Nastavení rozšířeného filtru spamu (ASF) v EOP

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek umožňují nastavení rozšířeného filtru spamu (ASF) v zásadách ochrany proti spamu označit zprávy jako spam na základě konkrétních vlastností zprávy. ASF konkrétně cílí na tyto vlastnosti, protože se běžně nacházejí ve spamu. V závislosti na vlastnosti funkce ASF tuto zprávu označí jako spam nebo nevyžádanou poštu s vysokou spolehlivostí.

Poznámka

Povolení jednoho nebo více nastavení ASF je agresivní přístup k filtrování spamu. Zprávy filtrované pomocí ASF nemůžete hlásit společnosti Microsoft jako falešně pozitivní. Zprávy filtrované službou ASF můžete identifikovat takto:

• Pravidelná oznámení o karanténě ze spamu a vysoce důvěryhodné verdikty filtru spamu
• Přítomnost filtrovaných zpráv v karanténě
• Konkrétní X-CustomSpam: pole záhlaví X, která jsou přidána do zpráv, jak je popsáno v tomto článku.

ASF přidá X-CustomSpam: do zpráv pole záhlaví X poté , co byly zprávy zpracovány pravidly toku pošty Exchange (označované také jako pravidla přenosu), takže pomocí pravidel toku pošty nemůžete identifikovat zprávy filtrované službou ASF a pracovat s tím. K ovlivnění doručení zprávy můžete použít pravidla doručené pošty v poštovních schránkách.

Následující části popisují nastavení a možnosti ASF, které jsou k dispozici v zásadách ochrany proti spamu na portálu Microsoft Defender a v Exchange Online PowerShellu nebo v samostatném prostředí PowerShell (New-HostedContentFilterPolicy a Set-HostedContentFilterPolicy). Další informace najdete v tématu Konfigurace zásad ochrany proti spamu v EOP.

Povolení, zakázání nebo testování nastavení ASF

Pro každé nastavení ASF jsou v zásadách ochrany proti spamu k dispozici následující možnosti:

• Zapnuto: ASF přidá do zprávy odpovídající pole záhlaví X a označí zprávu jako Spam (SCL 5 nebo 6 pro nastavení Zvýšení skóre spamu) nebo Vysoce důvěryhodný spam (SCL 9 pro nastavení Označit jako spam).
• Vypnuto: Nastavení ASF je zakázané. Tato hodnota je výchozí.
• Test: Nastavení ASF je v testovacím režimu. Co se stane se zprávou, je určeno hodnotou Testovací režim (TestModeAction):

  • Žádné: Na doručování zpráv nemá detekce ASF vliv. Zpráva stále podléhá jiným typům filtrování a pravidel v EOP a Defender pro Office 365.

  • Přidání výchozího textu záhlaví X (AddXHeader): Do zprávy se přidá hodnota X-CustomSpam: This message was filtered by the custom spam filter option záhlaví X. Tuto hodnotu můžete použít v pravidlech doručené pošty (ne v pravidlech toku pošty) k ovlivnění doručení zprávy.

  • Odeslat skrytá zpráva (BccMessage): Zadané e-mailové adresy (hodnota parametru TestModeBccToRecipients v PowerShellu) se přidají do pole Skrytá zprávy a zpráva se doručí dalším příjemcům skryté kopie. Na portálu Microsoft Defender oddělíte několik e-mailových adres středníky (;)). V PowerShellu oddělíte několik e-mailových adres čárkami.

  • Testovací režim není k dispozici pro následující nastavení ASF:

    • Filtrování ID podmíněného odesílatele: hard fail (MarkAsSpamFromAddressAuthFail)
    • Zpětné oznámení o nedoručení (MarkAsSpamNdrBackscatter)
    • Záznam SPF: hard fail (MarkAsSpamSpfRecordHardFail)

  • Stejná akce testovacího režimu se použije na všechna nastavení ASF, která jsou nastavená na Test. Pro různá nastavení ASF nemůžete nakonfigurovat různé akce testovacího režimu.

Zvýšení nastavení skóre spamu

Následující nastavení ASF zvýšení skóre spamu vede ke zvýšení skóre spamu a tím k vyšší pravděpodobnosti, že se označí jako spam s úrovní spolehlivosti spamu (SCL) 5 nebo 6, což odpovídá verdiktu filtru spamu a odpovídající akci v zásadách ochrany proti spamu. Ne každá zpráva, která odpovídá následujícím podmínkám ASF, se označí jako spam.

Nastavení zásad ochrany proti spamu	Popis	Přidání záhlaví X
Odkazy na obrázky na vzdálené weby (IncreaseScoreWithImageLinks)	Zprávy, které obsahují <Img> odkazy značek HTML na vzdálené weby (například pomocí http), se označí jako spam.	X-CustomSpam: Image links to remote sites
Číselná IP adresa v adrese URL (IncreaseScoreWithNumericIps)	Zprávy, které obsahují číselné adresy URL (obvykle IP adresy), se označí jako spam.	X-CustomSpam: Numeric IP in URL
Přesměrování adresy URL na jiný port (IncreaseScoreWithRedirectToOtherPort)	Zprávy obsahující hypertextové odkazy, které přesměrovávají na jiné porty TCP než 80 (HTTP), 8080 (alternativní HTTP) nebo 443 (HTTPS), se označí jako spam.	X-CustomSpam: URL redirect to other port
Odkazy na weby .biz nebo .info (IncreaseScoreWithBizOrInfoUrls)	Zprávy, které obsahují .biz odkazy v textu zprávy, .info jsou označené jako spam.	X-CustomSpam: URL to .biz or .info websites

Označit jako nastavení spamu

Následující nastavení Označit jako nevyžádanou poštu nastaví seznam SCL zjištěných zpráv na hodnotu 9, což odpovídá verdiktu filtru spamu s vysokou spolehlivostí a odpovídající akci v zásadách ochrany proti spamu.

Nastavení zásad ochrany proti spamu	Popis	Přidání záhlaví X
Prázdné zprávy (MarkAsSpamEmptyMessages)	Zprávy bez předmětu, žádný obsah v textu zprávy a žádné přílohy jsou označeny jako vysoce důvěryhodné spamy.	X-CustomSpam: Empty Message
Vložené značky v HTML (MarkAsSpamEmbedTagsInHtml)	Zprávy, které obsahují <embed> značky HTML, jsou označeny jako nevyžádaná pošta s vysokou spolehlivostí. Tato značka umožňuje vkládání různých druhů dokumentů do dokumentu HTML (například zvuků, videí nebo obrázků).	X-CustomSpam: Embed tag in html
JavaScript nebo VBScript v HTML (MarkAsSpamJavaScriptInHtml)	Zprávy, které používají JavaScript nebo Visual Basic Script Edition v HTML, jsou označeny jako vysoce důvěryhodné spamy. Tyto skriptovací jazyky se používají v e-mailových zprávách k tomu, aby automaticky docházelo ke konkrétním akcím.	X-CustomSpam: Javascript or VBscript tags in HTML
Značky formulářů v HTML (MarkAsSpamFormTagsInHtml)	Zprávy, které obsahují <form> značky HTML, jsou označeny jako nevyžádaná pošta s vysokou spolehlivostí. Tato značka se používá k vytváření webových formulářů. Email reklamy často obsahují tuto značku pro vyžádání informací od příjemce.	X-CustomSpam: Form tag in html
Značky rámců nebo iframe v HTML (MarkAsSpamFramesInHtml)	Zprávy, které obsahují <frame> značky nebo <iframe> HTML, jsou označeny jako vysoce důvěryhodné spamy. Tyto značky se používají v e-mailových zprávách k formátování stránky pro zobrazení textu nebo grafiky.	X-CustomSpam: IFRAME or FRAME in HTML
Webové chyby v HTML (MarkAsSpamWebBugsInHtml)	Webová chyba (označovaná také jako webový signál) je grafický prvek (často malý jako jeden pixel na jeden pixel), který se používá v e-mailových zprávách k určení, jestli příjemce zprávu přečetl. Zprávy, které obsahují webové chyby, se označí jako vysoce důvěryhodné spamy. Legitimní bulletiny můžou používat webové chyby, i když to mnozí považují za narušení soukromí.	X-CustomSpam: Web bug
Značky objektů v HTML (MarkAsSpamObjectTagsInHtml)	Zprávy, které obsahují <object> značky HTML, jsou označeny jako nevyžádaná pošta s vysokou spolehlivostí. Tato značka umožňuje spuštění modulů plug-in nebo aplikací v okně HTML.	X-CustomSpam: Object tag in html
Citlivá slova (MarkAsSpamSensitiveWordList_)	Microsoft udržuje dynamický, ale neupravitelný seznam slov, která jsou přidružená k potenciálně urážlivým zprávám. Zprávy, které obsahují slova ze seznamu citlivých slov v předmětu nebo textu zprávy, se označí jako vysoce důvěryhodný spam.	X-CustomSpam: Sensitive word in subject/body
Záznam SPF: hard fail (MarkAsSpamSpfRecordHardFail)	Zprávy odeslané z IP adresy, která není uvedená v záznamu SPF Sender Policy Framework (SPF) v DNS pro zdrojovou e-mailovou doménu, se označí jako vysoce důvěryhodný spam. Testovací režim není pro toto nastavení dostupný.	X-CustomSpam: SPF Record Fail

Následující nastavení Označit jako nevyžádanou poštu nastaví seznam SCL zjištěných zpráv na 6, což odpovídá verdiktu filtru spamu a odpovídající akci v zásadách ochrany proti spamu.

Nastavení zásad ochrany proti spamu	Popis	Přidání záhlaví X
Pevné selhání filtrování ID odesílatele (MarkAsSpamFromAddressAuthFail)	Zprávy, které tvrdě neprojdou kontrolou podmíněného ID odesílatele, se označí jako spam. Toto nastavení kombinuje kontrolu SPF s kontrolou ID odesílatele a pomáhá chránit před záhlavími zpráv, které obsahují z falšované odesílatele. Testovací režim není pro toto nastavení dostupný.	X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter)	Backscatter je nepotřebná oznámení o nedoručení (označovaná také jako oznámení o nedoručení nebo nedoručitelnosti) způsobená zkameněnými odesílateli v e-mailových zprávách. Další informace najdete v tématech Zprávy backscatter a EOP. Toto nastavení nemusíte konfigurovat v následujících prostředích, protože se doručují legitimní zprávy o nedoručených informacích a backscatter se označí jako spam: Organizace Microsoft 365 s Exchange Online poštovními schránkami. Místní e-mailové organizace, ve kterých směrujete odchozí e-maily prostřednictvím EOP. V samostatných prostředích EOP, která chrání příchozí e-maily do místních poštovních schránek, má zapnutí nebo vypnutí tohoto nastavení následující výsledek: Zapnuto: Doručují se legitimní zprávy o nedoručených informacích a zpětné zprávy se označí jako spam. Vypnuto: Legitimní zprávy o nedodržování a zpětný filtr procházejí normálním filtrováním spamu. Většina legitimních oznámení o nedoručovaných oznámeních se doručuje původnímu odesílateli zprávy. Některé, ale ne všechny backscatter, jsou označené jako spam. Backscatter může být podle definice doručen pouze zfalšovaným odesílatelům, ne původnímu odesílateli. Testovací režim není pro toto nastavení dostupný.	X-CustomSpam: Backscatter NDR