/ 中存储网

Exchange Server 2010传输规则中的附件检查方法介绍和具体步骤

2014-08-29 00:27:11 来源:中存储网
 在Exchange Server 2007中,传输规则检查邮件的不同部分,如主题、正文、特定的词或文本模式的标题。Exchange Server 2010的传输规则又有哪些变化吗?

支持附件

Exchange Server 2010的传输规则扩展了关键词和文本模式匹配的运输规则的功能,包括电子邮件附件检查。传输规则新近添加了两个条件:

·when an attachment contains words

·when an attachment matches text patterns

具备上述两个条件之一时,传输规则就将解析附件的正文(包括标题和脚注,但不包括元数据文件的属性),在文件中搜索关键词或匹配的模式,对经过Exchange Server 2010组织传输的信息实现了良好的控制。例如,组织策略禁止附件包含机密性免责声明发往组织之外,传输规则强制执行这一策略。在这个例子中,假设管理员希望退回包含“Contoso Confidential”字样的附件,可以对传输规则进行如下设置:

前面的例子中,用嵌入了分类文本的附件进行说明。为了进一步提高泄漏保护的自动化,可以在文档中寻找特定的文本模式。我们通过使用正则表达式找出子附件中的文本模式。例如,组织策略禁止在邮件中传输社会保险号码,可以进行如下设置:

前面两个例子中,我们把重点放在阻止包含匹配标准的邮件上。在传输规则中,还有其他一些操作可供选择,即下列条件也可引用。这些条件包括:

?·转发邮件用于审核;

?·应用邮件分类

?·应用免责声明

?·复制邮件到另一个地址

?·静默删除邮件

支持的文件类型

传输规则的附件检查同Exchange搜索功能支持相同的文件类型。该功能通过IFilters从附件中得到一个文本流。整套的IFilters安装在注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftExchangeServerv14MSSearchFilters 下。

文件类型包括:

•Microsoft Office文档(例如:doc/ docx文档、xls/ xlsx文档、PPT / pptx文档)

•电子邮件信息格式(如:msg、eml)

•HTML和文本格式

注意:对于HTML和XML附件,传输规则只检查显现的内容,而不检查标记标签内的内容。

添加对文件类型的支持

本功能支持所有安装在Exchange Server 2010默认Ifilters下的文件格式,这一点已经过微软测试。用户也可以添加第三方开发的Ifilters,进一步扩展了检查其他类型附件的能力。但是,微软尚未用传输规则测试第三方开发的Ifilters,因此,强烈建议用户在应用到生产环境之前,对第三方开发的Ifilters进行完全测试。在每个Hub传输服务器上,附件都要由经过安装和注册的文件类型Ifilter进行语法分析。例如,用户可以下载和安装Adobe PDF Ifilter,添加对PDF附件的检查。之后,只需将IFilter的DLL文件注册到Exchange服务器注册表即可:

1.确定已安装IFilter的CLSID(在注册表的HKeyClassesRoot CLSID 下搜索,或从安装文件中获取)。如PDF文件的CLSID为:{E8978DA6 - 047F - 4E3D - 9C78 - CDBE46041603};

2.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftExchangeServerv14MSSearchCLSID下创建一个和CLSID同名的新注册表项,默认值指向了IFilter DLL文件的完整路径。

例如,对于PDF文件,PDF IFilter的默认路径是C:Program FilesAdobeAdobe PDF IFilter 9 for 64-bit platformsbinPDFFilter.dll。

3.在HKEY_LOCAL_MACHINESOFTWAREMicrosoftExchangeServerv14MSSearchFilters下,以该过滤器将要处理的文件的扩展名创建一个新键。该键的键值为Ifilter的CLSID。

例如,对于PDF文件,键名应为PDF,键值为:{E8978DA6 - 047F - 4E3D - 9C78 - CDBE46041603}。

4.网络服务需要有对上述两个键的读取访问权限。右击CLSID和Filter键,选择“Permissions…”,网络服务应增加读取权限。

现在,传输规则引擎将能够检查在传输规则条件中设置为关键词和文本模式的文件类型。注册表缓存每30分钟自动刷新一次,但是要使更改立即生效,可以重启已经作过更改的Hub传输服务器上的Exchange传输服务。Exchange Shell出现下列提示: Restart-Service msexchangetransport

注:第三方开发的Ifilters须为64位,以便Exchange服务器能够使用。 另外,用户也可以通过从上述注册表位置删除相应键及对应的文件扩展名,以撤销对特定文件类型的支持。

不支持附件的处理

附件检查功能只对注册过文件类型进行检查。如果一个给定的附件没有Ifilter,则该文件被视为“不支持”。上述两个条件对不支持的附件不会触发传输规则的操作。有些组织可能只希望让传输规则对其支持的文件类型进行检查,而也一些组织想实施更加严格的控制,希望传输规则对其不能检查的附件进行特殊处理。对于这种情况,在Exchange Server 2010中引入了另一个传输规则条件: when attachment is unsupported

比如,假设一个组织要对无法通过传输规则检查(例如,不支持的文件类型)的外来邮件附件进行人工审查。可以对传输规则进行这样的配置:

这样就具备了批准或拒绝将邮件发送给外部收件人的功能。用户也可以在规则中添加自己的例外规则,允许选定的用户绕过控制(在上面的例子中,我们添加了一个受信任发件人小组的成员,以使其绕过控制)。

  加密文件的处理

一般而言,传输规则不能够访问用户的加密文件内容,服务器不掌握解密密码。因为AD RMS能够解密并检查组织内受IRM保护的邮件及其Office文档附件的内容,因此,Exchange Server 2010不支持同AD RMS的整合.

归档文件的处理

在Exchange Server 2010中,传输规则附件检查不支持归档文件。Exchange团队希望在将来的版本中增加对导航和解压归档文件内容的支持(例如:arc, zip, tar, cab, etc.等文件类型)。在Exchange 2010 RTM版本中,归档文件将被视为“不支持”的文件。

  常见问题问答

问:可以通过附件的文件类型对邮件进行拦截吗?

答:可以。在Exchange Server 2007和Exchange Server 2010中,有这样一个传输规则条件:when any attachment file name contains text patterns.

用户可以通过添加文件扩展名设置拦截条件。例如:

接着,对传输规则的动作进行设置以反弹回邮件。注意,这里只是通过检查附件文件名而不是文件内容来确定文件类型。如果用户希望通过检查特定的文件类型来过滤病毒,不论文件怎样命名,都可以使用附件过滤代理来代替。

问:可以拦截大于特定尺寸的附件吗?

答:可以。在Exchange Server 2007和Exchange Server 2010中,有这样一个传输规则条件:when the size of any attachment is greater than or equal to limit

用户可以阻断大于或等于特定大小的邮件,适用于传输规则的每个操作。组织可以通过电子邮件来限制大文件,并鼓励使用SharePoint网站来代替。

问:Exchange Server 2010的Beta版有传输规则的附件检查功能吗?

答:目前尚没有。传输规则的附件检查功能将出现在Exchange Server 2010的最终正式版中。