Configurações avançadas do ASF (Filtro de Spam) no EOP

  • Artigo
  • 7 minutos para o fim da leitura

Aplica-se a

Em todas as Microsoft 365 organizações, as configurações do ASF (Filtro Avançado de Spam) em políticas anti-spam no EOP permitem que os administradores marquem mensagens como spam com base em propriedades de mensagem específicas. O ASF destina-se especificamente a essas propriedades porque elas são comumente encontradas em spam. Dependendo da propriedade, as detecções de ASF marcarão a mensagem como spam ou spam de alta confiança.

Observação

Habilitar uma ou mais configurações de ASF é uma abordagem agressiva para filtragem de spam. Você não pode relatar mensagens filtradas pelo ASF como falsos positivos. Você pode identificar mensagens filtradas pelo ASF por:

  • Notificações periódicas de quarentena de spam e veredictos de filtro de spam de alta confiança.
  • A presença de mensagens filtradas em quarentena.
  • Os campos de cabeçalho X específicos X-CustomSpam: que são adicionados às mensagens, conforme descrito neste artigo.

As seções a seguir descrevem as configurações e as opções ASF disponíveis em políticas anti-spam no portal Microsoft 365 Defender e em Exchange Online PowerShell ou EOP PowerShell autônomo (New-HostedContentFilterPolicy e Set-HostedContentFilterPolicy). Para obter mais informações, consulte Configure as políticas de anti-spam no EOP.

Habilitar, desabilitar ou testar configurações de ASF

Para cada configuração ASF, as seguintes opções estão disponíveis em políticas anti-spam:

  • On: o ASF adiciona o campo de cabeçalho X correspondente à mensagem e marca a mensagem como Spam (SCL 5 ou 6 para Aumentar configurações de pontuação de spam) ou spam de alta confiança (SCL 9 para Marcar como configurações de spam).

  • Desativado: a configuração ASF está desabilitada. Esse é o valor padrão e recomendamos que você não altere isso.

  • Teste: o ASF adiciona o campo de cabeçalho X correspondente à mensagem. O que acontece com a mensagem é determinado pelo valor do modo de teste (TestModeAction):

    • Nenhum: a entrega de mensagens não é afetada pela detecção de ASF. A mensagem ainda está sujeita a outros tipos de filtragem e regras no EOP.
    • Adicionar texto de cabeçalho X padrão (AddXHeader): o valor X-CustomSpam: This message was filtered by the custom spam filter option do cabeçalho X é adicionado à mensagem. Você pode usar esse valor em regras de caixa de entrada ou regras de fluxo de email (também conhecidas como regras de transporte) para afetar a entrega da mensagem.
    • Enviar mensagem Bcc (BccMessage): os endereços de email especificados (o valor do parâmetro TestModeBccToRecipients no PowerShell) são adicionados ao campo Bcc da mensagem e a mensagem é entregue aos destinatários adicionais do Bcc. No portal Microsoft 365 Defender, você separa vários endereços de email por ponto-e-vírgula (;). No PowerShell, você separa vários endereços de email por vírgulas.

    Observações:

    • O modo de teste não está disponível para as seguintes configurações de ASF:
      • Filtragem de ID do Remetente Condicional: falha dura (MarkAsSpamFromAddressAuthFail)
      • Backscatter NDR(MarkAsSpamNdrBackscatter)
      • Registro SPF: falha dura (MarkAsSpamSpfRecordHardFail)
    • A mesma ação de modo de teste é aplicada a todas as configurações ASF definidas como Teste. Você não pode configurar ações de modo de teste diferentes para diferentes configurações de ASF.

Aumentar as configurações de pontuação de spam

As seguintes configurações de ASF de aumentar a pontuação de spam definem o nível de confiança de spam (SCL) das mensagens detectadas como 5 ou 6, o que corresponde a um veredicto de filtro de spam e à ação correspondente em políticas anti-spam.

Configuração de política anti-spam Descrição Cabeçalho X adicionado
Links de imagem para sites remotos

IncreaseScoreWithImageLinks

 As mensagens que contêm <Img> links de marca HTML para sites remotos (por exemplo, usando http) são marcadas como spam. X-CustomSpam: Image links to remote sites
Endereço IP numérico na URL

IncreaseScoreWithNumericIps

 As mensagens que contêm URLs baseadas em numéricos (normalmente, endereços IP) são marcadas como spam. X-CustomSpam: Numeric IP in URL
URL redirecionada para outra porta

IncreaseScoreWithRedirectToOtherPort

 As mensagens que contêm hiperlinks que redirecionam para portas TCP que não sejam 80 (HTTP), 8080 (HTTP alternativo) ou 443 (HTTPS) são marcadas como spam. X-CustomSpam: URL redirect to other port
Links para sites .biz ou .info

IncreaseScoreWithBizOrInfoUrls

 Mensagens que contêm .biz ou .info links no corpo da mensagem são marcadas como spam. X-CustomSpam: URL to .biz or .info websites

Marcar como configurações de spam

As seguintes configurações de ASF de marca como spam definem a SCL de mensagens detectadas como 9, que corresponde a um veredicto de filtro de spam de alta confiança e à ação correspondente em políticas anti-spam.

Configuração de política anti-spam Descrição Cabeçalho X adicionado
Mensagens vazias

MarkAsSpamEmptyMessages

 Mensagens sem assunto, sem conteúdo no corpo da mensagem e sem anexos são marcadas como spam de alta confiança. X-CustomSpam: Empty Message
Marcas inseridas em HTML

MarkAsSpamEmbedTagsInHtml

 A mensagem que contém <embed> marcas HTML é marcada como spam de alta confiança.

Essa marca permite a inserção de diferentes tipos de documentos em um documento HTML (por exemplo, sons, vídeos ou imagens).

 X-CustomSpam: Embed tag in html
JavaScript ou VBScript em HTML

MarkAsSpamJavaScriptInHtml

 As mensagens que usam JavaScript ou Visual Basic Script Edition em HTML são marcadas como spam de alta confiança.

Essas linguagens de script são usadas em mensagens de email para fazer com que ações específicas ocorram automaticamente.

 X-CustomSpam: Javascript or VBscript tags in HTML
Marca de Formulároo em HTML

MarkAsSpamFormTagsInHtml

 As mensagens que contêm <form> marcas HTML são marcadas como spam de alta confiança.

Essa marca é usada para criar formulários de site. Email anúncios geralmente incluem essa marca para solicitar informações do destinatário.

 X-CustomSpam: Form tag in html
Marcas de quadro ou iframe em HTML

MarkAsSpamFramesInHtml

 Mensagens que contêm <frame> ou <iframe> marcas HTML são marcadas como spam de alta confiança.

Essas marcas são usadas em mensagens de email para formatar a página para exibir texto ou gráficos.

 X-CustomSpam: IFRAME or FRAME in HTML
Erros da web em HTML

MarkAsSpamWebBugsInHtml

 Um bug da Web (também conhecido como web beacon) é um elemento gráfico (muitas vezes tão pequeno quanto um pixel por um pixel) que é usado em mensagens de email para determinar se a mensagem foi lida pelo destinatário.

As mensagens que contêm bugs da Web são marcadas como spam de alta confiança.

Boletins informativos legítimos podem usar bugs da Web, embora muitos considerem isso uma invasão de privacidade.

 X-CustomSpam: Web bug
Marcas de objeto em HTML

MarkAsSpamObjectTagsInHtml

 As mensagens que contêm <object> marcas HTML são marcadas como spam de alta confiança.

Essa marca permite que plug-ins ou aplicativos sejam executados em uma janela HTML.

 X-CustomSpam: Object tag in html
Palavras confidenciais

MarkAsSpamSensitiveWordList

 Microsoft mantém uma lista dinâmica, mas não editável de palavras associadas a mensagens potencialmente ofensivas.

As mensagens que contêm palavras da lista de palavras confidenciais no corpo da mensagem ou assunto são marcadas como spam de alta confiança.

 X-CustomSpam: Sensitive word in subject/body
Registro SPF: falha grave

MarkAsSpamSpfRecordHardFail

 As mensagens enviadas de um endereço IP que não está especificado no registro SPF (SPF) do SPF (Sender Policy Framework) no DNS para o domínio de email de origem são marcadas como spam de alta confiança.

O modo de teste não está disponível para essa configuração.

 X-CustomSpam: SPF Record Fail

As seguintes configurações de ASF de marca como spam definem a SCL de mensagens detectadas como 6, o que corresponde a um veredicto de filtro de spam e à ação correspondente em políticas anti-spam.

Configuração de política anti-spam Descrição Cabeçalho X adicionado
Falha na filtragem da ID do remetente

MarkAsSpamFromAddressAuthFail

 As mensagens que falham fortemente em uma verificação de ID do Remetente condicional são marcadas como spam.

Essa configuração combina uma verificação SPF com uma verificação de ID do Remetente para ajudar a proteger contra cabeçalhos de mensagem que contêm remetentes forjados.

O modo de teste não está disponível para essa configuração.

 X-CustomSpam: SPF From Record Fail
Retrodifusão

MarkAsSpamNdrBackscatter

 Backscatter são relatórios inúteis de não entrega (também conhecidos como NDRs ou mensagens de salto) causados por remetentes forjados em mensagens de email. Para obter mais informações, consulte Mensagens de backscatter e EOP.

Você não precisa configurar essa configuração nos seguintes ambientes, pois NDRs legítimos são entregues e o backscatter é marcado como spam:

  • Microsoft 365 organizações com caixas de correio Exchange Online.
  • Organizações de email locais para as quais você roteia emails de saída por meio de EOP.

Em ambientes EOP autônomos que protegem o email de entrada para caixas de correio locais, ativar ou desativar essa configuração tem o seguinte resultado:

  • Ativado: NDRs legítimos são entregues e o backscatter é marcado como spam.
  • Desativado: NDRs legítimos e backscatter passam por filtragem de spam normal. A maioria dos NDRs legítimos será entregue ao remetente de mensagens original. Alguns, mas não todos, backscatter são marcados como spam. Por definição, o backscatter só pode ser entregue ao remetente falsificado, não ao remetente original.

O modo de teste não está disponível para essa configuração.

 X-CustomSpam: Backscatter NDR