxo de correio para inspecionar diferentes propriedades dos ficheiros anexados às mensagens. Para começar a utilizar estas condições ao inspecionar mensagens, tem de as adicionar a uma regra de fluxo de correio. Para obter mais informações sobre como criar ou alterar regras, consulte Gerir regras de fluxo de correio.

Observação

Se quiser bloquear determinados ficheiros com a condição de ficheiro AttachmentNameMatchesPatterns ou AttachmentExtensionMatchesWords, tenha em atenção que esta condição está a inspecionar a extensão de nome de ficheiro real e não as propriedades do ficheiro, que é diferente da inspeção de conteúdo de ficheiro mencionada anteriormente de outras condições. Se precisar de bloquear um ficheiro com base na deteção de propriedades de ficheiros do sistema, por exemplo, o nome do ficheiro é mudado, utilize a funcionalidade "filtro de anexo comum" da política Anti-Mailware .

Nome da condição no EAC Nome da condição no PowerShell do Exchange Online Descrição
O nome de arquivo de qualquer anexo corresponde

Qualquer anexo>o nome do ficheiro corresponde a estes padrões de texto

AttachmentNameMatchesPatterns Esta condição corresponde às mensagens com anexos cujo nome de arquivo contém os caracteres que você especificar.
A extensão de arquivo de qualquer anexo corresponde

Qualquer anexo>extensão de ficheiro inclui estas palavras

AttachmentExtensionMatchesWords Esta condição corresponde às mensagens com anexos cuja extensão do nome de arquivo corresponde àquilo que você especificou.
Qualquer anexo é maior ou igual a

Qualquer anexo>o tamanho é maior ou igual a

AttachmentSizeOver Esta condição corresponde às mensagens com anexos quando esses anexos são maiores do que ou iguais ao tamanho especificado.

Esta condição refere-se aos tamanhos dos anexos individuais e não ao tamanho cumulativo. Por exemplo, se definir uma regra para rejeitar qualquer anexo com 10 MB ou superior, um único anexo com um tamanho de 15 MB é rejeitado, mas é permitida uma mensagem com três anexos de 5 MB.

A verificação da mensagem não foi concluída

Qualquer anexo>não concluiu a análise

AttachmentProcessingLimitExceeded Esta condição corresponde a mensagens quando um anexo não é inspecionado pelo agente de regras de fluxo de correio.
Qualquer anexo inclui conteúdo executável

Qualquer anexo>tem conteúdo executável

AttachmentHasExecutableContent Esta condição corresponde a mensagens que contêm arquivos executáveis como anexos. Os tipos de ficheiro suportados estão listados aqui.
Algum anexo está protegido por senha

Qualquer anexo>está protegido por palavra-passe

AttachmentIsPasswordProtected Esta condição corresponde às mensagens com anexos protegidos por senha. A deteção de palavras-passe funciona para documentos do Office, ficheiros comprimidos (.zip, .7z) e ficheiros .pdf.
Qualquer anexo tem essas propriedades, incluindo qualquer uma dessas palavras

Qualquer anexo>tem estas propriedades, incluindo qualquer uma destas palavras

AttachmentPropertyContainsWords Esta condição corresponde às mensagens em que a propriedade especificada do documento anexado do Office contém palavras especificadas. A propriedade e seus valores possíveis são separados por dois-pontos. Vários valores são separados por vírgula. Vários pares propriedade-valor também são separados por uma vírgula.

Observação

Tipos de ficheiro executáveis suportados para inspeção de regras de fluxo de correio

As regras de fluxo de correio utilizam a deteção de tipo verdadeiro para inspecionar as propriedades do ficheiro em vez de apenas as extensões de ficheiro. Esta abordagem ajuda a impedir que hackers maliciosos possam ignorar a sua regra ao mudar o nome de uma extensão de ficheiro. A tabela a seguir lista os tipos de arquivos executáveis aceitos por essas condições. Se for encontrado um ficheiro que não esteja listado aqui, a condição é acionada AttachmentIsUnsupported .

Tipo de arquivo Extensão nativa
Arquivo executável do Windows de 32 bits com extensão de biblioteca de vínculo dinâmico. .dll
Arquivo de programa executável de autoação. .exe
Arquivo executável de desinstalação .exe
Arquivo de atalho de programa. .exe
Arquivo executável do Windows de 32 bits. .exe
Arquivo de desenho XML do Microsoft Visio. .vxd
Arquivo de sistema operacional OS/2. .os2
Arquivo executável do Windows de 16 bits. .w16
Arquivo de sistema operacional em disco. .dos
Arquivo padrão de teste antivírus do Instituto Europeu para Pesquisa de Antivírus de Computador. .com
Arquivo de informações de programa do Windows. .pif
Arquivo de programa executável do Windows. .exe

Importante

.rar (extração automática de ficheiros de arquivo criados com o arquivo WinRAR), .jar (ficheiros de arquivo Java) e .obj (código fonte compilado, objeto 3D ou ficheiros de sequência) não são considerados tipos de ficheiro executáveis. Para bloquear estes ficheiros, pode utilizar regras de fluxo de correio que procuram ficheiros com estas extensões, conforme descrito anteriormente neste artigo, ou pode configurar uma política antimalware que bloqueia estes tipos de ficheiro (o filtro de tipos de anexo comuns). Para obter mais informações, veja Configurar políticas antimalware na EOP.

Políticas de prevenção de perda de dados e regras de fluxo de correio de anexos

Observação

Esta secção não se aplica a organizações EOP autónomas.

Para o ajudar a gerir informações comerciais importantes em e-mails, pode incluir qualquer uma das condições relacionadas com o anexo, juntamente com as regras de uma política de prevenção de perda de dados (DLP).

As políticas DLP e as condições relacionadas com anexos podem ajudá-lo a impor as suas necessidades empresariais ao definir essas necessidades como condições, exceções e ações da regra de fluxo de correio. Quando inclui a inspeção de informações confidenciais numa política DLP, todos os anexos às mensagens são analisados apenas para essas informações. No entanto, as condições relacionadas com anexos, como o tamanho ou o tipo de ficheiro, não são incluídas até adicionar as condições listadas neste artigo. O DLP não está disponível com todas as versões do Exchange; para obter mais informações, veja Prevenção de perda de dados.

Para obter mais informações

Para obter informações sobre o bloqueio geral de e-mails com anexos, independentemente do estado de software maligno, consulte Cenários comuns de bloqueio de anexos para regras de fluxo de correio no Exchange Online.