我们很多客户都收到过钓鱼邮件。大多数都被拦截了,但最近能通过的邮件都是 html 附件,其中包含用于混淆内容的 javascript。
它们都有一个共同点,它们都包含document.write
作为混淆的一部分。
<script>document.write(unescape('%20%0A%0A%3C...
我设置了如下的 Exchange 邮件流规则:
- 如果附件的内容包含:“document.write”,则应用此规则
- 执行以下操作...将待批准的消息转发至“email.approvals”
电子邮件仍会发送给收件人,该规则的优先级为 0。我是否误解了该规则的工作原理?
答案1
根据您的描述,我已经在我的Exchange 2016环境中对您提到的规则进行了同样的测试,可以成功应用该规则。考虑到邮箱服务器上的缓存没有及时更新,请重新启动Microsoft Exchange Transport服务(您需要在每台要强制更新缓存的邮箱服务器上重新启动该服务)。
Restart-Service MSExchangeTransport