设置用于检测有害附件的规则

Gmail - 安全沙盒

支持此功能的版本:企业 Plus 版;商务标准版和商务 Plus 版比较您的版本

杀毒应用或工具有时可能会忽略包含恶意软件或文件的电子邮件附件。Gmail 可以在名为“安全沙盒”的虚拟环境中扫描附件,以帮助识别这些有害附件。安全沙盒不仅会扫描直接附加于邮件的文件,还会扫描归档附件(例如,zip 或 rar 文件)中的文件。安全沙盒支持的附件类型包括 Microsoft 可执行文件 (.exe)、Microsoft Office 文件和 PDF 文件。

注意:安全沙盒扫描可能会造成邮件最多延迟 3 分钟送达,不过扫描也有可能在更短时间内完成。

安全沙盒允许您创建规则来指定要扫描哪些附件。例如,您可以扫描包含您指定的字词、来自特定发件人或是来自您指定的网域外部或内部的附件。

包含可疑附件的邮件会被发送到“垃圾邮件”文件夹

当安全沙盒发现邮件包含可疑或恶意附件时,会自动将邮件发送到收件人的“垃圾邮件”文件夹。Google 会保存相关附件的信息,以提高其他 Google 产品的安全性。

或者,您也可以改为将安全沙盒检测到的包含有害软件附件的邮件放入隔离区。为此,只需使用垃圾邮件元数据属性创建一条内容合规性规则即可。

安全沙盒的默认设置为“关”。

安全沙盒设置选项

扫描所有附件
 

作为管理员,您可以将 Gmail 设为在安全沙盒中扫描所有电子邮件附件。此设置默认处于关闭状态。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Google Workspace 接着点击 Gmail 接着点击 垃圾内容、网上诱骗和恶意软件
  3. 选择要配置设置的组织部门。如果您要为所有人配置设置,请选择顶级单位部门。否则,请选择相应的下级单位部门。
  4. 垃圾邮件、网上诱骗和恶意软件部分,滚动到安全沙盒。安全沙盒规则位于此部分底部。
  5. 选中启用在沙盒环境中虚拟执行附件的功能…复选框,以扫描所有附件。

    注意:勾选此复选框后,系统会在安全沙盒中扫描所有附件,即使您设置了特定沙盒规则也不例外。

  6. 点击页面底部的保存

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

根据您创建的规则扫描附件(所有规则选项)

添加规则以指定要扫描哪些邮件。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击  应用 接着点击 Google Workspace 接着点击 Gmail 接着点击 垃圾内容、网上诱骗和恶意软件
  3. 选择要配置设置的组织部门。如果您要为所有人配置设置,请选择顶级单位部门。否则,请选择相应的下级单位部门。
  4. 垃圾邮件、网上诱骗和恶意软件部分,取消选中“安全沙盒”下的启用在沙盒环境中虚拟执行附件的功能…复选框。当您取消选中此复选框后,系统只会在沙盒中扫描符合沙盒规则的附件。

  5. 将光标指向垃圾邮件、网上诱骗和恶意软件部分底部的安全沙盒规则,然后点击配置

  6. 安全沙盒规则下的添加设置框中输入规则名称。您输入的名称会显示在设置页面上。

  7. 受影响的电子邮件部分,选中所需邮件类型旁边的复选框:

    • 入站 - 外部网域发送至贵单位的邮件。

    • 内部 - 接收 - 在贵单位的网域和子网域内收发的邮件。

      如果某个网域是已验证的 Workspace 网域,或者是已验证的 Workspace 网域的子网域或父网域,则该网域为内部网域。

  8. 添加表达式,描述您要在每封邮件中搜索的内容部分,执行以下操作:

    1. 选择是要匹配任意表达式还是要匹配所有表达式。举例来说,如果您选择如果该邮件符合以下任意规则,那么只要邮件符合任一条件,系统均会在安全沙盒中扫描附件。

    2. 表达式框中,点击添加

    3. 在列表中选择要为表达式指定的匹配方式,然后点击保存

      • 简单内容匹配 - 匹配您指定的内容。简单内容匹配的运作方式与 Gmail 中的搜索功能类似。例如,如果您搜索“purchase order”,系统会返回包含“purchase”和“order”的所有字符串。详细了解 Gmail 搜索运算符

      • 高级内容匹配 - 请选择要匹配邮件中哪个位置的文本以及匹配类型,然后输入要搜索的内容。与简单内容匹配方式不同,高级内容匹配的字符串必须为完全匹配。请参阅下列表格,了解有关邮件中各个位置和匹配类型的说明。也可以详细了解高级内容匹配的选项

      • 元数据匹配 - 请选择要匹配的属性和匹配类型,并根据需要输入匹配值。请参阅下列表格,了解有关元数据属性和匹配类型的说明。也可以详细了解元数据属性和匹配类型

      • 预定义的内容匹配 - 请选择一个预定义的内容检测器。例如,选择“信用卡号”或“社会保障号”。您也可以设定相关设置,规定检测器在一封邮件中必须出现几次,才触发您指定的操作。此外,您还可以让系统在邮件中的检测器达到一定置信度阈值时触发扫描操作。注意:并非所有版本都提供此功能。有关详情,请参阅使用数据泄露防护规则扫描电子邮件流量

      高级内容匹配的选项

      • 位置 - 电子邮件中出现相应内容的部分。

        位置类型 说明
        标头 + 正文 完整标头和正文,包括附件(MIME 部分已解码)。
        完整标头 所有标头字段,不包括电子邮件正文或附件。
        正文 电子邮件的主要文本部分,包括邮件附件(MIME 部分已编码)。
        主题 电子邮件标头中出现的邮件主题。
        发件人标头

        “发件人:”标头部分显示的发件人电子邮件地址,可能与“信包发件人”中显示的发件人不同

        发件人标头由电子邮件地址组成,位于尖括号内,而且不包括账号所有者姓名。

        例如:

        发件人: Jane Doe <jdoe@example.com>

        发件人标头为 jdoe@example.com。

        注意:@gmail.com 和 @googlemail.com 地址左侧的内容会采用规范表示形式显示。例如:jane.doe@gmail.com 会转换为 janedoe@gmail.com。

        收件人标头

        电子邮件的标头、“收件人:”、“抄送:”和“密送:”部分显示的收件人,可能与任何信包收件人部分显示的收件人不同。

        一次仅对比一个收件人。如果有两个或多个收件人,高级内容匹配规则不会比对单个字符串中的所有收件人。要针对发送给多位用户的邮件设置规则,请使用“完整标头”。

        收件人标头由电子邮件地址组成,位于尖括号内,而且不包括账号所有者姓名。

        例如:

        收件人:Jane Doe <jdoe@example.com>
        抄送:John Doe <johndoe@example.com>
        密送:John Smith <jsmith@example.com>

        收件人标头为 jdoe@example.com、johndoe@example.com 和 jsmith@example.com。

        信包发件人 SMTP 通信请求过程中显示的原始发件人,可能与“发件人标头”中显示的发件人不同。信包收件人往往(但不一定)与“返回路径”标头显示的地址相匹配。
        任何信包收件人

        SMTP 通信请求过程中显示的收件人,可能与“收件人标头”显示的收件人不同。可以包括作为群组扩展部分添加的个人。

        一次仅对比一个收件人。如果有两个或多个收件人,高级内容匹配规则不会比对单个字符串中的所有收件人。

        原始邮件 完整标头和正文,包括邮件的所有附件和其他 MIME 部分。MIME 部分是未经解码的。
      • 匹配类型 - 用于确定是否匹配的参数。
         
        匹配类型 说明

        开头为

        在指定位置搜索开头为特定字符或字符串的内容。

        结尾为

        在指定位置搜索结尾为特定字符或字符串的内容。

        包含文本

        在指定位置搜索包含特定字符串的内容。

        不包含文本

        在指定位置搜索不包含特定字符串的内容。

        等于

        在指定位置搜索与特定字符串完全一致的内容。

        为空

        在指定位置搜索空白内容。

        匹配正则表达式

        在指定位置搜索与特定正则表达式匹配的内容。

        不匹配正则表达式

        在指定位置搜索与特定正则表达式不匹配的内容。

        匹配任意字词

        在指定位置搜索与特定字词列表中的任意字词匹配的内容。

        匹配所有字词

        在指定位置搜索与特定字词列表中的所有字词匹配的内容。

      • 内容 - 要匹配的文本。

      元数据属性和匹配类型

      属性 匹配类型 说明

      邮件身份验证

      • 邮件已通过身份验证
      • 邮件未通过身份验证

      选择此选项会将已通过或未通过身份验证的邮件纳入合规性表达式的适用范围。此选项符合 DMARC 标准。如果邮件通过了 SPF 或 DKIM 检查,则视为已通过身份验证。如果邮件未通过上述两种身份验证检查,则视为未通过身份验证。详细了解 SPF、DKIM 和 DMARC

      来源 IP

      • 在以下范围内

      • 不在以下范围内

      选择此选项会将在或不在指定 IP 范围内的邮件纳入合规性表达式的适用范围。

      传输层安全协议 (TLS)

      • 连接已经过 TLS 加密

      • 连接未经过 TLS 加密

      选择此选项会将已经过或未经过 TLS 加密的邮件纳入合规性表达式的适用范围。

      邮件大小
      • 大于以下规定值 (MB)
      • 小于以下规定值 (MB)

      选择此选项会将大于或小于指定大小的邮件纳入合规性表达式的适用范围。请在字段中输入邮件大小(以 MB 为单位)。

      该大小是指整封邮件的原始大小,其数值最多可能会比电子邮件和附件本身的大小大 33%。这是由于标准编码开销所造成的。

      S/MIME 加密

      • 邮件已经过 S/MIME 加密

      • 邮件未经过 S/MIME 加密

      选择此选项会将已经过或未经过 S/MIME 加密的邮件纳入合规性表达式中。

      支持此功能的版本:企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本

      S/MIME 签名

      • 邮件有 S/MIME 签名

        • 邮件没有 S/MIME 签名

      选择此选项会将已有或没有 S/MIME 签名的邮件纳入合规性表达式中。

      支持此功能的版本:企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本

      Gmail 机密模式
      • 邮件已使用 Gmail 机密模式
      • 邮件未使用 Gmail 机密模式
      选择此选项会将 Gmail 机密模式或非 Gmail 机密模式下的邮件纳入合规性表达式中。
  9. 检查运行安全沙盒是否为表达式匹配后执行的操作。只要满足条件,就会触发在安全沙盒中扫描附件的操作(运行安全沙盒)。
  10. 完成设置后,点击添加设置保存,然后点击 Gmail 高级设置页面底部的保存。您也可以参阅以下设置:
扫描来自特定地址列表的附件

您可以指定地址列表,并以此为条件决定是否扫描。地址列表可以包括电子邮件地址和/或网域。

此规则会使用所收到邮件的“发件人”所发送邮件的“收件人”的值来判断某条规则是否适用于特定地址列表。对于发件人,系统还会检查身份验证要求。如果您指定了多个列表,那么地址必须至少匹配一个列表才能触发规则。

  1. 按照扫描符合特定规则的邮件中的附件中的步骤,打开添加修改设置框。
  2. 点击显示选项
  3. 选项部分,选中使用地址列表来绕过此设置或控制此设置的应用复选框。

  4. 选择一个选项:

    • 为特定电子邮件地址/网域绕过此设置 - 如果电子邮件地址或网域与地址列表匹配,就跳过此规则,无论规则中指定了何种其他条件。

    • 仅为特定电子邮件地址/网域应用此设置 - 是否应用规则要看地址列表是否匹配。如果规则中还有其他条件(例如匹配表达式、账号类型或信包过滤器),这些条件也必须同时满足才能应用规则。

  5. 点击尚未使用任何列表旁边的使用现有列表或新建一个列表

  6. 可用列表框中,执行下列某项操作:

    • 选择一个现有列表的名称,然后点击使用

    • 创建新列表字段输入新列表的名称,然后点击创建

  7. 如要在列表中添加电子邮件地址或网域,请执行以下操作:
    1. 将光标指向列表名称,然后点击修改
    2. 在列表中添加电子邮件地址或网域,然后点击添加
    3. 输入完整的电子邮件地址或域名,例如 solarmora.com。如要添加多个地址,请用英文逗号或空格分隔各个地址。
    4. 选中不要求对发件人进行身份验证复选框,为尚未设置身份验证但获得了批准的发件人绕过规则。请谨慎使用此选项,以免遭受仿冒行为的侵害。
    5. 点击保存
  8. 完成设置后,点击方框底部的添加设置,然后点击 Gmail 高级设置页面底部的保存。如果未完成设置,请参阅受影响的账号类型

扫描特定类型的账号发来的附件

您可以指定对特定类型的账号发来的邮件进行扫描。默认情况下,系统会选中用户账号类型,但您可以指定多种账号类型。如果您配置的是出站设置,那么账号类型必须与发件人的类型相匹配。

  1. 按照扫描符合特定规则的邮件中的附件中的步骤,打开添加修改设置框。
  2. 点击显示选项
  3. 选项部分,为受影响的账号类型选择设置:
    • 用户
    • 无法识别/总收件箱
  4. 完成设置后,点击添加设置保存,然后点击 Gmail 高级设置页面底部的保存。如果未完成设置,请参阅指定信包过滤器
扫描来自特定发件人、收件人和群组的附件

您可以指定电子邮件信包信息作为扫描的条件。电子邮件信包信息包含发件人和收件人的电子邮件地址。

  1. 按照扫描符合特定规则的邮件中的附件中的步骤,打开添加修改设置框。
  2. 点击显示选项
  3. 选项部分,为信包过滤器选择设置:您可以勾选仅影响特定的信包发件人复选框或仅影响特定的信包收件人复选框,也可以同时选中这两个复选框。
  4. 选择一个选项:
    • 单一电子邮件地址:输入一个电子邮件地址以指定单个收件人。您必须输入完整的电子邮件地址,包含“@”和域名。匹配项不区分大小写。

    • 模式匹配 - 输入正则表达式,指定网域中的一组发件人或收件人。请点击测试表达式以确保语法正确无误。例如,您可以按照以下句式的正则表达式输入用户列表,从而将此设置仅应用于 3 个特定用户:

      ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

      在此表达式中:

      • ^ 匹配新一行的起始部分。
      • (?i) 使表达式不区分大小写。
      • $ 匹配一行的结尾部分。

      了解如何使用正则表达式

    • 群组成员资格 - 从列表中选择一个或多个群组。对于信包发件人,此选项仅适用于发送的邮件。对于信包收件人,此选项仅适用于收到的邮件。如果您没有群组,则需要先创建群组

  5. 点击方框底部的添加设置保存,然后点击 Gmail 高级设置页面底部的保存。 

    系统会按照您指定的规则扫描附件。

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

报告以及与其他电子邮件扫描功能的兼容性

获取恶意附件报告

“垃圾邮件过滤器 - 恶意软件”报告会显示已识别的恶意附件数量。该报告还会列出所识别的所有恶意邮件,但不会显示所扫描的附件数量。您可以在 Google Workspace 安全信息中心中查看此报告。

安全沙盒扫描与其他扫描功能

安全沙盒扫描与其他合规性扫描和递送前扫描是分开运行的。举例来说,内容合规性扫描可能会查找信用卡号之类的个人信息,附件合规性扫描可能会屏蔽特定类型或大小的附件。在 Gmail 中,合规性扫描和递送前扫描与安全沙盒扫描是独立运行的,互不影响。

安全沙盒不会扫描被合规性规则或递送前扫描所屏蔽的电子邮件附件。

有关详情,请参阅:

相关信息

加快规则测试的最佳做法


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
主菜单
14685044552881244435
true
搜索支持中心
true
true
true
true
true
73010
false
false