售前热线:010-82825052 010-82825512,010-82825051
售前支持 (QQ):
973273684 / 1037738460 / 943876988 / 947876927
在线反馈 QQ: 147303015
要全面禁止电脑通过邮件附件外发文件、防止邮件泄密,需从系统组策略、邮箱服务器、防火墙 / 网关、终端管控软件、管理制度五个层面组合实施,形成 “终端封堵 + 网关拦截 + 审计追溯” 的完整闭环。以下是可直接落地的详细方案:
运行 gpedit.msc 打开「本地组策略编辑器」
进入:用户配置 → 管理模板 → Microsoft Outlook → 禁用项目 → 禁用附件
设为 已启用,确定后重启 Outlook
效果:添加附件按钮灰化、无法拖拽文件、无法粘贴附件
在域控上创建 GPO,链接到目标 OU
配置同上,全公司 / 部门统一禁用邮件附件
可搭配:禁用私人邮箱(Outlook/Hotmail)账户配置
组策略 → 软件限制策略 → 哈希规则 / 路径规则
禁止 Foxmail.exe、Thunderbird.exe 运行
或用防火墙禁止其联网
在路由器、下一代防火墙(NGFW)或上网行为管理中:
黑名单:屏蔽所有公共邮箱mail.qq.com、mail.163.com、mail.sina.com、outlook.com、gmail.com 等
白名单:仅放行企业邮箱域名(如 @company.com)
效果:员工只能打开公司邮箱,无法登录私人邮箱外传文件
防火墙 / 行为管理:拦截 HTTP/HTTPS POST 上传
匹配 URL 含 /attach、/upload、/compose 等邮件上传接口
或:禁止所有网页上传,仅放行内部系统
终端:组策略禁用「文件选择对话框」/ 拖拽上传(配合 DLP)
DLP 策略:阻止所有含附件的外发邮件
传输规则:
条件:附件 > 0KB
动作:拒绝发送、退回、发告警给管理员
IRM 权限管理:加密敏感附件,禁止转发 / 打印 / 另存
管理员后台 → 安全策略 → 邮件过滤 / 外发控制
开启:禁止外部邮件带附件、仅内部可发附件
敏感关键词拦截:含 “机密、合同、报价、财务、源码” 等自动拦截
使用 IP-guard、域智盾、安企神、大势至 等终端管控工具:
勾选:禁止邮件客户端发送附件、禁止网页邮箱上传附件
效果:所有邮箱(Outlook/Foxmail/ 网页)均无法添加 / 上传文件
禁止类型:仅放行 .txt/.jpg,拦截 .zip/.rar/.exe/.pdf/.docx/.xlsx
敏感文件识别:含关键词 / 水印 / 密级的文档一律拦截外发
白名单例外:仅指定部门 / 人员 / 外部客户可发附件(需审批)
同步禁止:微信 / QQ / 钉钉发文件、网盘上传、USB 拷贝、打印、截屏
行为审计:记录所有外发尝试,可追溯到人、时间、文件名
禁止压缩包改名:DLP 识别真实文件类型(即使改后缀)
禁止文件转图片:禁止截屏 / 截图外发、屏幕水印
禁止云盘 / 在线文档:屏蔽百度网盘、OneDrive、石墨、飞书文档等
禁止远程桌面 / 共享:防止通过远程把文件拷走
文件透明加密:核心文件自动加密,脱离公司环境无法打开
Windows 组策略禁用 Outlook 附件
路由器屏蔽私人邮箱
规章制度 + 抽查
终端 DLP 软件(大势至电脑文件防泄密系统):一键禁邮件 + 微信 + 网盘,可以只让发送邮件正文而禁止发送邮件附件,从而有效防止邮件附件泄密。如下图:
图:大势至电脑文件防泄密系统
防火墙:白名单仅放行企业邮箱
邮件服务器:禁止外带附件
域环境 GPO + Exchange DLP
NGFW 上网行为管理 + 终端 DLP
文件加密 + 外发审批 + 全审计追溯
严禁使用私人邮箱处理工作
敏感文件必须走审批,不允许直接邮件外发
外发文件优先用加密链接 / 企业云盘,不发附件
定期审计邮件日志,对违规外发追责
最有效、最无死角的方式:
终端 DLP 禁止所有邮件附件上传 + 防火墙白名单仅允许企业邮箱 + 邮件服务器 DLP 拦截外发附件 + 全渠道封堵(IM / 网盘 / USB)做到:不能发、不敢发、发不走、走了也打不开、全程可追溯。