Usar regras de fluxo de emails para inspecionar anexos de mensagens no Exchange Online
Em organizações do Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, pode inspecionar anexos de e-mail ao configurar regras de fluxo de correio (também conhecidas como regras de transporte). As regras de fluxo de correio permitem-lhe examinar anexos de e-mail como parte das suas necessidades de segurança e conformidade de mensagens. Quando inspeciona anexos, pode efetuar ações nas mensagens com base no conteúdo ou características dos anexos. Seguem-se algumas tarefas relacionadas com anexos que pode efetuar ao utilizar regras de fluxo de correio:
- Procure ficheiros com texto que corresponda a um padrão que especifique e adicione uma exclusão de responsabilidade no final da mensagem.
- Inspecionar o conteúdo de anexos e, se houver qualquer palavra-chave especificada, redirecionar a mensagem para um moderador para que ela seja aprovada antes de ser entregue.
- Verificar mensagens com anexos que não podem ser inspecionados e bloquear o envio de toda a mensagem.
- Verifique se existem anexos que excedam um determinado tamanho e, em seguida, notifique o remetente do problema se optar por impedir que a mensagem seja entregue.
- Verifique se as propriedades de um documento do Office anexado correspondem aos valores que você especificou. Com esta condição, pode integrar os requisitos das suas regras de fluxo de correio e políticas DLP num sistema de classificação de terceiros, como o SharePoint ou a Infraestrutura de Classificação de Ficheiros (FCI) do Windows Server.
- Crie notificações que alertem os utilizadores se enviarem uma mensagem que corresponda a uma regra de fluxo de correio.
- Bloqueie todas as mensagens com anexos. Para obter exemplos, consulte Utilizar regras de fluxo de correio para cenários de bloqueio de anexos no Exchange Online.
Observação
Todas essas condições examinarão anexos de arquivo morto compactado.
Os administradores do Exchange Online podem criar regras de fluxo de correio no Centro de administração do Exchange (EAC) emRegras de fluxo> de correio. Precisa de permissões para efetuar este procedimento. Depois de começar a criar uma nova regra, pode ver a lista completa de condições relacionadas com anexos ao selecionar Qualquer anexo em Aplicar esta regra se. As opções relacionadas aos anexos são mostradas no seguinte diagrama.
Para obter mais informações sobre as regras de fluxo de correio, incluindo a gama completa de condições e ações que pode escolher, consulte Regras de fluxo de correio (regras de transporte) no Exchange Online. A Proteção do Exchange Online (EOP) e os clientes híbridos podem beneficiar das melhores práticas das regras de fluxo de correio fornecidas em Melhores Práticas para Configurar a EOP. Se estiver pronto para começar a criar regras, consulte Gerir regras de fluxo de correio no Exchange Online.
Dica
Se suspeitar que a regra não está a funcionar corretamente, verifique primeiro quais os anexos que a mensagem contém. Para inspecionar os anexos que a mensagem continha durante a avaliação da regra de fluxo de Correio, veja Test-TextExtraction.
Este método deve funcionar.
Inspecione o conteúdo em anexos
Pode utilizar as condições da regra de fluxo de correio na tabela seguinte para examinar o conteúdo dos anexos de mensagens. Para estas condições, só é inspecionado o primeiro 1 megabyte (MB) de texto extraído de um anexo. O limite de 1 MB refere-se ao texto extraído e não ao tamanho do ficheiro do anexo. Por exemplo, um ficheiro de 2 MB pode conter menos de 1 MB de texto para que todo o texto seja inspecionado.
Para começar a utilizar estas condições ao inspecionar mensagens, tem de as adicionar a uma regra de fluxo de correio. Para obter mais informações sobre como criar ou alterar regras, consulte Gerir regras de fluxo de correio no Exchange Online.
| Nome da condição no EAC | Nome da condição no PowerShell do Exchange Online | Descrição |
|---|---|---|
|
O conteúdo de qualquer anexo inclui Qualquer anexo>conteúdo inclui qualquer uma destas palavras |
AttachmentContainsWords | Esta condição corresponde a mensagens com anexos de tipos de arquivos suportados que contêm uma sequência ou grupo de caracteres especificados. |
|
O conteúdo de qualquer anexo corresponde Qualquer anexo>o conteúdo corresponde a estes padrões de texto |
AttachmentMatchesPatterns | Esta condição corresponde a mensagens com anexos de tipos de arquivos suportados que contêm um padrão de texto que corresponde a uma expressão regular especificada. |
|
O conteúdo de qualquer anexo não pode ser inspecionado Qualquer anexo>não é possível inspecionar conteúdo |
AttachmentIsUnsupported | As regras de fluxo de correio só podem inspecionar o conteúdo dos tipos de ficheiro suportados. Se a regra de fluxo de correio encontrar um anexo que não é suportado, a condição AttachmentIsUnsupported é acionada. Os tipos de ficheiro suportados são descritos na secção seguinte. |
Observação
Os nomes das condições no PowerShell do Exchange Online são nomes de parâmetros nos cmdlets New-TransportRule e Set-TransportRule . Para obter mais informações, veja New-TransportRule.
Para obter mais informações sobre os tipos de propriedade para estas condições, consulte Condições e exceções da regra de fluxo de correio (predicados) no Exchange Online.
Para obter informações sobre como utilizar o Windows PowerShell para ligar ao Exchange Online, consulte Ligar ao PowerShell do Exchange Online.
Tipos de ficheiro suportados para inspeção de conteúdo da regra de fluxo de correio
A tabela seguinte lista os tipos de ficheiro suportados pelas regras de fluxo de correio. O sistema deteta automaticamente tipos de ficheiro ao inspecionar as propriedades do ficheiro em vez da extensão de nome de ficheiro real, ajudando assim a impedir que hackers maliciosos possam ignorar a filtragem de regras de fluxo de correio ao mudar o nome de uma extensão de ficheiro. Uma lista de tipos de ficheiro com código executável que pode ser verificada no contexto das regras de fluxo de correio é especificada mais à frente neste artigo.
| Categoria | Extensão de arquivo | Observações |
|---|---|---|
| Adobe PDF | Nenhum | |
| Arquivos compactados | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z | Nenhum |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml | Nenhum |
| JSON | placa adaptável, .json, cartão de mensagens | Nenhum |
| .eml, .msg, .nws | Nenhum | |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw | O conteúdo de quaisquer partes incorporadas contidas nesses tipos de arquivos também será inspecionado. No entanto, quaisquer objetos que não estejam incorporados (por exemplo, documentos ligados) não são inspecionados. Os conteúdos nas propriedades personalizadas também são analisados. |
| XML do Microsoft Office | .excelove my life, .powerpointml, .wordml | Nenhum |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx | Nenhum |
| OpenDocument | .odp, .ods, .odt | Nenhuma parte de arquivos .odf será processada. Por exemplo, se o arquivo .odf contiver um documento incorporado, o conteúdo desse documento incorporado não será verificado. |
| Outros | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps | Nenhum |
| Texto | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs | Outros ficheiros baseados em texto também são analisados. Esta lista é representativa. |
| XML | .infopathml, .jsp, .mspx, .xml | Nenhum |
Inspecionar as propriedades de arquivo dos anexos
As seguintes condições podem ser utilizadas nas regras de fluxo de correio para inspecionar diferentes propriedades dos ficheiros anexados às mensagens. Para começar a utilizar estas condições ao inspecionar mensagens, tem de as adicionar a uma regra de fluxo de correio. Para obter mais informações sobre como criar ou alterar regras, consulte Gerir regras de fluxo de correio.
Observação
Se quiser bloquear determinados ficheiros com a condição de ficheiro AttachmentNameMatchesPatterns ou AttachmentExtensionMatchesWords, tenha em atenção que esta condição está a inspecionar a extensão de nome de ficheiro real e não as propriedades do ficheiro, que é diferente da inspeção de conteúdo de ficheiro mencionada anteriormente de outras condições. Se precisar de bloquear um ficheiro com base na deteção de propriedades de ficheiros do sistema, por exemplo, o nome do ficheiro é mudado, utilize a funcionalidade "filtro de anexo comum" da política Anti-Mailware .
| Nome da condição no EAC | Nome da condição no PowerShell do Exchange Online | Descrição |
|---|---|---|
|
O nome de arquivo de qualquer anexo corresponde Qualquer anexo>o nome do ficheiro corresponde a estes padrões de texto |
AttachmentNameMatchesPatterns | Esta condição corresponde às mensagens com anexos cujo nome de arquivo contém os caracteres que você especificar. |
|
A extensão de arquivo de qualquer anexo corresponde Qualquer anexo>extensão de ficheiro inclui estas palavras |
AttachmentExtensionMatchesWords | Esta condição corresponde às mensagens com anexos cuja extensão do nome de arquivo corresponde àquilo que você especificou. |
|
Qualquer anexo é maior ou igual a Qualquer anexo>o tamanho é maior ou igual a |
AttachmentSizeOver | Esta condição corresponde às mensagens com anexos quando esses anexos são maiores do que ou iguais ao tamanho especificado. Esta condição refere-se aos tamanhos dos anexos individuais e não ao tamanho cumulativo. Por exemplo, se definir uma regra para rejeitar qualquer anexo com 10 MB ou superior, um único anexo com um tamanho de 15 MB é rejeitado, mas é permitida uma mensagem com três anexos de 5 MB. |
|
A verificação da mensagem não foi concluída Qualquer anexo>não concluiu a análise |
AttachmentProcessingLimitExceeded | Esta condição corresponde a mensagens quando um anexo não é inspecionado pelo agente de regras de fluxo de correio. |
|
Qualquer anexo inclui conteúdo executável Qualquer anexo>tem conteúdo executável |
AttachmentHasExecutableContent | Esta condição corresponde a mensagens que contêm arquivos executáveis como anexos. Os tipos de ficheiro suportados estão listados aqui. |
|
Algum anexo está protegido por senha Qualquer anexo>está protegido por palavra-passe |
AttachmentIsPasswordProtected | Esta condição corresponde às mensagens com anexos protegidos por senha. A deteção de palavras-passe funciona para documentos do Office, ficheiros comprimidos (.zip, .7z) e ficheiros .pdf. |
|
Qualquer anexo tem essas propriedades, incluindo qualquer uma dessas palavras Qualquer anexo>tem estas propriedades, incluindo qualquer uma destas palavras |
AttachmentPropertyContainsWords | Esta condição corresponde às mensagens em que a propriedade especificada do documento anexado do Office contém palavras especificadas. A propriedade e seus valores possíveis são separados por dois-pontos. Vários valores são separados por vírgula. Vários pares propriedade-valor também são separados por uma vírgula. |
Observação
Os nomes das condições no PowerShell do Exchange Online são nomes de parâmetros nos cmdlets New-TransportRule e Set-TransportRule . Para obter mais informações, veja New-TransportRule.
Para obter mais informações sobre os tipos de propriedade para estas condições, consulte Condições e exceções da regra de fluxo de correio (predicados) no Exchange Online.
Para obter informações sobre como ligar ao PowerShell do Exchange Online, consulte Ligar ao PowerShell do Exchange Online.
Tipos de ficheiro executáveis suportados para inspeção de regras de fluxo de correio
As regras de fluxo de correio utilizam a deteção de tipo verdadeiro para inspecionar as propriedades do ficheiro em vez de apenas as extensões de ficheiro. Esta abordagem ajuda a impedir que hackers maliciosos possam ignorar a sua regra ao mudar o nome de uma extensão de ficheiro. A tabela a seguir lista os tipos de arquivos executáveis aceitos por essas condições. Se for encontrado um ficheiro que não esteja listado aqui, a condição é acionada AttachmentIsUnsupported .
| Tipo de arquivo | Extensão nativa |
|---|---|
| Arquivo executável do Windows de 32 bits com extensão de biblioteca de vínculo dinâmico. | .dll |
| Arquivo de programa executável de autoação. | .exe |
| Arquivo executável de desinstalação | .exe |
| Arquivo de atalho de programa. | .exe |
| Arquivo executável do Windows de 32 bits. | .exe |
| Arquivo de desenho XML do Microsoft Visio. | .vxd |
| Arquivo de sistema operacional OS/2. | .os2 |
| Arquivo executável do Windows de 16 bits. | .w16 |
| Arquivo de sistema operacional em disco. | .dos |
| Arquivo padrão de teste antivírus do Instituto Europeu para Pesquisa de Antivírus de Computador. | .com |
| Arquivo de informações de programa do Windows. | .pif |
| Arquivo de programa executável do Windows. | .exe |
Importante
.rar (extração automática de ficheiros de arquivo criados com o arquivo WinRAR), .jar (ficheiros de arquivo Java) e .obj (código fonte compilado, objeto 3D ou ficheiros de sequência) não são considerados tipos de ficheiro executáveis. Para bloquear estes ficheiros, pode utilizar regras de fluxo de correio que procuram ficheiros com estas extensões, conforme descrito anteriormente neste artigo, ou pode configurar uma política antimalware que bloqueia estes tipos de ficheiro (o filtro de tipos de anexo comuns). Para obter mais informações, veja Configurar políticas antimalware na EOP.
Políticas de prevenção de perda de dados e regras de fluxo de correio de anexos
Observação
Esta secção não se aplica a organizações EOP autónomas.
Para o ajudar a gerir informações comerciais importantes em e-mails, pode incluir qualquer uma das condições relacionadas com o anexo, juntamente com as regras de uma política de prevenção de perda de dados (DLP).
As políticas DLP e as condições relacionadas com anexos podem ajudá-lo a impor as suas necessidades empresariais ao definir essas necessidades como condições, exceções e ações da regra de fluxo de correio. Quando inclui a inspeção de informações confidenciais numa política DLP, todos os anexos às mensagens são analisados apenas para essas informações. No entanto, as condições relacionadas com anexos, como o tamanho ou o tipo de ficheiro, não são incluídas até adicionar as condições listadas neste artigo. O DLP não está disponível com todas as versões do Exchange; para obter mais informações, veja Prevenção de perda de dados.
Para obter mais informações
Para obter informações sobre o bloqueio geral de e-mails com anexos, independentemente do estado de software maligno, consulte Cenários comuns de bloqueio de anexos para regras de fluxo de correio no Exchange Online.