设置用于检测有害附件的规则

安全沙盒

支持此功能的版本：企业 Plus 版；教育标准版和教育 Plus 版。 比较您的版本

电子邮件附件可能包含传统杀毒程序无法检测到的恶意软件。为了识别这类威胁，Gmail 可在一种称作安全沙盒的虚拟环境中扫描或运行附件。一旦系统识别出附件有威胁，就会将附件所在的电子邮件发送至收件人的“垃圾邮件”文件夹。

作为管理员，您可以通过多种方式管理附件：

将 Gmail 设为在安全沙盒中扫描所有受支持的附件类型。
设置规则来指定要在安全沙盒中扫描哪些附件。
设置内容合规性规则来管理恶意附件。

可在安全沙盒中扫描的文件类型包括 Microsoft 可执行文件、Microsoft Office 文件和 PDF 文件。安全沙盒支持扫描直接附加于电子邮件的文件或归档打包的文件（如 zip、rar 文件包）。

关于安全沙盒规则和其他扫描

您可以通过创建规则来指定要在安全沙盒中扫描哪些附件。举例来说，您可以创建规则针对符合以下条件的电子邮件扫描附件：

包含特定内容，例如包含字词“帐单”
来自指定的用户
是从指定的网域之外发来的
信包地址符合特定格式

安全沙盒可以扫描来自网域内部和外部网域的邮件附件。

安全沙盒扫描与其他扫描如何协同发挥作用

安全沙盒扫描与其他合规性扫描和递送前扫描是分开运行的。举例来说，内容合规性扫描可能会查找信用卡号之类的个人信息，附件合规性扫描可能会屏蔽特定类型或大小的附件。在 Gmail 中，合规性扫描和递送前扫描与安全沙盒扫描是独立运行的，互不影响。

注意：安全沙盒不会扫描被合规性规则或递送前扫描所屏蔽的电子邮件附件。

有关详情，请参阅：

邮件可能会延迟送达

安全沙盒扫描可能会造成邮件最多延迟 3 分钟送达。有些扫描操作可能会更快完成。

找到安全沙盒设置

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Gmail 垃圾内容、网上诱骗和恶意软件。
选择要配置设置的组织部门。如果您要为所有人配置设置，请选择顶级组织部门。否则，请选择相应的下级组织部门。
在垃圾邮件、网上诱骗和恶意软件部分，滚动到安全沙盒。安全沙盒规则位于此部分底部。

在安全沙盒中扫描所有附件

作为管理员，您可以将 Gmail 设置为扫描所有电子邮件附件。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Gmail 垃圾内容、网上诱骗和恶意软件。
选择要配置设置的组织部门。如果您要为所有人配置设置，请选择顶级组织部门。否则，请选择相应的下级组织部门。
在垃圾邮件、网上诱骗和恶意软件部分，滚动到安全沙盒。安全沙盒规则位于此部分底部。
选中启用在沙盒环境中虚拟执行附件的功能…复选框，以扫描所有附件。
注意：勾选此复选框后，系统会在安全沙盒中扫描所有附件，即使您设置了特定沙盒规则也不例外。
点击页面底部的保存。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

仅扫描符合特定规则的邮件中的附件

系统会根据您指定的规则来确定哪些电子邮件的附件需要扫描。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Gmail 垃圾内容、网上诱骗和恶意软件。
选择要配置设置的组织部门。如果您要为所有人配置设置，请选择顶级组织部门。否则，请选择相应的下级组织部门。
在垃圾邮件、网上诱骗和恶意软件部分，取消选中“安全沙盒”下的启用在沙盒环境中虚拟执行附件的功能…复选框。当您取消选中此复选框后，系统只会在沙盒中扫描符合沙盒规则的附件。
将光标指向垃圾邮件、网上诱骗和恶意软件部分底部的安全沙盒规则，然后点击配置。
在安全沙盒规则下的添加设置框中输入规则名称。您输入的名称会显示在设置页面上。
在受影响的电子邮件部分，选中所需邮件类型旁边的复选框：
- 入站 - 外部网域发送至贵组织的邮件。
- 内部 - 接收 - 在贵组织的网域和子网域内收发的邮件。

在添加表达式，描述您要在每封邮件中搜索的内容部分，执行以下操作：

选择是要匹配任意表达式还是要匹配所有表达式。举例来说，如果您选择如果该邮件符合以下任意规则，那么只要邮件符合任一条件，系统均会在安全沙盒中扫描附件。
在表达式框中，点击添加。

在列表中选择要为表达式指定的匹配方式，然后点击保存。

简单内容匹配 - 匹配您指定的内容。简单内容匹配的运作方式与 Gmail 中的搜索功能类似。例如，如果您搜索“purchase order”，系统会返回包含“purchase”和“order”的所有字符串。详细了解 Gmail 搜索运算符。
高级内容匹配 - 请选择要匹配邮件中哪个位置的文本以及匹配类型，然后输入要搜索的内容。与简单内容匹配方式不同，高级内容匹配的字符串必须为完全匹配。请参阅下列表格，了解有关邮件中各个位置和匹配类型的说明。也可以详细了解高级内容匹配的选项。
元数据匹配 - 请选择要匹配的属性和匹配类型，并根据需要输入匹配值。请参阅下列表格，了解有关元数据属性和匹配类型的说明。也可以详细了解元数据属性和匹配类型。
预定义的内容匹配 - 请选择一个预定义的内容检测器。例如，选择“信用卡号”或“社会保障号”。您也可以设定相关设置，规定检测器在一封邮件中必须出现几次，才触发您指定的操作。此外，您还可以让系统在邮件中的检测器达到一定置信度阈值时触发扫描操作。注意：并非所有版本都提供此功能。有关详情，请参阅使用数据泄露防护规则扫描电子邮件流量。

高级内容匹配的选项

位置 - 电子邮件中出现相应内容的部分。

位置类型	说明
标头 + 正文	完整标头和正文，包括附件（MIME 部分已解码）。
完整标头	所有标头字段，不包括邮件正文或附件。
正文	电子邮件的主要文本部分，包括邮件附件（MIME 部分已编码）。
主题	电子邮件标头中出现的邮件主题。
发件人标头	“发件人:”标头部分显示的发件人电子邮件地址，可能与“信包发件人”中显示的发件人不同。发件人标头由电子邮件地址组成，位于尖括号内，而且不包括帐号所有者姓名。例如：发件人: Jane Doe <jdoe@example.com> 发件人标头为 jdoe@example.com。注意：@gmail.com 和 @googlemail.com 地址左侧的内容会采用规范表示形式显示。例如：jane.doe@gmail.com 会转换为 janedoe@gmail.com。
收件人标头	电子邮件的标头、“收件人:”、“抄送:”和“密送:”部分显示的收件人，可能与任何信包收件人部分显示的收件人不同。一次仅对比一个收件人。如果有两个或多个收件人，高级内容匹配规则不会比对单个字符串中的所有收件人。要针对发送给多位用户的邮件设置规则，请使用“完整标头”。收件人标头由电子邮件地址组成，位于尖括号内，而且不包括帐号所有者姓名。例如：收件人：Jane Doe <jdoe@example.com> 抄送：John Doe <johndoe@example.com> 密送：John Smith <jsmith@example.com> 收件人标头为 jdoe@example.com、johndoe@example.com 和 jsmith@example.com。
信包发件人	SMTP 通信请求过程中显示的原始发件人，可能与“发件人标头”中显示的发件人不同。信包收件人往往（但不一定）与“返回路径”标头显示的地址相匹配。
任何信包收件人	SMTP 通信请求过程中显示的收件人，可能与“收件人标头”显示的收件人不同。可以包括作为群组扩展部分添加的个人。一次仅对比一个收件人。如果有两个或多个收件人，高级内容匹配规则不会比对单个字符串中的所有收件人。
原始邮件	完整标头和正文，包括邮件的所有附件和其他 MIME 部分。MIME 部分是未经解码的。

匹配类型 - 用于确定是否匹配的参数。

匹配类型	说明
开头为	在指定位置搜索开头为特定字符或字符串的内容。
结尾为	在指定位置搜索结尾为特定字符或字符串的内容。
包含文本	在指定位置搜索包含特定字符串的内容。
不包含文本	在指定位置搜索不包含特定字符串的内容。
等于	在指定位置搜索与特定字符串完全一致的内容。
为空	在指定位置搜索空白内容。
匹配正则表达式	在指定位置搜索与特定正则表达式匹配的内容。
不匹配正则表达式	在指定位置搜索与特定正则表达式不匹配的内容。
匹配任意字词	在指定位置搜索与特定字词列表中的任意字词匹配的内容。
匹配所有字词	在指定位置搜索与特定字词列表中的所有字词匹配的内容。

内容 - 要匹配的文本。

元数据属性和匹配类型

属性	匹配类型	说明
邮件身份验证	邮件已通过身份验证邮件未通过身份验证	选择此选项会将已通过或未通过身份验证的邮件纳入合规性表达式的适用范围。此选项符合 DMARC 标准。如果邮件通过了 SPF 或 DKIM 检查，则视为已通过身份验证。如果邮件未通过上述两种身份验证检查，则视为未通过身份验证。详细了解 SPF、DKIM 和 DMARC。
来源 IP	在以下范围内不在以下范围内	选择此选项会将在或不在指定 IP 范围内的邮件纳入合规性表达式的适用范围。
传输层安全协议 (TLS)	连接已经过 TLS 加密连接未经过 TLS 加密	选择此选项会将已经过或未经过 TLS 加密的邮件纳入合规性表达式的适用范围。
邮件大小	大于以下规定值 (MB) 小于以下规定值 (MB)	选择此选项会将大于或小于指定大小的邮件纳入合规性表达式的适用范围。请在字段中输入邮件大小（以 MB 为单位）。该大小是指整封邮件的原始大小，其数值最多可能会比电子邮件和附件本身的大小大 33%。这是由于标准编码开销所造成的。
S/MIME 加密	邮件已经过 S/MIME 加密邮件未经过 S/MIME 加密	选择此选项会将已经过或未经过 S/MIME 加密的邮件纳入合规性表达式中。支持此功能的版本：企业 Plus 版；教育基础版、教育标准版、教与学升级版和教育 Plus 版。比较您的版本
S/MIME 签名	邮件有 S/MIME 签名邮件没有 S/MIME 签名	选择此选项会将已有或没有 S/MIME 签名的邮件纳入合规性表达式中。支持此功能的版本：企业 Plus 版；教育基础版、教育标准版、教与学升级版和教育 Plus 版。比较您的版本
Gmail 机密模式	邮件已使用 Gmail 机密模式邮件未使用 Gmail 机密模式	选择此选项会将 Gmail 机密模式或非 Gmail 机密模式下的邮件纳入合规性表达式中。

检查运行安全沙盒是否为表达式匹配后执行的操作。只要满足条件，就会触发在安全沙盒中扫描附件的操作（运行安全沙盒）。
完成设置后，点击添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。您也可以参阅以下设置：

将恶意附件放入隔离区

默认情况下，系统会将安全沙盒检测到的包含恶意软件的邮件放入“垃圾邮件”文件夹。您可以改为将安全沙盒检测到的包含有害软件附件的邮件放入隔离区。为此，只需使用垃圾邮件元数据属性创建一条内容合规性规则即可。

扫描来自特定地址列表的邮件中的附件

您可以指定地址列表，并以此为标准来确定邮件是否匹配安全沙盒规则。这些列表中可以包括邮件地址和/或网域。

Gmail 会根据所收到邮件的“发件人”和所发送邮件的“收件人”来判断某条规则是否适用于特定地址列表。对于发件人，Gmail 还会检查身份验证要求。如果您指定了多个列表，那么地址必须至少匹配一个列表才能触发规则。

要指定地址列表，请执行以下操作：

在添加设置或修改设置框中，点击显示选项。如要找到此框，请参阅扫描符合特定规则的邮件中的附件。
在选项部分，选中使用地址列表来绕过此设置或控制此设置的应用复选框。
选择一个选项：
- 为特定电子邮件地址/网域绕过此设置 - 如果电子邮件地址或网域与地址列表匹配，就跳过此规则，无论规则中指定了何种其他条件。
- 仅为特定电子邮件地址/网域应用此设置 - 是否应用规则要看地址列表是否匹配。如果规则中还有其他条件（例如匹配表达式、帐号类型或信包过滤器），这些条件也必须同时满足才能应用规则。
点击尚未使用任何列表旁边的使用现有列表或新建一个列表。
在可用列表框中，执行下列某项操作：
- 选择一个现有列表的名称，然后点击使用。
- 在创建新列表字段输入新列表的名称，然后点击创建。
如要在列表中添加电子邮件地址或网域，请执行以下操作：
1. 将光标指向列表名称，然后点击修改。
2. 在列表中添加电子邮件地址或网域，然后点击添加。
3. 输入完整的电子邮件地址或域名，例如 solarmora.com。如要添加多个地址，请用英文逗号或空格分隔各个地址。
4. 选中不要求对发件人进行身份验证复选框，为尚未设置身份验证但获得了批准的发件人绕过规则。请谨慎使用此选项，以免遭受仿冒行为的侵害。
5. 点击保存。
完成设置后，点击方框底部的添加设置，然后点击 Gmail 高级设置页面底部的保存。如果未完成设置，请参阅受影响的帐号类型。

扫描特定类型的帐号发来的附件

您可以指定帐号类型，并以此为标准来确定邮件是否符合安全沙盒规则条件。

系统会默认选中用户，但您也可以选择多种类型。如果您配置的是出站设置，那么帐号类型必须与发件人的类型相匹配。

在添加设置或修改设置框中，点击显示选项。如要找到此框，请参阅扫描符合特定规则的邮件中的附件。
在选项部分，为受影响的帐号类型选择设置：
- 用户
- 无法识别/总收件箱
完成设置后，点击添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。如果未完成设置，请参阅指定信包过滤器。

针对特定发件人、收件人和群组扫描附件（信包过滤器）

您可以指定电子邮件信包信息作为安全沙盒规则的条件。电子邮件信包信息具体是指发件人或收件人的电子邮件地址。

在添加设置或修改设置框中，点击显示选项。如要找到此框，请参阅扫描符合特定规则的邮件中的附件。
在选项部分，为信包过滤器选择设置：您可以勾选仅影响特定的信包发件人复选框或仅影响特定的信包收件人复选框，也可以同时选中这两个复选框。
选择一个选项：
- 单一电子邮件地址：输入一个电子邮件地址以指定单个收件人。您必须输入完整的电子邮件地址，包含“@”和域名。匹配项不区分大小写。
- 模式匹配 - 输入正则表达式，指定网域中的一组发件人或收件人。请点击测试表达式以确保语法正确无误。例如，您可以按照以下句式的正则表达式输入用户列表，从而将此设置仅应用于 3 个特定用户：
  
  ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$
  
  在此表达式中：
  - ^ 匹配新一行的起始部分。
  - (?i) 使表达式不区分大小写。
  - $ 匹配一行的结尾部分。
  了解如何使用正则表达式。
- 群组成员资格 - 从列表中选择一个或多个群组。对于信包发件人，此选项仅适用于发送的邮件。对于信包收件人，此选项仅适用于收到的邮件。如果您没有群组，则需要先创建群组。
点击方框底部的添加设置或保存，然后点击 Gmail 高级设置页面底部的保存。

系统会按照您指定的规则扫描附件。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

查看报告和设置变更

“垃圾邮件过滤器 - 恶意软件”报告会显示已识别的恶意附件数量。该报告还会列出所识别的所有恶意邮件，但不会显示所扫描的附件数量。您可以在 Google Workspace 安全信息中心中查看此报告。

您可以在管理控制台审核日志中查看安全沙盒设置的变更。

该内容对您有帮助吗？

您有什么改进建议？