Parece que você pode querer usar o predicado particular AnyOfToHeader . Artigo de Technet para referência .
Minha maior pergunta é: por que esse lixo está passando pela EOP? Eu ocasionalmente recebo documentos com macros dentro de arquivos, mas normalmente o EOP é rápido para filtrar as recorrências desses itens.
Adotei uma abordagem diferente no meu locatário em relação aos arquivos ZIP / RAR / 7z. Eu tenho uma regra de transporte que entrega [itens contendo ZIP / RAR / 7z] para uma caixa de correio administrativa em vez do usuário, portanto, posso revisar o conteúdo e entregá-lo ao usuário final. Isso resulta em um atraso para o usuário final, mas é menos impactante do que o cryptolocker ou alguma bobagem envolvendo nossos compartilhamentos de arquivos.
O Exchange Online (que obviamente não é seu ambiente operacional) deve ter um lançamento de recurso chegando que permitirá a notificação de um usuário final quando uma regra de transporte é cumprida. Eu pretendo usar isso para gerar um email e gerar uma solicitação de serviço em nossa solução de ITSM.