Введение в проверку вложений с помощью транспортных правил


Транспортные правила Exchange предоставляют компании инструменты, необходимые для реализации политик обмена сообщениями. Возможно, вы знакомы с транспортными правилами в Exchange Server 2007 и возможностью проверять различные части сообщения, такие, как тема, тело и заголовки, на наличие конкретных слов или на соответствие текстовым шаблонам.  Если вы не знакомы с транспортными правилами, то вы можете найти их обзор в документации Exchange 2007 на TechNet.

Добавлена поддержка вложений

В Exchange Server 2010 мы расширили функциональность поиска слов и поиска текста по шаблону в транспортных правилах, чтобы включить проверку поддерживаемых почтовых вложений. В транспортные правила были добавлены два новых условия (известные как предикаты) :

• when an attachment contains words  (когда вложение содержит слова)
• when an attachment matches text patterns (когда вложение соответствует тестовым шаблонам)

Транспортные правила с одним из этих условий будут разбирать тело вложенного документа (включая верхние и нижние колонтитулы, но не включая свойства метаданных документа), отыскивая слово или соответствие шаблону внутри документа. Это позволяет лучше контролировать информацию, которая проходит через организацию Exchange Server 2010. Например, ваша организация может иметь политику, запрещающую отправку документов, которые содержат гриф конфиденциальности, за пределы организации). Можно установить транспортные правила для обеспечения реализации этой политики. Например, предположим, что организация хочет заблокировать (с возвратом уведомления) любое письмо с вложенными документами, которые содержат «Contoso Confidential»  (например, в верхнем или нижнем колонтитуле). Мы могли бы сконфигурировать транспортное правило следующим образом:

В предыдущем примере мы основывались на документах, в которые уже был встроен некоторый текст классификации. Для дальнейшей автоматизации процесса защиты от утечек мы можем искать в документе определенный текст по шаблону. Мы можем сделать это с помощью регулярных выражений для поиска текста по шаблону (смотрите подробности о регулярных выражениях, поддерживаемых в  Exchange 2007 и Exchange 2010, в документации по Exchange 2007). Например, ваша организация имеет политику, которая запрещает передачу номера социального страхования в электронной почте, включая номера социального страхования во вложенных документах. Мы могли бы сконфигурировать транспортное правило следующим образом:

В двух предыдущих примерах мы сфокусировались на блокировке сообщений, которые соответствуют нашим критериям. Существуют некоторые другие действия, доступные в транспортных правилах. К ним относятся:

• защита сообщения (и вложений) с помощью управления правами на доступ к данным (Information Rights Management, IRM), применяя шаблон службы управления правами Active Directory (Active Directory Rights Management Services, AD RMS)
• пересылка сообщения на модерацию
• назначение классификации сообщения
• назначение «отказа об ответственности» (disclaimer)
• отправка копии сообщения на другой адрес
• «тихое» удаление сообщения

Какие типы файлов поддерживаются?

Проверка вложений в транспортных правилах поддерживает те же самые типы файлов, что и поиск Exchange. Функция проверки вложений основывается на IFilters для того, чтобы получить текстовый поток из файла вложения. Полный набор IFilters, установленных с Exchange изначально, можно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\MSSearch\Filters.  К ним относятся:

• Документы Microsoft Office (то есть doc/docx, xls/xlsx, ppt/pptx.)
• Сообщения электронной почты (то есть msg, eml, .)
• HTML и текстовые форматы

Замечание: для файловых вложений HTML и XML транспортные правила проверяют только отображаемое содержимое (rendered content). Они не проверяют содержимое внутри тегов разметки.

Как добавить поддержку дополнительных типов файлов?

Microsoft протестировала и поддерживает все IFilters, установленные с Exchange 2010 по умолчанию. IFilters третьих фирм могут быть добавлены для того, чтобы расширить возможности контроля за дополнительными типами файлов. Однако Microsoft не тестировала IFilters третьих фирм с транспортными правилами, так что настоятельно рекомендуется, чтобы вы полностью протестировали любой IFilter третьих фирм перед развертыванием в производственной среде. Файлы дополнительных типов могут быть проанализированы путем установки и регистрации соответствующих IFilter на всех транспортных серверах-концентраторах. Например, вы можете добавить поддержку проверку вложений типа PDF, загрузив и установив Adobe PDF IFilter. После этого просто зарегистрируйте IFilter DLL в реестре Exchange сервера:

1. Найдите CLSID для установленного IFilter (ищите в реестре под HKeyClassesRoot\CLSID\ или возьмите из документации). Например,CLSID для PDFфайлов: {E8978DA6-047F-4E3D-9C78-CDBE46041603}.
2. Создайте новый ключ под  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\MSSearch\CLSID с тем же самым именем, как найденный CLSID, и со значением по умолчанию, содержащим полный путь к файлу IFilter DLL. Например, для PDF файлов путь по умолчанию для PDF IFilter равен C:\Program Files\Adobe\Adobe PDF IFilter 9 for 64-bit platforms\bin\PDFFilter.dll.
3. Создайте ключ под  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v14\MSSearch\Filters с именем, равным расширению файла, который обрабатывается фильтром. Задайте значение по умолчанию для этого ключа равным CLSID этого IFilter. Например, для файлов PDF ключ, который вы должны создать:
Name: .pdf
Value: {E8978DA6-047F-4E3D-9C78-CDBE46041603}
4. Учетная запись Network Service должна иметь права на чтение обоих ключей. Чтобы проверить права и дать Network Service право на чтение, щелкните правой кнопкой мышки на  ключах CLSID и Filter, выберете "Permissions...". Network Service должен быть добавлен с правом Read.

Теперь движок транспортных правил сможет контролировать вложения этих типов на предмет ключевых слов и текстовых шаблонов,  заданных в условии транспортного правила.  Кэш реестра автоматически обновляется каждые 30 минут, но если вы хотите, чтобы изменения вступили в силу немедленно, то перезапустите Exchange Transport Service на транспортном сервере-концентраторе, где произвели изменения. В командной строке Exchange выполните:

Restart-Service msexchangetransport

Замечание: для того, чтобы Exchange мог использовать IFilters третьих фирм. они должны быть 64-разрядными.

 

Замечание: вы можете также исключить поддержку определенных типов файлов, удалив из реестра соответствующие им ключи.

Что происходит с вложениями, которые не поддерживаются?

Условия проверки вложений будут обрабатывать только файлы, имеющие соответствующий IFilter, зарегистрированный для данного типа файлов. Если для данного вложения не существует IFilter, то этот файл рассматривается как «неподдерживаемый» («unsupported»). Два выше приведенных условия не буду инициировать действие в заданном правиле для неподдерживаемых вложений. Для некоторых организаций это может быть достаточным: обрабатывать только сообщения с файлами, которые могут быть проверены. Другие организации могут захотеть более строгий контроль и специальную обработку вложений, которые не могут быть проверены. Для такого случая мы ввели другое транспортное условие в Exchange 2010:

• when attachment is unsupported (когда вложение не поддерживается)

Например, предположим, что организация хочет вручную обрабатывать любое приходящее извне письмо с вложением, которое не может быть проверено транспортными правилами (например, неподдерживаемые типы файлов). Мы могли бы иметь транспортное правило настроенное следующим образом:

Это позволяет модератору утвердить или отклонить сообщение для доставки внешним получателям. Вы можете также добавлять свои собственные исключения в правиле для того, чтобы  разрешить выбранным пользователям обойти контроль (в приведенном выше примере мы добавили исключение для членов группы доверенных отправителей).

Как насчет зашифрованных файлов?

В общем случае транспортные правила не могут иметь доступ к содержимому файлов, зашифрованных пользователями. Ключи, необходимые для декодирования, недоступны на сервере. Однако Exchange Server 2010 поддерживает интеграцию со службами управления правами Active Directory (Rights Management Services, RMS), так что транспортные правила могут в пределах организации декодировать и проверять почтовые сообщения и вложения, защищенные с помощью управления правами на доступ к данным (Information Rights Management, IRM).

Как на счет архивных файлов?

Проверка вложений в транспортных правилах не поддерживает архивные файлы в Exchange Server 2010. Команда Exchange будет работать над добавлением поддержки для распознавания и распаковки содержимого архивных файлов (например, arc, zip, tar, cab и т.д.) в будущих релизах. В Exchange 2010 RTM архивные файлы рассматриваются как «неподдерживаемые».

Можно ли блокировать почтовые сообщения с вложениями по типу файлов?

Да, существует условие транспортного правила, которое может быть использовано для этого в Exchange Server 2007 и Exchange Server 2010:

• when any attachment file name contains text patterns (когда имя любого вложенного файла содержит текстовый шаблон)

Вы можете отловить сообщения с вложениями определенного типа, добавляя расширения файлов в условия поиска. Например:


 
Затем установите действие в правиле, чтобы заблокировать сообщение. Отметим, что это только проверяет имя присоединенного файла, но не его содержимое, чтобы определить тип файла. Если ваша задача в том, чтобы предотвратить вирусы, отфильтровывая определенные типы вложений независимо от того, как называется вложенный файл, то вместо этого вы можете захотеть использовать агент фильтрации вложений.

Можно ли блокировать вложения, превышающие определенный размер?

Да, для этого существует условие транспортного правила, которое можно использовать в Exchange Server 2007 и Exchange Server 2010:

• when the size of any attachment is greater than or equal to limit (когда размер любого вложения больше или равен ограничению)

Можно перехватывать сообщения с вложениями, размер которых больше или равен  (в Кбайт) заданного значения, и применять к ним любое действие транспортного правила. Организации могут использовать это для предотвращения отправки больших файлов по почте и поощрения использования сайтов SharePoint для совместной работы.

Стив Клэгг

Перевод: Илья Сазонов, MVP

 

Comments (0)

Skip to main content