Erweiterte Spamfilter(ASF)-Einstellungen in EOP

Gilt für

In allen Microsoft 365-Organisationen ermöglichen die Einstellungen des erweiterten Spamfilters (Advanced Spam Filter, ASF) in Antispamrichtlinien in EOP Administratoren, Nachrichten basierend auf bestimmten Nachrichteneigenschaften als Spam zu markieren. ASF zielt speziell auf diese Eigenschaften ab, da sie häufig in Spam zu finden sind. Abhängig von der -Eigenschaft markieren ASF-Erkennungen die Nachricht entweder als Spam oder Spam mit hoher Zuverlässigkeit.

Hinweis

Das Aktivieren einer oder mehrerer ASF-Einstellungen ist ein aggressiver Ansatz für die Spamfilterung. Nachrichten, die von ASF gefiltert werden, können nicht als falsch positive Nachrichten gemeldet werden. Sie können Nachrichten identifizieren, die nach ASF gefiltert wurden, wie folgt:

  • Regelmäßige Quarantänebenachrichtigungen von Spam- und Hochsicherheits-Spamfilter-Bewertungen.
  • Das Vorhandensein gefilterter Nachrichten in Quarantäne.
  • Die spezifischen X-CustomSpam: X-Header-Felder, die Nachrichten hinzugefügt werden, wie in diesem Artikel beschrieben.

In den folgenden Abschnitten werden die ASF-Einstellungen und -Optionen beschrieben, die in Antispamrichtlinien im Microsoft 365 Defender-Portal und in Exchange Online PowerShell oder eigenständigen EOP PowerShell (New-HostedContentFilterPolicy und Set-HostedContentFilterPolicy) verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen

Für jede ASF-Einstellung sind die folgenden Optionen in Antispamrichtlinien verfügbar:

  • Ein: ASF fügt der Nachricht das entsprechende X-Header-Feld hinzu und markiert die Nachricht entweder als Spam (SCL 5 oder 6 für Einstellungen zur Erhöhung der Spambewertung) oder Spam mit hoher Zuverlässigkeit (SCL 9 für Als Spam markieren).

  • Aus: Die ASF-Einstellung ist deaktiviert. Dies ist der Standardwert, und es wird empfohlen, ihn nicht zu ändern.

  • Test: ASF fügt der Nachricht das entsprechende X-Header-Feld hinzu. Was mit der Nachricht geschieht, wird durch den Testmoduswert (TestModeAction) bestimmt:

    • Keine: Die Nachrichtenübermittlung ist von der ASF-Erkennung nicht betroffen. Die Nachricht unterliegt weiterhin anderen Filtertypen und Regeln in EOP.
    • X-Header-Standardtext hinzufügen (AddXHeader):Der X-Header-Wert X-CustomSpam: This message was filtered by the custom spam filter option wird der Nachricht hinzugefügt. Sie können diesen Wert in Posteingangsregeln oder Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um die Zustellung der Nachricht zu beeinflussen.
    • Bcc-Nachricht senden (BccMessage): Die angegebenen E-Mail-Adressen (der Parameterwert TestModeBccToRecipients in PowerShell) werden dem Bcc-Feld der Nachricht hinzugefügt, und die Nachricht wird an die zusätzlichen Bcc-Empfänger übermittelt. Im Microsoft 365 Defender-Portal trennen Sie mehrere E-Mail-Adressen durch Semikolons (;). In PowerShell trennen Sie mehrere E-Mail-Adressen durch Kommas.

    Hinweise:

    • Der Testmodus ist für die folgenden ASF-Einstellungen nicht verfügbar:
      • Filterung der bedingten Absender-ID: Harter Fehler (MarkAsSpamFromAddressAuthFail)
      • NDR-Backscatter(MarkAsSpamNdrBackscatter)
      • SPF-Datensatz: Harter Fehler (MarkAsSpamSpfRecordHardFail)
    • Die gleiche Testmodusaktion wird auf alle ASF-Einstellungen angewendet, die auf Test festgelegt sind. Sie können keine verschiedenen Testmodusaktionen für verschiedene ASF-Einstellungen konfigurieren.

Einstellungen für die Spambewertung erhöhen

Die folgenden Einstellungen zur Erhöhung der Spambewertung führen zu einer Erhöhung der Spambewertung und damit zu einer höheren Wahrscheinlichkeit, als Spam gekennzeichnet zu werden, mit einem Spam-Konfidenzgrad (Spam Confidence Level, SCL) von 5 oder 6, was einem Spamfilter-Urteil und der entsprechenden Aktion in Antispamrichtlinien entspricht. Nicht jede E-Mail, die den folgenden Einstellungen entspricht, wird als Spam gekennzeichnet.

Antispam-Richtlinieneinstellung Beschreibung X-Header hinzugefügt
Bildlinks zu Remotewebsites

IncreaseScoreWithImageLinks

Nachrichten, die HTML-Taglinks zu Remotewebsites enthalten <Img> (z. B. http), werden als Spam gekennzeichnet. X-CustomSpam: Image links to remote sites
Numerische IP-Adresse in URL

IncreaseScoreWithNumericIps

Nachrichten, die numerische URLs (in der Regel IP-Adressen) enthalten, werden als Spam gekennzeichnet. X-CustomSpam: Numeric IP in URL
URL-Umleitung zu anderem Port

IncreaseScoreWithRedirectToOtherPort

Nachrichten, die Links enthalten, die an andere TCP-Ports als 80 (HTTP), 8080 (alternatives HTTP) oder 443 (HTTPS) umleiten, werden als Spam gekennzeichnet. X-CustomSpam: URL redirect to other port
Links zu BIZ- oder INFO-Websites

IncreaseScoreWithBizOrInfoUrls

Nachrichten, die oder .info Links im Nachrichtentext enthalten.biz, werden als Spam gekennzeichnet. X-CustomSpam: URL to .biz or .info websites

Als Spam markieren

Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 9 fest. Dies entspricht einem Spamfilter-Urteil mit hoher Zuverlässigkeit und der entsprechenden Aktion in Antispamrichtlinien.

Antispam-Richtlinieneinstellung Beschreibung X-Header hinzugefügt
Leere Nachrichten

MarkAsSpamEmptyMessages

Nachrichten ohne Betreff, ohne Inhalt im Nachrichtentext und ohne Anlagen werden als Spam mit hoher Zuverlässigkeit gekennzeichnet. X-CustomSpam: Empty Message
Eingebettete Tags in HTML

MarkAsSpamEmbedTagsInHtml

Nachrichten, die HTML-Tags enthalten <embed> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Dieses Tag ermöglicht das Einbetten verschiedener Arten von Dokumenten in ein HTML-Dokument (z. B. Sounds, Videos oder Bilder).

X-CustomSpam: Embed tag in html
JavaScript oder VBScript in HTML

MarkAsSpamJavaScriptInHtml

Nachrichten, die JavaScript oder Visual Basic Script Edition in HTML verwenden, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Diese Skriptsprachen werden in E-Mail-Nachrichten verwendet, um bestimmte Aktionen automatisch auszuführen.

X-CustomSpam: Javascript or VBscript tags in HTML
Form-Tags in HTML

MarkAsSpamFormTagsInHtml

Nachrichten, die HTML-Tags enthalten <form> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Dieses Tag wird zum Erstellen von Websiteformularen verwendet. Werbe-E-Mails enthalten häufig dieses Tag, um Informationen vom Empfänger zu erbitten.

X-CustomSpam: Form tag in html
Frame- oder iframe-Tags in HTML

MarkAsSpamFramesInHtml

Nachrichten, die oder <iframe> HTML-Tags enthalten<frame>, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Diese Tags werden in E-Mail-Nachrichten verwendet, um die Seite zum Anzeigen von Text oder Grafiken zu formatieren.

X-CustomSpam: IFRAME or FRAME in HTML
Web-Bugs in HTML

MarkAsSpamWebBugsInHtml

Ein Webfehler (auch als Webbeacons bezeichnet) ist ein Grafikelement (oft nur ein Pixel für Pixel), das in E-Mail-Nachrichten verwendet wird, um zu bestimmen, ob die Nachricht vom Empfänger gelesen wurde.

Nachrichten, die Webfehler enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Legitime Newsletter könnten Webfehler verwenden, obwohl viele dies als eine Invasion der Privatsphäre betrachten.

X-CustomSpam: Web bug
Object-Tags in HTML

MarkAsSpamObjectTagsInHtml

Nachrichten, die HTML-Tags enthalten <object> , werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Dieses Tag ermöglicht die Ausführung von Plug-Ins oder Anwendungen in einem HTML-Fenster.

X-CustomSpam: Object tag in html
Sensible Wörter

MarkAsSpamSensitiveWordList

Microsoft verwaltet eine dynamische, aber nicht bearbeitbare Liste von Wörtern, die potenziell anstößigen Nachrichten zugeordnet sind.

Nachrichten, die Wörter aus der Liste vertraulicher Wörter im Betreff oder Nachrichtentext enthalten, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

X-CustomSpam: Sensitive word in subject/body
SPF-Eintrag: Schwerer Fehler

MarkAsSpamSpfRecordHardFail

Nachrichten, die von einer IP-Adresse gesendet werden, die nicht im SPF Sender Policy Framework-Eintrag (SPF) in DNS für die Quell-E-Mail-Domäne angegeben ist, werden als Spam mit hoher Zuverlässigkeit gekennzeichnet.

Der Testmodus ist für diese Einstellung nicht verfügbar.

X-CustomSpam: SPF Record Fail

Die folgenden Einstellungen als Spam-ASF markieren legen die SCL der erkannten Nachrichten auf 6 fest, was einer Spamfilterbewertung und der entsprechenden Aktion in Antispamrichtlinien entspricht.

Antispam-Richtlinieneinstellung Beschreibung X-Header hinzugefügt
Fehler beim Filtern der Absender-ID

MarkAsSpamFromAddressAuthFail

Nachrichten, bei denen eine bedingte Absender-ID-Überprüfung nicht erfolgreich ist, werden als Spam gekennzeichnet.

Diese Einstellung kombiniert eine SPF-Überprüfung mit einer Absender-ID-Überprüfung, um den Schutz vor Nachrichtenheadern zu unterstützen, die gefälschte Absender enthalten.

Der Testmodus ist für diese Einstellung nicht verfügbar.

X-CustomSpam: SPF From Record Fail
Backscatter

MarkAsSpamNdrBackscatter

Backscatter ist nutzlose Nichtzustellbarkeitsberichte (auch bekannt als NDRs oder Unzustellbarkeitsnachrichten), die von gefälschten Absendern in E-Mail-Nachrichten verursacht werden. Weitere Informationen finden Sie unter Backscatter messages and EOP.for more information, see Backscatter messages and EOP.for more information, see Backscatter messages and EOP.

Sie müssen diese Einstellung nicht in den folgenden Umgebungen konfigurieren, da legitime NDRs übermittelt werden und die Rückscatter als Spam gekennzeichnet ist:

  • Microsoft 365-Organisationen mit Exchange Online Postfächern.
  • Lokale E-Mail-Organisationen, in denen ausgehende E-Mails über EOP weitergeleitet werden.

In eigenständigen EOP-Umgebungen, die eingehende E-Mails in lokalen Postfächern schützen, führt das Aktivieren oder Deaktivieren dieser Einstellung zu folgendem Ergebnis:
  • Ein: Legitime NDRs werden übermittelt, und die Rückscatter wird als Spam gekennzeichnet.
  • Aus: Legitime NDRs und Backscatter durchlaufen die normale Spamfilterung. Die meisten legitimen NDRs werden an den absender der ursprünglichen Nachricht übermittelt. Einige, aber nicht alle, rückscatter sind als Spam gekennzeichnet. Per Definition kann die Rückscatter nur an den gefälschten Absender und nicht an den ursprünglichen Absender übermittelt werden.

Der Testmodus ist für diese Einstellung nicht verfügbar.
X-CustomSpam: Backscatter NDR