Avanserte innstillinger for søppelpostfilter (ASF) i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan avanserte innstillinger for søppelpost (ASF) i policyer for søppelpost merke meldinger som søppelpost basert på bestemte meldingsegenskaper. ASF retter seg spesifikt mot disse egenskapene fordi de vanligvis finnes i søppelpost. Avhengig av egenskapen markerer ASF-gjenkjenning meldingen som søppelpost eller søppelpost med høy visshet.

Obs!

Aktivering av én eller flere av ASF-innstillingene er en aggressiv tilnærming til filtrering av søppelpost. Du kan ikke rapportere meldinger som er filtrert etter ASF som falske positiver til Microsoft. Du kan identifisere meldinger som ble filtrert etter ASF etter:

• Varsler om periodisk karantene fra søppelpost og meldinger om søppelpostfilter med høy visshet.
• Tilstedeværelsen av filtrerte meldinger i karantene.
• De spesifikke X-CustomSpam: X-topptekstfeltene som legges til i meldinger som beskrevet i denne artikkelen.

ASF legger til X-CustomSpam: X-overskriftsfelt i meldinger etter at meldingene er behandlet av regler for Exchange-e-postflyt (også kalt transportregler), slik at du ikke kan bruke regler for e-postflyt til å identifisere og handle på meldinger som ble filtrert etter ASF. Du kan bruke innboksregler i postbokser til å påvirke leveringen av meldingen.

Avsnittene nedenfor beskriver ASF-innstillingene og alternativene som er tilgjengelige i policyer for søppelpost i Microsoft Defender-portalen, og i Exchange Online PowerShell eller frittstående EOP PowerShell (New-HostedContentFilterPolicy og Set-HostedContentFilterPolicy). Hvis du vil ha mer informasjon kan du se Konfigurer policyer for beskyttelse mot søppelpost i EOP.

Aktivere, deaktivere eller teste ASF-innstillinger

For hver ASF-innstilling er følgende alternativer tilgjengelige i policyer for søppelpost:

• På: ASF legger til det tilsvarende X-topptekstfeltet i meldingen, og markerer meldingen som Søppelpost (SCL 5 eller 6 for Øk innstillinger for søppelpost) eller søppelpost med høy visshet (SCL 9 for Marker som søppelpostinnstillinger).
• Av: ASF-innstillingen er deaktivert. Dette er standardverdien.
• Test: ASF-innstillingen er i testmodus. Hva som skjer med meldingen, bestemmes av testmodusverdien (TestModeAction):

  • Ingen: Meldingslevering påvirkes ikke av ASF-gjenkjenningen. Meldingen er fremdeles underlagt andre typer filtrering og regler i EOP og Defender for Office 365.

  • Legg til standard X-topptekst (AddXHeader): X-topptekstverdien X-CustomSpam: This message was filtered by the custom spam filter option legges til i meldingen. Du kan bruke denne verdien i innboksregler (ikke regler for e-postflyt) til å påvirke leveringen av meldingen.

  • Send blindkopimelding (BccMessage): De angitte e-postadressene ( parameterverdien TestModeBccToRecipients i PowerShell) legges til i Blindkopi-feltet i meldingen, og meldingen leveres til de ekstra blindkopimottakerne. I Microsoft Defender-portalen skiller du flere e-postadresser med semikolon (;). I PowerShell skiller du flere e-postadresser med komma.

  • Testmodus er ikke tilgjengelig for følgende ASF-innstillinger:

    • Filtrering av betinget avsender-ID: hard fail (MarkAsSpamFromAddressAuthFail)
    • NDR backscatter(MarkAsSpamNdrBackscatter)
    • SPF-post: hard fail (MarkAsSpamSpfRecordHardFail)

  • Den samme testmodushandlingen brukes på alle ASF-innstillinger som er satt til Test. Du kan ikke konfigurere forskjellige testmodushandlinger for ulike ASF-innstillinger.

Øke innstillingene for søppelpostpoengsum

Følgende Innstillinger for øk søppelpostpoengsummen i ASF resulterer i en økning i søppelpostpoengsummen og dermed en høyere sjanse for å bli merket som søppelpost med et søppelpostnivå (SCL) på 5 eller 6, som tilsvarer en dom for søppelpostfilter og tilsvarende handling i policyer for søppelpost. Ikke alle meldinger som samsvarer med følgende ASF-betingelser, merkes som søppelpost.

Policyinnstilling for søppelpost	Beskrivelse	X-topptekst lagt til
Bildekoblinger til eksterne nettsteder (IncreaseScoreWithImageLinks)	Meldinger som inneholder <Img> HTML-kodekoblinger til eksterne områder (for eksempel ved hjelp av http), er merket som søppelpost.	X-CustomSpam: Image links to remote sites
Numerisk IP-adresse i URL-adresse (IncreaseScoreWithNumericIps)	Meldinger som inneholder numeriske nettadresser (vanligvis IP-adresser), merkes som søppelpost.	X-CustomSpam: Numeric IP in URL
Omadresser URL-adresse til annen port (IncreaseScoreWithRedirectToOtherPort)	Meldinger som inneholder hyperkoblinger som omdirigeres til TCP-porter bortsett fra 80 (HTTP), 8080 (alternativ HTTP) eller 443 (HTTPS), merkes som søppelpost.	X-CustomSpam: URL redirect to other port
Koblinger til .biz- eller .info-nettsteder (IncreaseScoreWithBizOrInfoUrls)	Meldinger som inneholder .biz eller .info koblinger i meldingsteksten, merkes som søppelpost.	X-CustomSpam: URL to .biz or .info websites

Merke som søppelpostinnstillinger

Følgende Marker som søppelpost ASF-innstillinger angir SCL for registrerte meldinger til 9, som tilsvarer en vurdering av søppelpostfilter med høy konfidens og tilsvarende handling i policyer for søppelpost.

Policyinnstilling for søppelpost	Beskrivelse	X-topptekst lagt til
Tomme meldinger (MarkAsSpamEmptyMessages)	Meldinger uten emne, ikke innhold i meldingsteksten og ingen vedlegg merkes som søppelpost med høy visshet.	X-CustomSpam: Empty Message
Innebygde koder i HTML (MarkAsSpamEmbedTagsInHtml)	Meldinger som inneholder <embed> HTML-koder, merkes som søppelpost med høy visshet. Denne koden tillater innebygging av ulike typer dokumenter i et HTML-dokument (for eksempel lyder, videoer eller bilder).	X-CustomSpam: Embed tag in html
JavaScript eller VBScript i HTML (MarkAsSpamJavaScriptInHtml)	Meldinger som bruker JavaScript eller Visual Basic Script Edition i HTML merkes som søppelpost med høy visshet. Disse skriptspråkene brukes i e-postmeldinger for å forårsake at bestemte handlinger utføres automatisk.	X-CustomSpam: Javascript or VBscript tags in HTML
Skjemakoder i HTML (MarkAsSpamFormTagsInHtml)	Meldinger som inneholder <form> HTML-koder, merkes som søppelpost med høy visshet. Denne koden brukes til å opprette nettstedsskjemaer. E-postannonser inkluderer ofte denne koden for å be om informasjon fra mottakeren.	X-CustomSpam: Form tag in html
Ramme- eller iframe-koder i HTML (MarkAsSpamFramesInHtml)	Meldinger som inneholder <frame> eller <iframe> HTML-koder merkes som søppelpost med høy visshet. Disse kodene brukes i e-postmeldinger til å formatere siden for visning av tekst eller grafikk.	X-CustomSpam: IFRAME or FRAME in HTML
Nettfeil i HTML (MarkAsSpamWebBugsInHtml)	En nettfeil (også kjent som et nettsignal) er et grafisk element (ofte så lite som én piksel og én piksel) som brukes i e-postmeldinger for å finne ut om mottakeren leser meldingen. Meldinger som inneholder nettfeil, merkes som søppelpost med høy visshet. Legitime nyhetsbrev kan bruke nettfeil, selv om mange anser dette som en invasjon av personvern.	X-CustomSpam: Web bug
Objektkoder i HTML (MarkAsSpamObjectTagsInHtml)	Meldinger som inneholder <object> HTML-koder, merkes som søppelpost med høy visshet. Med denne koden kan plugin-moduler eller programmer kjøre i et HTML-vindu.	X-CustomSpam: Object tag in html
Sensitive ord (MarkAsSpamSensitiveWordList_)	Microsoft opprettholder en dynamisk, men ikke redigerbar liste over ord som er knyttet til potensielt støtende meldinger. Meldinger som inneholder ord fra den sensitive ordlisten i emne- eller meldingsteksten, merkes som søppelpost med høy visshet.	X-CustomSpam: Sensitive word in subject/body
SPF-post: hard fail (MarkAsSpamSpfRecordHardFail)	Meldinger som sendes fra en IP-adresse som ikke er angitt i SPF-posten framework (SPF) i DNS for kilde-e-postdomenet, merkes som søppelpost med høy konfidens. Testmodus er ikke tilgjengelig for denne innstillingen.	X-CustomSpam: SPF Record Fail

Følgende Marker som søppelpost ASF-innstillinger angir SCL for oppdagede meldinger til 6, som tilsvarer en dom for søppelpostfilter og tilsvarende handling i policyer for søppelpost.

Policyinnstilling for søppelpost	Beskrivelse	X-topptekst lagt til
Hard avsender-ID-filtrering (MarkAsSpamFromAddressAuthFail)	Meldinger som har problemer med å utføre en betinget avsender-ID-kontroll, merkes som søppelpost. Denne innstillingen kombinerer en SPF-kontroll med en avsender-ID-kontroll for å beskytte mot meldingshoder som inneholder forfalskede avsendere. Testmodus er ikke tilgjengelig for denne innstillingen.	X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter)	Backscatter er ubrukelige rapporter om manglende levering (også kjent som NDR-er eller returmeldinger) forårsaket av forfalskede avsendere i e-postmeldinger. Hvis du vil ha mer informasjon, kan du se Backscatter-meldinger og EOP. Du trenger ikke å konfigurere denne innstillingen i følgende miljøer, fordi legitime NDR-er leveres og backscatter er merket som søppelpost: Microsoft 365-organisasjoner med Exchange Online postbokser. Lokale e-postorganisasjoner der du ruter utgående e-post via EOP. I frittstående EOP-miljøer som beskytter innkommende e-post til lokale postbokser, har følgende resultat hvis du aktiverer eller deaktiverer denne innstillingen: På: Legitime NDR-er leveres, og backscatter er merket som søppelpost. Av: Legitime NDR-er og backscatter går gjennom normal filtrering av søppelpost. De fleste legitime NDR-er leveres til den opprinnelige meldingsavsenderen. Noen, men ikke alle backscatter er merket som søppelpost. Per definisjon kan backscatter bare leveres til den forfalskede avsenderen, ikke til den opprinnelige avsenderen. Testmodus er ikke tilgjengelig for denne innstillingen.	X-CustomSpam: Backscatter NDR