最近笔者遇到一个奇怪的问题,即,我在 Microsoft 365 安全和合规中心的常见附件筛选器里添加了好几十种有可能存在安全风险的附件格式,并且把它开起来,但当我在用 .url 格式的附件做测试时,我发现,包含风险格式附件的邮件在个别场景下,无论如何都不会被隔离,直接就投到收件人的邮箱里去了,而且这问题在特定场景下 100% 会复现。这简直邪了八辈子血门儿了。

想知道如何开启常见附件过滤的朋友可以参考之前的这篇文章

后来,经过我和微软技术支持的一顿排查,发现,我的环境和标准实验环境有个区别,即,我的环境里有个反恶意软件策略 Standard Preset Security Policy,这个在标准实验环境里默认没有。

这是,我们隐隐感觉到,这可能是这个神秘的反恶意软件策略搞的鬼……

但正在我思考这个策略是从哪里来的的时候(我不记得我有主动创建过它),一个更邪门儿的事情出现了,那就是这个神秘的策略,我无法禁用它,也无法删除它。甚至我用 PowerShell 命令行尝试去删它都删不掉。

气死我了,气得我一口气把从一楼到三楼共两百多台电脑在五分钟之内的全部咬成了碎片。

再后来,在微软技术支持的帮助之下,我找到了一个地方,就是这里,预设安全策略的管理页面:

可以看到,标准保护被启用了。这个是我之前主动启用的。

好了,那我们尝试把这个标准保护禁用掉,然后再看看问题还存不存在吧。

哦天呐我的老伙计,看我发现了什么,那个顽固该死的 Standard Preset Security Policy,竟然被一股神秘力量禁用了!

可见,这个策略和标准保护是联动在一起的。

这时,当我再次尝试发送带有 .url 格式的邮件时,邮件就被成功隔离了。

好了,问题至此是解决了,但为什么我开了标准保护之后,常见附件筛选器就无法在一些场景下隔离带有 .url 格式的附件的邮件呢?

根据微软技术支持的解释,标准保护是一个策略集,它里面本来就包含风险附件过滤功能,但这个策略集里面的所有策略都是写死的,无法更改,它的风险附件过滤策略也无法更改。

而这个策略包里带的风险附件过滤策略,是不带 .url 这个格式的。

面对一个应用了标准保护策略的收件人,此时,在这个收件人的身上有两道风险附件过滤机制,一是标准保护里面自带的风险附件过滤,然后是反恶意软件策略里面设置的常见附件筛选器。

当一个包含 .url 格式的附件的邮件发给他时,这封邮件会优先触发标准保护自带的风险附件过滤,然后,就没有然后了。根据产品设计,这封邮件接触到标准保护策略集之后,后续的那个反恶意软件策略里面的常见附件筛选器就直接跳过去了,也就是说,你自己设置的常见附件筛选器,根本就没机会发挥作用。邮件不会被隔离,直接就投到收件人的收件箱里去了。

头发少的朋友可能会问了,我非要开标准保护不可,但 .url 格式的危险附件怎么办?它太危险了我好担心啊,我越是担心,我的头发就越少。

你多虑了,不用担心。微软是非常靠谱的。因为就算包含 .url 格式附件的邮件在传输层面没被拦住,它里面的 .url 格式附件默认也会被 Outlook 客户端拦掉的。

可怜的 .url 文件……