设置用于检测有害附件的规则

作为管理员，您可以将 Gmail 设为在安全沙盒中扫描所有电子邮件附件。此设置默认处于关闭状态。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 依次点击“菜单”图标   应用 > Google Workspace > Gmail > 垃圾邮件、网上诱骗和恶意软件。

   需要拥有“Gmail 设置”管理员权限。

3. 选择要配置设置的组织部门。如果您要为所有人配置设置，请选择顶级单位部门。否则，请选择相应的下级单位部门。
4. 在垃圾邮件、网上诱骗和恶意软件部分，滚动到安全沙盒。安全沙盒规则位于此部分底部。
5. 选中启用在沙盒环境中虚拟执行附件的功能…复选框，以扫描所有附件。

   注意：勾选此复选框后，系统会在安全沙盒中扫描所有附件，即使您设置了特定沙盒规则也不例外。

6. 点击页面底部的保存。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

添加规则以指定要扫描哪些邮件。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 依次点击“菜单”图标   应用 > Google Workspace > Gmail > 垃圾邮件、网上诱骗和恶意软件。

   需要拥有“Gmail 设置”管理员权限。

3. 选择要配置设置的组织部门。如果您要为所有人配置设置，请选择顶级单位部门。否则，请选择相应的下级单位部门。

4. 在垃圾邮件、网上诱骗和恶意软件部分，取消选中“安全沙盒”下的启用在沙盒环境中虚拟执行附件的功能…复选框。当您取消选中此复选框后，系统只会在沙盒中扫描符合沙盒规则的附件。

5. 将光标指向垃圾邮件、网上诱骗和恶意软件部分底部的安全沙盒规则，然后点击配置。

6. 在安全沙盒规则下的添加设置框中输入规则名称。您输入的名称会显示在设置页面上。

7. 在受影响的电子邮件部分，选中所需邮件类型旁边的复选框：

   • 入站 - 外部网域发送至贵单位的邮件。

   • 内部 - 接收 - 在贵单位的网域和子网域内收发的邮件。

     如果某个网域是已验证的 Workspace 网域，或者是已验证的 Workspace 网域的子网域或父网域，则该网域为内部网域。

8. 在添加表达式，描述您要在每封邮件中搜索的内容部分，执行以下操作：

   1. 选择是要匹配任意表达式还是要匹配所有表达式。举例来说，如果您选择如果该邮件符合以下任意规则，那么只要邮件符合任一条件，系统均会在安全沙盒中扫描附件。

   2. 在表达式框中，点击添加。

   3. 在列表中选择要为表达式指定的匹配方式，然后点击保存。

      • 简单内容匹配 - 匹配您指定的内容。简单内容匹配的运作方式与 Gmail 中的搜索功能类似。例如，如果您搜索“purchase order”，系统会返回包含“purchase”和“order”的所有字符串。详细了解 Gmail 搜索运算符。

      • 高级内容匹配 - 请选择要匹配邮件中哪个位置的文本以及匹配类型，然后输入要搜索的内容。与简单内容匹配方式不同，高级内容匹配的字符串必须为完全匹配。请参阅下列表格，了解有关邮件中各个位置和匹配类型的说明。也可以详细了解高级内容匹配的选项。

      • 元数据匹配 - 请选择要匹配的属性和匹配类型，并根据需要输入匹配值。请参阅下列表格，了解有关元数据属性和匹配类型的说明。也可以详细了解元数据属性和匹配类型。

      • 预定义的内容匹配 - 请选择一个预定义的内容检测器。例如，选择“信用卡号”或“社会保障号”。您也可以设定相关设置，规定检测器在一封邮件中必须出现几次，才触发您指定的操作。此外，您还可以让系统在邮件中的检测器达到一定置信度阈值时触发扫描操作。注意：并非所有版本都提供此功能。有关详情，请参阅使用数据泄露防护规则扫描电子邮件流量。

      高级内容匹配的选项

      • 位置 - 电子邮件中出现相应内容的部分。

        位置类型	说明
        标头 + 正文	完整标头和正文，包括附件（MIME 部分已解码）。
        完整标头	所有标头字段，不包括电子邮件正文或附件。
        正文	电子邮件的主要文本部分，包括邮件附件（MIME 部分已编码）。
        主题	电子邮件标头中出现的邮件主题。
        发件人标头	“发件人:”标头部分显示的发件人电子邮件地址，可能与“信包发件人”中显示的发件人不同。 发件人标头由电子邮件地址组成，位于尖括号内，而且不包括账号所有者姓名。 例如： 发件人: Jane Doe <jdoe@example.com> 发件人标头为 jdoe@example.com。 注意：@gmail.com 和 @googlemail.com 地址左侧的内容会采用规范表示形式显示。例如：jane.doe@gmail.com 会转换为 janedoe@gmail.com。
        收件人标头	电子邮件的标头、“收件人:”、“抄送:”和“密送:”部分显示的收件人，可能与任何信包收件人部分显示的收件人不同。 一次仅对比一个收件人。如果有两个或多个收件人，高级内容匹配规则不会比对单个字符串中的所有收件人。要针对发送给多位用户的邮件设置规则，请使用“完整标头”。 收件人标头由电子邮件地址组成，位于尖括号内，而且不包括账号所有者姓名。 例如： 收件人：Jane Doe <jdoe@example.com> 抄送：John Doe <johndoe@example.com> 密送：John Smith <jsmith@example.com> 收件人标头为 jdoe@example.com、johndoe@example.com 和 jsmith@example.com。
        信包发件人	SMTP 通信请求过程中显示的原始发件人，可能与“发件人标头”中显示的发件人不同。信包收件人往往（但不一定）与“返回路径”标头显示的地址相匹配。
        任何信包收件人	SMTP 通信请求过程中显示的收件人，可能与“收件人标头”显示的收件人不同。可以包括作为群组扩展部分添加的个人。 一次仅对比一个收件人。如果有两个或多个收件人，高级内容匹配规则不会比对单个字符串中的所有收件人。
        原始邮件	完整标头和正文，包括邮件的所有附件和其他 MIME 部分。MIME 部分是未经解码的。

      • 匹配类型 - 用于确定是否匹配的参数。
         

        匹配类型	说明
        开头为	在指定位置搜索开头为特定字符或字符串的内容。
        结尾为	在指定位置搜索结尾为特定字符或字符串的内容。
        包含文本	在指定位置搜索包含特定字符串的内容。
        不包含文本	在指定位置搜索不包含特定字符串的内容。
        等于	在指定位置搜索与特定字符串完全一致的内容。
        为空	在指定位置搜索空白内容。
        匹配正则表达式	在指定位置搜索与特定正则表达式匹配的内容。
        不匹配正则表达式	在指定位置搜索与特定正则表达式不匹配的内容。
        匹配任意字词	在指定位置搜索与特定字词列表中的任意字词匹配的内容。
        匹配所有字词	在指定位置搜索与特定字词列表中的所有字词匹配的内容。

      • 内容 - 要匹配的文本。

      元数据属性和匹配类型

      属性	匹配类型	说明
      邮件身份验证	邮件已通过身份验证 邮件未通过身份验证	选择此选项会将已通过或未通过身份验证的邮件纳入合规性表达式的适用范围。此选项符合 DMARC 标准。如果邮件通过了 SPF 或 DKIM 检查，则视为已通过身份验证。如果邮件未通过上述两种身份验证检查，则视为未通过身份验证。详细了解 SPF、DKIM 和 DMARC。
      来源 IP	在以下范围内 不在以下范围内	选择此选项会将在或不在指定 IP 范围内的邮件纳入合规性表达式的适用范围。
      传输层安全协议 (TLS)	连接已经过 TLS 加密 连接未经过 TLS 加密	选择此选项会将已经过或未经过 TLS 加密的邮件纳入合规性表达式的适用范围。
      邮件大小	大于以下规定值 (MB) 小于以下规定值 (MB)	选择此选项会将大于或小于指定大小的邮件纳入合规性表达式的适用范围。请在字段中输入邮件大小（以 MB 为单位）。 该大小是指整封邮件的原始大小，其数值最多可能会比电子邮件和附件本身的大小大 33%。这是由于标准编码开销所造成的。
      S/MIME 加密	邮件已经过 S/MIME 加密 邮件未经过 S/MIME 加密	选择此选项会将已经过或未经过 S/MIME 加密的邮件纳入合规性表达式中。 支持此功能的版本：企业 Plus 版；教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本
      S/MIME 签名	邮件有 S/MIME 签名 邮件没有 S/MIME 签名	选择此选项会将已有或没有 S/MIME 签名的邮件纳入合规性表达式中。 支持此功能的版本：企业 Plus 版；教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本
      Gmail 机密模式	邮件已使用 Gmail 机密模式 邮件未使用 Gmail 机密模式	选择此选项会将 Gmail 机密模式或非 Gmail 机密模式下的邮件纳入合规性表达式中。

9. 检查运行安全沙盒是否为表达式匹配后执行的操作。只要满足条件，就会触发在安全沙盒中扫描附件的操作（运行安全沙盒）。
10. 完成设置后，点击添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。您也可以参阅以下设置：
    • 扫描来自特定地址列表的邮件中的附件
    • 扫描特定类型的账号发来的附件
    • 针对特定发件人、收件人和群组扫描附件（信包过滤器）

您可以指定地址列表，并以此为条件决定是否扫描。地址列表可以包括电子邮件地址和/或网域。

此规则会使用所收到邮件的“发件人”和所发送邮件的“收件人”的值来判断某条规则是否适用于特定地址列表。对于发件人，系统还会检查身份验证要求。如果您指定了多个列表，那么地址必须至少匹配一个列表才能触发规则。

1. 按照扫描符合特定规则的邮件中的附件中的步骤，打开添加或修改设置框。
2. 点击显示选项。

3. 在选项部分，选中使用地址列表来绕过此设置或控制此设置的应用复选框。

4. 选择一个选项：

   • 为特定电子邮件地址/网域绕过此设置 - 如果电子邮件地址或网域与地址列表匹配，就跳过此规则，无论规则中指定了何种其他条件。

   • 仅为特定电子邮件地址/网域应用此设置 - 是否应用规则要看地址列表是否匹配。如果规则中还有其他条件（例如匹配表达式、账号类型或信包过滤器），这些条件也必须同时满足才能应用规则。

5. 点击尚未使用任何列表旁边的使用现有列表或新建一个列表。

6. 在可用列表框中，执行下列某项操作：

   • 选择一个现有列表的名称，然后点击使用。

   • 在创建新列表字段输入新列表的名称，然后点击创建。

7. 如要在列表中添加电子邮件地址或网域，请执行以下操作：
   1. 将光标指向列表名称，然后点击修改。
   2. 在列表中添加电子邮件地址或网域，然后点击添加。
   3. 输入完整的电子邮件地址或域名，例如 solarmora.com。如要添加多个地址，请用英文逗号或空格分隔各个地址。
   4. 选中不要求对发件人进行身份验证复选框，为尚未设置身份验证但获得了批准的发件人绕过规则。请谨慎使用此选项，以免遭受仿冒行为的侵害。
   5. 点击保存。

8. 完成设置后，点击方框底部的添加设置，然后点击 Gmail 高级设置页面底部的保存。如果未完成设置，请参阅受影响的账号类型。

您可以指定对特定类型的账号发来的邮件进行扫描。默认情况下，系统会选中用户账号类型，但您可以指定多种账号类型。如果您配置的是出站设置，那么账号类型必须与发件人的类型相匹配。

1. 按照扫描符合特定规则的邮件中的附件中的步骤，打开添加或修改设置框。
2. 点击显示选项。
3. 在选项部分，为受影响的账号类型选择设置：
   • 用户
   • 无法识别/总收件箱
4. 完成设置后，点击添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。如果未完成设置，请参阅指定信包过滤器。

您可以指定电子邮件信包信息作为扫描的条件。电子邮件信包信息包含发件人和收件人的电子邮件地址。

1. 按照扫描符合特定规则的邮件中的附件中的步骤，打开添加或修改设置框。
2. 点击显示选项。
3. 在选项部分，为信包过滤器选择设置：您可以勾选仅影响特定的信包发件人复选框或仅影响特定的信包收件人复选框，也可以同时选中这两个复选框。
4. 选择一个选项：

   • 单一电子邮件地址：输入一个电子邮件地址以指定单个收件人。您必须输入完整的电子邮件地址，包含“@”和域名。匹配项不区分大小写。

   • 模式匹配 - 输入正则表达式，指定网域中的一组发件人或收件人。请点击测试表达式以确保语法正确无误。例如，您可以按照以下句式的正则表达式输入用户列表，从而将此设置仅应用于 3 个特定用户：
     
     ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$
     
     在此表达式中：

     • ^ 匹配新一行的起始部分。
     • (?i) 使表达式不区分大小写。
     • $ 匹配一行的结尾部分。

     了解如何使用正则表达式。

   • 群组成员资格 - 从列表中选择一个或多个群组。对于信包发件人，此选项仅适用于发送的邮件。对于信包收件人，此选项仅适用于收到的邮件。如果您没有群组，则需要先创建群组。

5. 点击方框底部的添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。 
   
   系统会按照您指定的规则扫描附件。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

“垃圾邮件过滤器 - 恶意软件”报告会显示已识别的恶意附件数量。该报告还会列出所识别的所有恶意邮件，但不会显示所扫描的附件数量。您可以在 Google Workspace 安全信息中心中查看此报告。