設定偵測有害附件的規則

Gmail 安全沙箱

支援這項功能的版本:Frontline Plus;Business Standard 和 Business Plus;Enterprise Standard 和 Enterprise Plus。 版本比較

防毒應用程式或工具有時可能會遺漏含有惡意軟體或檔案的電子郵件附件。Gmail 會在名為「安全沙箱」的虛擬環境中掃描附件,協助您找出這些附件。安全沙箱會掃描直接附加至郵件的檔案,以及封存檔附件中的檔案 (例如 zip 或 rar 檔案)。安全沙箱支援的附件類型包括 Microsoft 執行檔 (.exe)、Microsoft Office 和 PDF。

注意:安全沙箱掃描作業可能會導致郵件傳送延遲最多 3 分鐘,不過掃描作業可能較快完成。

安全沙箱可讓您建立規則,指定要掃描哪些附件。舉例來說,您可以掃描含有指定字詞、來自特定寄件者,或從外部或指定網域內寄出的附件。

系統會將含有可疑附件的郵件歸類為垃圾郵件

當安全沙箱偵測到附件含有可疑或惡意內容時,會自動將郵件傳送至收件者的垃圾郵件資料夾。Google 會儲存附件的相關資訊,進一步提高其他 Google 產品的安全性。

您也可以選擇更改設定,將安全沙箱偵測到的有害軟體附件移至隔離區,方法是使用「垃圾郵件」中繼資料屬性建立內容規範規則

安全沙箱的預設設定為「關閉」。

安全沙箱設定選項

掃描所有附件

管理員可以將 Gmail 設為掃描安全沙箱中的所有電子郵件附件。這項設定預設為關閉。

  1. 在 Google 管理控制台中,依序前往「選單」 接下來 「應用程式」接下來「Google Workspace」接下來「Gmail」接下來「垃圾郵件、網路釣魚和惡意軟體」

    必須具備 Gmail 設定管理員權限

  2. 選取要調整設定的目標機構單位。如要為所有使用者調整設定,請選取頂層機構單位,否則,請選取其中一個子機構單位。
  3. 捲動到「垃圾郵件、網路詐騙和惡意軟體」部分的「安全沙箱」。安全沙箱規則會顯示在這部分底部。
  4. 如要掃描所有附件,請勾選「針對機構單位的所有使用者在沙箱環境中為附件啟用虛擬執行功能...」方塊。

    注意:一旦勾選這個方塊,系統就會在安全沙箱中掃描「所有」附件,即使您已建立特定沙箱規則亦然。

  5. 點按頁面底部的「儲存」。

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

根據您建立的規則掃描附件 (所有規則選項)

新增規則,指定要掃描的郵件。

  1. 在 Google 管理控制台中,依序前往「選單」 接下來 「應用程式」接下來「Google Workspace」接下來「Gmail」接下來「垃圾郵件、網路釣魚和惡意軟體」

    必須具備 Gmail 設定管理員權限

  2. 選取要調整設定的目標機構單位。如要為所有使用者調整設定,請選取頂層機構單位,否則,請選取其中一個子機構單位。

  3. 在「垃圾郵件、網路詐騙和惡意軟體」部分,取消勾選「安全沙箱」下方的「針對機構單位的所有使用者在沙箱環境中為附件啟用虛擬執行功能...」方塊。取消勾選這個方塊後,系統就只會在附件符合沙箱規則時,才在沙箱中掃描附件。

  4. 將滑鼠游標移至「垃圾郵件、網路詐騙和惡意軟體」部分底部的「安全沙箱規則」,然後點選「設定」

  5. 在「新增設定」方塊中的「安全沙箱規則」下方輸入規則名稱。這個名稱會顯示在設定頁面上。

  6. 在「受影響的電子郵件」部分,勾選郵件類型旁邊的方塊:

    • 內送:從外部網域傳送至貴機構的郵件。

    • 內部 - 接收:在貴機構網域和子網域內部收發的郵件。

      如果網域是通過驗證的 Workspace 網域,或是已驗證 Workspace 網域的子網域或上層網域,則屬於內部網域。

  7. 在「描述您要在所有郵件中搜尋內容的條件運算式」部分:

    1. 選取要符合任一運算式,還是所有運算式。舉例來說,假設您選取「如果郵件符合下列任一條件」,當郵件符合任一條件時,系統就會在安全沙箱中觸發附件掃描作業。

    2. 按一下「運算式」方塊中的「新增」

    3. 從清單中選擇要為運算式指定哪些內容,然後按一下「儲存」

      • 簡要內容比對:依您指定的內容進行比對。簡要內容比對與 Gmail 的搜尋功能作用相似。舉例來說,如果您搜尋「訂購單」,系統會傳回任何包含「訂購」和「單」的字串。進一步瞭解 Gmail 搜尋運算子

      • 進階內容比對:依序選取郵件內文的「位置」和「比對類型」,然後輸入要搜尋的內容。與簡要內容比對不同的是,字串必須完全相符才會觸發動作。下方表格提供郵件中各個位置和比對類型的說明。進一步瞭解進階內容比對選項

      • 中繼資料比對:依序選取要比對的屬性和「比對類型」,並視需要輸入「比對值」。如需中繼資料屬性和比對類型的說明,請參閱下表。進一步瞭解中繼資料屬性和比對類型

      • 預先定義的內容比對:選取一個預先定義的內容偵測項目,例如選取「信用卡卡號」或「身分證字號」。此外,您可以視需要設定郵件中需要出現幾次偵測項目才會觸發指定動作,或在偵測項目達到可信度門檻時觸發掃描。注意:這項功能僅適用於部分版本。詳情請參閱「使用資料遺失防護功能掃描電子郵件流量」。

      進階內容比對選項

      • 位置:顯示電子郵件內容的部分。

        位置類型 說明
        標頭 + 內文 完整標頭加上內文。包括附件 (已解碼的 MIME 部分)。
        完整標頭 所有標頭欄位,但不包括郵件內文或附件。
        內文 電子郵件的主要文字部分,包括附件 (已編碼的 MIME 部分)。
        主旨 電子郵件標頭中顯示的郵件主旨。
        寄件者標頭

        「寄件者」標頭中回報的寄件者電子郵件地址 (可能與「郵件寄件者」中回報的寄件者不同)。

        寄件者標頭位於角括弧中,由電子郵件地址組成,不包含帳戶擁有者的名稱。

        舉例來說:

        寄件者:Jane Doe <jdoe@example.com>

        寄件者標頭就是 jdoe@example.com。

        注意:@gmail.com 和 @googlemail.com 地址左側部分會轉換為標準表示法,例如 jane.doe@gmail.com 會轉換為 janedoe@gmail.com。
        收件者標頭

        電子郵件標頭、[收件者]、[副本] 和 [密件副本] 欄位中回報的收件者 (可能與「任何郵件收件者」中回報的收件者不同)。

        一次只會比對一位收件者。如果郵件包含 2 位以上的收件者,進階內容規則並不會比對單一字串中的所有收件者。如要為傳送給多位使用者的郵件設定規則,請使用「完整」標頭。

        收件者標頭位於角括弧中,由電子郵件地址組成,不包含帳戶擁有者的名稱。

        舉例來說:

        收件者:Jane Doe <jdoe@example.com>
        副本:John Doe <johndoe@example.com>
        密件副本:John Smith <jsmith@example.com>

        收件者標頭就是 jdoe@example.com、johndoe@example.com 和 jsmith@example.com。
        郵件寄件者 SMTP 通訊要求期間回報的原始寄件者 (可能與「寄件者標頭」中回報的寄件者不同)。系統有時會比對「回覆路徑」標頭中的地址。
        任何郵件收件者

        SMTP 通訊要求期間回報的收件者 (可能與「收件者標頭」中回報的收件者不同)。可能包括後續群組郵件中新增的個別收件者。

        一次只會比對一位收件者。如果郵件包含 2 位以上的收件者,進階內容規則並不會比對單一字串中的所有收件者。
        原始郵件 完整標頭加上內文,包括所有附件和郵件的其他 MIME 部分 (MIME 部分未經過解碼)。
      • 比對類型:用於決定比對內容的參數。
        比對類型 說明

        開頭是

        搜尋所選位置,找出開頭為特定字元或字串的內容。
        結尾為

        搜尋所選位置,找出結尾為特定字元或字串的內容。

        包含文字

        搜尋所選位置,找出含有特定字串的內容。

        不含文字

        搜尋所選位置,找出不含特定字串的內容。

        等於

        搜尋所選位置,找出與特定字串完全相符的內容。

        空白

        搜尋所選位置,找出空白的內容。

        與規則運算式相符

        搜尋所選位置,找出與特定規則運算式相符的內容。

        與規則運算式不符

        搜尋所選位置,找出與特定規則運算式不符的內容。

        與任何文字相符

        搜尋所選位置,找出與特定文字清單中的任何文字相符的內容。

        字詞完全符合

        搜尋所選位置,找出與特定文字清單中的所有文字相符的內容。

      • 內容:要比對的文字。

      中繼資料屬性和比對類型

      屬性 比對類型 說明

      郵件驗證
      • 郵件已通過驗證
      • 郵件未通過驗證

      選取這個選項可讓規範運算式比對已經過驗證或是未經過驗證的郵件。這個選項符合 DMARC 標準。郵件只要通過 SPF 或 DKIM 檢查,就算通過驗證。反之,如果為通過上述其中一項驗證,即屬未經過驗證。請按這裡查看更多關於 SPF、DKIM 和 DMARC 的相關資訊。

      來源 IP

      • 在下列範圍內

      • 不在下列範圍內

      選取這個選項可讓規範運算式比對指定 IP 範圍內 (或是不在這個範圍內) 的郵件。

      安全傳輸 (TLS)

      • 連線受到 TLS 加密保護

      • 連線未受到 TLS 加密保護

      選取這個選項可讓規範運算式比對受到 TLS 加密保護 (或沒有 TLS 加密保護) 的郵件。
      郵件大小
      • 大於下列大小 (MB)
      • 小於下列大小 (MB)

      選取這個選項可讓規範運算式比對大於或小於指定大小的郵件。請在欄位中輸入郵件大小 (MB)。

      這裡所指的是電子郵件整體的原始大小,由於標準編碼額外用量的關係,這個數值可能比電子郵件與附件的原始大小大上 33%。這是因為標準編碼額外用量的關係。

      S/MIME 加密

      • 郵件經 S/MIME 加密

      • 郵件未經 S/MIME 加密

      選取這個選項可讓規範運算式比對經過或是未經過 S/MIME 加密的郵件。

      支援這項功能的版本:Frontline Plus;Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較

      S/MIME 簽名

      • 郵件有 S/MIME 簽名

        • 郵件沒有 S/MIME 簽名

      選取這個選項可讓規範運算式比對經過或是未經過 S/MIME 簽署的郵件。

      支援這項功能的版本:Frontline Plus;Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較
      Gmail 機密模式
      • 郵件已套用 Gmail 機密模式
      • 郵件未套用 Gmail 機密模式
      		 選取這個選項可比對已套用或是未套用 Gmail 機密模式的郵件。
  8. 確認運算式相符時,[執行安全沙箱] 顯示為指定執行的動作。一旦郵件符合條件,系統一律會在安全沙箱中觸發動作,對附件執行掃描作業 (即所謂「執行安全沙箱」)。
  9. 如果您已完成設定,請按一下「新增設定」或「儲存」,接著再點選「Gmail 進階設定」頁面底部的「儲存」。你也可以進行以下設定:

掃描來自特定地址清單的附件

您可以將地址清單指定為掃描條件。地址清單包括電子郵件地址和/或網域。

這項規則會針對已收到郵件的「寄件者」已寄郵件的收件者的值,來判斷地址清單是否套用規則。系統也會檢查寄件者是否通過驗證。如果指定多份清單,則地址必須至少與其中一份清單相符,才可以套用規則。

  1. 按照「僅在郵件符合特定規則時掃描附件中的步驟,開啟「新增」或「編輯」設定方塊。
  2. 按一下「顯示選項」

  3. 在「選項」部分勾選「使用地址清單略過這項設定,或控制要套用這項設定的地址」方塊。

  4. 選取下列任一選項:

    • 讓特定地址 / 網域略過這項設定:如果地址清單相符,則無論規則中指定的其他條件為何,一律略過這項規則。

    • 僅針對特定地址 / 網域套用這項設定:地址清單比對結果將做為這項規則套用與否的條件。如果規則中有其他條件 (相符運算式、帳戶類型或郵件篩選器),則地址清單必須同時符合這些條件才會套用這項規則。

  5. 按一下「尚未使用任何清單」旁邊的「使用現有的清單或建立新的清單」

  6. 在「可用的清單」方塊中執行下列其中一項操作:

    • 選取現有清單名稱,然後點選「使用」

    • 在「建立新清單」欄位中輸入新清單的名稱,然後按一下「建立」

  7. 如何將電子郵件地址或網域新增到清單中:
    1. 將游標移至清單名稱上,然後按一下「編輯」
    2. 如要將電子郵件地址或網域新增到清單中,請按一下「新增」
    3. 輸入完整的電子郵件地址或網域名稱,例如「solarmora.comsolarmora.com」。如要新增多個地址,請以半形逗號或空格分隔各個地址。
    4. 如要讓未設定驗證功能的已核准寄件者略過規則檢驗,請勾選「不需寄件者驗證」方塊。請謹慎使用這個選項,以免發生假冒情形。
    5. 按一下 [儲存]

  8. 如果您已完成設定,請按一下方塊底部的「新增設定」,接著再點選「Gmail 進階設定」頁面底部的「儲存」。否則,請前往「受影響的帳戶類型」

掃描特定帳戶類型的附件

您可以指定系統掃描來自特定帳戶類型的郵件。根據預設,系統會選取「使用者」帳戶類型,但您可以指定多種帳戶類型。如果您要指定外寄設定,則所選帳戶類型必須與寄件者類型相符。

  1. 按照「僅在郵件符合特定規則時掃描附件中的步驟,開啟「新增」或「編輯」設定方塊。
  2. 按一下「顯示選項」
  3. 在「選項」部分選取「受影響的帳戶類型」設定:
    • 使用者
    • 不明/全部接收的地址
  4. 如果您已完成變更,請按一下「新增設定」或「儲存」,接著再點選「Gmail 進階設定」頁面底部的「儲存」。如果還要進行其他變更,可以參閱指定郵件篩選器

掃描來自特定寄件者、收件者和群組的附件

您可以指定電子郵件資訊做為掃描的條件。電子郵件資訊包含寄件者和收件者的電子郵件地址。

  1. 按照「僅在郵件符合特定規則時掃描附件中的步驟,開啟「新增」或「編輯」設定方塊。
  2. 按一下「顯示選項」
  3. 在「選項」部分選取「郵件篩選器」設定:您可以勾選「僅影響特定郵件寄件者」方塊、「僅影響特定郵件收件者」方塊,或同時勾選這兩個選項。
  4. 選取所需選項:

    • 單一電子郵件地址:如果要指定單一使用者,請輸入一組電子郵件地址 (必須是完整的電子郵件地址,並應包含 @ 和網域名稱)。比對時不區分大小寫。

    • 模式比對:如果要指定網域中的一組寄件者或收件者,可以輸入規則運算式 按一下「測試運算式」,確認語法是否正確。舉例來說,如果只要讓這項設定套用到特定的 3 位使用者,請使用下列規則運算式語法輸入使用者清單: 
      ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$
       在上述運算式中:
      • ^ 用於比對新行的開頭。
      • (?i) 讓運算式不區分大小寫。
      • $ 會比對行的結尾。

      瞭解如何使用規則運算式

    • 群組成員資格:選取清單中的一或多個群組。對於郵件寄件者,這個選項僅適用於已寄出的郵件;不過,對於郵件收件者,這個選項僅適用於已收到的郵件。如要使用這個選項,您必須先建立群組

  5. 按一下方塊底部的「新增設定」或「儲存」,接著再點選「Gmail 進階設定」頁面底部的「儲存」

    系統會根據指定的規則掃描附件。

變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情

報表及與其他電子郵件掃描作業的相容性

取得惡意附件報告

「垃圾郵件篩選器 - 惡意軟體」報告會顯示系統找到的惡意附件數量,也會列出系統認定的所有惡意郵件。不過,這份報告不會顯示系統完成掃描的附件數量。您可以在 Google Workspace 安全性資訊主頁查看這份報告。

安全沙箱和其他掃描作業

安全沙箱掃描為獨立運作,不受其他規範和送達前掃描作業影響。舉例來說,內容規範掃描可能會搜尋信用卡卡號等個人資訊;附件規範掃描則可能封鎖特定類型或大小的附件。Gmail 會將規範和送達前掃描與安全沙箱掃描分開執行。

安全沙箱不會掃描遭到規範規則或送達前掃描作業封鎖的附件。

詳情請參閱:

加快規則測試速度的最佳做法


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。