Avancerade inställningar för skräppostfilter (ASF) i EOP
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
I alla Microsoft 365 organisationer tillåter ASF-inställningarna (Advanced Spam Filter) i principer för skydd mot skräppost i EOP att administratörer kan markera meddelanden som skräppost baserat på specifika meddelandeegenskaper. ASF riktar sig specifikt mot dessa egenskaper eftersom de ofta förekommer i skräppost. Beroende på egenskapen så markerar ASF-identifieringar antingen meddelandet som skräppost eller skräppost med högt förtroende.
Anteckning
Att aktivera en eller flera av ASF-inställningarna är en mer aggressiv metod för filtrering av skräppost. Du kan inte rapportera meddelanden som filtreras av ASF som falska positiva resultat. Du kan identifiera meddelanden som filtrerats av ASF genom att:
- Periodiska meddelanden i karantän från skräppost och hög förtroende för skräppostfiltrets bedömning.
- Förekomsten av filtrerade meddelanden i karantän.
- De specifika
X-CustomSpam:X-sidhuvudfälten som läggs till i meddelanden enligt beskrivningen i den här artikeln.
I följande avsnitt beskrivs ASF-inställningarna och -alternativen som är tillgängliga i principer mot skräppost i Microsoft 365 Defender-portalen och i Exchange Online PowerShell eller fristående EOP PowerShell(New-HostedContentFilterPolicy och Set-HostedContentFilterPolicy). Mer information finns i Konfigurera principer för skräppostskydd i EOP.
Aktivera, inaktivera eller testa ASF-inställningar
För varje ASF-inställning finns följande alternativ i principer mot skräppost:
På: ASF lägger till motsvarande X-sidhuvudfält i meddelandet och markerar antingen meddelandet som skräppost (SCL 5 eller 6 för Öka inställningarna för skräppostresultat)eller SCL 9 (Hög konfidens för Inställningarna för skräppost).
Av: ASF-inställningen är inaktiverad. Det här är standardvärdet och vi rekommenderar att du inte ändrar det.
Test: ASF lägger till motsvarande X-sidhuvudfält i meddelandet. Vad som händer med meddelandet bestäms av värdet testläge (TestModeAction):
- Ingen: Leverans av meddelanden påverkas inte av ASF-identifieringen. Meddelandet omfattas fortfarande av andra typer av filtrering och regler i EOP.
- Lägga till X-sidhuvudtext (AddXHeader): X-sidhuvudvärdet
X-CustomSpam: This message was filtered by the custom spam filter optionläggs till i meddelandet. Du kan använda det här värdet i Inkorgsregler eller e-postflödesregler (kallas även transportregler) för att påverka leveransen av meddelandet. - Send Bcc message (BccMessage): The specified email addresses (the TestModeBccToRecipients parameter value in PowerShell) are added to the Bcc field of the message, and the message is delivered to the additional Bcc recipients. I Microsoft 365 Defender-portalen avgränsar du flera e-postadresser med semikolon (;). I PowerShell avgränsar du flera e-postadresser med kommatecken.
Anmärkningar:
- Testläget är inte tillgängligt för följande ASF-inställningar:
- Filtrering av villkorsstyrd avsändar-ID: hard fail (MarkAsSpamFromAddressAuthFail)
- NDR backscatter(MarkAsSpamNdrBackscatter)
- SPF-post: hard fail (MarkAsSpamSpfRecordHardFail)
- Samma testlägesåtgärd används på alla ASF-inställningar som är inställda på Testa. Du kan inte konfigurera olika testlägesåtgärder för olika ASF-inställningar.
Öka inställningarna för poäng för skräppost
Följande ASF-inställningar (Increase spam score) ställer in SCL (Spam Confidence Level) för detekterade meddelanden till 5 eller 6, vilket motsvarar ett skräppostfilters bedömning och motsvarande åtgärd i principer mot skräppost.
| Principinställning för skydd mot skräppost | Beskrivning | X-sidhuvud tillagt |
|---|---|---|
| Bildlänkar till fjärranslutna webbplatser IncreaseScoreWithImageLinks |
Meddelanden som innehåller <Img> HTML-tagglänkar till fjärrwebbplatser (t.ex. genom att använda http) markeras som skräppost. |
X-CustomSpam: Image links to remote sites |
| Numerisk IP-adress i URL IncreaseScoreWithNumericIps |
Meddelanden som innehåller numeriska URL:er (vanligtvis IP-adresser) markeras som skräppost. | X-CustomSpam: Numeric IP in URL |
| URL-omdirigering till annan port IncreaseScoreWithRedirectToOtherPort |
Meddelande som innehåller hyperlänkar som omdirigerar till TCP-portar som inte är 80 (HTTP), 8080 (alternativ HTTP) eller 443 (HTTPS) markeras som skräppost. | X-CustomSpam: URL redirect to other port |
| Länkar till .biz- eller .info-webbplatser IncreaseScoreWithBizOrInfoUrls |
Meddelanden som .biz innehåller eller länkar i .info brödtexten i meddelandet markeras som skräppost. |
X-CustomSpam: URL to .biz or .info websites |
Markera som skräppost
Följande ASF-inställningar för Markera som skräppost ställer in SCL för identifierade meddelanden till 9, vilket motsvarar skräppostfiltrets bedömning av hög exakt och motsvarande åtgärd i principer för skräppostskydd.
| Principinställning för skydd mot skräppost | Beskrivning | X-sidhuvud tillagt |
|---|---|---|
| Tomma meddelanden MarkAsSpamEmptyMessages |
Meddelanden utan ämne, inget innehåll i meddelandets brödtext och inga bifogade filer markeras som skräppost med högt förtroende. | X-CustomSpam: Empty Message |
| Inbäddade taggar i HTML MarkAsSpamEmbedTagsInHtml |
Meddelandet som innehåller <embed> HTML-taggar markeras som skräppost med hög säkerhet. Med den här taggen kan du bädda in olika typer av dokument i ett HTML-dokument (till exempel ljud, videor eller bilder). |
X-CustomSpam: Embed tag in html |
| JavaScript eller VBScript i HTML MarkAsSpamJavaScriptInHtml |
Meddelanden som använder JavaScript eller Visual Basic Script Edition i HTML markeras som skräppost med hög konfidens. Dessa skriptspråk används i e-postmeddelanden för att orsaka att särskilda åtgärder vidtas automatiskt. |
X-CustomSpam: Javascript or VBscript tags in HTML |
| Formulärtaggar i HTML MarkAsSpamFormTagsInHtml |
Meddelanden som innehåller <form> HTML-taggar markeras som skräppost med hög säkerhet. Den här taggen används för att skapa webbplatsformulär. E-postannonser innehåller ofta den här taggen för att begära information från mottagaren. |
X-CustomSpam: Form tag in html |
| Ram- eller iframe-taggar i HTML MarkAsSpamFramesInHtml |
Meddelanden som innehåller <frame> eller <iframe> HTML-taggar markeras som skräppost med hög säkerhet. De här taggarna används i e-postmeddelanden för att formatera sidan för visning av text eller grafik. |
X-CustomSpam: IFRAME or FRAME in HTML |
| Webbbuggar i HTML MarkAsSpamWebBugsInHtml |
En webbfel (som även kallas webb-beacon) är ett grafiskt element (ofta en bildpunkt i varje bildpunkt) som används i e-postmeddelanden för att avgöra om meddelandet har lästs av mottagaren. Meddelanden som innehåller webbbuggar markeras som skräppost med hög förtroende. Legitima nyhetsbrev kan använda webbbuggar, även om många anser att detta är en sekretesskydd. |
X-CustomSpam: Web bug |
| Objekttaggar i HTML MarkAsSpamObjectTagsInHtml |
Meddelanden som innehåller <object> HTML-taggar markeras som skräppost med hög säkerhet. Med den här taggen kan plugin-program och plugin-program köras i ett HTML-fönster. |
X-CustomSpam: Object tag in html |
| Känsliga ord MarkAsSpamSensitiveWordList |
Microsoft har en dynamisk men icke-redigerbar lista över ord som är associerade med potentiellt stötande meddelanden. Meddelanden som innehåller ord från listan med känsliga ord i ämnet eller meddelandetexten markeras som skräppost med hög konfidens. |
X-CustomSpam: Sensitive word in subject/body |
| SPF-post: svårt fel MarkAsSpamSpfRecordHardFail |
Meddelanden som skickas från en IP-adress som inte angetts i SPF Sender Policy Framework (SPF)-posten i DNS för käll-e-postdomänen markeras som skräppost med hög konfidens. Testläge är inte tillgängligt för den här inställningen. |
X-CustomSpam: SPF Record Fail |
I följande ASF-inställningar för Markera som skräppost ställer du in SCL för identifierade meddelanden på 6, vilket motsvarar en skräppostfilter-bedömning och motsvarande åtgärd i principer för skräppostskydd.
| Principinställning för skydd mot skräppost | Beskrivning | X-sidhuvud tillagt |
|---|---|---|
| Filtrering av avsändar-ID misslyckas MarkAsSpamFromAddressAuthFail |
Meddelanden som gör att en kontroll av villkorsstyrd avsändar-ID misslyckas markeras som skräppost. Den här inställningen kombinerar en SPF-kontroll med en avsändar-ID-kontroll för att skydda mot meddelanderubriker som innehåller förfalskade avsändare. Testläge är inte tillgängligt för den här inställningen. |
X-CustomSpam: SPF From Record Fail |
| Bakåtcatter MarkAsSpamNdrBackscatter |
Bakåtcatter är bara skräp i rapporter om utebliven leverans (kallas även NDR-rapporter eller icke-leveranskavsändare) som orsakas av förfalskade avsändare i e-postmeddelanden. Mer information finns i Meddelanden på grund av bakåtmeddelande och EOP. Du behöver inte konfigurera den här inställningen i följande miljöer, eftersom legitima NDR-meddelanden levereras och bakåtcatter markeras som skräppost:
I fristående EOP-miljöer som skyddar inkommande e-post till lokala postlådor får följande resultat om du slår på eller av den här inställningen:
Testläge är inte tillgängligt för den här inställningen. |
X-CustomSpam: Backscatter NDR |