Inställningar för avancerat skräppostfilter (ASF) i EOP

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online-postlådor tillåter ASF-inställningar (Advanced Spam Filter) i principer för skräppostskydd administratörer att markera meddelanden som skräppost baserat på specifika meddelandeegenskaper. ASF riktar sig specifikt mot dessa egenskaper eftersom de ofta finns i skräppost. Beroende på egenskapen markerar ASF-identifieringar meddelandet som skräppost eller skräppost med hög konfidens.

Anteckning

Att aktivera en eller flera av ASF-inställningarna är en aggressiv metod för skräppostfiltrering. Du kan inte rapportera meddelanden som filtreras av ASF som falska positiva identifieringar till Microsoft. Du kan identifiera meddelanden som filtrerats av ASF genom att:

  • Regelbundna karantänmeddelanden från skräppost och skräppostfilterutslag med hög konfidens.
  • Förekomsten av filtrerade meddelanden i karantän.
  • De specifika X-CustomSpam: X-header-fälten som läggs till i meddelanden enligt beskrivningen i den här artikeln.

ASF lägger till X-CustomSpam: X-header-fält i meddelanden när meddelandena har bearbetats av Exchange-e-postflödesregler (kallas även transportregler), så du kan inte använda e-postflödesregler för att identifiera och agera på meddelanden som har filtrerats av ASF. Du kan använda inkorgsregler i postlådor för att påverka leveransen av meddelandet.

I följande avsnitt beskrivs de ASF-inställningar och alternativ som är tillgängliga i principer för skräppostskydd i Microsoft Defender-portalen och i Exchange Online PowerShell eller fristående EOP PowerShell (New-HostedContentFilterPolicy och Set-HostedContentFilterPolicy). Mer information finns i Konfigurera principer för skräppostskydd i EOP.

Tips

ASF-inställningar är inte aktiverade i standard- eller strikt förinställda säkerhetsprinciper, så du kan konfigurera ASF-inställningar i standardprincipen för skräppostskydd eller anpassade principer för skräppostskydd. Mer information om hur du använder skyddsprinciper finns i Fastställa din strategi för skyddsprinciper.

Aktivera, inaktivera eller testa ASF-inställningar

För varje ASF-inställning är följande alternativ tillgängliga i principer för skräppostskydd:

  • : ASF lägger till motsvarande X-rubrikfält i meddelandet:

  • Av: ASF-inställningen är inaktiverad. Det här är standardvärdet.

  • Test: ASF-inställningen är i testläge. Vad som händer med meddelandet bestäms av testlägesvärdet (TestModeAction):

    • Ingen: Meddelandeleveransen påverkas inte av ASF-identifieringen. Meddelandet omfattas fortfarande av andra typer av filtrering och regler i EOP och Defender för Office 365.
    • Lägg till standardtext för X-sidhuvud (AddXHeader): X-header-värdet X-CustomSpam: This message was filtered by the custom spam filter option läggs till i meddelandet. Du kan använda det här värdet i Inkorgsregler (inte e-postflödesregler) för att påverka leveransen av meddelandet.
    • Skicka hemlig kopia (BccMessage): De angivna e-postadresserna (parametervärdet TestModeBccToRecipients i PowerShell) läggs till i fältet Hemlig kopia i meddelandet och meddelandet levereras till ytterligare mottagare av hemlig kopia. I Microsoft Defender-portalen separerar du flera e-postadresser med semikolon (;). I PowerShell separerar du flera e-postadresser med kommatecken.

    Testläget är inte tillgängligt för följande ASF-inställningar:

    • ID-filtrering för villkorsstyrd avsändare: hårt fel (MarkAsSpamFromAddressAuthFail)
    • NDR-bakåtscatter (MarkAsSpamNdrBackscatter)
    • SPF-post: hårt fel (MarkAsSpamSpfRecordHardFail)

    Samma testlägesåtgärd tillämpas på alla ASF-inställningar som är inställda på Test. Du kan inte konfigurera olika testlägesåtgärder för olika ASF-inställningar.

Öka inställningarna för skräppostpoäng

Följande Inställningar för att öka skräppostpoängen i ASF resulterar i en ökning av skräppostpoängen och därmed en högre chans att markeras som skräppost med en förtroendenivå för skräppost (SCL) på 5 eller 6, vilket motsvarar en bedömning av skräppostfilter och motsvarande åtgärd i principer för skräppostskydd. Alla meddelanden som matchar följande ASF-villkor markeras inte som skräppost.

Principinställning för skräppostskydd Beskrivning X-header har lagts till
Bildlänkar till fjärrwebbplatser (IncreaseScoreWithImageLinks) Meddelanden som innehåller <Img> HTML-tagglänkar till fjärrplatser (till exempel med http) markeras som skräppost. X-CustomSpam: Image links to remote sites
Numerisk IP-adress i URL (IncreaseScoreWithNumericIps) Meddelanden som innehåller numeriska url:er (vanligtvis IP-adresser) markeras som skräppost. X-CustomSpam: Numeric IP in URL
URL-omdirigering till annan port (IncreaseScoreWithRedirectToOtherPort) Meddelanden som innehåller hyperlänkar som omdirigeras till andra TCP-portar än 80 (HTTP), 8080 (alternativ HTTP) eller 443 (HTTPS) markeras som skräppost. X-CustomSpam: URL redirect to other port
Länkar till .biz- eller .info-webbplatser (IncreaseScoreWithBizOrInfoUrls) Meddelanden som innehåller .biz eller .info länkar i meddelandets brödtext markeras som skräppost.

Observera att URL:er som contoso.info.com (där .biz eller .info inte är toppnivådomänen) också matchar.
X-CustomSpam: URL to .biz or .info websites

Markera som skräppostinställningar

Följande Inställningar för Markera som skräppost-ASF anger SCL för identifierade meddelanden till 9, vilket motsvarar en bedömning av skräppostfilter med hög konfidens och motsvarande åtgärd i principer för skräppostskydd.

Principinställning för skräppostskydd Beskrivning X-header har lagts till
Tomma meddelanden (MarkAsSpamEmptyMessages) Meddelanden utan ämne, inget innehåll i meddelandetexten och inga bifogade filer markeras som skräppost med hög konfidens. X-CustomSpam: Empty Message
Inbäddade taggar i HTML (MarkAsSpamEmbedTagsInHtml) Meddelanden som innehåller <embed> HTML-taggar markeras som skräppost med hög konfidens.

Med den här taggen kan du bädda in olika typer av dokument i ett HTML-dokument (till exempel ljud, videor eller bilder).
X-CustomSpam: Embed tag in html
JavaScript eller VBScript i HTML (MarkAsSpamJavaScriptInHtml) Meddelanden som använder JavaScript eller Visual Basic Script Edition i HTML markeras som skräppost med hög konfidens.

Dessa skriptspråk används i e-postmeddelanden för att orsaka att specifika åtgärder sker automatiskt.
X-CustomSpam: Javascript or VBscript tags in HTML
Formulärtaggar i HTML (MarkAsSpamFormTagsInHtml) Meddelanden som innehåller <form> HTML-taggar markeras som skräppost med hög konfidens.

Den här taggen används för att skapa webbplatsformulär. E-postannonser innehåller ofta den här taggen för att begära information från mottagaren.
X-CustomSpam: Form tag in html
Ram- eller iframe-taggar i HTML (MarkAsSpamFramesInHtml) Meddelanden som innehåller <frame> eller <iframe> HTML-taggar markeras som skräppost med hög konfidens.

Dessa taggar används i e-postmeddelanden för att formatera sidan för att visa text eller grafik.
X-CustomSpam: IFRAME or FRAME in HTML
Webbbuggar i HTML (MarkAsSpamWebBugsInHtml) En webbbugg (kallas även webb-beacon) är ett grafiskt element (ofta så litet som en bildpunkt per bildpunkt) som avgör om mottagaren läser meddelandet.

Meddelanden som innehåller webbbuggar markeras som skräppost med hög konfidens.

Legitima nyhetsbrev kan använda webbbuggar, även om många anser att de är ett intrång i integriteten.
X-CustomSpam: Web bug
Objekttaggar i HTML (MarkAsSpamObjectTagsInHtml) Meddelanden som innehåller <object> HTML-taggar markeras som skräppost med hög konfidens.

Med den här taggen kan plugin-program eller program köras i ett HTML-fönster.
X-CustomSpam: Object tag in html
Känsliga ord (MarkAsSpamSensitiveWordList_) Microsoft har en dynamisk men icke-redigerbar lista med ord som är associerade med potentiellt stötande meddelanden.

Meddelanden som innehåller ord från den känsliga ordlistan i ämnes- eller meddelandetexten markeras som skräppost med hög konfidens.
X-CustomSpam: Sensitive word in subject/body
SPF-post: hårt fel (MarkAsSpamSpfRecordHardFail) Meddelanden som skickas från en IP-adress som inte anges i SPF:s SPF-post (Sender Policy Framework) i DNS för e-postdomänen för källan markeras som skräppost med hög konfidens.

Testläget är inte tillgängligt för den här inställningen.
X-CustomSpam: SPF Record Fail

Följande Inställningar för Markera som skräppost-ASF anger SCL för identifierade meddelanden till 6, vilket motsvarar en bedömning av skräppostfilter och motsvarande åtgärd i principer för skräppostskydd.

Principinställning för skräppostskydd Beskrivning X-header har lagts till
Hård filtrering av avsändar-ID (MarkAsSpamFromAddressAuthFail) Meddelanden som inte klarar en villkorsstyrd avsändar-ID-kontroll markeras som skräppost.

Den här inställningen kombinerar en SPF-kontroll med en avsändar-ID-kontroll för att skydda mot meddelandehuvuden som innehåller förfalskade avsändare.

Testläget är inte tillgängligt för den här inställningen.
X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter är värdelösa icke-leveransrapporter (även kallade NDRs eller studsmeddelanden) som orsakas av förfalskade avsändare i e-postmeddelanden. Mer information finns i Backscatter-meddelanden och EOP.

Du behöver inte konfigurera den här inställningen i följande miljöer, eftersom legitima NDR levereras och backscatter markeras som skräppost:
  • Microsoft 365-organisationer med Exchange Online-postlådor.
  • Lokala e-postorganisationer där du dirigerar utgående e-post via EOP.


I fristående EOP-miljöer som skyddar inkommande e-post till lokala postlådor får du följande resultat när du aktiverar eller inaktiverar den här inställningen:
  • : Legitima NDR levereras och backscatter markeras som skräppost.
  • Av: Legitima NDR och backscatter går igenom normal skräppostfiltrering. De flesta legitima NDR levereras till den ursprungliga meddelandesändaren. Vissa, men inte alla backscatter, markeras som skräppost. Per definition kan backscatter endast levereras till den falska avsändaren, inte till den ursprungliga avsändaren.


Testläget är inte tillgängligt för den här inställningen.
X-CustomSpam: Backscatter NDR