电子邮件规则

发件人

应用于由特定发件人发送的邮件。

发件人的 IP 地址

应用于从特定 IP 地址发送的邮件。添加新地址作为条件时，IPv4 和 IPv6 地址均可接受。

发件人域

应用于来自电子邮件地址中包含特定域的发件人的邮件。

发件人/发件人姓名

“From:”值包含在消息头中。这是对收件人可见的显示名称，但未检查发送系统是否有权代表该地址进行发送。攻击者在欺诈发件人时通常使用它。此条件用于将“发件人:”电子邮件标头字段和“信封发件人”中所包含的域与域列表进行比较。

信封发件人（SMTP 发件人）

SMTP 连接期间使用的 MAIL FROM 信封属性，也用于 SPF 验证。

主题

应用于主题中包含或未包含特定字符串（或正则表达式）的邮件。

正文

搜索邮件正文以查找指定短语。可以使用 Strip HTML 标签功能来删除 HTML 标签、属性和值，仅保留文本。然后搜索正文文本。

附件名称

应用于包含带有特定名称的附件的邮件。这包括存档中包含的文件。

仅评估顶级附件——启用后，不会评估存档中的文件。

对附件中的对象使用完整路径——启用后，将评估对象的完整路径，而不仅仅是文件名。

附件扩展

应用于带有未达到指定大小、在指定大小范围内或超出指定大小的附件的邮件。

附件类型

应用于附带指定文件类型的邮件。文件类型分为几组，以便于选择。可以选择多个文件类型或全部类别。 ESET Cloud Office Security 会检测实际的文件类型，与文件扩展名无关。这同样适用于存档的内容。

仅评估顶级附件——启用后，不会评估存档中的文件。

接收时间

应用于在特定日期之前或之后或者在特定日期范围内接收的邮件。

SPF 结果
SPF 结果 - From 标头
SPF 结果 HELO

应用于含有 SPF（发件人策略框架）评估结果的邮件：

通过 - IP 地址准许从域发送（SPF 限定符 "+"）。

失败 - SPF 记录不包含发送服务器或 IP 地址（SPF 限定符 "-"）。

软故障 - IP 地址可能或不可能准许从域发送（SPF 限定符 "~"）。

中性 - 表示 SPF 记录中声明的域所有者，他们不想断言 IP 地址准许从域发送（SPF 限定符 "?"）。

不可用——SPF 结果为 None 表示 域未发布任何记录，或者无法基于给定身份确定可检查的发件人域。

可以阅读 RFC 4408 ，以获取有关 SPF 的更多详细信息。

DMARC 结果

应用于“通过”或“未通过”SPF 和 DKIM 验证（或验证状态“未知”）的邮件。

DKIM

应用于“通过”或“未通过”DKIM 验证（或验证状态“未知”）的邮件。

标题

电子邮件标头字段名称和值用作条件。

比较类型：

标头名称 - 匹配标头名称，当指定的标头名称存在时则满足条件。

标头值 - 匹配标头名称和标头值，匹配类型仅根据所选匹配类型用于标头值。要满足条件，指定的报头名称必须是完全匹配（匹配类型不会影响标头名称值）。

恶意软件扫描结果

应用于标记为恶意或非恶意的邮件。

网络钓鱼扫描结果

适用于已评估为网络钓鱼的邮件。

垃圾邮件扫描结果

应用于标记为或未标记为有害或垃圾邮件的邮件。

扫描结果

应用于按被选为选项的扫描类型评估的邮件。

添加主题前缀

将前缀添加到主题。

删除附件

删除邮件附件。邮件将在不带附件的情况下投递给收件人。

删除邮件

删除被感染的邮件。

评估后续规则

允许评估其他规则，使用户可以定义多组条件以及要在给定条件下执行的多种操作。

隔离邮件

邮件将不会投递给收件人，并且将移动到邮件隔离区。如果要允许非管理员用户释放由此规则隔离的电子邮件（使用 Web 界面或隔离报告），请启用可由用户释放。

跳过扫描

恶意软件、网络钓鱼和垃圾邮件防护不会扫描邮件。

移至垃圾邮件

邮件将被放入用户邮箱的“垃圾邮件”文件夹中。

通知所有者

定义主题和邮件文本，它们将被发送给电子邮件收件人/所有者以向其发送通知。

通知管理员

输入管理员电子邮件，定义将作为通知发送给管理员的主题和邮件文本。