Ustawienia zaawansowanego filtru spamu (ASF) w funkcji EOP

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w usłudze Exchange Online lub autonomicznych organizacjach programu Exchange Online Protection (EOP) bez skrzynek pocztowych usługi Exchange Online ustawienia zaawansowanego filtru spamu (ASF) w zasadach ochrony przed spamem umożliwiają administratorom oznaczanie wiadomości jako spamu na podstawie określonych właściwości wiadomości. Usługa ASF jest przeznaczona specjalnie dla tych właściwości, ponieważ są one często spotykane w spamie. W zależności od właściwości wykrywanie usługi ASF oznacza wiadomość jako spam lub spam o wysokim poziomie ufności.

Uwaga

Włączenie co najmniej jednego ustawienia asf jest agresywnym podejściem do filtrowania spamu. Nie można zgłaszać komunikatów, które są filtrowane przez usługę ASF jako fałszywie dodatnie dla firmy Microsoft. Komunikaty, które zostały przefiltrowane przez usługę ASF, można zidentyfikować według:

  • Okresowe powiadomienia o kwarantannie ze spamu i werdykty filtru spamu o wysokim poziomie ufności.
  • Obecność przefiltrowanych komunikatów w kwarantannie.
  • Określone X-CustomSpam: pola nagłówka X, które są dodawane do komunikatów zgodnie z opisem w tym artykule.

Usługa ASF dodaje X-CustomSpam: pola nagłówka X do komunikatów po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na komunikatach, które zostały przefiltrowane przez usługę ASF. Reguł skrzynki odbiorczej można użyć w skrzynkach pocztowych, aby wpłynąć na dostarczanie wiadomości.

W poniższych sekcjach opisano ustawienia i opcje asf dostępne w zasadach ochrony przed spamem w portalu usługi Microsoft Defender oraz w programie PowerShell usługi Exchange Online lub autonomicznym programie PowerShell EOP (New-HostedContentFilterPolicy i Set-HostedContentFilterPolicy). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem w ramach EOP.

Porada

Ustawienia asf nie są włączone w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych, więc można skonfigurować ustawienia usługi ASF tylko w domyślnych zasadach ochrony przed spamem lub niestandardowych zasadach ochrony przed spamem. Aby uzyskać więcej informacji na temat korzystania z zasad ochrony, zobacz Określanie strategii zasad ochrony.

Włączanie, wyłączanie lub testowanie ustawień asf

Dla każdego ustawienia asf dostępne są następujące opcje w zasadach ochrony przed spamem:

  • Na: ASF dodaje odpowiednie pole nagłówka X do komunikatu:

  • Wyłączone: ustawienie asf jest wyłączone. Jest to wartość domyślna.

  • Test: ustawienie asf jest w trybie testowym. To, co dzieje się z komunikatem, jest określane przez wartość trybu testowego (TestModeAction):

    • Brak: wykrywanie usługi ASF nie ma wpływu na dostarczanie komunikatów. Komunikat nadal podlega innym typom filtrowania i reguł w ramach operacji EOP i usługi Defender dla usługi Office 365.
    • Dodaj domyślny tekst nagłówka X (AddXHeader): wartość X-CustomSpam: This message was filtered by the custom spam filter option nagłówka X jest dodawana do wiadomości. Możesz użyć tej wartości w regułach skrzynki odbiorczej (a nie regułach przepływu poczty), aby wpłynąć na dostarczanie wiadomości.
    • Wyślij wiadomość Bcc (BccMessage): określone adresy e-mail (wartość parametru TestModeBccToRecipients w programie PowerShell) są dodawane do pola Bcc wiadomości, a wiadomość jest dostarczana do dodatkowych adresatów Bcc. W portalu usługi Microsoft Defender rozdzielasz wiele adresów e-mail średnikami (;). W programie PowerShell rozdzielasz wiele adresów e-mail przecinkami.

    Tryb testowania nie jest dostępny dla następujących ustawień asf:

    • Filtrowanie identyfikatora nadawcy warunkowego: błąd twardy (MarkAsSpamFromAddressAuthFail)
    • NDR backscatter (MarkAsSpamNdrBackscatter)
    • Rekord SPF: twardy błąd (MarkAsSpamSpfRecordHardFail)

    Ta sama akcja trybu testowego jest stosowana do wszystkich ustawień asf ustawionych na test. Nie można skonfigurować różnych akcji trybu testowego dla różnych ustawień asf.

Zwiększanie ustawień oceny spamu

Następujące ustawienia zwiększania oceny spamu w formacie ASF powodują wzrost oceny spamu, a zatem większe szanse na oznaczenie jako spam z poziomem ufności spamu (SCL) wynoszącym 5 lub 6, co odpowiada werdyktowi filtru spamu i odpowiednim działaniom w zasadach antyspamowych. Nie każda wiadomość zgodna z następującymi warunkami asf jest oznaczona jako spam.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Linki obrazów do zdalnych witryn internetowych (IncreaseScoreWithImageLinks) Komunikaty zawierające <Img> linki tagów HTML do witryn zdalnych (na przykład przy użyciu protokołu http) są oznaczone jako spam. X-CustomSpam: Image links to remote sites
Numeryczny adres IP w adresie URL (IncreaseScoreWithNumericIps) Wiadomości zawierające numeryczne adresy URL (zazwyczaj adresy IP) są oznaczone jako spam. X-CustomSpam: Numeric IP in URL
Przekierowanie adresu URL do innego portu (IncreaseScoreWithRedirectToOtherPort) Komunikaty zawierające hiperłącza przekierowujące do portów TCP innych niż 80 (HTTP), 8080 (alternatywny protokół HTTP) lub 443 (HTTPS) są oznaczone jako spam. X-CustomSpam: URL redirect to other port
Linki do witryn .biz lub .info (IncreaseScoreWithBizOrInfoUrls) Wiadomości zawierające .biz treść wiadomości lub .info linki są oznaczone jako spam.

Należy pamiętać, że adresy URL, takie jak contoso.info.com (gdzie .biz lub .info nie jest domeną najwyższego poziomu) również będą zgodne.		 X-CustomSpam: URL to .biz or .info websites

Oznacz jako ustawienia spamu

Następujące ustawienia Oznacz jako spam ASF ustawiają listę SCL wykrytych wiadomości na wartość 9, co odpowiada werdyktowi filtru spamu o wysokim poziomie ufności i odpowiedniej akcji w zasadach ochrony przed spamem.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Puste komunikaty (MarkAsSpamEmptyMessages) Wiadomości bez tematu, brak zawartości w treści wiadomości i brak załączników są oznaczone jako spam o wysokim poziomie ufności. X-CustomSpam: Empty Message
Tagi osadzone w języku HTML (MarkAsSpamEmbedTagsInHtml) Wiadomości zawierające <embed> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag umożliwia osadzanie różnych rodzajów dokumentów w dokumencie HTML (na przykład dźwięków, filmów wideo lub obrazów).		 X-CustomSpam: Embed tag in html
JavaScript lub VBScript w języku HTML (MarkAsSpamJavaScriptInHtml) Komunikaty korzystające z języka JavaScript lub Visual Basic Script Edition w języku HTML są oznaczone jako spam o wysokim poziomie ufności.

Te języki skryptów są używane w wiadomościach e-mail w celu automatycznego wykonania określonych akcji.		 X-CustomSpam: Javascript or VBscript tags in HTML
Tagi formularzy w języku HTML (MarkAsSpamFormTagsInHtml) Wiadomości zawierające <form> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag służy do tworzenia formularzy witryny internetowej. Reklamy e-mail często zawierają ten tag w celu uzyskania informacji od odbiorcy.		 X-CustomSpam: Form tag in html
Tagi ramki lub ramki w języku HTML (MarkAsSpamFramesInHtml) Wiadomości zawierające <frame> tagi LUB <iframe> HTML są oznaczone jako spam o wysokim poziomie ufności.

Tagi te są używane w wiadomościach e-mail do formatowania strony do wyświetlania tekstu lub grafiki.		 X-CustomSpam: IFRAME or FRAME in HTML
Usterki internetowe w języku HTML (MarkAsSpamWebBugsInHtml) Usterka sieci Web (znana również jako sygnał nawigacyjny sieci Web) to element graficzny (często tak mały, jak jeden piksel po jednym pikselu), który określa, czy adresat odczytuje komunikat.

Komunikaty zawierające błędy internetowe są oznaczone jako spam o wysokim poziomie ufności.

Uzasadnione biuletyny mogą korzystać z błędów internetowych, chociaż wiele z nich uważa je za naruszenie prywatności.		 X-CustomSpam: Web bug
Tagi obiektów w języku HTML (MarkAsSpamObjectTagsInHtml) Wiadomości zawierające <object> tagi HTML są oznaczone jako spam o wysokim poziomie ufności.

Ten tag umożliwia uruchamianie wtyczek lub aplikacji w oknie HTML.		 X-CustomSpam: Object tag in html
Wyrazy wrażliwe (MarkAsSpamSensitiveWordList_) Firma Microsoft utrzymuje dynamiczną, ale nieedytowalną listę słów skojarzonych z potencjalnie obraźliwymi wiadomościami.

Wiadomości zawierające wyrazy z listy wyrazów poufnych w treści tematu lub wiadomości są oznaczone jako spam o wysokim poziomie ufności.		 X-CustomSpam: Sensitive word in subject/body
Rekord SPF: twardy błąd (MarkAsSpamSpfRecordHardFail) Komunikaty wysyłane z adresu IP, który nie jest określony w rekordzie SPF Sender Policy Framework (SPF) w systemie DNS dla źródłowej domeny poczty e-mail, są oznaczone jako spam o wysokim poziomie ufności.

Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: SPF Record Fail

Następujące ustawienia Oznacz jako spam ASF ustawiają listę SCL wykrytych wiadomości na wartość 6, co odpowiada werdyktowi filtru spamu i odpowiedniej akcji w zasadach ochrony przed spamem.

Ustawienie zasad ochrony przed spamem Opis Dodano nagłówek X
Filtrowanie identyfikatora nadawcy nie powiodło się (MarkAsSpamFromAddressAuthFail) Komunikaty, które nie sprawdzają warunkowego identyfikatora nadawcy, są oznaczone jako spam.

To ustawienie łączy sprawdzanie SPF z sprawdzaniem identyfikatora nadawcy, aby chronić przed nagłówkami wiadomości zawierającymi sfałszowanych nadawców.

Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter to bezużyteczne raporty o braku dostarczania (znane również jako serwery NDR lub wiadomości bounce) spowodowane przez sfałszowanych nadawców w wiadomościach e-mail. Aby uzyskać więcej informacji, zobacz Backscatter messages and EOP (Komunikaty backscatter i EOP).

Nie musisz konfigurować tego ustawienia w następujących środowiskach, ponieważ dostarczane są uzasadnione żądania NDR, a zaplecze jest oznaczone jako spam:
  • Organizacje platformy Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online.
  • Lokalne organizacje poczty e-mail, w których kierujesz wychodzącą pocztę e-mail za pośrednictwem EOP.


W autonomicznych środowiskach EOP, które chronią przychodzące wiadomości e-mail do lokalnych skrzynek pocztowych, włączenie lub wyłączenie tego ustawienia ma następujący wynik:
  • Włączone: dostarczane są uzasadnione żądania NDR, a zaplecze jest oznaczone jako spam.
  • Wyłączone: Uzasadnione żądania NDR i backscatter przechodzą przez normalne filtrowanie spamu. Większość legalnych NDR jest dostarczana do oryginalnego nadawcy wiadomości. Niektóre, ale nie wszystkie backscatter jest oznaczony jako spam. Z definicji obiekt backscatter może być dostarczany tylko do sfałszowanego nadawcy, a nie do oryginalnego nadawcy.


Tryb testowy nie jest dostępny dla tego ustawienia.		 X-CustomSpam: Backscatter NDR