在基于云的组织中,反恶意软件策略会阻止带有有害附件 (包括可执行附件) 的邮件。 有关详细信息,请参阅 反恶意软件保护。
若要进一步增强保护,可以使用邮件流规则 (也称为传输规则) 来标识和阻止包含可执行附件的邮件,如本文所述。
例如,在恶意软件爆发后,公司可能会应用具有时间限制的此规则,以便受影响的用户可以在指定的时间段后重新发送附件。
开始前,有必要了解什么?
需要先分配权限,然后才能执行本文中的过程。 具体而言,需要 传输规则 角色,该角色默认分配给 组织管理、 合规性管理和 记录管理 角色组。
有关详细信息,请参阅下列主题:
若要在 Exchange Online 中打开 EAC,请参阅 Exchange Online 中的 Exchange 管理中心。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
有关基于云的组织中的邮件流规则的详细信息,请参阅以下主题:
使用 EAC 创建阻止具有可执行附件的邮件的规则
在 EAC 中,转到 “邮件流>规则”。
选择“ +添加规则 ”,然后选择“ 创建新规则”。
在打开的 “设置规则条件 ”页中,配置以下设置:
名称:输入规则的唯一描述性名称。
如果:选择“任何附件>包含可执行内容”,则应用此规则。
执行以下作:选择“ 阻止邮件” ,然后选择所需的作:
拒绝邮件并包含说明:在出现的“ 指定拒绝原因 ”对话框中,输入要在未送达报告中显示的文本, (也称为 NDR 或退回邮件) 。 使用的默认增强状态代码是 5.7.1。
拒绝具有增强状态代码的消息:在出现的 “输入增强状态代码 ”对话框中,输入要在 NDR 中显示的增强状态代码。 有效值为 5.7.1 或从 5.7.900 到 5.7.999 的值。 默认拒绝文本为:传递未授权,邮件被拒绝。
删除邮件而不通知任何人 (如果选择此选项,则不会显示“ 保存 ”按钮,但会显示“ 下一步 ”按钮。)
完成后,选择“保存”。 您的附件阻止规则现在开始强制执行。
使用 PowerShell 创建阻止具有可执行附件的邮件的规则
使用以下语法创建规则来阻止包含可执行附件的邮件:
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
注意:
如果使用不带 RejectMessageReasonText 参数的 RejectMessageEnhancedStatusCode 参数,则默认文本为:传递未授权,邮件被拒绝。
如果使用 RejectMessageReasonText 参数而不使用 RejectMessageEnhancedStatusCode 参数,则默认代码为 5.7.1。
以下示例创建名为 “阻止可执行附件 ”的新规则,该规则以静默方式删除包含可执行附件的邮件。
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
有关语法和参数的详细信息,请参阅 New-TransportRule。
如何判断是否生效?
若要验证是否已成功创建邮件流规则来阻止包含可执行附件的邮件,请执行以下步骤:
在 EAC 中,转到“邮件流>规则>”,选择“编辑
的规则>,选择“设置”选项卡并验证设置。在 PowerShell 中,运行以下命令以验证设置:
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage