c-webber
Goto Top

Exchange Transportregel - Anhang nach Größe

Hallo Leute,

ich habe heute versucht über einen Transportregel an unserem Exchange 2016 all jene Mails zu filtern,
die von intern nach extern gehen und mindestens einen Dateianhang mitbringen.

Also eine ganz einfache Regel gebaut:

2024-02-20 16_44_16-regel - vivaldi

Das Ergebnis verwundert mich aber etwas.
Im Grunde tut die Regel was sie soll - wenn die oben genannten Bedingungen zutreffen, wird ein Incident-Report erstellt.
Merkwürdigerweise triggert die Regel aber auch dann, wenn Mails ohne Anhang nach extern geschickt werden.

Das passiert aber auch nicht immer, ich vermute einen Zusammenhang mit der Gesamtgröße der Mail an sich (unabhängig vom Anhang), denn sobald ein paar Bilder z.B. in der Signatur einer Mail eingebettet sind, löst die Regel aus und erzeugt einen Incident-Report.

Weiß zufällig jemand, ob für Exchange 2016 eingebettete Objekte tatsächlich als Anhang zählen?

Besten Dank im Voraus!
Gruß, Chris

Content-Key: 34037469634

Url: https://administrator.de/contentid/34037469634

Printed on: April 13, 2024 at 00:04 o'clock

Member: ThePinky777
ThePinky777 Feb 20, 2024 at 16:14:44 (UTC)
Goto Top
also wenn du 5.00KB da eingestellt hast wundert das nicht...
wolltest du 500 KB ?
Member: Globetrotter
Globetrotter Feb 20, 2024 at 16:24:57 (UTC)
Goto Top
Hi...
Schon mal selber ne pure Textmail ohne sonst was mit über/unter 5Kb weggeschickt - gecheckt?
Probiere mal:
Werden Bilder in Base64 (innerhalb der Mail) mit eingerechnet ?
Werden Bilder eingebettet (innerhalb der Mail) mit eingerechnet ?
Werden Bilder (per Link) (innerhalb der Mail) mit eingerechnet ?

... probieren geht über studieren... - M$ geht da oft eigene Wege face-smile

Gruss Globe!
Member: c-webber
c-webber Feb 20, 2024 at 17:49:09 (UTC)
Goto Top
Was mich stört ist, dass in der Bedingung steht "Anlage ist größer..." und die Regel offenbar gar nicht zwischen Mailinhalt und Anlage unterscheiden kann?
Member: Globetrotter
Globetrotter Feb 20, 2024 at 17:54:10 (UTC)
Goto Top
Hi..
Probiere einfach mal obiges aus.... und berichte...

Gruss Globe!
Member: StefanKittel
StefanKittel Feb 20, 2024 at 17:55:23 (UTC)
Goto Top
Moin,

Zitat von @c-webber:
Weiß zufällig jemand, ob für Exchange 2016 eingebettete Objekte tatsächlich als Anhang zählen?
Ja und Nein. Das hängt von der MIME-Formatierung ab.
MIME, besonders in Mails, ist ein Monster mit vielen Facetten.
Stefan
Member: Globetrotter
Globetrotter Feb 20, 2024 at 18:05:33 (UTC)
Goto Top
Hi @all..
In der Tat.. MIME macht die Mails natürlich auch ziemlich "fett"... deshalb meinte ich ja, er solle es testen...
Es gibt hier x-Faktoren.. und man weiß "bisher" nicht wo M$ das "messen" tut ...

Gruss Globe!
Mitglied: 11078840001
11078840001 Feb 20, 2024 updated at 21:52:54 (UTC)
Goto Top
Weiß zufällig jemand, ob für Exchange 2016 eingebettete Objekte tatsächlich als Anhang zählen?
Jepp.
Ob Inline- oder normales Attachment unterscheidet MS bei dieser Regel-Auswahl nicht, beides sind für die Regel Attachments.

https://learn.microsoft.com/en-us/exchange/security-and-compliance/mail- ...

Embedded images are treated as attachments (for example, messages with a picture in the signature). For this reason, we do not recommend using a very small value for the attachment size since unexpected messages will be blocked.
Member: c-webber
c-webber Feb 21, 2024 at 10:27:19 (UTC)
Goto Top
Zitat von @11078840001:

Weiß zufällig jemand, ob für Exchange 2016 eingebettete Objekte tatsächlich als Anhang zählen?
Jepp.
Ob Inline- oder normales Attachment unterscheidet MS bei dieser Regel-Auswahl nicht, beides sind für die Regel Attachments.

Das bestätigt meine Versuche, Danke dafür!
Hätte jemand von euch eine Idee, wie man mit dem verfügbaren Regelwerk eine Regel bauen kann, die zuverlässig dann triggert, wenn ein "echter Anhang" mitgeschickt wird?

Ich könnte zwar mit einer Liste an nicht erlaubten Extensions arbeiten, das wäre mir aber zu dünn, da es ausreicht einfach die Extension zu verändern und schon greift die Regel nicht mehr.

Gruß, Chris
Mitglied: 11078840001
11078840001 Feb 21, 2024 updated at 11:07:04 (UTC)
Goto Top
Mit den Transport-Regeln nicht wirklich. Ein "Custom Transport-Agent" wäre noch möglich..
Oder der vordefinierte Attachment Filter Agent
https://learn.microsoft.com/en-us/exchange/antispam-and-antimalware/anti ...
https://learn.microsoft.com/en-us/powershell/module/exchange/?view=excha ...