Erweiterte Spamfilter(ASF)-Einstellungen in EOP

• Gilt für:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online-Postfächer ermöglichen die Einstellungen des erweiterten Spamfilters (ASF) in Antispamrichtlinien Administratoren, Nachrichten basierend auf bestimmten Nachrichteneigenschaften als Spam zu markieren. ASF zielt speziell auf diese Eigenschaften ab, da sie häufig in Spam zu finden sind. Abhängig von der -Eigenschaft markieren ASF-Erkennungen die Nachricht als Spam oder Spam mit hoher Zuverlässigkeit.

Hinweis

Das Aktivieren einer oder mehrerer ASF-Einstellungen ist ein aggressiver Ansatz für die Spamfilterung. Nachrichten, die von ASF gefiltert werden, können nicht als falsch positive Ergebnisse an Microsoft gemeldet werden. Sie können Nachrichten identifizieren, die nach ASF gefiltert wurden, wie folgt:

• Regelmäßige Quarantänebenachrichtigungen von Spam- und Hochsicherheits-Spamfilter-Bewertungen.
• Das Vorhandensein gefilterter Nachrichten in Quarantäne.
• Die spezifischen X-CustomSpam: X-Header-Felder, die Nachrichten hinzugefügt werden, wie in diesem Artikel beschrieben.

ASF fügt X-CustomSpam: Nachrichten X-Header-Felder hinzu, nachdem die Nachrichten von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verarbeitet wurden, sodass Sie nachrichtenflussregeln nicht verwenden können, um Nachrichten zu identifizieren und darauf zu reagieren, die von ASF gefiltert wurden. Sie können Posteingangsregeln in Postfächern verwenden, um die Zustellung der Nachricht zu beeinflussen.

In den folgenden Abschnitten werden die ASF-Einstellungen und -Optionen beschrieben, die in Antispamrichtlinien im Microsoft Defender-Portal und in Exchange Online PowerShell oder in eigenständiger EOP PowerShell (New-HostedContentFilterPolicy und Set-HostedContentFilterPolicy) verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Tipp

ASF-Einstellungen sind in voreingestellten Sicherheitsrichtlinien "Standard" oder "Strict" nicht aktiviert, sodass Sie ASF-Einstellungen nur in der Standard-Antispamrichtlinie oder in benutzerdefinierten Antispamrichtlinien konfigurieren können. Weitere Informationen zur Verwendung von Schutzrichtlinien finden Sie unter Bestimmen Ihrer Schutzrichtlinienstrategie.

Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen

Für jede ASF-Einstellung sind die folgenden Optionen in Antispamrichtlinien verfügbar:

• On: ASF fügt der Nachricht das entsprechende X-Header-Feld hinzu:

  • In den Einstellungen "Spambewertung erhöhen" ist die Wahrscheinlichkeit, dass die Nachricht alsSpam gekennzeichnet wird, höher.
  • Für die Einstellungen Als Spam markieren wird die Nachricht als Spam oder Spam mit hoher Zuverlässigkeit gekennzeichnet.

• Aus: Die ASF-Einstellung ist deaktiviert. Dies ist der Standardwert.

• Test: Die ASF-Einstellung befindet sich im Testmodus. Was mit der Nachricht geschieht, wird durch den Testmoduswert (TestModeAction) bestimmt:

  • Keine: Die Nachrichtenübermittlung ist von der ASF-Erkennung nicht betroffen. Die Nachricht unterliegt weiterhin anderen Filtertypen und Regeln in EOP und Defender für Office 365.
  • X-Header-Standardtext hinzufügen (AddXHeader): Der X-header-Wert X-CustomSpam: This message was filtered by the custom spam filter option wird der Nachricht hinzugefügt. Sie können diesen Wert in Posteingangsregeln (nicht in Nachrichtenflussregeln) verwenden, um die Zustellung der Nachricht zu beeinflussen.
  • Bcc-Nachricht senden (BccMessage): Die angegebenen E-Mail-Adressen (der Parameterwert TestModeBccToRecipients in PowerShell) werden dem Bcc-Feld der Nachricht hinzugefügt, und die Nachricht wird an die zusätzlichen Bcc-Empfänger übermittelt. Im Microsoft Defender-Portal trennen Sie mehrere E-Mail-Adressen durch Semikolons (;). In PowerShell trennen Sie mehrere E-Mail-Adressen durch Kommas.

  Der Testmodus ist für die folgenden ASF-Einstellungen nicht verfügbar:

  • Filterung der bedingten Absender-ID: Harter Fehler (MarkAsSpamFromAddressAuthFail)
  • NDR-Backscatter (MarkAsSpamNdrBackscatter)
  • SPF-Datensatz: Harter Fehler (MarkAsSpamSpfRecordHardFail)

  Die gleiche Testmodusaktion wird auf alle ASF-Einstellungen angewendet, die auf Test festgelegt sind. Sie können keine verschiedenen Testmodusaktionen für verschiedene ASF-Einstellungen konfigurieren.

Einstellungen für die Spambewertung erhöhen

Die folgenden Einstellungen zur Erhöhung der Spambewertung führen zu einer Erhöhung der Spambewertung und damit zu einer höheren Wahrscheinlichkeit, als Spam gekennzeichnet zu werden, mit einem Spam-Konfidenzgrad (Spam Confidence Level, SCL) von 5 oder 6, was einem Spamfilter-Urteil und der entsprechenden Aktion in Antispamrichtlinien entspricht. Nicht jede Nachricht, die den folgenden ASF-Bedingungen entspricht, wird als Spam gekennzeichnet.

Antispam-Richtlinieneinstellung	Beschreibung	X-Header hinzugefügt
Bildlinks zu Remotewebsites (IncreaseScoreWithImageLinks)	Nachrichten, die HTML-Taglinks zu Remotewebsites enthalten <Img> (z. B. http), werden als Spam gekennzeichnet.	X-CustomSpam: Image links to remote sites
Numerische IP-Adresse in URL (IncreaseScoreWithNumericIps)	Nachrichten, die numerische URLs (in der Regel IP-Adressen) enthalten, werden als Spam gekennzeichnet.	X-CustomSpam: Numeric IP in URL
URL-Umleitung an einen anderen Port (IncreaseScoreWithRedirectToOtherPort)	Nachrichten, die Links enthalten, die an andere TCP-Ports als 80 (HTTP), 8080 (alternatives HTTP) oder 443 (HTTPS) umleiten, werden als Spam gekennzeichnet.	X-CustomSpam: URL redirect to other port
Links zu BIZ- oder INFO-Websites (IncreaseScoreWithBizOrInfoUrls)	Nachrichten, die oder .info Links im Nachrichtentext enthalten.biz, werden als Spam gekennzeichnet. Beachten Sie, dass URLs wie contoso.info.com (wobei .biz oder .info nicht die Domäne der obersten Ebene ist) ebenfalls übereinstimmen.	X-CustomSpam: URL to .biz or .info websites

Als Spam markieren

Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 9 fest. Dies entspricht einem Spamfilter-Urteil mit hoher Zuverlässigkeit und der entsprechenden Aktion in Antispamrichtlinien.

Antispam-Richtlinieneinstellung	Beschreibung	X-Header hinzugefügt
Leere Nachrichten (MarkAsSpamEmptyMessages)	Nachrichten ohne Betreff, ohne Inhalt im Nachrichtentext und ohne Anlagen werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.	X-CustomSpam: Empty Message
Eingebettete Tags in HTML (MarkAsSpamEmbedTagsInHtml)	Nachrichten, die HTML-Tags enthalten <embed> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag ermöglicht das Einbetten verschiedener Arten von Dokumenten in ein HTML-Dokument (z. B. Sounds, Videos oder Bilder).	X-CustomSpam: Embed tag in html
JavaScript oder VBScript in HTML (MarkAsSpamJavaScriptInHtml)	Nachrichten, die JavaScript oder Visual Basic Script Edition in HTML verwenden, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Diese Skriptsprachen werden in E-Mail-Nachrichten verwendet, um bestimmte Aktionen automatisch auszuführen.	X-CustomSpam: Javascript or VBscript tags in HTML
Formulartags in HTML (MarkAsSpamFormTagsInHtml)	Nachrichten, die HTML-Tags enthalten <form> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag wird zum Erstellen von Websiteformularen verwendet. Werbe-E-Mails enthalten häufig dieses Tag, um Informationen vom Empfänger zu erbitten.	X-CustomSpam: Form tag in html
Frame- oder iframe-Tags in HTML (MarkAsSpamFramesInHtml)	Nachrichten, die oder <iframe> HTML-Tags enthalten<frame>, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Diese Tags werden in E-Mail-Nachrichten verwendet, um die Seite zum Anzeigen von Text oder Grafiken zu formatieren.	X-CustomSpam: IFRAME or FRAME in HTML
Webfehler in HTML (MarkAsSpamWebBugsInHtml)	Ein Webfehler (auch als Webbeacons bezeichnet) ist ein Grafikelement (oft nur ein Pixel für Pixel), das bestimmt, ob der Empfänger die Nachricht liest. Nachrichten, die Webfehler enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Legitime Newsletter können Webfehler verwenden, obwohl viele sie für eine Invasion der Privatsphäre halten.	X-CustomSpam: Web bug
Objekttags in HTML (MarkAsSpamObjectTagsInHtml)	Nachrichten, die HTML-Tags enthalten <object> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag ermöglicht die Ausführung von Plug-Ins oder Anwendungen in einem HTML-Fenster.	X-CustomSpam: Object tag in html
Vertrauliche Wörter (MarkAsSpamSensitiveWordList_)	Microsoft verwaltet eine dynamische, aber nicht bearbeitbare Liste von Wörtern, die potenziell anstößigen Nachrichten zugeordnet sind. Nachrichten, die Wörter aus der Liste vertraulicher Wörter im Betreff oder Nachrichtentext enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.	X-CustomSpam: Sensitive word in subject/body
SPF-Datensatz: Harter Fehler (MarkAsSpamSpfRecordHardFail)	Nachrichten, die von einer IP-Adresse gesendet werden, die nicht im SPF-Eintrag (SPF Sender Policy Framework) in DNS für die Quell-E-Mail-Domäne angegeben ist, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Der Testmodus ist für diese Einstellung nicht verfügbar.	X-CustomSpam: SPF Record Fail

Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 6 fest, was einer Spamfilterbewertung und der entsprechenden Aktion in Antispamrichtlinien entspricht.

Antispam-Richtlinieneinstellung	Beschreibung	X-Header hinzugefügt
Fehler beim Filtern der Absender-ID (MarkAsSpamFromAddressAuthFail)	Nachrichten, bei denen eine bedingte Absender-ID-Überprüfung nicht erfolgreich ist, werden als Spam gekennzeichnet. Diese Einstellung kombiniert eine SPF-Überprüfung mit einer Absender-ID-Überprüfung, um den Schutz vor Nachrichtenheadern zu unterstützen, die gefälschte Absender enthalten. Der Testmodus ist für diese Einstellung nicht verfügbar.	X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter)	Backscatter ist nutzlose Nichtzustellbarkeitsberichte (auch bekannt als NDRs oder Unzustellbarkeitsnachrichten), die von gefälschten Absendern in E-Mail-Nachrichten verursacht werden. Weitere Informationen finden Sie unter Backscatter messages and EOP.for more information, see Backscatter messages and EOP.for more information, see Backscatter messages and EOP. Sie müssen diese Einstellung nicht in den folgenden Umgebungen konfigurieren, da legitime NDRs übermittelt werden und die Rückscatter als Spam gekennzeichnet ist: Microsoft 365-Organisationen mit Exchange Online-Postfächern. Lokale E-Mail-Organisationen, in denen ausgehende E-Mails über EOP weitergeleitet werden. In eigenständigen EOP-Umgebungen, die eingehende E-Mails in lokalen Postfächern schützen, führt das Aktivieren oder Deaktivieren dieser Einstellung zu folgendem Ergebnis: Ein: Legitime NDRs werden übermittelt, und die Rückscatter wird als Spam gekennzeichnet. Aus: Legitime NDRs und Backscatter durchlaufen die normale Spamfilterung. Die meisten legitimen NDRs werden an den ursprünglichen Absender der Nachricht übermittelt. Einige, aber nicht alle Backscatter sind als Spam gekennzeichnet. Per Definition kann die Rückscatter nur an den gefälschten Absender und nicht an den ursprünglichen Absender übermittelt werden. Der Testmodus ist für diese Einstellung nicht verfügbar.	X-CustomSpam: Backscatter NDR