Параметры расширенного фильтра нежелательной почты (ASF) в EOP

Статья
03/21/2023
Чтение занимает 6 мин

Область применения

Во всех организациях Microsoft 365 параметры расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты в EOP позволяют администраторам помечать сообщения как спам на основе определенных свойств сообщений. ASF специально ориентирована на эти свойства, так как они часто встречаются в спаме. В зависимости от свойства обнаружение ASF будет помечать сообщение как спам или спам с высокой достоверностью.

Примечание.

Включение одного или нескольких параметров ASF — это агрессивный подход к фильтрации спама. Сообщения, отфильтрованные по ASF, нельзя сообщать о ложноположительных результатах. Вы можете определить сообщения, отфильтрованные по ASF, с помощью:

Периодические уведомления о карантине из-за спама и вердиктов фильтра нежелательной почты с высоким уровнем достоверности.
Наличие отфильтрованных сообщений в карантине.
Конкретные X-CustomSpam: поля заголовка X, добавляемые в сообщения, как описано в этой статье.

В следующих разделах описаны параметры и параметры ASF, доступные в политиках защиты от нежелательной почты на портале Microsoft 365 Defender, а также в Exchange Online PowerShell или автономном EOP PowerShell (New-HostedContentFilterPolicy и Set-HostedContentFilterPolicy). Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.

Включение, отключение и проверка параметров ASF

Для каждого параметра ASF в политиках защиты от нежелательной почты доступны следующие параметры:

Вкл. ASF добавляет в сообщение соответствующее поле X-заголовка и помечает сообщение как спам (SCL 5 или 6 в разделе Увеличение параметров оценки нежелательной почты) или Спам с высоким уровнем достоверности (SCL 9 для метки как параметры нежелательной почты).
Выкл. Параметр ASF отключен. Это значение по умолчанию, и мы рекомендуем не изменять его.
Тест. ASF добавляет в сообщение соответствующее поле X-заголовка. Что происходит с сообщением, определяется значением test mode (TestModeAction):
- Нет: на доставку сообщений не влияет обнаружение ASF. Сообщение по-прежнему зависит от других типов фильтрации и правил в EOP.
- Добавление текста X-заголовка по умолчанию (AddXHeader): значение X-CustomSpam: This message was filtered by the custom spam filter option X-заголовка добавляется в сообщение. Это значение можно использовать в правилах папки "Входящие" или правилах потока обработки почты (также называемых правилами транспорта), чтобы повлиять на доставку сообщения.
- Отправить сообщение СК (BccMessage): указанные адреса электронной почты (значение параметра TestModeBccToRecipients в PowerShell) добавляются в поле СК сообщения, и сообщение доставляется дополнительным получателям ск. На портале Microsoft 365 Defender вы разделяете несколько адресов электронной почты точкой с запятой (;). В PowerShell несколько адресов электронной почты разделяются запятыми.
Примечания.
- Тестовый режим недоступен для следующих параметров ASF:
  - Фильтрация условного идентификатора отправителя: жесткий сбой (MarkAsSpamFromAddressAuthFail)
  - NDR backscatter(MarkAsSpamNdrBackscatter)
  - Запись SPF: жесткий сбой (MarkAsSpamSpfRecordHardFail)
- Одно и то же действие тестового режима применяется ко всем параметрам ASF, для которых задано значение Test. Нельзя настроить различные действия тестового режима для разных параметров ASF.

Увеличение параметров оценки нежелательной почты

Приведенные ниже параметры Увеличить оценку спама ASF приводят к увеличению оценки спама и, следовательно, к повышению вероятности получения пометки как спам с уровнем достоверности спама (SCL) 5 или 6, что соответствует вердикту фильтра спама и соответствующему действию в политиках защиты от нежелательной почты. Не все сообщения электронной почты, соответствующие приведенным ниже параметрам, будут помечены как спам.

Параметр политики защиты от нежелательной почты	Описание	Добавлен заголовок X
Ссылки изображений на удаленные веб-сайты IncreaseScoreWithImageLinks	Сообщения, содержащие `<Img>` ссылки тегов HTML на удаленные сайты (например, с помощью HTTP), помечаются как спам.	`X-CustomSpam: Image links to remote sites`
Числовой IP-адрес в URL-адресе IncreaseScoreWithNumericIps	Сообщения, содержащие числовые URL-адреса (как правило, IP-адреса), помечаются как спам.	`X-CustomSpam: Numeric IP in URL`
перенаправление URL-адреса на другой порт IncreaseScoreWithRedirectToOtherPort	Сообщения, содержащие гиперссылки, которые перенаправляются на TCP-порты, отличные от 80 (HTTP), 8080 (альтернативный HTTP) или 443 (HTTPS), помечаются как спам.	`X-CustomSpam: URL redirect to other port`
Ссылки на веб-сайты .biz или .info IncreaseScoreWithBizOrInfoUrls	Сообщения, содержащие `.biz` или `.info` ссылки в тексте сообщения, помечаются как спам.	`X-CustomSpam: URL to .biz or .info websites`

Пометить как параметры нежелательной почты

В следующих параметрах ASF пометить как спам задается значение SCL обнаруженных сообщений равным 9, что соответствует вердикту фильтра нежелательной почты высокой достоверности и соответствующему действию в политиках защиты от нежелательной почты.

Параметр политики защиты от нежелательной почты	Описание	Добавлен заголовок X
Пустые сообщения MarkAsSpamEmptyMessages	Сообщения без темы, содержимого в тексте сообщения и вложений помечаются как спам с высоким уровнем достоверности.	`X-CustomSpam: Empty Message`
Внедренные теги в HTML MarkAsSpamEmbedTagsInHtml	Сообщения, содержащие `<embed>` HTML-теги, помечаются как спам с высоким уровнем достоверности. Этот тег позволяет внедрять различные типы документов в HTML-документ (например, звуки, видео или изображения).	`X-CustomSpam: Embed tag in html`
JavaScript или VBScript в HTML MarkAsSpamJavaScriptInHtml	Сообщения, использующие JavaScript или Visual Basic Script Edition в HTML, помечаются как спам с высоким уровнем достоверности. Эти языки сценариев используются в сообщениях электронной почты для автоматического выполнения определенных действий.	`X-CustomSpam: Javascript or VBscript tags in HTML`
Теги Form в HTML MarkAsSpamFormTagsInHtml	Сообщения, содержащие `<form>` HTML-теги, помечаются как спам с высоким уровнем достоверности. Этот тег используется для создания форм веб-сайта. Рекламные почтовые сообщения часто содержат этот тег, чтобы запрашивать у получателя ту или иную информацию.	`X-CustomSpam: Form tag in html`
Теги фрейма или iframe в HTML MarkAsSpamFramesInHtml	Сообщения, содержащие `<frame>` теги ИЛИ `<iframe>` HTML, помечаются как спам с высоким уровнем достоверности. Эти теги используются в сообщениях электронной почты для форматирования страницы для отображения текста или графики.	`X-CustomSpam: IFRAME or FRAME in HTML`
Веб-маяки в HTML MarkAsSpamWebBugsInHtml	Веб-ошибка (также известная как веб-маяк) — это графический элемент (часто размером от одного пикселя на один пиксель), который используется в сообщениях электронной почты для определения того, было ли сообщение прочитано получателем. Сообщения, содержащие веб-ошибки, помечаются как спам с высоким уровнем достоверности. Законные информационные бюллетени могут использовать веб-ошибки, хотя многие считают это вторжением в частную жизнь.	`X-CustomSpam: Web bug`
Теги Object в HTML MarkAsSpamObjectTagsInHtml	Сообщения, содержащие `<object>` HTML-теги, помечаются как спам с высоким уровнем достоверности. Этот тег позволяет подключаемым модулям или приложениям запускаться в окне HTML.	`X-CustomSpam: Object tag in html`
Конфиденциальные слова MarkAsSpamSensitiveWordList	Корпорация Майкрософт поддерживает динамический, но не редактируемый список слов, связанных с потенциально оскорбительными сообщениями. Сообщения, содержащие слова из списка конфиденциальных слов в теме или тексте сообщения, помечаются как спам с высоким уровнем достоверности.	`X-CustomSpam: Sensitive word in subject/body`
Запись инфраструктуры политики отправителей: серьезный сбой MarkAsSpamSpfRecordHardFail	Сообщения, отправленные с IP-адреса, который не указан в записи SPF Sender Policy Framework (SPF) в DNS для исходного домена электронной почты, помечаются как спам с высокой достоверностью. Тестовый режим для этого параметра недоступен.	`X-CustomSpam: SPF Record Fail`

В следующих параметрах ПОметить как спам ASF для параметра SCL обнаруженных сообщений задано значение 6, что соответствует вердикту фильтра нежелательной почты и соответствующему действию в политиках защиты от нежелательной почты.

Параметр политики защиты от нежелательной почты Описание Добавлен заголовок X

Параметр политики защиты от нежелательной почты	Описание	Добавлен заголовок X
Сбой фильтрации идентификатора отправителя MarkAsSpamFromAddressAuthFail	Сообщения, которые жестко завершаются сбоем условной проверки идентификатора отправителя, помечаются как спам. Этот параметр объединяет проверку SPF с проверкой идентификатора отправителя для защиты от заголовков сообщений, содержащих поддельные отправители. Тестовый режим для этого параметра недоступен.	`X-CustomSpam: SPF From Record Fail`
Обратный откат MarkAsSpamNdrBackscatter	Backscatter — это бесполезные отчеты о недоставке (также известные как NDR или сообщения о недоставке), вызванные поддельными отправителями в сообщениях электронной почты. Дополнительные сведения см. в разделах Сообщения Backscatter и EOP. Вам не нужно настраивать этот параметр в следующих средах, так как доставляются допустимые NDR, а backscatter помечается как спам: Организации Microsoft 365 с почтовыми ящиками Exchange Online. Организации с локальной электронной почтой, в которых исходящая почта маршрутизируется через EOP. В автономных средах EOP, которые защищают входящие сообщения электронной почты в локальные почтовые ящики, включение или отключение этого параметра приводит к следующему результату: Включено: доставляются допустимые NDR, а backscatter помечается как спам. Выкл. Допустимые NDR и backscatter проходят обычную фильтрацию спама. Большинство допустимых NDR будут доставлены исходному отправителю сообщения. Некоторые, но не все, backscatter помечается как спам. По определению backscatter может быть доставлен только подделанному отправителю, а не исходному отправителю. Тестовый режим для этого параметра недоступен.	`X-CustomSpam: Backscatter NDR`

Сбой фильтрации идентификатора отправителя

MarkAsSpamFromAddressAuthFail

Сообщения, которые жестко завершаются сбоем условной проверки идентификатора отправителя, помечаются как спам.

Этот параметр объединяет проверку SPF с проверкой идентификатора отправителя для защиты от заголовков сообщений, содержащих поддельные отправители.

Тестовый режим для этого параметра недоступен.

X-CustomSpam: SPF From Record Fail

Обратный откат

MarkAsSpamNdrBackscatter

Backscatter — это бесполезные отчеты о недоставке (также известные как NDR или сообщения о недоставке), вызванные поддельными отправителями в сообщениях электронной почты. Дополнительные сведения см. в разделах Сообщения Backscatter и EOP.

Вам не нужно настраивать этот параметр в следующих средах, так как доставляются допустимые NDR, а backscatter помечается как спам:

Организации Microsoft 365 с почтовыми ящиками Exchange Online.
Организации с локальной электронной почтой, в которых исходящая почта маршрутизируется через EOP.

В автономных средах EOP, которые защищают входящие сообщения электронной почты в локальные почтовые ящики, включение или отключение этого параметра приводит к следующему результату:

Включено: доставляются допустимые NDR, а backscatter помечается как спам.
Выкл. Допустимые NDR и backscatter проходят обычную фильтрацию спама. Большинство допустимых NDR будут доставлены исходному отправителю сообщения. Некоторые, но не все, backscatter помечается как спам. По определению backscatter может быть доставлен только подделанному отправителю, а не исходному отправителю.