EOP 中的高级垃圾邮件筛选器 (ASF) 设置

在邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP 的 Microsoft 365 组织中,) 组织中没有Exchange Online邮箱,高级垃圾邮件筛选器 (反垃圾邮件策略中的 ASF) 设置允许管理员根据特定邮件属性将邮件标记为垃圾邮件。 ASF 专门面向这些属性,因为它们通常位于垃圾邮件中。 根据 属性,ASF 检测会将邮件标记为 “垃圾邮件”“高置信度垃圾邮件”。

注意

启用一个或多个 ASF 设置是垃圾邮件筛选的积极方法。 无法向 Microsoft 报告 ASF 筛选的邮件为误报。 可以通过以下方式识别已按 ASF 筛选的消息:

  • 定期隔离来自垃圾邮件和高置信度垃圾邮件筛选器判决的通知。
  • 隔离区中是否存在筛选邮件。
  • 添加到消息的特定 X-CustomSpam: X 标头字段,如本文所述。

ASF 在邮件由 Exchange 邮件流规则处理向邮件添加 X-CustomSpam: X 标头字段 (也称为) 传输规则,因此无法使用邮件流规则来标识和处理 ASF 筛选的邮件。 可以使用邮箱中的 收件箱规则 来影响邮件的传递。

以下部分介绍 Microsoft Defender 门户中的反垃圾邮件策略中可用的 ASF 设置和选项,以及Exchange Online PowerShell 或独立 EOP PowerShell (New-HostedContentFilterPolicySet-HostedContentFilterPolicy) 。 有关详细信息,请参阅在 EOP 中配置反垃圾邮件策略

启用、禁用或测试 ASF 设置

对于每个 ASF 设置,反垃圾邮件策略中提供了以下选项:

  • On:ASF 向邮件添加相应的 X 标头字段,并将邮件标记为 “垃圾邮件 (SCL 5 或 6”以 增加垃圾邮件分数设置) 或 高置信度垃圾邮件 (SCL 9 标记为 垃圾邮件设置) 。
  • 关闭:禁用 ASF 设置。 此值为默认值。
  • 测试:ASF 设置处于测试模式。 消息发生的情况由 Test Mode (TestModeAction) 值决定:

    • :消息传递不受 ASF 检测影响。 消息仍受 EOP 和 Defender for Office 365 中的其他类型的筛选和规则的约束。

    • (AddXHeader) 添加默认的 X 标头文本 :X 标头值 X-CustomSpam: This message was filtered by the custom spam filter option 将添加到消息中。 可以在收件箱规则中使用此值, (不是邮件流规则) 来影响邮件的传递。

    • 发送密件抄送邮件 (密件抄送消息) :PowerShell) 中 TestModeBccToRecipients 参数值 (指定的电子邮件地址将添加到邮件的密件抄送字段中,并将邮件传递给其他密件抄送收件人。 在Microsoft Defender门户中,可以通过分号 (;) 分隔多个电子邮件地址。 在 PowerShell 中,用逗号分隔多个电子邮件地址。

    • 测试模式不适用于以下 ASF 设置:

      • 条件发件人 ID 筛选: (MarkAsSpamFromAddressAuthFail)
      • NDR 反向散信 (MarkAsSpamNdrBackscatter)
      • SPF 记录: (MarkAsSpamSpfRecordHardFail)

    • 相同的测试模式操作将应用于设置为“测试的所有 ASF 设置。 无法为不同的 ASF 设置配置不同的测试模式操作。

增加垃圾邮件分数设置

以下 “增加垃圾邮件评分 ASF”设置会导致垃圾邮件分数增加,因此,SCL) 为 5 或 6 的 SCL (标记为垃圾邮件的几率更高,这对应于 垃圾邮件 筛选器判决和反垃圾邮件策略中的相应操作。 并非每个符合以下 ASF 条件的邮件都标记为垃圾邮件。

反垃圾邮件策略设置 说明 已添加 X 标头
指向远程网站的图像链接 (IncreaseScoreWithImageLinks) <Img>包含指向远程站点的 HTML 标记链接的邮件 (例如,使用 http) 被标记为垃圾邮件。 X-CustomSpam: Image links to remote sites
URL (IncreaseScoreWithNumericIps) 中的数字 IP 地址 包含基于数字的 URL 的邮件通常 (IP 地址) 标记为垃圾邮件。 X-CustomSpam: Numeric IP in URL
URL 重定向到其他端口 (IncreaseScoreWithRedirectToOtherPort) 包含重定向到除 80 (HTTP) 、8080 (备用 HTTP) 或 443 (HTTPS) 以外的 TCP 端口的邮件被标记为垃圾邮件。 X-CustomSpam: URL redirect to other port
指向 .biz 或 .info 网站的链接 (IncreaseScoreWithBizOrInfoUrls) .biz邮件正文中包含 或 .info 链接的邮件被标记为垃圾邮件。 X-CustomSpam: URL to .biz or .info websites

标记为垃圾邮件设置

以下 标记为垃圾邮件 ASF 设置将检测到的邮件的 SCL 设置为 9,这对应于 高置信度垃圾邮件 筛选器判决和反垃圾邮件策略中的相应操作。

反垃圾邮件策略设置 说明 已添加 X 标头
(MarkAsSpamEmptyMessages) 空消息 没有主题、邮件正文中没有内容且没有附件的邮件被标记为高置信度垃圾邮件。 X-CustomSpam: Empty Message
HTML (MarkAsSpamEmbedTagsInHtml) 包含 <embed> HTML 标记的邮件被标记为高置信度垃圾邮件。

此标记允许在 HTML 文档中嵌入不同类型的文档, (例如声音、视频或图片) 。		 X-CustomSpam: Embed tag in html
HTML 中的 JavaScript 或 VBScript (MarkAsSpamJavaScriptInHtml) 在 HTML 中使用 JavaScript 或 Visual Basic 脚本版本的邮件被标记为高置信度垃圾邮件。

这些脚本语言在电子邮件中用于自动执行特定操作。		 X-CustomSpam: Javascript or VBscript tags in HTML
HTML 中的表单标记 (MarkAsSpamFormTagsInHtml) 包含 <form> HTML 标记的邮件被标记为高置信度垃圾邮件。

此标记用于创建网站表单。 电子邮件广告经常包含该标记,以获取收件人的信息。		 X-CustomSpam: Form tag in html
HTML 中的框架或 iframe 标记 (MarkAsSpamFramesInHtml) 包含 <frame><iframe> HTML 标记的邮件被标记为高置信度垃圾邮件。

这些标记在电子邮件中用于设置页面的格式,用于显示文本或图形。		 X-CustomSpam: IFRAME or FRAME in HTML
HTML (MarkAsSpamWebBugsInHtml) 中的 Web bug web bug (也称为 Web 信标) 是一种图形元素, (通常以一像素为单位的小) ,用于确定收件人是否阅读邮件。

包含 Web bug 的邮件被标记为高置信度垃圾邮件。

合法的新闻稿可能会使用 Web bug,尽管许多人认为这是对隐私的侵犯。		 X-CustomSpam: Web bug
HTML 中的对象标记 (MarkAsSpamObjectTagsInHtml) 包含 <object> HTML 标记的邮件被标记为高置信度垃圾邮件。

此标记允许插件或应用程序在 HTML 窗口中运行。		 X-CustomSpam: Object tag in html
敏感字词 (MarkAsSpamSensitiveWordList_) Microsoft 维护与潜在冒犯性邮件关联的动态但不可编辑的字词列表。

包含主题或邮件正文中敏感单词列表中的字词的邮件被标记为高置信度垃圾邮件。		 X-CustomSpam: Sensitive word in subject/body
SPF 记录: (MarkAsSpamSpfRecordHardFail) 从源电子邮件域的 DNS 中未在 SPF 发件人策略框架 (SPF) 记录的 IP 地址发送的邮件被标记为高置信度垃圾邮件。

测试模式不适用于此设置。		 X-CustomSpam: SPF Record Fail

以下 标记为垃圾邮件 ASF 设置将检测到的邮件的 SCL 设置为 6,这对应于 垃圾邮件 筛选器判决和反垃圾邮件策略中的相应操作。

反垃圾邮件策略设置 说明 已添加 X 标头
发件人 ID 筛选硬失败 (MarkAsSpamFromAddressAuthFail) 检查条件发件人 ID 检查硬失败的邮件被标记为垃圾邮件。

此设置将 SPF 检查与发件人 ID 检查相结合,以帮助防范包含伪造发件人的邮件头。

测试模式不适用于此设置。		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) 反散信 是无用的未送达报告 (也称为由电子邮件中伪造的发件人引起的) 退回邮件或退回邮件。 有关详细信息,请参阅 反向散文消息和 EOP

无需在以下环境中配置此设置,因为会传递合法的NDR,并且反散信标记为垃圾邮件:
  • 具有Exchange Online邮箱的 Microsoft 365 组织。
  • 通过 EOP 路由出站电子邮件的本地电子邮件组织。


在保护发送到本地邮箱的入站电子邮件的独立 EOP 环境中,打开或关闭此设置会产生以下结果:
  • On:已传递合法的NDR,并将反散信标记为垃圾邮件。
  • 关闭:合法的NDR和反散文经过正常的垃圾邮件筛选。 大多数合法的NDR 将传递给原始消息发送方。 某些(但不是所有)退信被标记为垃圾邮件。 根据定义,反向散信只能传送给欺骗的发件人,而不能传递到原始发件人。


测试模式不适用于此设置。		 X-CustomSpam: Backscatter NDR