适用于:
2016 2019 订阅版
可以通过设置邮件流规则 (也称为传输规则) 来检查组织中的电子邮件附件。 Exchange 提供邮件流规则,提供检查电子邮件附件作为邮件安全性和合规性需求的一部分的功能。 当您检查附件时,您可以根据这些附件的内容或特征对经过检查的邮件采取操作。 下面是一些可以使用邮件流规则执行的与附件相关的任务:
- 在压缩附件(如 和
.rar文件).zip中搜索文件,如果有任何文本与指定的模式匹配,请在邮件末尾添加免责声明。 - 检查附件中的内容,如果有任何您指定的关键词,则将邮件重定向到仲裁人进行审批,然后再传递。
- 检查包含无法检查的附件的邮件,然后阻止整个邮件的发送。
- 如果你选择阻止邮件传递,请检查附件是否超过特定大小,然后通知发件人问题。
- 创建通知,在用户发送与邮件流规则匹配的邮件时发出警报。
- 阻止包含附件的所有邮件。 有关示例,请参阅常见的附件阻止方案。
Exchange 管理员可以转到 Exchange 管理中心>邮件流规则来创建邮件流>规则。 You need to be assigned permissions before you can perform this procedure. 开始创建新规则后,可以通过单击“应用此规则 if”下的“更多选项>”“任何附件”来查看附件相关条件的完整列表。 The attachment-related options are shown in the following diagram.
有关邮件流规则的详细信息(包括可选择的一系列条件和作),请参阅邮件流规则 (Exchange Server中的传输规则) 。 Exchange Online Protection (EOP) 和混合客户可以从配置 EOP 的最佳做法中提供的邮件流规则最佳做法中受益。 如果已准备好开始创建规则,请参阅 Exchange Server 中邮件流规则的过程。
检查附件中的内容
可以使用下表中的邮件流规则条件来检查邮件附件的内容。 这些条件只检查附件的前 150 KB。 若要在检查邮件时开始使用这些条件,需要将它们添加到邮件流规则中。 若要了解如何创建或更改规则,请参阅 Exchange Server 中邮件流规则的过程。
| EAC 中的条件名称 | 命令行管理程序中的条件名称 | 说明 |
|---|---|---|
| 任何附件内容包含这些词语中的任何一个 | AttachmentContainsWords |
此条件会匹配受支持的文件类型附件包含指定的字符串或一组字符的邮件。 |
| 任何附件内容与这些文本模式匹配 | AttachmentMatchesPatterns |
此条件会匹配受支持的文件类型附件包含的文本模式与指定正则表达式匹配的邮件。 |
此处所列条件的 Exchange 命令行管理程序名称是需要 TransportRule cmdlet 的参数。
要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule。
若要详细了解这些条件的属性类型,请参阅邮件流规则条件和例外, (Exchange Server 中的谓词) 。
邮件流规则只能检查受支持文件类型的内容。 如果邮件流规则代理遇到不在支持的文件类型列表中的附件,则会触发该 AttachmentIsUnsupported 条件。 下一节列出了受支持的文件类型。 任何未列出的文件都会触发条件 AttachmentIsUnsupported 。
压缩的存档文件
如果邮件包含压缩的存档文件(如 .zip 或 .cab 文件),邮件流规则代理将检查该附件中包含的文件。 处理此类邮件的方式与处理具有多个附件的邮件类似。 不检查压缩存档文件的属性。 例如,如果容器文件类型支持注释,则不检查该字段。
邮件流规则内容检查支持的文件类型
下表列出了邮件流规则支持的文件类型。 系统通过检查文件属性而不是实际文件扩展名来自动检测文件类型。 此行为有助于通过重命名文件扩展名来防止黑客绕过邮件流规则筛选。 本主题稍后会列出一个文件类型列表,其中包含可在邮件流规则上下文中检查的可执行代码。
从 Exchange Server 2019 CU15 (2025H1) 版本开始,Exchange Server使用 DocParser 而不是 Oracle Outside In Technology。 此更新还引入了对其他文件类型的支持。 如果使用 Exchange Server 2019 CU15 或更高版本,可以检查以下文件类型:
| 类别 | 文件扩展名 | 注意 |
|---|---|---|
| Adobe PDF | .pdf |
None |
| 压缩的存档文件 | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z |
None |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml |
None |
| JSON | .adaptivecard, .json, .messagecard |
None |
| 邮件 | .eml, .msg, .nws |
None |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw |
同时还会检查这些文件类型中包含的任何嵌入式部件的内容。 但是,不会检查任何未嵌入 (的对象,例如链接文档) 。 还会扫描自定义属性中的内容。 |
| Microsoft Office xml | .excelml, .powerpointml, .wordml |
None |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx |
None |
| OpenDocument | .odp, .ods, .odt |
不处理 .odf 文件的任何部分。 例如,如果 .odf 文件包含嵌入式文档,则不检查该嵌入式文档的内容。 |
| 其他 | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps |
None |
| Text | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs |
还会扫描基于文本的其他文件。 此列表具有代表性。 |
| XML | .infopathml, .jsp, .mspx, .xml |
None |
如果使用的版本早于 Exchange Server 2019 CU15 (2025H1) ,则可以检查以下文件类型:
| 类别 | 文件扩展名 | 注意 |
|---|---|---|
| Office 2013、Office 2010 和 Office 2007 | .docm, .docx, .pptm, .pptx, .pub, .one, .xlsb, .xlsm, .xlsx |
默认情况下,不支持 Microsoft OneNote 和 Microsoft Publisher 文件。 可以使用 IFilter 集成实现对这些文件类型的支持。 有关详细信息,请参阅在 Exchange Server 中注册 IFilters 筛选器包。 同时还会检查这些文件类型中包含的任何嵌入式部件的内容。 但是,不会检查任何未嵌入 (的对象,例如链接文档) 。 |
| Office 2003 | .doc, .ppt, .xls |
None |
| 其他 Office 文件 | .rtf, .vdw, .vsd, .vss, .vst |
None |
| Adobe PDF | .pdf |
None |
| HTML | .html |
None |
| XML | .xml |
None |
| Text | .txt, .asm, .bat, .c, .cmd, .cpp, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, inf, .ini, inx, .js, .log, .m3u, .pl, .rc, .reg, .vbs, .wt |
None |
| OpenDocument | .odp, .ods, .odt |
不处理 .odf 文件的任何部分。 例如,如果 .odf 文件包含嵌入式文档,则不检查该嵌入式文档的内容。 |
| AutoCAD 绘图 | .dxf |
不支持 AutoCAD 2013 文件。 注意:安装 Exchange Server 2024 年 3 月 SU 后,无法再检查文件类型。 |
| 图像 | .jpg, .tiff |
仅检查与这些图像文件关联的元数据文本。 没有光学字符识别。 注意:安装 Exchange Server 2024 年 3 月 SU 后,无法再检查文件类型。 |
检查附件的文件属性
以下邮件流规则条件检查附加到邮件的文件的属性。 若要在检查邮件时开始使用这些条件,需要将它们添加到邮件流规则中。 此处列出了受支持的文件类型列表,其中包含可在邮件流规则上下文中检查的可执行代码。 有关创建或更改规则的详细信息,请参阅 Exchange Server 中邮件流规则的过程。
| EAC 中的条件名称 | 命令行管理程序中的条件名称 | 说明 |
|---|---|---|
| 任何附件文件名匹配这些文本模式 | AttachmentNameMatchesPatterns |
当邮件的附件为支持的文件类型,并且附件的名称中包含您指定的字符时,则匹配此条件。 |
| 任何附件的文件扩展名包含这些词 | AttachmentExtensionMatchesWords |
当邮件的附件为支持的文件类型,并且附件的文件扩展名与您所指定的扩展名匹配时,则匹配此条件。 |
| 任何附件大小大于或等于 | AttachmentSizeOver |
当邮件的附件为支持的文件类型,并且附件的大小超出您所指定的大小时,则匹配此条件。 |
| 任何附件未完成扫描 | AttachmentProcessingLimitExceeded |
当邮件流规则代理未检查附件时,此条件与邮件匹配。 |
| 任何附件具有可执行内容 | AttachmentHasExecutableContent |
此条件会匹配包含可执行文件作为附件的邮件。 这里列出了受支持的文件类型。 |
| 任何附件采用密码保护 | AttachmentIsPasswordProtected |
当邮件的附件为支持的文件类型,并且附件采用密码保护,则匹配此条件。 |
此处所列条件的 Exchange 命令行管理程序名称是需要 TransportRule cmdlet 的参数。
- 要了解有关该 cmdlet 的详细信息,可参阅 New-TransportRule。
- 若要详细了解这些条件的属性类型,请参阅邮件流规则条件和例外, (Exchange Server 中的谓词) 。
邮件流规则检查支持的可执行文件类型
传输代理通过检查文件属性(而不仅仅是文件扩展名)来使用真正的类型检测。 此检测有助于通过重命名文件扩展名来防止黑客绕过规则。 下表列出了这些条件支持的可执行文件类型。 如果找到此处未列出的文件,则会触发条件 AttachmentIsUnsupported 。
| 文件类型 | 本机扩展 |
|---|---|
| 使用动态链接库扩展名的 32 位 Windows 可执行文件。 | .dll |
| 自解压的可执行程序文件。 | .exe |
| 卸载可执行文件。 | .exe |
| 程序快捷方式文件。 | .exe |
| 32 位 Windows 可执行文件。 | .exe |
| Microsoft Visio XML 绘图文件。 | .vxd |
| OS/2 操作系统文件。 | .os2 |
| 16 位 Windows 可执行文件。 | .w16 |
| 磁盘操作系统文件。 | .dos |
| 欧洲计算机研究所防病毒研究标准防病毒测试文件。 | .com |
| Windows 程序信息文件。 | .pif |
| Windows 可执行程序文件。 | .exe |
重要
.rar (使用 WinRAR 存档器) 创建的自解压缩存档文件、 .jar (Java 存档文件) 以及 .obj (编译的源代码、3D 对象或序列文件) 文件不被视为 可执行文件类型。 若要阻止这些文件,可以使用邮件流规则查找具有这些扩展名的文件,如本文前面所述。
扩展受支持的文件类型的数目
本主题中列出的受支持的文件类型可以随时使用 IFilter 集成进行修改。 有关详细信息,请参阅在 Exchange Server 中注册 IFilters 筛选器包。
使用此过程添加的文件类型将成为受支持的文件类型,并且不再触发条件 AttachmentIsUnsupported 。
数据丢失防护策略和附件邮件流规则
为了帮助您管理电子邮件中的重要业务信息,您可以将任何与附件相关的条件包含在数据丢失预防 (DLP) 策略的规则内。 例如,您可能会希望允许发送包含护照号码的邮件,条件是仅当护照号码在密码保护的附件内。 为此,请执行以下步骤:
- 创建 DLP 策略,检查邮件中的与密码相关的敏感信息。 有关详细信息,请参阅Exchange Server中的数据丢失防护。
- 在“例外 if...” 邮件流规则区域中添加“任何附件受密码保护”例外。
- 定义对包含护照号码不在受保护文件中的邮件执行的作。
DLP 策略和附件相关条件可将这些需求定义为邮件流规则条件、异常和作,从而帮助你强制实施业务需求。 当您将敏感信息检查包含在 DLP 策略中时,会对任何邮件附件仅针对该信息进行扫描。 但是,在添加本主题中列出的条件之前,不会包含与附件相关的条件(如大小或文件类型)。 DLP 并非适用于所有版本的 Exchange;有关详细信息,请参阅 数据丢失防护。