Avancerede indstillinger for spamfilter i EOP

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser giver ASF-indstillinger (Advanced Spam Filter) i politikker til bekæmpelse af spam administratorer mulighed for at markere meddelelser som spam baseret på specifikke meddelelsesegenskaber. ASF er specifikt målrettet disse egenskaber, fordi de ofte findes i spam. Afhængigt af egenskaben markerer ASF-registreringer meddelelsen som spam eller spam med høj sikkerhed.

Bemærk!

Aktivering af en eller flere af ASF-indstillingerne er en aggressiv tilgang til filtrering af spam. Du kan ikke rapportere meddelelser, der er filtreret efter ASF som falske positiver til Microsoft. Du kan identificere meddelelser, der er filtreret efter ASF, ved at:

  • Periodiske karantænemeddelelser fra spam og dom over spamfilter med høj genkendelsessikkerhed.
  • Tilstedeværelsen af filtrerede meddelelser i karantæne.
  • De specifikke X-CustomSpam: X-headerfelter, der føjes til meddelelser som beskrevet i denne artikel.

ASF føjer X-CustomSpam: X-headerfelter til meddelelser , når meddelelserne er blevet behandlet af Exchange-regler for mailflow (også kaldet transportregler), så du kan ikke bruge regler for mailflow til at identificere og reagere på meddelelser, der er filtreret af ASF. Du kan bruge indbakkeregler i postkasser til at påvirke leveringen af meddelelsen.

I de følgende afsnit beskrives de INDSTILLINGER og indstillinger for automatisk søgning, der er tilgængelige i politikker til bekæmpelse af spam på Microsoft Defender-portalen og i Exchange Online PowerShell eller enkeltstående EOP PowerShell (New-HostedContentFilterPolicy og Set-HostedContentFilterPolicy). Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam i EOP.

Aktivér, deaktiver eller test asf-indstillinger

For hver ASF-indstilling er følgende indstillinger tilgængelige i politikker til bekæmpelse af spam:

  • On: ASF føjer det tilsvarende X-headerfelt til meddelelsen og markerer meddelelsen som Spam (SCL 5 eller 6 for Øg scoreindstillinger for spam) eller Høj tillid til spam (SCL 9 for Markér som spamindstillinger).
  • Fra: INDSTILLINGEN ASF er deaktiveret. Dette er standardværdien.
  • Test: INDSTILLINGEN ASF er i testtilstand. Det, der sker med meddelelsen, bestemmes af værdien testtilstand (TestModeAction):

    • Ingen: Levering af meddelelser påvirkes ikke af ASF-registreringen. Meddelelsen er stadig underlagt andre typer filtrering og regler i EOP og Defender for Office 365.

    • Tilføj standardteksten i X-headeren (AddXHeader):X-headerværdien X-CustomSpam: This message was filtered by the custom spam filter option føjes til meddelelsen. Du kan bruge denne værdi i indbakkeregler (ikke regler for mailflow) til at påvirke leveringen af meddelelsen.

    • Send Bcc-meddelelse (BccMessage): De angivne mailadresser (parameterværdien TestModeBccToRecipients i PowerShell) føjes til Bcc-feltet i meddelelsen, og meddelelsen leveres til de ekstra Bcc-modtagere. På Microsoft Defender-portalen kan du adskille flere mailadresser med semikolon (;). I PowerShell kan du adskille flere mailadresser med kommaer.

    • Testtilstand er ikke tilgængelig for følgende ASF-indstillinger:

      • Betinget filtrering af afsender-id: mislykket (MarkAsSpamFromAddressAuthFail)
      • NDR backscatter(MarkAsSpamNdrBackscatter)
      • SPF-post: hard fail (MarkAsSpamSpfRecordHardFail)

    • Den samme testtilstandshandling anvendes på alle ASF-indstillinger, der er angivet til Test. Du kan ikke konfigurere forskellige testtilstandshandlinger for forskellige ASF-indstillinger.

Øg scoreindstillinger for spam

Følgende Øg spam score ASF indstillinger resulterer i en stigning i spam score og derfor en højere chance for at blive markeret som spam med en spam konfidensniveau (SCL) på 5 eller 6, hvilket svarer til en Spam filter dom og den tilsvarende handling i anti-spam politikker. Det er ikke alle meddelelser, der stemmer overens med følgende ASF-betingelser, der markeres som spam.

Politikindstilling for bekæmpelse af spam Beskrivelse X-header tilføjet
Billedlinks til eksterne websteder (IncreaseScoreWithImageLinks) Meddelelser, der indeholder <Img> HTML-kodelinks til fjernwebsteder (f.eks. ved hjælp af http), markeres som spam. X-CustomSpam: Image links to remote sites
Numerisk IP-adresse i URL-adresse (IncreaseScoreWithNumericIps) Meddelelser, der indeholder numeriske URL-adresser (typisk IP-adresser), markeres som spam. X-CustomSpam: Numeric IP in URL
URL-omdirigering til anden port (IncreaseScoreWithRedirectToOtherPort) Meddelelser, der indeholder links, der omdirigerer til andre TCP-porte end 80 (HTTP), 8080 (alternativ HTTP) eller 443 (HTTPS), markeres som spam. X-CustomSpam: URL redirect to other port
Links til websteder med .biz eller .info (IncreaseScoreWithBizOrInfoUrls) Meddelelser, der indeholder .biz eller .info links i meddelelsens brødtekst, markeres som spam. X-CustomSpam: URL to .biz or .info websites

Markér som spamindstillinger

Følgende Mark as spam ASF indstillinger indstille SCL af registrerede meddelelser til 9, hvilket svarer til en Høj tillid spam filter dom og den tilsvarende handling i anti-spam politikker.

Politikindstilling for bekæmpelse af spam Beskrivelse X-header tilføjet
Tomme meddelelser (MarkAsSpamEmptyMessages) Meddelelser uden emne, intet indhold i meddelelsens brødtekst og ingen vedhæftede filer er markeret som spam med høj tillid. X-CustomSpam: Empty Message
Integrerede koder i HTML (MarkAsSpamEmbedTagsInHtml) Meddelelser, der indeholder <embed> HTML-koder, markeres som spam med høj genkendelsessikkerhed.

Dette mærke gør det muligt at integrere forskellige typer dokumenter i et HTML-dokument (f.eks. lyde, videoer eller billeder).		 X-CustomSpam: Embed tag in html
JavaScript eller VBScript i HTML (MarkAsSpamJavaScriptInHtml) Meddelelser, der bruger JavaScript eller Visual Basic Script Edition i HTML, markeres som spam med høj genkendelsessikkerhed.

Disse scriptsprog bruges i mails til at forårsage, at bestemte handlinger automatisk forekommer.		 X-CustomSpam: Javascript or VBscript tags in HTML
Formularkoder i HTML (MarkAsSpamFormTagsInHtml) Meddelelser, der indeholder <form> HTML-koder, markeres som spam med høj genkendelsessikkerhed.

Dette mærke bruges til at oprette webstedsformularer. Mailreklamer inkluderer ofte dette mærke for at hente oplysninger fra modtageren.		 X-CustomSpam: Form tag in html
Ramme- eller iframe-koder i HTML (MarkAsSpamFramesInHtml) Meddelelser, der indeholder <frame> eller <iframe> HTML-koder, markeres som spam med høj genkendelsessikkerhed.

Disse mærker bruges i mails til at formatere siden til visning af tekst eller grafik.		 X-CustomSpam: IFRAME or FRAME in HTML
Webfejl i HTML (MarkAsSpamWebBugsInHtml) En webfejl (også kendt som et webfyr) er et grafisk element (ofte så lille som en pixel gange en pixel), der bruges i mails til at bestemme, om modtageren læser meddelelsen.

Meddelelser, der indeholder webfejl, markeres som spam med høj genkendelsessikkerhed.

Legitime nyhedsbreve kan bruge web bugs, selv om mange anser dette for en invasion af privatlivets fred.		 X-CustomSpam: Web bug
Objektkoder i HTML (MarkAsSpamObjectTagsInHtml) Meddelelser, der indeholder <object> HTML-koder, markeres som spam med høj genkendelsessikkerhed.

Dette mærke gør det muligt for plug-ins eller programmer at køre i et HTML-vindue.		 X-CustomSpam: Object tag in html
Følsomme ord (MarkAsSpamSensitiveWordList_) Microsoft vedligeholder en dynamisk, men ikke-redigerbar liste over ord, der er knyttet til potentielt stødende meddelelser.

Meddelelser, der indeholder ord fra listen over følsomme ord i emnet eller meddelelsesteksten, markeres som spam med høj tillid.		 X-CustomSpam: Sensitive word in subject/body
SPF-post: hard fail (MarkAsSpamSpfRecordHardFail) Meddelelser, der sendes fra en IP-adresse, som ikke er angivet i SPF's SPF-post (Sender Policy Framework) i DNS for kildemaildomænet, markeres som spam med høj genkendelsessikkerhed.

Testtilstanden er ikke tilgængelig for denne indstilling.		 X-CustomSpam: SPF Record Fail

Følgende Mark as spam ASF indstillinger indstille SCL af registrerede meddelelser til 6, hvilket svarer til en Spam filter dom og den tilsvarende handling i anti-spam politikker.

Politikindstilling for bekæmpelse af spam Beskrivelse X-header tilføjet
Det lykkedes ikke at filtrere afsender-id'et (MarkAsSpamFromAddressAuthFail) Meddelelser, der mislykkes hårdt, er markeret som spam for en betinget afsender-id-kontrol.

Denne indstilling kombinerer en SPF-kontrol med en kontrol af afsender-id for at beskytte mod brevhoveder, der indeholder forfalskede afsendere.

Testtilstanden er ikke tilgængelig for denne indstilling.		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter er ubrugelige rapporter om manglende levering (også kendt som NDRs eller bounce-meddelelser) forårsaget af forfalskede afsendere i mails. Du kan få flere oplysninger under Backscatter-meddelelser og EOP.

Du behøver ikke at konfigurere denne indstilling i følgende miljøer, fordi legitime NDR'er leveres, og backscatter er markeret som spam:
  • Microsoft 365-organisationer med Exchange Online postkasser.
  • Mailorganisationer i det lokale miljø, hvor du distribuerer udgående mail via EOP.


I separate EOP-miljøer, der beskytter indgående mail til postkasser i det lokale miljø, har aktivering eller deaktivering af denne indstilling følgende resultat:
  • Til: Legitime NDR'er leveres, og backscatter er markeret som spam.
  • Fra: Legitime NDRs og backscatter gennemgår normal spamfiltrering. De mest legitime NDR'er leveres til den oprindelige meddelelses afsender. Nogle, men ikke alle backscatter er markeret som spam. Pr. definition kan backscatter kun leveres til den spoofed afsender, ikke til den oprindelige afsender.


Testtilstanden er ikke tilgængelig for denne indstilling.		 X-CustomSpam: Backscatter NDR