管理 Office 365 中的电子邮件附件策略 - 第 1 部分#4

电子邮件附件的主题表现在两个主要场景中：

1. 恶意软件场景 - 与事件相关的场景，其中敌对分子将一些恶意软件附加到电子邮件中，将电子邮件发送给我们的组织收件人之一，收件人打开电子邮件并“激发”恶意软件文件。
2. 公司政策、法规等 - 公司政策或具体法规规定可以附加到发送给某些公司员工或由某些公司员工发送的电子邮件（邮件附件）的文件类型的情况。

管理 Office 365 中的电子邮件附件策略 |文章系列

该系列文章包括以下文章：

• 管理 Office 365 中的电子邮件附件策略 - 第 1 部分#4
• 管理 Office 365 中的电子邮件附件策略 - 第 2#4 部分
• 管理 Office 365 中的电子邮件附件策略 - 第 3 部分#4
• 管理 Office 365 中的电子邮件附件策略 - 第 4 部分#4

在下面的文章中，我想回顾一下主题 - Office 365 和基于 Exchange Online 的环境中的邮件附件。

我们将首先回顾 Office 365 环境中邮件附件主题的一个非常常见的遗漏概念，然后回顾如何通过创建 Exchange Online 传输规则在基于 Office 365 的环境中实施电子邮件附件策略。

电子邮件附件政策 - 文章系列

管理电子邮件附件策略系列文章包括四篇文章。
在第一篇文章中，我们将全面回顾电子邮件附件策略的主题特征和要求。

三篇文章的其余部分专门讨论“如何做”部分。在本文中，我们将回顾几个使用 Exchange Online 传输规则在 Office 365 环境中配置电子邮件附件策略的示例。

Exchange Online、邮件附件和恶意软件

让我们从两个重要的“声明”开始

1. 自动扫描并删除Exchange Online环境中的恶意软件文件附件。

在基于 Office 365 的环境中，负责邮件安全并充当邮件安全网关的基础设施是 - EOP（Exchange Online 保护）基础设施。

EOP（Exchange Online 保护）基础结构会扫描发送给 Office 365 收件人或从 Office 365 收件人发送给其他收件人的每封电子邮件。

如果 EOP 发现电子邮件包含被视为“恶意软件”（恶意代码）的附件，EOP 将自动阻止该恶意文件。

如果电子邮件包含被视为恶意软件的附件，我们无法“告诉”EOP 我们想要接受特定的恶意附件，但我们可以决定针对以下情况强制执行一些可能的“操作”：包含恶意附件的电子邮件。

与恶意附件相关的 EOP 策略描述为 - 恶意软件检测响应

在下面的屏幕截图中，我们可以看到用于配置 EOP 恶意软件检测响应的界面

在 Exchange Online 管理中，在左侧菜单栏上，我们选择保护菜单，然后在顶部菜单栏，我们选择恶意软件过滤器。

我们可以看到我们的选择是：

• 删除整条消息
• 删除所有附件并使用默认警报文本
• 删除所有附件并使用自定义警报文本

在下图中，我们可以看到包含 EXE 文件附件的电子邮件消息流示例。

该电子邮件被EOP 接受，EOP 将扫描十封电子邮件所附加的EXE 文件。

如果 EXE 不是“恶意软件”（合法的 EXE 文件），EOP 会将电子邮件转发到用户邮箱。

如果用户使用 Outlook 邮件客户端阅读电子邮件，Outlook 邮件客户端将默认阻止对 EXE 文件的访问。

2. 负责执行电子邮件附件策略的元素是邮件客户端，默认情况下不是邮件服务器。

关于“基于 Exchange 的环境中的电子邮件附件策略”这一主题，一个非常常见的误解是，默认情况下负责执行电子邮件附件策略的元素是“服务器”端。

事实上，事实恰恰相反。

默认情况下，Exchange 服务器不会强制执行任何电子邮件附件策略。

当我们使用标准的“Microsoft 邮件客户端”（例如 Outlook 和 OWA）时，强制执行邮件消息附件策略的元素是 - 邮件客户端本身！

在线交流 | OWA 和 Outlook 邮件客户端 |带有附件的邮件

正如上一节中提到的，Outlook 邮件和 OWA 邮件客户端有自己的内置电子邮件附件策略。

在下面的屏幕截图中，我们可以看到包含 EXE 文件附件的电子邮件示例。

当使用Outlook邮件客户端时，我们可以看到电子邮件中包含一个名为notepad.exe的EXE附件文件，但是红色圆圈图标告诉我们无法保存或激活该文件。

使用 OWA 邮件客户端时实现了相同的概念。

请注意，在我们的场景中，收件人是 Office 365 收件人。

带有 EXE 文件附件的发送给 Office 365 收件人的邮件是通过 Exchange Online 服务器传递的。

Exchange Online 没有阻止或删除 EXE 文件附件，因为在我们的场景中，EXE 文件附件是合法文件（记事本可执行文件）而不是恶意软件。

换句话说，Exchange Online 对于 EXE 文件附件是中立的。

阻止访问 EXE 文件附件的“元素”是邮件客户端（Outlook 和 OWA）。

从技术上讲，我们将使用另一个邮件客户端（不是 Outlook 或 OWA 邮件客户端），但我们可以访问 EXE 文件附件，因为我们使用的特定邮件客户端不强制执行电子邮件附件策略。

Office 365 环境中与邮件附件相关的三种常见邮件流场景

当我们提到“电子邮件附件策略”一词时，主要存在三种邮件流场景：

场景 1 - “内部邮件流”

此方案涉及 - 组织收件人之间的所有邮件流。
在此方案中，我们需要确定我们要为所传递的电子邮件实施的“正确”电子邮件附件策略是什么“在家里”。

例如 - 我们可以说附件策略可以减少限制并允许更多类型的文件附件，因为我们可以“信任”公司用户发送的电子邮件。

场景 2 - 外部收件人向组织收件人发送电子邮件

此场景涉及从“未知”或不受信任的收件人发送到我们组织收件人的电子邮件。

在这种情况下，我们对我们“愿意”接受的邮件附件类型更加怀疑。

场景 3 - 组织收件人向外部收件人发送电子邮件

此场景涉及从我们的组织收件人发送到
“非组织收件人”的电子邮件。

表面上，我们“不关心”发送给非组织收件人的电子邮件附件，但实际情况要复杂得多。

我们应该考虑一种可能的情况，在这种情况下，我们的组织用户有意或无意地发送了一封包含恶意软件或其他组织不“接受”的特定文件附件的电子邮件。

这种情况可能会导致一些诉讼、公司声誉受损等。

开始之前 - 如何处理包含特定附件的电子邮件

在下一篇文章中，我们将回顾将在实施和强制执行电子邮件附件策略时使用的 Exchange Online 传输规则的不同选项和变体。

然而，在我们开始“逐步”说明并决定我们将“阻止”什么类型的邮件附件之前，花点时间并为“传输规则操作部分”分配一些时间非常重要。 ”。

换句话说，在我们“捕获”不违反我们的电子邮件附件政策的电子邮件附件的情况下，到底该怎么做。

好消息是，Exchange 传输规则基础设施非常复杂，并且包括多种选项供我们选择。

在下面的部分中，我想简要回顾一下在电子邮件包含非投诉的特定附件的情况下我们可以实施的常见选项或“操作”。

选项 1 - 将带有附件的电子邮件发送到隔离区

描述

在这种情况下，我们将带有附件的电子邮件“重定向”到专用的“隔离区域”（不是用户邮箱的一部分），收件人本人或 Exchange Online 管理员都可以访问该区域。

优势：

• “有问题的电子邮件”不会“到达”用户邮箱，通过这样做，我们将风险因素纳入其中，用户可以下载+激活附件。

坏处

• 收件人不知道电子邮件已发送给他，并且该特定电子邮件有可能是重要的\合法的电子邮件（误报）。
• 收件人需要自行访问隔离区并“拉取”或删除电子邮件。
• 收件人可以将电子邮件消息“拉”到他的邮箱并激活附件文件。

选项 2 - 发送带有附件的电子邮件给“管理员用户”

描述

电子邮件不会被删除，而是发送到“专用用户邮箱”，该邮箱将负责访问该邮箱、检查“有问题”的电子邮件等。

优势：

• “有问题的电子邮件”不会“到达”用户邮箱，通过这样做，我们将风险因素纳入其中，用户可以下载+激活附件。

坏处

• 收件人不知道电子邮件已发送给他，并且有可能该特定电子邮件很重要\合法电子邮件（误报）。
• 被指定为负责人的人员需要分配所需的资源来访问包含带有附件的电子邮件的邮箱、检查和测试附件、通知“目的地收件人”等。

选项 3 - 删除带有附件的电子邮件

描述

我们不想“处理”包含附件的电子邮件的场景。所需的操作是 - 删除（销毁）电子邮件。

优势：

• “有问题的电子邮件”不会“到达”用户邮箱，通过这样做，我们将风险因素纳入其中，用户可以下载+激活附件。

坏处：

• 收件人不知道电子邮件已发送给他，并且有可能该特定电子邮件很重要\合法电子邮件（误报）。
• 如果电子邮件消息是合法电子邮件消息，则没有选项可以恢复该电子邮件消息。

选项 4 - 在来源和目标收件人前面添加免责声明

描述

在大多数情况下，此“操作”作为特定操作的补充而应用，例如 - 删除带有附件的电子邮件。

例如，如果电子邮件消息包含可执行文件附件，则删除电子邮件消息+向发送邮件的元素\收件人发送响应，通知他的电子邮件消息已被阻止或删除，并在同时，向目标收件人（我们的组织用户）发送一条通知消息，通知他本应发送给他的电子邮件已被阻止，因为该电子邮件包含不向收件人投诉的附件文件公司政策。

优势：

• 优点是收件人组织“意识到”本应发送给他的电子邮件已被阻止。如果电子邮件附件是“合法附件”，组织用户可以向发送电子邮件的外部收件人发出请求，并要求他使用不同的方式而不是电子邮件来提供文件。

坏处：

• 我想不出有什么突出的缺点。

下一篇

在下一篇文章中，我们将回顾如何创建 Exchange Online 传输规则，该规则将通过“停止”包含可执行内容的电子邮件来对电子邮件强制执行电子邮件附件策略。