為確保讀者們知的權利,作者聲明本文完全沒有經過任何AI編寫。
今天來談個一直令郵件管理員頭痛的話題。話說金融業裡面有一條守則,公司員工可以使用OWA網頁郵件來存取公司的個人信箱,但是要確保郵件附件不能落地。在早期的話這個規定似乎就是封鎖下載功能就好,但隨著最近陸續開放的信箱上雲之後,有越來越多的途徑似乎可以打破原先的規則,下面要來跟管理員分享,你原先自己認為已經做到不落地的設定,在上雲之後是不是真的就實現不落地呢?
本文撰寫於2025年4月份,至於下個月是不是會改變就不知道了。
我們來討論如何在Exchange online的管理員設定範圍內,就網頁郵件(OWA)的可設定項目,在不使用其他安全功能的前提下,能否做到限制郵件附件不落地的狀態。
2025/4/18 補充
閱讀這篇的時候要強調一下,這篇的前提為"不檢討其他相關條件,譬如使用者的連線位址在哪,也不管使用者的機器是否合規等等"做的驗證
有讀者反應到從邏輯上來說,會使用OWA網頁收發信件的狀況,應該就是當下登入電腦不合規或是在公司網外的電腦才有不落地需求。如果在這種狀況之下OneDrive因為不合規,所以即使安裝軟體,使用者會受限無法登入。但驗證後發現該情境一樣可以在OWA上的附件看到[儲存至OneDrive]的選項。最後即使選儲存到onedrive,因為使用者也無法真正存取,所以也無法落地到本機。
首先我們來看一下最原始的OWA網頁郵件附件有甚麼選項?預設狀態下,OWA附件的可選功能會如下顯示(如下圖)
預覽檔案的時候有下列選項。
第一步:封鎖附件下載功能
不檢討其他相關條件,譬如使用者的連線位址在哪,或者使用者的機器是否合規等等,我們的條件限制為所有OWA網頁郵件附件不能落地。最原始的規定中所指的的落地,是指不能下載到使用者的本機電腦磁碟機,USB等實體裝置。為了滿足這個條件,我們先設置Exchange Online 的OwaMailboxPolicy
路徑如下
在角色->Outlook Web Access 原則->預設原則
然後取消下面這兩個項目(原本是勾選的)
編輯檔案存取
也可以使用Powershell。首先連線到exchange online (您要先安裝exchange online powershell module),並且使用Exchange online管理員登入
Connect-ExchangeOnline
並且使用Exchange online管理員登入
接著設定下面的參數,包含DirectFileAccessOnPublicComputersEnabled,以及DirectFileAccessOnPrivateComputersEnabled 兩個都是false
Set-OwaMailboxPolicy "OwaMailboxPolicy-Default" -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
設定完畢,原本附件的[下載]選項就消失了。如下圖
看起來貌似封鎖下載,大功告成?那其他選項作用是?
第二步:封鎖附件儲存於雲端功能
早期我們認為,無法[下載]就可以符合附件不落地。但基於雲端服務導入之後,如果附件出現下面這些選項,你仍然可以透過不同的方式存到電腦裡。包含
- [在PowerPoint傳統型應用程式中編輯]然後[另存新檔]在本機路徑,
- [在瀏覽器中編輯]然後[建立複本]再[下載複本]到本機。
這些都避開了[下載]限制,實際上也都能下載附件。因此如果要真正附件不落地,就必須配合停用儲存在雲端的檔案功能,以及在瀏覽器中編輯的功能,也就是關閉OwaMailboxPolicy 裡面的SaveAttachmentsToCloudEnabled 設定為false
Set-OwaMailboxPolicy "OwaMailboxPolicy-Default" -SaveAttachmentsToCloudEnabled $false
設定之後,檔案可以正常線上預覽,沒有其他的選項。
原本附件的右鍵功能僅剩下預覽跟複製。看起來像是達到只能預覽附件的功能,那複製呢?聽起來無害,但是這個複製經過研究,竟然是個大漏洞。
怎麼說呢?選[複製]附件之後,手動新增一封新信件,並且在信件空白處按右鍵貼上,這個附件竟然又出現[上傳到onedrive]的選項,當然又可以走剛才提到的路徑進行下載。
這實在是令人傻眼。請接著看下去。
第三步:封鎖使用雲端參照功能
為什麼會出現這個狀況?原因是因為微軟設計Outlook裡面有個新功能,使用者可以把附件先存(上傳)到OneDrive裡面,然後只傳送下載連接路徑給收件者,收件者收到後再按照路徑去下載。這個設計用意當然非常良好,第一個可以避免附件讓信件本身過於肥大,第二個可確保該附件不會在郵件傳輸過程中,被無關第三者無意間讀取,有效提高該附件的安全性。只是這樣的設計,也無意中造成讓原始郵件附件可下載到本機的漏洞
所以,我們得徹底封鎖各種可能的雲端磁碟參照路徑。請再加上OwaMailboxPolicy 的ReferenceAttachmentsEnabled 為 false
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -ReferenceAttachmentsEnabled $false
最終,即使我們把這個附件複製後貼到一封新信件,就只能出現相同的[預覽]和[複製],如下圖。
在這個狀態下,不管你怎麼操作,該附件完全沒有辦法下載到本機及onedrive的任何位置,也就達成附件確實不落地的狀態。
結論:做到附件不落地還真有點不簡單
感謝我的朋友Johnson給我這個題目,現在取得結論如下分享給大家。如果要徹底執行exchange online 的OWA網頁郵件的附件不落地(不是僅封鎖下載功能),現在可以一次性的使用Powershell 執行下述的作業
開啟PowerShell 並且連線到exchange online
Connect-ExchangeOnline
執行下面PowerShell指令。當然如果你的預設OwaMailboxPolicy 有異動,或是修改名字,請用你的新的Policy名稱。
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -DirectFileAccessOnPrivateComputersEnabled $false
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -DirectFileAccessOnPublicComputersEnabled $false
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -SaveAttachmentsToCloudEnabled $false
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ReferenceAttachmentsEnabled $false
使用下列指令檢查設定結果,便大功告成。
Get-OwaMailboxPolicy |select identity, directfile*,save*,refer* | sort identity
肯定會有朋友詢問,如果我要區分內外網或是某些合規裝置可以下載檔案,這個時候該怎麼辦呢?下次要來分享使用其他方式來做進行附件封鎖。
