Impostazioni avanzate del filtro di posta indesiderata (ASF) in EOP

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o autonome Exchange Online Protection (EOP) senza cassette postali Exchange Online, le impostazioni asf (Advanced Spam Filter) nei criteri di protezione dalla posta indesiderata consentono agli amministratori di contrassegnare i messaggi come posta indesiderata in base a specifiche proprietà dei messaggi. ASF è destinato in modo specifico a queste proprietà perché sono comunemente presenti nella posta indesiderata. A seconda della proprietà, i rilevamenti ASF contrassegnano il messaggio come Posta indesiderata o Posta indesiderata con attendibilità elevata.

Nota

L'abilitazione di una o più impostazioni asf è un approccio aggressivo al filtro della posta indesiderata. Non è possibile segnalare a Microsoft i messaggi filtrati in base a ASF come falsi positivi. È possibile identificare i messaggi filtrati in base a ASF in base a:

  • Notifiche di quarantena periodiche da messaggi di posta indesiderata e verdetti di filtro della posta indesiderata ad alta attendibilità.
  • Presenza di messaggi filtrati in quarantena.
  • Campi X-header specifici X-CustomSpam: aggiunti ai messaggi come descritto in questo articolo.

ASF aggiunge X-CustomSpam: campi X-header ai messaggi dopo che i messaggi sono stati elaborati dalle regole del flusso di posta di Exchange (note anche come regole di trasporto), quindi non è possibile usare le regole del flusso di posta per identificare e agire sui messaggi filtrati da ASF. È possibile usare le regole posta in arrivo nelle cassette postali per influire sul recapito del messaggio.

Le sezioni seguenti descrivono le impostazioni e le opzioni asf disponibili nei criteri di protezione dalla posta indesiderata nel portale di Microsoft Defender e in Exchange Online PowerShell o PowerShell EOP autonomo (New-HostedContentFilterPolicy e Set-HostedContentFilterPolicy). Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata in EOP.

Abilitare, disabilitare o testare le impostazioni asf

Per ogni impostazione asf, nei criteri di protezione dalla posta indesiderata sono disponibili le opzioni seguenti:

  • On: ASF aggiunge il campo X-header corrispondente al messaggio e contrassegna il messaggio come Posta indesiderata (SCL 5 o 6 per Aumentare le impostazioni del punteggio di posta indesiderata) o Posta indesiderata con attendibilità elevata (SCL 9 per Contrassegna come impostazioni di posta indesiderata).
  • Disattivato: l'impostazione ASF è disabilitata. Questo è il valore predefinito.
  • Test: l'impostazione ASF è in modalità test. Ciò che accade al messaggio è determinato dal valore della modalità test (TestModeAction):

    • Nessuno: il recapito dei messaggi non è interessato dal rilevamento asf. Il messaggio è ancora soggetto ad altri tipi di filtri e regole in EOP e Defender per Office 365.

    • Aggiungere il testo X-header predefinito (AddXHeader): il valore X-CustomSpam: This message was filtered by the custom spam filter option dell'intestazione X viene aggiunto al messaggio. È possibile usare questo valore nelle regole posta in arrivo (non nelle regole del flusso di posta) per influire sul recapito del messaggio.

    • Invia messaggio ccn (BccMessage): gli indirizzi di posta elettronica specificati (il valore del parametro TestModeBccToRecipients in PowerShell) vengono aggiunti al campo Ccn del messaggio e il messaggio viene recapitato ai destinatari ccn aggiuntivi. Nel portale di Microsoft Defender si separano più indirizzi di posta elettronica per punto e virgola (;). In PowerShell si separano più indirizzi di posta elettronica per virgole.

    • La modalità di test non è disponibile per le impostazioni ASF seguenti:

      • Filtro id mittente condizionale: errore rigido (MarkAsSpamFromAddressAuthFail)
      • Backscatter NDR(MarkAsSpamNdrBackscatter)
      • Record SPF: hard fail (MarkAsSpamSpfRecordHardFail)

    • La stessa azione della modalità di test viene applicata a tutte le impostazioni asf impostate su Test. Non è possibile configurare azioni diverse in modalità di test per impostazioni ASF diverse.

Aumentare le impostazioni del punteggio di posta indesiderata

Le seguenti impostazioni asf aumento punteggio posta indesiderata comportano un aumento del punteggio di posta indesiderata e quindi una maggiore probabilità di essere contrassegnato come posta indesiderata con un livello di attendibilità della posta indesiderata (SCL) di 5 o 6, che corrisponde a un verdetto filtro posta indesiderata e l'azione corrispondente nei criteri di protezione dalla posta indesiderata. Non tutti i messaggi che corrispondono alle condizioni ASF seguenti sono contrassegnati come posta indesiderata.

Impostazione dei criteri di protezione dalla posta indesiderata Descrizione Aggiunta dell'intestazione X
Collegamenti immagine a siti Web remoti (IncreaseScoreWithImageLinks) I messaggi che contengono <Img> collegamenti tag HTML a siti remoti (ad esempio, usando http) sono contrassegnati come posta indesiderata. X-CustomSpam: Image links to remote sites
Indirizzo IP numerico nell'URL (IncreaseScoreWithNumericIps) I messaggi che contengono URL basati su numeri (in genere indirizzi IP) sono contrassegnati come posta indesiderata. X-CustomSpam: Numeric IP in URL
Reindirizzamento URL ad altra porta (IncreaseScoreWithRedirectToOtherPort) I messaggi che contengono collegamenti ipertestuali che reindirizzano a porte TCP diverse da 80 (HTTP), 8080 (HTTP alternativo) o 443 (HTTPS) sono contrassegnati come posta indesiderata. X-CustomSpam: URL redirect to other port
Collegamenti a siti Web .biz o .info (IncreaseScoreWithBizOrInfoUrls) I messaggi che contengono .biz o .info collegamenti nel corpo del messaggio sono contrassegnati come posta indesiderata. X-CustomSpam: URL to .biz or .info websites

Contrassegna come impostazioni di posta indesiderata

Le impostazioni di Mark as spam ASF seguenti impostano l'SCL dei messaggi rilevati su 9, che corrisponde a un verdetto del filtro della posta indesiderata con attendibilità elevata e all'azione corrispondente nei criteri di protezione dalla posta indesiderata.

Impostazione dei criteri di protezione dalla posta indesiderata Descrizione Aggiunta dell'intestazione X
Messaggi vuoti (MarkAsSpamEmptyMessages) I messaggi senza oggetto, nessun contenuto nel corpo del messaggio e nessun allegato sono contrassegnati come posta indesiderata con attendibilità elevata. X-CustomSpam: Empty Message
Tag incorporati in HTML (MarkAsSpamEmbedTagsInHtml) I messaggi che contengono <embed> tag HTML sono contrassegnati come posta indesiderata con attendibilità elevata.

Questo tag consente l'incorporamento di diversi tipi di documenti in un documento HTML, ad esempio suoni, video o immagini.		 X-CustomSpam: Embed tag in html
JavaScript o VBScript in HTML (MarkAsSpamJavaScriptInHtml) I messaggi che usano JavaScript o Visual Basic Script Edition in HTML sono contrassegnati come posta indesiderata con attendibilità elevata.

Questi linguaggi di scripting vengono usati nei messaggi di posta elettronica per causare azioni specifiche in modo automatico.		 X-CustomSpam: Javascript or VBscript tags in HTML
Tag modulo in HTML (MarkAsSpamFormTagsInHtml) I messaggi che contengono <form> tag HTML sono contrassegnati come posta indesiderata con attendibilità elevata.

Questo tag viene usato per creare moduli del sito Web. I messaggi pubblicitari inviati tramite posta elettronica includono spesso questo tag per la richiesta di informazioni al destinatario.		 X-CustomSpam: Form tag in html
Tag frame o iframe in HTML (MarkAsSpamFramesInHtml) I messaggi che contengono <frame> tag HTML o <iframe> sono contrassegnati come posta indesiderata con attendibilità elevata.

Questi tag vengono usati nei messaggi di posta elettronica per formattare la pagina per la visualizzazione di testo o grafica.		 X-CustomSpam: IFRAME or FRAME in HTML
Bug Web in HTML (MarkAsSpamWebBugsInHtml) Un bug Web (noto anche come web beacon) è un elemento grafico (spesso piccolo come un pixel per un pixel) usato nei messaggi di posta elettronica per determinare se il destinatario legge il messaggio.

I messaggi che contengono bug Web sono contrassegnati come posta indesiderata con attendibilità elevata.

Le newsletter legittime potrebbero usare bug Web, anche se molti considerano questa un'invasione della privacy.		 X-CustomSpam: Web bug
Tag oggetto in HTML (MarkAsSpamObjectTagsInHtml) I messaggi che contengono <object> tag HTML sono contrassegnati come posta indesiderata con attendibilità elevata.

Questo tag consente l'esecuzione di plug-in o applicazioni in una finestra HTML.		 X-CustomSpam: Object tag in html
Parole sensibili (MarkAsSpamSensitiveWordList_) Microsoft gestisce un elenco dinamico ma non modificabile di parole associate a messaggi potenzialmente offensivi.

I messaggi che contengono parole dell'elenco di parole sensibili nell'oggetto o nel corpo del messaggio sono contrassegnati come posta indesiderata con attendibilità elevata.		 X-CustomSpam: Sensitive word in subject/body
Record SPF: hard fail (MarkAsSpamSpfRecordHardFail) I messaggi inviati da un indirizzo IP non specificato nel record SPF (Sender Policy Framework) SPF nel DNS per il dominio di posta elettronica di origine sono contrassegnati come posta indesiderata con attendibilità elevata.

La modalità di test non è disponibile per questa impostazione.		 X-CustomSpam: SPF Record Fail

Le impostazioni di Mark as spam ASF seguenti impostano l'SCL dei messaggi rilevati su 6, che corrisponde a un verdetto del filtro posta indesiderata e all'azione corrispondente nei criteri di protezione dalla posta indesiderata.

Impostazione dei criteri di protezione dalla posta indesiderata Descrizione Aggiunta dell'intestazione X
Errore rigido del filtro id mittente (MarkAsSpamFromAddressAuthFail) I messaggi che non riescono a eseguire un controllo condizionale dell'ID mittente sono contrassegnati come posta indesiderata.

Questa impostazione combina un controllo SPF con un controllo ID mittente per proteggere le intestazioni dei messaggi che contengono mittenti contraffatti.

La modalità di test non è disponibile per questa impostazione.		 X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Il backscatter è un report di mancato recapito inutile (noto anche come rapporti di mancato recapito o messaggi di mancato recapito) causato da mittenti contraffatti nei messaggi di posta elettronica. Per altre informazioni, vedere Messaggi backscatter ed EOP.

Non è necessario configurare questa impostazione negli ambienti seguenti, perché vengono recapitati INDR legittimi e il backscatter è contrassegnato come posta indesiderata:
  • Organizzazioni di Microsoft 365 con cassette postali Exchange Online.
  • Organizzazioni di posta elettronica locali in cui instradare la posta elettronica in uscita tramite EOP.


Negli ambienti EOP autonomi che proteggono la posta elettronica in ingresso nelle cassette postali locali, l'attivazione o la disattivazione di questa impostazione ha il risultato seguente:
  • Attivato: vengono recapitati i rapporti di mancato recapito legittimi e il backscatter è contrassegnato come posta indesiderata.
  • Disattivato: I rapporti di mancato recapito legittimi e il backscatter passano attraverso il normale filtro della posta indesiderata. La maggior parte dei record di recapito legittimi viene recapitata al mittente del messaggio originale. Alcuni, ma non tutti i backscatter sono contrassegnati come spam. Per definizione, il backscatter può essere recapitato solo al mittente spoofing, non al mittente originale.


La modalità di test non è disponibile per questa impostazione.		 X-CustomSpam: Backscatter NDR