設定偵測有害附件的規則

安全沙箱

支援這項功能的版本:Enterprise 和 Enterprise 教育版。 版本比較

由於電子郵件附件可能含有傳統防毒程式無法辨識出的惡意軟體,您可以讓 Gmail 在名為「安全沙箱」的虛擬環境中掃描或執行附件,找出這些威脅。如果系統判定附件具有威脅性,就會將其移至收件者的垃圾郵件資料夾。

管理員可以透過多種方法來管理附件:

  • 經由設定,讓 Gmail 在安全沙箱中掃描系統支援的所有附件類型。
  • 建立規則,指定要在安全沙箱中掃描哪些附件。
  • 設定內容規範規則來管理惡意的附件。

安全沙箱可以掃描的檔案類型包括 Microsoft 執行檔、Microsoft Office 和 PDF,而且支援掃描電子郵件的直接附件和封存檔 (例如:zip、rar) 中的檔案。

關於安全沙箱規則和其他掃描作業

您可以建立規則,指定要在安全沙箱中掃描哪些附件。舉例來說,您可以建立規則,掃描符合以下情況的附件:

  • 包含特定內容,例如出現「應付憑據」這個字詞
  • 來自特定使用者
  • 寄件者來自特定外部網域
  • 電子郵件地址符合特定模式

安全沙箱可以掃描來自您的網域以及外部網域的附件。

安全沙箱掃描與其他掃描作業是否會搭配運作

安全沙箱掃描為獨立運作,不受其他規範和送達前掃描作業影響。舉例來說,內容規範掃描可能會搜尋信用卡卡號等個人資訊;附件規範掃描則可能封鎖特定類型或大小的附件。Gmail 會將規範和送達前掃描與安全沙箱掃描分開執行。

注意:安全沙箱不會掃描遭到規範規則或送達前掃描作業封鎖的附件。

如需詳細資訊,請參閱:

郵件可能延後送達

安全沙箱掃描作業可能導致郵件延後送達,延遲時間最長 3 分鐘。有些掃描作業可能會較快完成。
找出安全沙箱設定
  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 進入管理控制台首頁後,依序前往 [應用程式] 接下來 [Google Workspace] 接下來 [Gmail] 接下來 [垃圾郵件、網路詐騙和惡意軟體]

    注意:如要查看這項設定,請依序前往 [應用程式]接下來Google Workspace接下來Gmail接下來[進階設定]。

  3. 選取您想調整設定的目標機構單位。如果想為所有使用者調整設定,請選取頂層機構單位,否則,請選取其中一個子機構單位。
  4. 捲動到「垃圾郵件、網路詐騙和惡意軟體」部分的「安全沙箱」。安全沙箱規則會顯示在這部分底部。
在安全沙箱中掃描所有附件

管理員可以設定讓 Gmail 掃描所有電子郵件附件。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 進入管理控制台首頁後,依序前往 [應用程式] 接下來 [Google Workspace] 接下來 [Gmail] 接下來 [垃圾郵件、網路詐騙和惡意軟體]

    注意:如要查看這項設定,請依序前往 [應用程式]接下來Google Workspace接下來Gmail接下來[進階設定]。

  3. 選取您想調整設定的目標機構單位。如果想為所有使用者調整設定,請選取頂層機構單位,否則,請選取其中一個子機構單位。
  4. 捲動到「垃圾郵件、網路詐騙和惡意軟體」部分的「安全沙箱」。安全沙箱規則會顯示在這部分底部。
  5. 如要掃描所有附件,請勾選 [針對機構單位的所有使用者在沙箱環境中為附件啟用虛擬執行功能...] 方塊。

    注意:一旦勾選這個方塊,系統就會在安全沙箱中掃描「所有」附件,即使您已建立特定沙箱規則亦然。

  6. 點選網頁底部的 [儲存]

變更最多可能需要 24 小時才會生效。

僅在郵件符合特定規則時掃描附件

您可以指定規則,協助系統辨識哪些電子郵件的附件需要掃描。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 進入管理控制台首頁後,依序前往 [應用程式] 接下來 [Google Workspace] 接下來 [Gmail] 接下來 [垃圾郵件、網路詐騙和惡意軟體]

    注意:如要查看這項設定,請依序前往 [應用程式]接下來Google Workspace接下來Gmail接下來[進階設定]。

  3. 選取您想調整設定的目標機構單位。如果想為所有使用者調整設定,請選取頂層機構單位,否則,請選取其中一個子機構單位。
  4. 在「垃圾郵件、網路詐騙和惡意軟體」部分,取消勾選「安全沙箱」下方的 [針對機構單位的所有使用者在沙箱環境中為附件啟用虛擬執行功能...] 方塊。取消勾選這個方塊後,系統就只會在附件符合沙箱規則時,才在沙箱中掃描附件。

  5. 將滑鼠游標移至「垃圾郵件、網路詐騙和惡意軟體」部分底部的「安全沙箱規則」,然後點選 [設定]

  6. 在「新增設定」方塊中的「安全沙箱規則」下方輸入規則名稱。這個名稱會顯示在設定頁面上。

  7. 在「受影響的電子郵件」部分,勾選郵件類型旁邊的方塊:

    • 內送:從外部網域傳送至貴機構的郵件。

    • 內部 - 接收:在貴機構網域和子網域內部收發的郵件。

  8. 在「描述您要在所有郵件中搜尋內容的條件運算式」部分:

    1. 選取要符合任一運算式,還是所有運算式。舉例來說,假設您選取 [如果郵件符合下列任一條件],當郵件符合任一條件時,系統就會在安全沙箱中觸發附件掃描作業。

    2. 按一下「運算式」方塊中的 [新增]

    3. 從清單中選擇要為運算式指定哪些內容,然後按一下 [儲存]

      • 簡要內容比對:依您指定的內容進行比對。簡要內容比對與 Gmail 的搜尋功能作用相似。舉例來說,如果您搜尋「訂購單」,系統會傳回任何包含「訂購」和「單」的字串。進一步瞭解 Gmail 搜尋運算子

      • 進階內容比對:依序選取郵件內文的 [位置] 和 [比對類型],然後輸入要搜尋的內容。與簡要內容比對不同的是,字串必須完全相符才會觸發動作。下方表格提供郵件中各個位置和比對類型的說明。進一步瞭解進階內容比對選項

      • 中繼資料比對:依序選取要比對的屬性和 [比對類型],並視需要輸入「比對值」。如需中繼資料屬性和比對類型的說明,請參閱下方表格。進一步瞭解中繼資料屬性和比對類型

      • 預先定義的內容比對:選取一個預先定義的內容偵測項目,例如選取「信用卡卡號」或「身分證字號」。此外,您可以視需要設定郵件中需要出現幾次偵測項目才會觸發指定動作,或在偵測項目達到可信度門檻時觸發掃描。注意:這項功能僅適用於部分版本。詳情請參閱使用資料遺失防護功能掃描電子郵件流量

      進階內容比對選項

      • 位置:顯示電子郵件內容的部分。

        位置類型 說明
        標頭 + 內文 完整標頭加上內文。包括附件 (已解碼的 MIME 部分)。
        完整標頭 所有標頭欄位,但不包括郵件內文或附件。
        內文 電子郵件的主要文字部分,包括附件 (已解碼的 MIME 部分)。
        主旨 電子郵件標頭中顯示的郵件主旨。
        寄件者標頭

        「寄件者」標頭中回報的寄件者電子郵件地址 (可能與「郵件寄件者」中回報的寄件者不同)。

        寄件者標頭位於角括弧中,由電子郵件地址組成,不包含帳戶擁有者的名稱。

        舉例來說:

        寄件者:Jane Doe <jdoe@example.com>

        寄件者標頭就是 jdoe@example.com。

        注意:@gmail.com 和 @googlemail.com 地址左側部分會轉換為標準表示法,例如 jane.doe@gmail.com 會轉換為 janedoe@gmail.com。

        收件者標頭

        電子郵件標頭、[收件者]、[副本] 和 [密件副本] 欄位中回報的收件者 (可能與「任何郵件收件者」中回報的收件者不同)。

        這項設定一次只會比對一位收件者。如果郵件包含 2 位以上的收件者,進階內容規則並不會比對單一字串中的所有收件者。如要為傳送給多位使用者的郵件設定規則,請使用「完整」標頭。

        收件者標頭位於角括弧中,由電子郵件地址組成,不包含帳戶擁有者的名稱。

        舉例來說:

        收件者:Jane Doe <jdoe@example.com>
        副本:John Doe <johndoe@example.com>
        密件副本:John Smith <jsmith@example.com>

        收件者標頭就是 jdoe@example.com、johndoe@example.com 和 jsmith@example.com。

        郵件寄件者 SMTP 通訊要求期間回報的原始寄件者 (可能與「寄件者標頭」中回報的寄件者不同)。系統有時會比對「回覆路徑」標頭中的地址。
        任何郵件收件者

        SMTP 通訊要求期間回報的收件者 (可能與「郵件寄件者」中回報的寄件者不同)。可能包括後續群組郵件中新增的個別收件者。

        這項設定一次只會比對一位收件者。如果郵件包含 2 位以上的收件者,進階內容規則並不會比對單一字串中的所有收件者。

        原始郵件 完整標頭加上內文,包括所有附件和郵件的其他 MIME 部分 (MIME 部分未經過解碼)。
      • 比對類型:用於決定比對內容的參數。
         
        比對類型 說明

        開頭是:

        搜尋所選位置,找出開頭為特定字元或字串的內容。

        結尾為:

        搜尋所選位置,找出結尾為特定字元或字串的內容。

        包含文字

        搜尋所選位置,找出含有特定字串的內容。

        不含文字

        搜尋所選位置,找出不含特定字串的內容。

        等於

        搜尋所選位置,找出與特定字串完全相符的內容。

        無內容

        搜尋所選位置,找出空白的內容。

        與規則運算式相符

        搜尋所選位置,找出與特定規則運算式相符的內容。

        與規則運算式不符

        搜尋所選位置,找出與特定規則運算式不符的內容。

        與任何文字相符

        搜尋所選位置,找出與特定文字清單中的任何文字相符的內容。

        字詞完全符合

        搜尋所選位置,找出與特定文字清單中的所有文字相符的內容。

      • 內容:要比對的文字。

      中繼資料屬性和比對類型

      屬性 比對類型 說明

      郵件驗證

      • 郵件已經過驗證
      • 郵件未經過驗證

      選取這個選項可讓規範運算式比對已經過驗證或是未經過驗證的郵件。這個選項符合 DMARC 標準。郵件只要通過 SPF 或 DKIM 檢查,就算通過驗證。反之,如果為通過上述其中一項驗證,即屬未經過驗證。請按這裡查看更多關於 SPF、DKIM 和 DMARC 的相關資訊。

      來源 IP

      • 在下列範圍內

      • 不在下列範圍內

      選取這個選項可讓規範運算式比對指定 IP 範圍內 (或是不在這個範圍內) 的郵件。

      安全傳輸 (TLS)

      • 連線受到 TLS 加密保護

      • 連線未受到 TLS 加密保護

      選取這個選項可讓規範運算式比對受到 TLS 加密保護 (或沒有 TLS 加密保護) 的郵件。

      郵件大小
      • 大於下列大小 (MB)
      • 小於下列大小 (MB)

      選取這個選項可讓規範運算式比對大於或小於指定大小的郵件。請在欄位中輸入郵件大小 (MB)。

      這裡所指的是電子郵件整體的原始大小,由於標準編碼額外用量的關係,這個數值可能比電子郵件與附件的原始大小大上 33%。

      S/MIME 加密

      • 郵件經 S/MIME 加密

      • 郵件未經 S/MIME 加密

      選取這個選項可讓規範運算式比對經過或是未經過 S/MIME 加密的郵件。

      支援這項功能的版本:Enterprise 和 Education Fundamentals 和 Education Plus。  版本比較

      S/MIME 簽名

      • 郵件有 S/MIME 簽名

        • 郵件沒有 S/MIME 簽名

      選取這個選項可讓規範運算式比對經過或是未經過 S/MIME 簽署的郵件。

      支援這項功能的版本:Enterprise 和 Education Fundamentals 和 Education Plus。  版本比較

      Gmail 機密模式
      • 郵件已套用 Gmail 機密模式
      • 郵件未套用 Gmail 機密模式
      選取這個選項可比對已套用或是未套用 Gmail 機密模式的郵件。
  9. 確認運算式相符時,[執行安全沙箱] 顯示為指定執行的動作。一旦郵件符合條件,系統一律會在安全沙箱中觸發動作,對附件執行掃描作業 (即所謂「執行安全沙箱」)。
  10. 如果您已完成設定,請按一下 [新增設定] 或 [儲存],接著再點選「Gmail 進階設定」頁面底部的 [儲存]。如果還想進行其他設定,可以參閱以下設定:

隔離惡意附件

根據預設,系統會將安全沙箱偵測到的惡意軟體移至垃圾郵件資料夾。不過您也可以更改設定,將安全沙箱偵測到的有害軟體附件移至隔離區,方法是使用「垃圾郵件」中繼資料屬性建立內容規範規則

掃描來自特定地址清單的郵件附件

您可以指定將地址清單做為條件,依此決定郵件是否要符合安全沙箱規則。這些清單可包含電子郵件地址和/或網域。

Gmail 在判斷地址清單是否會套用規則時,會針對收到的郵件比對「寄件者」地址,針對寄出的郵件比對收件者地址。系統也會針對寄件者檢查驗證要求。如果指定多份清單,則地址必須至少與其中一份清單相符,才可以套用規則。

如要指定地址清單,請按照以下步驟操作:

  1. 在「新增設定」或「編輯設定」方塊中,按一下 [顯示選項]。如要瞭解如何開啟這個方塊,請參閱僅在郵件符合特定規則時掃描附件一節的說明。

  2. 在「選項」部分勾選 [使用地址清單略過這項設定,或控制要套用這項設定的地址] 方塊。

  3. 選取下列其中一個選項:

    • 讓特定地址/網域略過這項設定:如果地址清單相符,則無論規則中指定的其他條件為何,一律略過這項規則。

    • 僅針對特定地址/網域套用這項設定:地址清單比對結果將做為這項規則套用與否的條件。如果規則中有其他條件 (相符運算式、帳戶類型或郵件篩選器),則地址清單必須同時符合這些條件才會套用這項規則。

  4. 按一下「尚未使用任何清單」旁邊的 [使用現有的清單或建立新的清單]

  5. 在「可用的清單」方塊中執行下列其中一項操作:

    • 選取現有清單名稱,然後點選 [使用]

    • 在 [建立新清單] 欄位中輸入新清單的名稱,然後點選 [建立]

  6. 如何將電子郵件地址或網域新增到清單中:
    1. 將游標移至清單名稱上,然後按一下 [編輯]
    2. 如要將電子郵件地址或網域新增到清單中,請按一下 [新增]
    3. 輸入完整的電子郵件地址或網域名稱,例如「solarmora.com」。如要新增多個地址,請以半形逗號或空格分隔各個地址。
    4. 如要讓未設定驗證功能的已核准寄件者略過規則檢驗,請勾選 [不需寄件者驗證] 方塊。請謹慎使用這個選項,以免發生假冒情形。
    5. 按一下 [儲存]
  7. 如果您已完成設定,請按一下方塊底部的 [新增設定],接著再點選「Gmail 進階設定」頁面底部的 [儲存]。否則,請前往受影響的帳戶類型

掃描特定帳戶類型的附件

您可以指定將帳戶類型做為條件,依此決定郵件是否要符合安全沙箱規則。

根據預設,系統會選取 [使用者],但您可以選取多個類型。如果您要指定外寄設定,則所選帳戶類型必須與寄件者類型相符。

  1. 在「新增設定」或「編輯設定」方塊中,按一下 [顯示選項]。如要瞭解如何開啟這個方塊,請參閱僅在郵件符合特定規則時掃描附件一節的說明。
  2. 在「選項」部分選取「受影響的帳戶類型」設定:
    • 使用者
    • 不明/全部接收的地址
  3. 如果您已完成變更,請按一下 [新增設定] 或 [儲存],接著再點選「Gmail 進階設定」頁面底部的 [儲存]。如果還要進行其他變更,可以參閱指定郵件篩選器
掃描來自寄件者、收件者和群組的附件 (郵件篩選器)

您可以指定將電子郵件資訊做為安全沙箱規則的條件。電子郵件資訊包含寄件者或收件者的電子郵件地址等。

  1. 在「新增設定」或「編輯設定」方塊中,按一下 [顯示選項]。如要瞭解如何開啟這個方塊,請參閱僅在郵件符合特定規則時掃描附件一節的說明。
  2. 在「選項」部分選取「郵件篩選器」設定:您可以勾選 [僅影響特定郵件寄件者] 方塊、[僅影響特定郵件收件者] 方塊,或同時勾選這兩個選項。
  3. 選取下列其中一個選項:
    • 單一電子郵件地址:如果要指定單一使用者,請輸入一組電子郵件地址 (必須是完整的電子郵件地址,並應包含 @ 和網域名稱)。比對時不區分大小寫。

    • 模式比對:如果要指定網域中的一組寄件者或收件者,可以輸入規則運算式 (按一下 [測試運算式] 可確認語法是否正確)。舉例來說,如果只要讓這項設定套用到特定的 3 位使用者,請使用下列規則運算式語法輸入使用者清單:

      ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$

      在上述運算式中:

      • ^ 用於比對新行的開頭。
      • (?i) 讓運算式不區分大小寫。
      • $ 用於比對行的結尾。

      瞭解如何使用規則運算式

    • 群組成員資格:選取清單中的一或多個群組。對於郵件寄件者,這個選項僅適用於已寄出的郵件;不過,對於郵件收件者,這個選項僅適用於已收到的郵件。您必須先建立群組才能使用這個選項。

  4. 按一下方塊底部的 [新增設定] 或 [儲存],接著再點選 Gmail 「進階設定」頁面底部的 [儲存]。 

    系統會根據指定的規則掃描附件。變更最多需要經過 24 小時才會套用到使用者帳戶。

查看報告與設定的變更記錄

「垃圾郵件篩選器 - 惡意軟體」報告會顯示系統找到的惡意附件數量,也會列出系統認定的所有惡意郵件。不過,這份報告不會顯示系統完成掃描的附件數量。您可以在 Google Workspace 安全性資訊主頁查看這份報告。

如要查看安全沙箱設定的變更記錄,請參閱管理控制台稽核記錄

相關資訊

加快規則測試速度的最佳做法


Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題