Paramètres du filtre anti-courrier indésirable avancé (ASF) dans EOP
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou les organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, les paramètres de filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable permettent aux administrateurs de marquer les messages comme courrier indésirable en fonction de propriétés de message spécifiques. ASF cible spécifiquement ces propriétés, car elles sont couramment trouvées dans le courrier indésirable. En fonction de la propriété, les détections ASF marquent le message comme courrier indésirable ou courrier indésirable à haut niveau de confiance.
Remarque
L’activation d’un ou de plusieurs paramètres ASF est une approche agressive du filtrage du courrier indésirable. Vous ne pouvez pas signaler à Microsoft les messages filtrés par ASF en tant que faux positifs. Vous pouvez identifier les messages qui ont été filtrés par ASF par :
- Notifications de mise en quarantaine périodiques du courrier indésirable et verdicts de filtre de courrier indésirable à haut niveau de confiance.
- Présence de messages filtrés en quarantaine.
- Champs d’en-tête X spécifiques
X-CustomSpam:
ajoutés aux messages, comme décrit dans cet article.
ASF ajoute X-CustomSpam:
des champs d’en-tête X aux messages une fois que les messages ont été traités par les règles de flux de messagerie Exchange (également appelées règles de transport). Vous ne pouvez donc pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages qui ont été filtrés par ASF. Vous pouvez utiliser des règles de boîte de réception dans les boîtes aux lettres pour affecter la remise du message.
Les sections suivantes décrivent les paramètres et options ASF qui sont disponibles dans les stratégies anti-courrier indésirable dans le portail Microsoft Defender et dans Exchange Online PowerShell ou EOP autonome (New-HostedContentFilterPolicy et Set-HostedContentFilterPolicy). Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.
Conseil
Les paramètres ASF ne sont pas activés dans les stratégies de sécurité prédéfinies Standard ou Strict. Vous pouvez donc configurer les paramètres ASF dans la stratégie anti-courrier indésirable par défaut ou les stratégies anti-courrier indésirable personnalisées uniquement. Pour plus d’informations sur l’utilisation des stratégies de protection, consultez Déterminer votre stratégie de protection.
Activer, désactiver ou tester les paramètres ASF
Pour chaque paramètre ASF, les options suivantes sont disponibles dans les stratégies anti-courrier indésirable :
Activé : ASF ajoute le champ X-header correspondant au message :
- Pour les paramètres Augmenter le score de courrier indésirable, le message a plus de chances d’être marqué commecourrier indésirable.
- Pour les paramètres Marquer comme courrier indésirable, le message est marqué comme courrier indésirable ou courrier indésirable à haut niveau de confiance.
Désactivé : le paramètre ASF est désactivé. Il s’agit de la valeur par défaut.
Test : le paramètre ASF est en mode test. Ce qui arrive au message est déterminé par la valeur du mode test (TestModeAction) :
- Aucun : la remise des messages n’est pas affectée par la détection ASF. Le message est toujours soumis à d’autres types de filtrage et règles dans EOP et Defender pour Office 365.
-
Ajouter un texte d’en-tête X par défaut (AddXHeader) : la valeur
X-CustomSpam: This message was filtered by the custom spam filter option
X-header est ajoutée au message. Vous pouvez utiliser cette valeur dans les règles de boîte de réception (et non dans les règles de flux de courrier) pour affecter la remise du message. - Envoyer un message Cci (BccMessage) : les adresses e-mail spécifiées (valeur du paramètre TestModeBccToRecipients dans PowerShell) sont ajoutées au champ Cci du message et le message est remis aux destinataires cci supplémentaires. Dans le portail Microsoft Defender, vous séparez plusieurs adresses e-mail par des points-virgules (;). Dans PowerShell, vous séparez plusieurs adresses e-mail par des virgules.
Le mode test n’est pas disponible pour les paramètres ASF suivants :
- Filtrage conditionnel de l’ID d’expéditeur : échec physique (MarkAsSpamFromAddressAuthFail)
- Rétrodiffusion NDR (MarkAsSpamNdrBackscatter)
- Enregistrement SPF : échec physique (MarkAsSpamSpfRecordHardFail)
La même action de mode de test est appliquée à tous les paramètres ASF définis sur Test. Vous ne pouvez pas configurer différentes actions en mode de test pour différents paramètres ASF.
Augmenter les paramètres de score de courrier indésirable
Les paramètres ASF Augmenter le score de courrier indésirable suivants entraînent une augmentation du score de courrier indésirable et donc une plus grande probabilité d’être marqué comme courrier indésirable avec un niveau de confiance du courrier indésirable (SCL) de 5 ou 6, ce qui correspond à un verdict de filtre de courrier indésirable et à l’action correspondante dans les stratégies anti-courrier indésirable. Tous les messages qui correspondent aux conditions ASF suivantes ne sont pas marqués comme courrier indésirable.
Paramètre de stratégie anti-courrier indésirable | Description | X-header ajouté |
---|---|---|
Liens d’image vers des sites web distants (IncreaseScoreWithImageLinks) | Les messages qui contiennent <Img> des liens de balise HTML vers des sites distants (par exemple, à l’aide de http) sont marqués comme courrier indésirable. |
X-CustomSpam: Image links to remote sites |
Adresse IP numérique dans l’URL (IncreaseScoreWithNumericIps) | Les messages qui contiennent des URL numériques (généralement des adresses IP) sont marqués comme courrier indésirable. | X-CustomSpam: Numeric IP in URL |
Redirection d’URL vers un autre port (IncreaseScoreWithRedirectToOtherPort) | Les messages qui contiennent des liens hypertexte qui redirigent vers des ports TCP autres que 80 (HTTP), 8080 (HTTP de remplacement) ou 443 (HTTPS) sont marqués comme courrier indésirable. | X-CustomSpam: URL redirect to other port |
Liens vers des sites web .biz ou .info (IncreaseScoreWithBizOrInfoUrls) | Les messages qui contiennent .biz des liens ou .info dans le corps du message sont marqués comme courrier indésirable. Notez que les URL telles que contoso.info.com (où .biz ou .info n’est pas le domaine de niveau supérieur) correspondent également. |
X-CustomSpam: URL to .biz or .info websites |
Marquer comme paramètres de courrier indésirable
Les paramètres ASF Marquer comme courrier indésirable suivants définissent la liste de contrôle de sécurité des messages détectés sur 9, ce qui correspond à un verdict de filtre de courrier indésirable à haute confiance et à l’action correspondante dans les stratégies anti-courrier indésirable.
Paramètre de stratégie anti-courrier indésirable | Description | X-header ajouté |
---|---|---|
Messages vides (MarkAsSpamEmptyMessages) | Les messages sans objet, sans contenu dans le corps du message et sans pièce jointe sont marqués comme courrier indésirable à haut niveau de confiance. | X-CustomSpam: Empty Message |
Balises incorporées en HTML (MarkAsSpamEmbedTagsInHtml) | Les messages qui contiennent des <embed> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance. Cette balise permet l’incorporation de différents types de documents dans un document HTML (par exemple, des sons, des vidéos ou des images). |
X-CustomSpam: Embed tag in html |
JavaScript ou VBScript en HTML (MarkAsSpamJavaScriptInHtml) | Les messages qui utilisent JavaScript ou Visual Basic Script Edition en HTML sont marqués comme courrier indésirable à haut niveau de confiance. Ces langages de script sont utilisés dans les e-mails pour provoquer des actions spécifiques automatiquement. |
X-CustomSpam: Javascript or VBscript tags in HTML |
Balises de formulaire en HTML (MarkAsSpamFormTagsInHtml) | Les messages qui contiennent des <form> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance. Cette balise est utilisée pour créer des formulaires de site web. Les publicités électroniques utilisent souvent cette balise pour demander des informations au destinataire. |
X-CustomSpam: Form tag in html |
Balises frame ou iframe en HTML (MarkAsSpamFramesInHtml) | Les messages qui contiennent des <frame> balises HTML ou <iframe> sont marqués comme courrier indésirable à haut niveau de confiance. Ces balises sont utilisées dans les messages électroniques pour mettre en forme la page pour l’affichage du texte ou des graphiques. |
X-CustomSpam: IFRAME or FRAME in HTML |
Bogues web en HTML (MarkAsSpamWebBugsInHtml) | Un bogue web (également appelé balise web) est un élément graphique (souvent aussi petit qu’un pixel par pixel) qui détermine si le destinataire a lu le message. Les messages qui contiennent des bogues web sont marqués comme courrier indésirable à haut niveau de confiance. Les bulletins d’informations légitimes peuvent utiliser des bogues web, bien que beaucoup les considèrent comme une atteinte à la vie privée. |
X-CustomSpam: Web bug |
Balises d’objet en HTML (MarkAsSpamObjectTagsInHtml) | Les messages qui contiennent des <object> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance. Cette balise permet aux plug-ins ou applications de s’exécuter dans une fenêtre HTML. |
X-CustomSpam: Object tag in html |
Mots sensibles (MarkAsSpamSensitiveWordList_) | Microsoft gère une liste dynamique mais non modifiable de mots associés à des messages potentiellement offensants. Les messages qui contiennent des mots de la liste de mots sensibles dans l’objet ou le corps du message sont marqués comme courrier indésirable à haut niveau de confiance. |
X-CustomSpam: Sensitive word in subject/body |
Enregistrement SPF : échec physique (MarkAsSpamSpfRecordHardFail) | Les messages envoyés à partir d’une adresse IP qui n’est pas spécifiée dans l’enregistrement SPF Sender Policy Framework (SPF) dans DNS pour le domaine de messagerie source sont marqués comme courrier indésirable à haut niveau de confiance. Le mode test n’est pas disponible pour ce paramètre. |
X-CustomSpam: SPF Record Fail |
Les paramètres ASF Marquer comme courrier indésirable définissent la liste de contrôle de contrôle d’accès des messages détectés sur 6, ce qui correspond à un verdict de filtre anti-courrier indésirable et à l’action correspondante dans les stratégies anti-courrier indésirable.
Paramètre de stratégie anti-courrier indésirable | Description | X-header ajouté |
---|---|---|
Échec du filtrage de l’ID de l’expéditeur (MarkAsSpamFromAddressAuthFail) | Les messages qui échouent de manière définitive à une vérification conditionnelle de l’ID de l’expéditeur sont marqués comme courrier indésirable. Ce paramètre combine une vérification SPF avec une vérification de l’ID de l’expéditeur pour vous protéger contre les en-têtes de message qui contiennent des expéditeurs falsifiés. Le mode test n’est pas disponible pour ce paramètre. |
X-CustomSpam: SPF From Record Fail |
Rétrodiffusion (MarkAsSpamNdrBackscatter) |
La rétrodiffusion est un rapport de non-remise inutile (également appelé NDR ou message de rebond) provoqué par des expéditeurs falsifiés dans les messages électroniques. Pour plus d’informations, consultez Messages de rétrodiffusion et EOP. Vous n’avez pas besoin de configurer ce paramètre dans les environnements suivants, car les NDR légitimes sont remises et la rétrodiffusion est marquée comme courrier indésirable :
Dans les environnements EOP autonomes qui protègent le courrier entrant vers les boîtes aux lettres locales, l’activation ou la désactivation de ce paramètre a le résultat suivant :
Le mode test n’est pas disponible pour ce paramètre. |
X-CustomSpam: Backscatter NDR |