Ustawienia zaawansowanego filtru spamu (ASF) w funkcji EOP

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych ustawienia zaawansowanego filtru spamu (ASF) w zasadach ochrony przed spamem umożliwiają administratorom oznaczanie wiadomości jako spamu na podstawie określonych właściwości wiadomości. Usługa ASF jest przeznaczona specjalnie dla tych właściwości, ponieważ są one często spotykane w spamie. W zależności od właściwości wykrywanie usługi ASF oznacza wiadomość jako spam lub spam o wysokim poziomie ufności.

Uwaga

Włączenie co najmniej jednego ustawienia asf jest agresywnym podejściem do filtrowania spamu. Nie można zgłaszać komunikatów, które są filtrowane przez usługę ASF jako fałszywie dodatnie dla firmy Microsoft. Komunikaty, które zostały przefiltrowane przez usługę ASF, można zidentyfikować według:

  • Okresowe powiadomienia o kwarantannie ze spamu i werdykty filtru spamu o wysokim poziomie ufności.
  • Obecność przefiltrowanych komunikatów w kwarantannie.
  • Określone X-CustomSpam: pola nagłówka X, które są dodawane do komunikatów zgodnie z opisem w tym artykule.

Usługa ASF dodaje X-CustomSpam: pola nagłówka X do komunikatów po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na komunikatach, które zostały przefiltrowane przez usługę ASF. Reguł skrzynki odbiorczej można użyć w skrzynkach pocztowych, aby wpłynąć na dostarczanie wiadomości.

W poniższych sekcjach opisano ustawienia i opcje asf dostępne w zasadach ochrony przed spamem w portalu Microsoft Defender oraz w programie Exchange Online programu PowerShell lub autonomicznym programie PowerShell EOP (New-HostedContentFilterPolicy i Set-HostedContentFilterPolicy). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem w ramach EOP.

Włączanie, wyłączanie lub testowanie ustawień asf

Dla każdego ustawienia asf dostępne są następujące opcje w zasadach ochrony przed spamem:

  • Włączone: usługa ASF dodaje odpowiednie pole nagłówka X do wiadomości i oznacza wiadomość jako spam (SCL 5 lub 6 dla ustawienia Zwiększanie oceny spamu) lub Spam o wysokim poziomie ufności (SCL 9 dla opcji Oznacz jako ustawienia spamu).
  • Wyłączone: ustawienie asf jest wyłączone. Jest to wartość domyślna.
  • Test: ustawienie asf jest w trybie testowym. To, co dzieje się z komunikatem, jest określane przez wartość trybu testowego (TestModeAction):

    • Brak: wykrywanie usługi ASF nie ma wpływu na dostarczanie komunikatów. Komunikat nadal podlega innym typom filtrowania i reguł w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Defender.

    • Dodaj domyślny tekst nagłówka X (AddXHeader): wartość X-CustomSpam: This message was filtered by the custom spam filter option nagłówka X jest dodawana do komunikatu. Możesz użyć tej wartości w regułach skrzynki odbiorczej (a nie regułach przepływu poczty), aby wpłynąć na dostarczanie wiadomości.

    • Wyślij komunikat Bcc (BccMessage): Określone adresy e-mail (wartość parametru TestModeBccToRecipients w programie PowerShell) są dodawane do pola Bcc wiadomości, a wiadomość jest dostarczana do dodatkowych adresatów Bcc. W portalu Microsoft Defender wiele adresów e-mail należy rozdzielić średnikami (;). W programie PowerShell rozdzielasz wiele adresów e-mail przecinkami.

    • Tryb testowania nie jest dostępny dla następujących ustawień asf:

      • Filtrowanie identyfikatora nadawcy warunkowego: błąd twardy (MarkAsSpamFromAddressAuthFail)
      • NDR backscatter(MarkAsSpamNdrBackscatter)
      • Rekord SPF: twardy błąd (MarkAsSpamSpfRecordHardFail)

    • Ta sama akcja trybu testowego jest stosowana do wszystkich ustawień asf ustawionych na test. Nie można skonfigurować różnych akcji trybu testowego dla różnych ustawień asf.

Zwiększanie ustawień oceny spamu

Następujące ustawienia zwiększania oceny spamu w formacie ASF powodują wzrost oceny spamu, a zatem większe szanse na oznaczenie jako spam z poziomem ufności spamu (SCL) wynoszącym 5 lub 6, co odpowiada werdyktowi filtru spamu i odpowiednim działaniom w zasadach antyspamowych. Nie każda wiadomość zgodna z następującymi warunkami asf jest oznaczona jako spam.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Linki obrazów do zdalnych witryn internetowych (IncreaseScoreWithImageLinks) Komunikaty zawierające <Img> linki tagów HTML do witryn zdalnych (na przykład przy użyciu protokołu http) są oznaczone jako spam. X-CustomSpam: Image links to remote sites
Numeryczny adres IP w adresie URL (IncreaseScoreWithNumericIps) Wiadomości zawierające numeryczne adresy URL (zazwyczaj adresy IP) są oznaczone jako spam. X-CustomSpam: Numeric IP in URL
Przekierowanie adresu URL do innego portu (IncreaseScoreWithRedirectToOtherPort) Komunikaty zawierające hiperłącza przekierowujące do portów TCP innych niż 80 (HTTP), 8080 (alternatywny protokół HTTP) lub 443 (HTTPS) są oznaczone jako spam. X-CustomSpam: URL redirect to other port
Linki do witryn .biz lub .info (IncreaseScoreWithBizOrInfoUrls) Wiadomości zawierające .biz treść wiadomości lub .info linki są oznaczone jako spam. X-CustomSpam: URL to .biz or .info websites

Oznacz jako ustawienia spamu

Następujące ustawienia Oznacz jako spam ASF ustawiają listę SCL wykrytych wiadomości na wartość 9, co odpowiada werdyktowi filtru spamu o wysokim poziomie ufności i odpowiedniej akcji w zasadach ochrony przed spamem.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Puste komunikaty (MarkAsSpamEmptyMessages) Wiadomości bez tematu, brak zawartości w treści wiadomości i brak załączników są oznaczone jako spam o wysokim poziomie ufności. X-CustomSpam: Empty Message
Tagi osadzone w języku HTML (MarkAsSpamEmbedTagsInHtml) Wiadomości zawierające <embed> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag umożliwia osadzanie różnych rodzajów dokumentów w dokumencie HTML (na przykład dźwięków, filmów wideo lub obrazów).		 X-CustomSpam: Embed tag in html
JavaScript lub VBScript w języku HTML (MarkAsSpamJavaScriptInHtml) Komunikaty korzystające z języka JavaScript lub Visual Basic Script Edition w języku HTML są oznaczone jako spam o wysokim poziomie ufności.

Te języki skryptów są używane w wiadomościach e-mail w celu automatycznego wykonania określonych akcji.		 X-CustomSpam: Javascript or VBscript tags in HTML
Tagi formularzy w języku HTML (MarkAsSpamFormTagsInHtml) Wiadomości zawierające <form> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag służy do tworzenia formularzy witryny internetowej. Email reklamy często zawierają ten tag w celu uzyskania informacji od odbiorcy.		 X-CustomSpam: Form tag in html
Tagi ramki lub ramki w języku HTML (MarkAsSpamFramesInHtml) Wiadomości zawierające <frame> tagi LUB <iframe> HTML są oznaczone jako spam o wysokim poziomie ufności.

Tagi te są używane w wiadomościach e-mail do formatowania strony do wyświetlania tekstu lub grafiki.		 X-CustomSpam: IFRAME or FRAME in HTML
Usterki internetowe w języku HTML (MarkAsSpamWebBugsInHtml) Usterka sieci Web (znana również jako sygnalizator internetowy) to element graficzny (często tak mały, jak jeden piksel po jednym pikselu), który jest używany w wiadomościach e-mail w celu określenia, czy adresat odczytuje wiadomość.

Komunikaty zawierające błędy internetowe są oznaczone jako spam o wysokim poziomie ufności.

Uzasadnione biuletyny mogą korzystać z błędów internetowych, chociaż wielu uważa to za naruszenie prywatności.		 X-CustomSpam: Web bug
Tagi obiektów w języku HTML (MarkAsSpamObjectTagsInHtml) Wiadomości zawierające <object> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag umożliwia uruchamianie wtyczek lub aplikacji w oknie HTML.		 X-CustomSpam: Object tag in html
Wyrazy wrażliwe (MarkAsSpamSensitiveWordList_) Firma Microsoft utrzymuje dynamiczną, ale nieedytowalną listę słów skojarzonych z potencjalnie obraźliwymi wiadomościami.

Wiadomości zawierające wyrazy z listy wyrazów poufnych w treści tematu lub wiadomości są oznaczone jako spam o wysokim poziomie ufności.		 X-CustomSpam: Sensitive word in subject/body
Rekord SPF: twardy błąd (MarkAsSpamSpfRecordHardFail) Komunikaty wysyłane z adresu IP, który nie jest określony w rekordzie SPF Sender Policy Framework (SPF) w systemie DNS dla źródłowej domeny poczty e-mail, są oznaczone jako spam o wysokim poziomie ufności.

Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: SPF Record Fail

Następujące ustawienia Oznacz jako spam ASF ustawiają listę SCL wykrytych wiadomości na wartość 6, co odpowiada werdyktowi filtru spamu i odpowiedniej akcji w zasadach ochrony przed spamem.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Filtrowanie identyfikatora nadawcy nie powiodło się (MarkAsSpamFromAddressAuthFail) Komunikaty, które nie sprawdzają warunkowego identyfikatora nadawcy, są oznaczone jako spam.

To ustawienie łączy sprawdzanie SPF z sprawdzaniem identyfikatora nadawcy, aby chronić przed nagłówkami wiadomości zawierającymi sfałszowanych nadawców.

Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter to bezużyteczne raporty o braku dostarczania (znane również jako serwery NDR lub wiadomości bounce) spowodowane przez sfałszowanych nadawców w wiadomościach e-mail. Aby uzyskać więcej informacji, zobacz Backscatter messages and EOP (Komunikaty backscatter i EOP).

Nie musisz konfigurować tego ustawienia w następujących środowiskach, ponieważ dostarczane są uzasadnione żądania NDR, a zaplecze jest oznaczone jako spam:
  • Organizacje platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi.
  • Lokalne organizacje poczty e-mail, w których kierujesz wychodzącą pocztę e-mail za pośrednictwem EOP.


W autonomicznych środowiskach EOP, które chronią przychodzące wiadomości e-mail do lokalnych skrzynek pocztowych, włączenie lub wyłączenie tego ustawienia ma następujący wynik:
  • Włączone: dostarczane są uzasadnione żądania NDR, a zaplecze jest oznaczone jako spam.
  • Wyłączone: Uzasadnione żądania NDR i backscatter przechodzą przez normalne filtrowanie spamu. Większość legalnych NDR jest dostarczana do oryginalnego nadawcy wiadomości. Niektóre, ale nie wszystkie backscatter jest oznaczony jako spam. Z definicji obiekt backscatter może być dostarczany tylko do sfałszowanego nadawcy, a nie do oryginalnego nadawcy.


Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: Backscatter NDR