跳至內容
部分或全部頁面已經過機器翻譯。

建立資料控管規則

新增規則至資料管控原則以控制電子郵件中的敏感資訊。這些規則描述了要查找的資訊以及在規則匹配時應執行的操作。

若要建立新規則,請編輯現有原則或建立新原則:

  1. 前往 我的產品 > Email Protection > 原則
  2. 按一下現有資料管控原則進行編輯。若要建立新原則,請按一下新增原則。請參閱資料控管策略
  3. 按一下 設定
  4. 按一下 入埠出埠 以設定此規則檢查的電子郵件的方向。
  5. 按一下 新增規則
  6. 設定規則名稱和說明。
  7. 選擇規則類型。

    您可以使用 Sophos 提供的範本來控制常見類型的敏感資訊。您還可以使用內容管控清單 (CCL)、郵件屬性或關鍵字和片語自訂規則。

  8. 按一下下一步

    新增項目會出現。

  9. 新增項目中,您可以選擇要套用規則的項目。

    對於大多數規則類型,您可以使用 Sophos 提供的清單或構建特定於您需求的自訂清單。

    您可以選擇搜尋以下位置的任意組合:主題,正文,附件文件內容或附件文件名。

    如果選擇郵件屬性 (MA),請繼續下一步。

    如果您選擇附件檔案類型 (AFT),我們建議您使用預設 Sophos 清單。

    如果使用自訂清單,則可以選擇按檔案副檔名檔案群組篩選。

    如果按檔案副檔名篩選,則可以選取單個檔案副檔名。您無法選擇檔案群組。您也可以在包括副檔名中新增一個逗號分隔的檔案副檔名清單,以便根據其進行篩選。該規則與檔案副檔名匹配,而不是我們偵測到的檔案類型。

    如果按檔案群組篩選,則可以從清單中選取檔案類型群組。您無法選擇單個副檔名。該規則與我們偵測到的檔案類型匹配,而不是與副檔名匹配。

    如果選擇 關鍵字(KW),則可以輸入字元串以搜尋或導入關鍵字。

    我們會依此順序在下列位置查找關鍵字:電子郵件的主旨、正文、附件名稱及附件。我們的查找位置取決於您在搜尋位置中選取的選項。

    當我們在其中一個位置找到關鍵字時,我們會停止在該位置查找,並開始在下一個位置查找。我們僅報告每個位置中關鍵字的第一個實例。

    您可以選擇篩選單詞和片語,或使用正則表達式。如果要在 Sophos Email DLP 規則的上下文中使用正則表達式新增關鍵字,最多可以使用 50 個字元。正則表達式必須符合Boost庫中的Perl正則表達式語法。請參閱 Perl 語法

    限制

    由於效能原因,我們不支援包含群組的正則表達式。群組是用括號括起來的一系列字元。

    您可以使用 BRegexTest 測試正則表達式,BRegexTest 是 Google Code 提供的 Windows 可執行檔案。請參閱 Google 程式碼封存:bregextest

  10. 按一下下一步

    螢幕上顯示訊息屬性

  11. 選取要用於篩選訊息的訊息屬性。

    從以下內容進行選擇:

    • 標頭:您可以檢查標頭值是否符合規則運算式、是否包含子字串、是否等於某個值,或標頭是否存在。
    • 來源:您可以新增 IP 位址和網域來比較它們。
    • 大小:您可以為電子郵件附件、整個電子郵件或兩者設定大小限制。附件大小限制適用於單個附件,而不是所有附件的大小總計。

    如果將郵件屬性規則與其他規則類型一起使用,則匹配將針對這兩種類型。例如,如果您為附件大小選擇郵件屬性,並選擇關鍵字規則類型,則只有在滿足附件大小限制並找到關鍵字時才會匹配該規則。

    我們使用電子郵件的 MIME 編碼計算附件大小。我們不使用原始檔案的大小。這意味着所報告的附件檔案大小通常大於實際檔案。篩選附件大小時必須考慮到這一點。請參閱計算電子郵件附件檔案大小

  12. 按一下下一步

    如果您要建立輸入規則,則會顯示外部寄件者。對於輸出規則,將顯示外部收件者

    這僅適用於規則層級。您也可以在原則層級使用外部使用者和網域。請參閱外部使用者和網域

  13. 新增要包含或排除在規則之外的電子郵件地址或網域。預設值爲 全部包括

    您可以新增單個項目或匯入清單。

    包含和排除是絕對的。例如,如果包含網域,則規則適用於使用該域名的所有電子郵件,不適用於使用任何其他網域的電子郵件。或者,如果您排除某個電子郵件地址,則規則會套用至除使用該電子郵件地址以外的所有電子郵件。

    注意

    當我們分析郵件的寄件者和收件者時,會使用他們的 SMTP 信封寄件者和收件者地址,而不是他們的 From 標頭和 To 標頭地址。

  14. 按一下下一步

    選擇動作將出現。

  15. 選擇規則匹配時要執行的動作、要通知的人員和其他選項。

    注意

    選項根據規則類型和方向(內送外寄)而變更。

    例如,如果您選取了內送,則退回動作不會出現在動作清單中。對於外寄規則,您可以覆寫在全域設定 > 電子郵件加密中設定的預設加密方法。

    動作清單可包括以下選項:

    • 隔離:Sophos Email 會隔離郵件以供檢閱。

    • 加密:Sophos Email 會對郵件進行加密以確保其安全。

    • 刪除附件:原始郵件被隔離,將不帶附件的副本傳送給收件者。您可以從隔離的郵件中管理附件。請參閱隔離訊息

    • 修改地址:您可以指定郵件的收件者抄送密件抄送收件者。

      注意

      • 如果只指定抄送密件抄送收件者,則規則將向原始收件者和您在抄送密件抄送中指定的地址傳送郵件。
      • 如果指定收件者收件者,則規則將向指定的地址傳送郵件,而不會將郵件傳送給原始收件者。
      • 如果選取僅信封,則不會修改 MIME 標頭,並且郵件僅傳送到指定的收件者地址。
    • 重新導向郵件:原始郵件將作為附件轉寄至重新導向電子郵件地址。

    • 重新路由郵件:您可以新增訊息路由目的地的IP位址或FQDN (完整網域名稱)及連接埠號碼。

      注意

      重新路由動作僅適用於 Sophos Email Gateway 接收和傳遞的郵件。對於 Sophos Email Mailflow 郵件,您必須在 Microsoft 365 中設定路由。

    • 退回:Sophos Email 會通知寄件者無法傳送郵件。

    • 修改標頭:您可從以下動作中進行選擇:

      • 新增標頭:輸入標頭元素和值。標頭元素即會新增至電子郵件。
      • 編輯標頭值:輸入標頭和值。標頭第一項的值將替換為新值。
      • 條帶標頭:輸入標頭元素。所有符合標頭元素的標頭都會被移除。
    • 删除:Sophos Email 會刪除郵件。

    • 記錄:Sophos Email 會記錄資料控制原則違規行為,而不採取進一步措施。

    • 標記主旨行:您可以在郵件主旨中新增主旨行。

    • 通知收件者:您可以向收件者傳送通知。

    • 通知管理員:您必須選取要通知的管理員的電子郵件地址。如果稍後刪除郵箱,Sophos Email 將繼續向其傳送通知。您必須變更地址,或選擇其他動作。

您可以選取允許處理以繼續下一個規則的動作,合併不同的規則類型。如果選取允許此操作的動作,則會顯示繼續處理,您可以將其打開。

要完成設定,請執行以下動作:

  1. 按一下使用此規則篩選郵件以打開或關閉規則。
  2. 按一下 已完成

打開規則後,可以在 數據控件摘要訊息記錄 報告中查看與規則匹配的郵件。