Definições avançadas do Filtro de Spam (ASF) na EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Nas organizações do Microsoft 365 com caixas de correio no Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, as definições de Filtro de Spam Avançado (ASF) em políticas antisspam permitem que os administradores marquem mensagens como spam com base em propriedades de mensagens específicas. O ASF destina-se especificamente a estas propriedades porque são normalmente encontradas em spam. Dependendo da propriedade, as deteções do ASF marcam a mensagem como Spam ou Spam de alta confiança.

Nota

Ativar uma ou mais das definições do ASF é uma abordagem agressiva à filtragem de spam. Não pode comunicar mensagens filtradas pelo ASF como falsos positivos para a Microsoft. Pode identificar as mensagens que foram filtradas pelo ASF ao:

• Notificações periódicas de quarentena de spam e veredictos de filtro de spam de alta confiança.
• A presença de mensagens filtradas em quarentena.
• Os campos de cabeçalho X específicos X-CustomSpam: que são adicionados às mensagens, conforme descrito neste artigo.

O ASF adiciona X-CustomSpam: campos de cabeçalho X a mensagens depois de as mensagens terem sido processadas pelas regras de fluxo de correio do Exchange (também conhecidas como regras de transporte), pelo que não pode utilizar regras de fluxo de correio para identificar e agir sobre mensagens que foram filtradas pelo ASF. Pode utilizar as regras da Caixa de Entrada em caixas de correio para afetar a entrega da mensagem.

As secções seguintes descrevem as definições e opções do ASF que estão disponíveis em políticas antisspam no portal do Microsoft Defender e no PowerShell do Exchange Online ou no PowerShell de EOP autónomo (New-HostedContentFilterPolicy e Set-HostedContentFilterPolicy). Para obter mais informações, consulte Configurar políticas anti-spam no EOP.

Sugestão

As definições do ASF não estão ativadas em políticas de segurança predefinidas Padrão ou Estritas, pelo que pode configurar as definições do ASF apenas na política antisspam predefinida ou nas políticas antisspam personalizadas. Para obter mais informações sobre como utilizar políticas de proteção, veja Determinar a sua estratégia de política de proteção.

Ativar, desativar ou testar as definições do ASF

Para cada definição do ASF, estão disponíveis as seguintes opções em políticas antisspam:

• Em: O ASF adiciona o campo de cabeçalho X correspondente à mensagem:

  • Para aumentar as definições de pontuação de spam, a mensagem tem uma maior probabilidade de ser marcada comoSpam.
  • Para as definições marcar como spam, a mensagem é marcada como Spam ou Spam de alta confiança.

• Desativado: a definição do ASF está desativada. Este é o valor predefinido.

• Teste: a definição do ASF está no Modo de Teste. O que acontece à mensagem é determinado pelo valor Modo de teste (TestModeAction):

  • Nenhum: a entrega de mensagens não é afetada pela deteção do ASF. A mensagem ainda está sujeita a outros tipos de filtragem e regras na EOP e no Defender para Office 365.
  • Adicionar texto de cabeçalho X predefinido (AddXHeader): o valor do cabeçalho X-CustomSpam: This message was filtered by the custom spam filter option X é adicionado à mensagem. Pode utilizar este valor nas regras da Caixa de Entrada (não nas regras de fluxo de correio) para afetar a entrega da mensagem.
  • Enviar mensagem Bcc (BccMessage): os endereços de e-mail especificados (o valor do parâmetro TestModeBccToRecipients no PowerShell) são adicionados ao campo Bcc da mensagem e a mensagem é entregue aos destinatários Bcc adicionais. No portal do Microsoft Defender, separa vários endereços de e-mail por ponto e vírgula (;). No PowerShell, separa vários endereços de e-mail por vírgulas.

  O modo de teste não está disponível para as seguintes definições do ASF:

  • Filtragem do ID do Remetente Condicional: falha grave (MarkAsSpamFromAddressAuthFail)
  • NDR backscatter (MarkAsSpamNdrBackscatter)
  • Registo SPF: falha grave (MarkAsSpamSpfRecordHardFail)

  A mesma ação do modo de teste é aplicada a todas as definições do ASF definidas como Teste. Não pode configurar diferentes ações do modo de teste para diferentes definições do ASF.

Aumentar as definições de pontuação de spam

As seguintes definições de ASF Aumentar pontuação de spam resultam num aumento da classificação de spam e, por conseguinte, uma maior probabilidade de serem marcadas como spam com um nível de confiança de spam (SCL) de 5 ou 6, o que corresponde a um veredicto de filtro de Spam e à ação correspondente em políticas antisspam. Nem todas as mensagens que correspondem às seguintes condições do ASF são marcadas como spam.

Definição de política antiss spam	Descrição	Cabeçalho X adicionado
Ligações de imagens para sites remotos (IncreaseScoreWithImageLinks)	As mensagens que contêm <Img> ligações de etiquetas HTML para sites remotos (por exemplo, através de http) são marcadas como spam.	X-CustomSpam: Image links to remote sites
Endereço IP numérico no URL (IncreaseScoreWithNumericIps)	As mensagens que contêm URLs baseados em numéricos (normalmente, endereços IP) são marcadas como spam.	X-CustomSpam: Numeric IP in URL
Redirecionamento do URL para outra porta (IncreaseScoreWithRedirectToOtherPort)	As mensagens que contêm hiperligações que redirecionam para portas TCP diferentes de 80 (HTTP), 8080 (HTTP alternativo) ou 443 (HTTPS) são marcadas como spam.	X-CustomSpam: URL redirect to other port
Ligações para sites .biz ou .info (IncreaseScoreWithBizOrInfoUrls)	As mensagens que contêm .biz ou ligações .info no corpo da mensagem são marcadas como spam. Tenha em atenção que os URLs como contoso.info.com (onde .biz ou .info não é o domínio de nível superior) também corresponderão.	X-CustomSpam: URL to .biz or .info websites

Marcar como definições de spam

As seguintes definições de ASF Marcar como spam definem a SCL das mensagens detetadas como 9, o que corresponde a um veredicto de filtro de spam de alta confiança e à ação correspondente em políticas antisspam.

Definição de política antiss spam	Descrição	Cabeçalho X adicionado
Mensagens vazias (MarkAsSpamEmptyMessages)	As mensagens sem assunto, sem conteúdo no corpo da mensagem e sem anexos são marcadas como spam de alta confiança.	X-CustomSpam: Empty Message
Etiquetas incorporadas em HTML (MarkAsSpamEmbedTagsInHtml)	As mensagens que contêm <embed> etiquetas HTML são marcadas como spam de alta confiança. Esta etiqueta permite a incorporação de diferentes tipos de documentos num documento HTML (por exemplo, sons, vídeos ou imagens).	X-CustomSpam: Embed tag in html
JavaScript ou VBScript em HTML (MarkAsSpamJavaScriptInHtml)	As mensagens que utilizam JavaScript ou Visual Basic Script Edition em HTML são marcadas como spam de alta confiança. Estes idiomas de scripting são utilizados em mensagens de e-mail para fazer com que ações específicas ocorram automaticamente.	X-CustomSpam: Javascript or VBscript tags in HTML
Etiquetas de formulário em HTML (MarkAsSpamFormTagsInHtml)	As mensagens que contêm <form> etiquetas HTML são marcadas como spam de alta confiança. Esta etiqueta é utilizada para criar formulários de site. Os anúncios por e-mail incluem frequentemente esta etiqueta para solicitar informações ao destinatário.	X-CustomSpam: Form tag in html
Etiquetas frame ou iframe em HTML (MarkAsSpamFramesInHtml)	As mensagens que contêm <frame> ou <iframe> etiquetas HTML são marcadas como spam de alta confiança. Estas etiquetas são utilizadas em mensagens de e-mail para formatar a página para apresentar texto ou gráficos.	X-CustomSpam: IFRAME or FRAME in HTML
Erros na Web em HTML (MarkAsSpamWebBugsInHtml)	Um erro na Web (também conhecido como web beacon) é um elemento gráfico (muitas vezes tão pequeno como um píxel por um píxel) que determina se o destinatário leu a mensagem. As mensagens que contêm erros na Web são marcadas como spam de alta confiança. Newsletters legítimas podem utilizar erros na Web, embora muitos os considerem uma invasão de privacidade.	X-CustomSpam: Web bug
Etiquetas de objeto em HTML (MarkAsSpamObjectTagsInHtml)	As mensagens que contêm <object> etiquetas HTML são marcadas como spam de alta confiança. Esta etiqueta permite a execução de plug-ins ou aplicações numa janela HTML.	X-CustomSpam: Object tag in html
Palavras sensíveis (MarkAsSpamSensitiveWordList_)	A Microsoft mantém uma lista dinâmica, mas não editável, de palavras que estão associadas a mensagens potencialmente ofensivas. As mensagens que contêm palavras da lista de palavras confidenciais no assunto ou corpo da mensagem são marcadas como spam de alta confiança.	X-CustomSpam: Sensitive word in subject/body
Registo SPF: falha grave (MarkAsSpamSpfRecordHardFail)	As mensagens enviadas a partir de um endereço IP que não está especificado no registo SPF Sender Policy Framework (SPF) no DNS para o domínio de e-mail de origem são marcadas como spam de alta confiança. O modo de teste não está disponível para esta definição.	X-CustomSpam: SPF Record Fail

As seguintes definições de ASF Marcar como spam definem a SCL das mensagens detetadas como 6, o que corresponde a um veredicto de filtro de Spam e à ação correspondente em políticas antisspam.

Definição de política antiss spam	Descrição	Cabeçalho X adicionado
Falha na filtragem do ID do remetente (MarkAsSpamFromAddressAuthFail)	As mensagens que falham numa verificação do ID do Remetente condicional são marcadas como spam. Esta definição combina uma verificação SPF com uma verificação do ID do Remetente para ajudar a proteger contra cabeçalhos de mensagens que contêm remetentes falsificados. O modo de teste não está disponível para esta definição.	X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter)	O backscatter é um relatório de entrega inútil (também conhecido como NDRs ou mensagens de devolução) causados por remetentes falsificados em mensagens de e-mail. Para obter mais informações, veja Mensagens de backscatter e EOP. Não precisa de configurar esta definição nos seguintes ambientes, porque são entregues NDRs legítimos e o backscatter é marcado como spam: Organizações do Microsoft 365 com caixas de correio do Exchange Online. Organizações de e-mail no local para onde encaminha e-mails de saída através da EOP. Em ambientes EOP autónomos que protegem o e-mail de entrada para caixas de correio no local, ativar ou desativar esta definição tem o seguinte resultado: Ativado: são entregues NDRs legítimos e o backscatter é marcado como spam. Desativado: os NDRs legítimos e o backscatter passam pela filtragem normal de spam. A maioria dos NDRs legítimos são entregues ao remetente da mensagem original. Alguns, mas nem todos os backscatters estão marcados como spam. Por definição, o backscatter só pode ser entregue ao remetente falsificado e não ao remetente original. O modo de teste não está disponível para esta definição.	X-CustomSpam: Backscatter NDR