我的公司最近一直在处理一些病毒,我注意到所有这些病毒都有一个共同点,那就是它们会随每个收件人的“密件抄送:”字段和空的“收件人:”字段一起发送,并附带一个 zip 文件附件。我们目前使用的是 Exchange 2010 并安装了 Exchange Online Protection。
到目前为止,我们一直通过在看到电子邮件时立即阻止附件文件名来处理此问题,但我真的希望采取更积极主动的方法。
我尝试在 EOP 中创建一条规则,删除收件人地址与任何文本模式匹配的所有电子邮件:“^$”且任何附件的文件扩展名与“zip”匹配,但它并没有阻止我的任何测试电子邮件。
有任何想法吗?
答案1
听起来你可能想使用特定的谓词AnyOfToHeader。 Technet 文章供参考。
我最大的疑问是:为什么这些垃圾会通过 EOP?我偶尔会在档案中收到带有宏的文档,但通常 EOP 会快速过滤掉这些项目的重复内容。
我在租户中对 ZIP/RAR/7z 存档采取了不同的方法。我有一个传输规则,将 [包含 ZIP/RAR/7z 的项目] 发送到管理邮箱而不是用户邮箱,因此我可以查看内容并发送给最终用户。这会导致最终用户的延迟,但影响比 cryptolocker 或一些围绕我们的文件共享的无用信息要小。
Exchange Online(显然不是您的操作环境)将有一个功能发布即将推出,当满足传输规则时,将允许通知最终用户。我打算使用它在我们的 ITSM 解决方案中生成电子邮件和生成服务请求。