Erweiterte Spamfilter(ASF)-Einstellungen in EOP
Gilt für
- Exchange Online Protection
- Microsoft Defender für Office 365 Plan 1 und Plan 2
- Microsoft 365 Defender
In allen Microsoft 365-Organisationen ermöglichen die Einstellungen des erweiterten Spamfilters (Advanced Spam Filter, ASF) in Antispamrichtlinien in EOP Administratoren, Nachrichten basierend auf bestimmten Nachrichteneigenschaften als Spam zu markieren. ASF zielt speziell auf diese Eigenschaften ab, da sie häufig in Spam zu finden sind. Abhängig von der -Eigenschaft markieren ASF-Erkennungen die Nachricht entweder als Spam oder Spam mit hoher Zuverlässigkeit.
Hinweis
Das Aktivieren einer oder mehrerer ASF-Einstellungen ist ein aggressiver Ansatz für die Spamfilterung. Nachrichten, die von ASF gefiltert werden, können nicht als falsch positive Nachrichten gemeldet werden. Sie können Nachrichten identifizieren, die nach ASF gefiltert wurden, wie folgt:
- Regelmäßige Quarantänebenachrichtigungen von Spam- und Hochsicherheits-Spamfilter-Bewertungen.
- Das Vorhandensein gefilterter Nachrichten in Quarantäne.
- Die spezifischen
X-CustomSpam:X-Header-Felder, die Nachrichten hinzugefügt werden, wie in diesem Artikel beschrieben.
In den folgenden Abschnitten werden die ASF-Einstellungen und -Optionen beschrieben, die in Antispamrichtlinien im Microsoft 365 Defender-Portal und in Exchange Online PowerShell oder eigenständigen EOP PowerShell (New-HostedContentFilterPolicy und Set-HostedContentFilterPolicy) verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen
Für jede ASF-Einstellung sind die folgenden Optionen in Antispamrichtlinien verfügbar:
Ein: ASF fügt der Nachricht das entsprechende X-Header-Feld hinzu und markiert die Nachricht entweder als Spam (SCL 5 oder 6 für Einstellungen zur Erhöhung der Spambewertung) oder Spam mit hoher Zuverlässigkeit (SCL 9 für Als Spam markieren).
Aus: Die ASF-Einstellung ist deaktiviert. Dies ist der Standardwert, und es wird empfohlen, ihn nicht zu ändern.
Test: ASF fügt der Nachricht das entsprechende X-Header-Feld hinzu. Was mit der Nachricht geschieht, wird durch den Testmoduswert (TestModeAction) bestimmt:
- Keine: Die Nachrichtenübermittlung ist von der ASF-Erkennung nicht betroffen. Die Nachricht unterliegt weiterhin anderen Filtertypen und Regeln in EOP.
- X-Header-Standardtext hinzufügen (AddXHeader):Der X-Header-Wert
X-CustomSpam: This message was filtered by the custom spam filter optionwird der Nachricht hinzugefügt. Sie können diesen Wert in Posteingangsregeln oder Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um die Zustellung der Nachricht zu beeinflussen. - Bcc-Nachricht senden (BccMessage): Die angegebenen E-Mail-Adressen (der Parameterwert TestModeBccToRecipients in PowerShell) werden dem Bcc-Feld der Nachricht hinzugefügt, und die Nachricht wird an die zusätzlichen Bcc-Empfänger übermittelt. Im Microsoft 365 Defender-Portal trennen Sie mehrere E-Mail-Adressen durch Semikolons (;). In PowerShell trennen Sie mehrere E-Mail-Adressen durch Kommas.
Hinweise:
- Der Testmodus ist für die folgenden ASF-Einstellungen nicht verfügbar:
- Filterung der bedingten Absender-ID: Harter Fehler (MarkAsSpamFromAddressAuthFail)
- NDR-Backscatter(MarkAsSpamNdrBackscatter)
- SPF-Datensatz: Harter Fehler (MarkAsSpamSpfRecordHardFail)
- Die gleiche Testmodusaktion wird auf alle ASF-Einstellungen angewendet, die auf Test festgelegt sind. Sie können keine verschiedenen Testmodusaktionen für verschiedene ASF-Einstellungen konfigurieren.
Einstellungen für die Spambewertung erhöhen
Die folgenden Einstellungen zur Erhöhung der Spambewertung führen zu einer Erhöhung der Spambewertung und damit zu einer höheren Wahrscheinlichkeit, als Spam gekennzeichnet zu werden, mit einem Spam-Konfidenzgrad (Spam Confidence Level, SCL) von 5 oder 6, was einem Spamfilter-Urteil und der entsprechenden Aktion in Antispamrichtlinien entspricht. Nicht jede E-Mail, die den folgenden Einstellungen entspricht, wird als Spam gekennzeichnet.
| Antispam-Richtlinieneinstellung | Beschreibung | X-Header hinzugefügt |
|---|---|---|
| Bildlinks zu Remotewebsites IncreaseScoreWithImageLinks |
Nachrichten, die HTML-Taglinks zu Remotewebsites enthalten <Img> (z. B. http), werden als Spam gekennzeichnet. |
X-CustomSpam: Image links to remote sites |
| Numerische IP-Adresse in URL IncreaseScoreWithNumericIps |
Nachrichten, die numerische URLs (in der Regel IP-Adressen) enthalten, werden als Spam gekennzeichnet. | X-CustomSpam: Numeric IP in URL |
| URL-Umleitung zu anderem Port IncreaseScoreWithRedirectToOtherPort |
Nachrichten, die Links enthalten, die an andere TCP-Ports als 80 (HTTP), 8080 (alternatives HTTP) oder 443 (HTTPS) umleiten, werden als Spam gekennzeichnet. | X-CustomSpam: URL redirect to other port |
| Links zu BIZ- oder INFO-Websites IncreaseScoreWithBizOrInfoUrls |
Nachrichten, die oder .info Links im Nachrichtentext enthalten.biz, werden als Spam gekennzeichnet. |
X-CustomSpam: URL to .biz or .info websites |
Als Spam markieren
Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 9 fest. Dies entspricht einem Spamfilter-Urteil mit hoher Zuverlässigkeit und der entsprechenden Aktion in Antispamrichtlinien.
| Antispam-Richtlinieneinstellung | Beschreibung | X-Header hinzugefügt |
|---|---|---|
| Leere Nachrichten MarkAsSpamEmptyMessages |
Nachrichten ohne Betreff, ohne Inhalt im Nachrichtentext und ohne Anlagen werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. | X-CustomSpam: Empty Message |
| Eingebettete Tags in HTML MarkAsSpamEmbedTagsInHtml |
Nachrichten, die HTML-Tags enthalten <embed> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag ermöglicht das Einbetten verschiedener Arten von Dokumenten in ein HTML-Dokument (z. B. Sounds, Videos oder Bilder). |
X-CustomSpam: Embed tag in html |
| JavaScript oder VBScript in HTML MarkAsSpamJavaScriptInHtml |
Nachrichten, die JavaScript oder Visual Basic Script Edition in HTML verwenden, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Diese Skriptsprachen werden in E-Mail-Nachrichten verwendet, um bestimmte Aktionen automatisch auszuführen. |
X-CustomSpam: Javascript or VBscript tags in HTML |
| Form-Tags in HTML MarkAsSpamFormTagsInHtml |
Nachrichten, die HTML-Tags enthalten <form> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag wird zum Erstellen von Websiteformularen verwendet. Werbe-E-Mails enthalten häufig dieses Tag, um Informationen vom Empfänger zu erbitten. |
X-CustomSpam: Form tag in html |
| Frame- oder iframe-Tags in HTML MarkAsSpamFramesInHtml |
Nachrichten, die oder <iframe> HTML-Tags enthalten<frame>, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Diese Tags werden in E-Mail-Nachrichten verwendet, um die Seite zum Anzeigen von Text oder Grafiken zu formatieren. |
X-CustomSpam: IFRAME or FRAME in HTML |
| Web-Bugs in HTML MarkAsSpamWebBugsInHtml |
Ein Webfehler (auch als Webbeacons bezeichnet) ist ein Grafikelement (oft nur ein Pixel für Pixel), das in E-Mail-Nachrichten verwendet wird, um zu bestimmen, ob die Nachricht vom Empfänger gelesen wurde. Nachrichten, die Webfehler enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Legitime Newsletter könnten Webfehler verwenden, obwohl viele dies als eine Invasion der Privatsphäre betrachten. |
X-CustomSpam: Web bug |
| Object-Tags in HTML MarkAsSpamObjectTagsInHtml |
Nachrichten, die HTML-Tags enthalten <object> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Dieses Tag ermöglicht die Ausführung von Plug-Ins oder Anwendungen in einem HTML-Fenster. |
X-CustomSpam: Object tag in html |
| Sensible Wörter MarkAsSpamSensitiveWordList |
Microsoft verwaltet eine dynamische, aber nicht bearbeitbare Liste von Wörtern, die potenziell anstößigen Nachrichten zugeordnet sind. Nachrichten, die Wörter aus der Liste vertraulicher Wörter im Betreff oder Nachrichtentext enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. |
X-CustomSpam: Sensitive word in subject/body |
| SPF-Eintrag: Schwerer Fehler MarkAsSpamSpfRecordHardFail |
Nachrichten, die von einer IP-Adresse gesendet werden, die nicht im SPF Sender Policy Framework-Eintrag (SPF) in DNS für die Quell-E-Mail-Domäne angegeben ist, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. Der Testmodus ist für diese Einstellung nicht verfügbar. |
X-CustomSpam: SPF Record Fail |
Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 6 fest, was einer Spamfilterbewertung und der entsprechenden Aktion in Antispamrichtlinien entspricht.
| Antispam-Richtlinieneinstellung | Beschreibung | X-Header hinzugefügt |
|---|---|---|
| Fehler beim Filtern der Absender-ID MarkAsSpamFromAddressAuthFail |
Nachrichten, bei denen eine bedingte Absender-ID-Überprüfung nicht erfolgreich ist, werden als Spam gekennzeichnet. Diese Einstellung kombiniert eine SPF-Überprüfung mit einer Absender-ID-Überprüfung, um den Schutz vor Nachrichtenheadern zu unterstützen, die gefälschte Absender enthalten. Der Testmodus ist für diese Einstellung nicht verfügbar. |
X-CustomSpam: SPF From Record Fail |
| Backscatter MarkAsSpamNdrBackscatter |
Backscatter ist nutzlose Nichtzustellbarkeitsberichte (auch bekannt als NDRs oder Unzustellbarkeitsnachrichten), die von gefälschten Absendern in E-Mail-Nachrichten verursacht werden. Weitere Informationen finden Sie unter Backscatter messages and EOP.for more information, see Backscatter messages and EOP.for more information, see Backscatter messages and EOP. Sie müssen diese Einstellung nicht in den folgenden Umgebungen konfigurieren, da legitime NDRs übermittelt werden und die Rückscatter als Spam gekennzeichnet ist:
In eigenständigen EOP-Umgebungen, die eingehende E-Mails in lokalen Postfächern schützen, führt das Aktivieren oder Deaktivieren dieser Einstellung zu folgendem Ergebnis:
Der Testmodus ist für diese Einstellung nicht verfügbar. |
X-CustomSpam: Backscatter NDR |