Avancerade inställningar för skräppostfilter (ASF) i EOP

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

I alla Microsoft 365 organisationer tillåter ASF-inställningarna (Advanced Spam Filter) i principer för skydd mot skräppost i EOP att administratörer kan markera meddelanden som skräppost baserat på specifika meddelandeegenskaper. ASF riktar sig specifikt mot dessa egenskaper eftersom de ofta förekommer i skräppost. Beroende på egenskapen så markerar ASF-identifieringar antingen meddelandet som skräppost eller skräppost med högt förtroende.

Anteckning

Att aktivera en eller flera av ASF-inställningarna är en mer aggressiv metod för filtrering av skräppost. Du kan inte rapportera meddelanden som filtreras av ASF som falska positiva resultat. Du kan identifiera meddelanden som filtrerats av ASF genom att:

  • Periodiska meddelanden i karantän från skräppost och hög förtroende för skräppostfiltrets bedömning.
  • Förekomsten av filtrerade meddelanden i karantän.
  • De specifika X-CustomSpam: X-sidhuvudfälten som läggs till i meddelanden enligt beskrivningen i den här artikeln.

I följande avsnitt beskrivs ASF-inställningarna och -alternativen som är tillgängliga i principer mot skräppost i Microsoft 365 Defender-portalen och i Exchange Online PowerShell eller fristående EOP PowerShell(New-HostedContentFilterPolicy och Set-HostedContentFilterPolicy). Mer information finns i Konfigurera principer för skräppostskydd i EOP.

Aktivera, inaktivera eller testa ASF-inställningar

För varje ASF-inställning finns följande alternativ i principer mot skräppost:

  • På: ASF lägger till motsvarande X-sidhuvudfält i meddelandet och markerar antingen meddelandet som skräppost (SCL 5 eller 6 för Öka inställningarna för skräppostresultat)eller SCL 9 (Hög konfidens för Inställningarna för skräppost).

  • Av: ASF-inställningen är inaktiverad. Det här är standardvärdet och vi rekommenderar att du inte ändrar det.

  • Test: ASF lägger till motsvarande X-sidhuvudfält i meddelandet. Vad som händer med meddelandet bestäms av värdet testläge (TestModeAction):

    • Ingen: Leverans av meddelanden påverkas inte av ASF-identifieringen. Meddelandet omfattas fortfarande av andra typer av filtrering och regler i EOP.
    • Lägga till X-sidhuvudtext (AddXHeader): X-sidhuvudvärdet X-CustomSpam: This message was filtered by the custom spam filter option läggs till i meddelandet. Du kan använda det här värdet i Inkorgsregler eller e-postflödesregler (kallas även transportregler) för att påverka leveransen av meddelandet.
    • Send Bcc message (BccMessage): The specified email addresses (the TestModeBccToRecipients parameter value in PowerShell) are added to the Bcc field of the message, and the message is delivered to the additional Bcc recipients. I Microsoft 365 Defender-portalen avgränsar du flera e-postadresser med semikolon (;). I PowerShell avgränsar du flera e-postadresser med kommatecken.

    Anmärkningar:

    • Testläget är inte tillgängligt för följande ASF-inställningar:
      • Filtrering av villkorsstyrd avsändar-ID: hard fail (MarkAsSpamFromAddressAuthFail)
      • NDR backscatter(MarkAsSpamNdrBackscatter)
      • SPF-post: hard fail (MarkAsSpamSpfRecordHardFail)
    • Samma testlägesåtgärd används på alla ASF-inställningar som är inställda på Testa. Du kan inte konfigurera olika testlägesåtgärder för olika ASF-inställningar.

Öka inställningarna för poäng för skräppost

Följande ASF-inställningar (Increase spam score) ställer in SCL (Spam Confidence Level) för detekterade meddelanden till 5 eller 6, vilket motsvarar ett skräppostfilters bedömning och motsvarande åtgärd i principer mot skräppost.



Principinställning för skydd mot skräppost Beskrivning X-sidhuvud tillagt
Bildlänkar till fjärranslutna webbplatser

IncreaseScoreWithImageLinks

Meddelanden som innehåller <Img> HTML-tagglänkar till fjärrwebbplatser (t.ex. genom att använda http) markeras som skräppost. X-CustomSpam: Image links to remote sites
Numerisk IP-adress i URL

IncreaseScoreWithNumericIps

Meddelanden som innehåller numeriska URL:er (vanligtvis IP-adresser) markeras som skräppost. X-CustomSpam: Numeric IP in URL
URL-omdirigering till annan port

IncreaseScoreWithRedirectToOtherPort

Meddelande som innehåller hyperlänkar som omdirigerar till TCP-portar som inte är 80 (HTTP), 8080 (alternativ HTTP) eller 443 (HTTPS) markeras som skräppost. X-CustomSpam: URL redirect to other port
Länkar till .biz- eller .info-webbplatser

IncreaseScoreWithBizOrInfoUrls

Meddelanden som .biz innehåller eller länkar i .info brödtexten i meddelandet markeras som skräppost. X-CustomSpam: URL to .biz or .info websites

Markera som skräppost

Följande ASF-inställningar för Markera som skräppost ställer in SCL för identifierade meddelanden till 9, vilket motsvarar skräppostfiltrets bedömning av hög exakt och motsvarande åtgärd i principer för skräppostskydd.



Principinställning för skydd mot skräppost Beskrivning X-sidhuvud tillagt
Tomma meddelanden

MarkAsSpamEmptyMessages

Meddelanden utan ämne, inget innehåll i meddelandets brödtext och inga bifogade filer markeras som skräppost med högt förtroende. X-CustomSpam: Empty Message
Inbäddade taggar i HTML

MarkAsSpamEmbedTagsInHtml

Meddelandet som innehåller <embed> HTML-taggar markeras som skräppost med hög säkerhet.

Med den här taggen kan du bädda in olika typer av dokument i ett HTML-dokument (till exempel ljud, videor eller bilder).

X-CustomSpam: Embed tag in html
JavaScript eller VBScript i HTML

MarkAsSpamJavaScriptInHtml

Meddelanden som använder JavaScript eller Visual Basic Script Edition i HTML markeras som skräppost med hög konfidens.

Dessa skriptspråk används i e-postmeddelanden för att orsaka att särskilda åtgärder vidtas automatiskt.

X-CustomSpam: Javascript or VBscript tags in HTML
Formulärtaggar i HTML

MarkAsSpamFormTagsInHtml

Meddelanden som innehåller <form> HTML-taggar markeras som skräppost med hög säkerhet.

Den här taggen används för att skapa webbplatsformulär. E-postannonser innehåller ofta den här taggen för att begära information från mottagaren.

X-CustomSpam: Form tag in html
Ram- eller iframe-taggar i HTML

MarkAsSpamFramesInHtml

Meddelanden som innehåller <frame> eller <iframe> HTML-taggar markeras som skräppost med hög säkerhet.

De här taggarna används i e-postmeddelanden för att formatera sidan för visning av text eller grafik.

X-CustomSpam: IFRAME or FRAME in HTML
Webbbuggar i HTML

MarkAsSpamWebBugsInHtml

En webbfel (som även kallas webb-beacon) är ett grafiskt element (ofta en bildpunkt i varje bildpunkt) som används i e-postmeddelanden för att avgöra om meddelandet har lästs av mottagaren.

Meddelanden som innehåller webbbuggar markeras som skräppost med hög förtroende.

Legitima nyhetsbrev kan använda webbbuggar, även om många anser att detta är en sekretesskydd.

X-CustomSpam: Web bug
Objekttaggar i HTML

MarkAsSpamObjectTagsInHtml

Meddelanden som innehåller <object> HTML-taggar markeras som skräppost med hög säkerhet.

Med den här taggen kan plugin-program och plugin-program köras i ett HTML-fönster.

X-CustomSpam: Object tag in html
Känsliga ord

MarkAsSpamSensitiveWordList

Microsoft har en dynamisk men icke-redigerbar lista över ord som är associerade med potentiellt stötande meddelanden.

Meddelanden som innehåller ord från listan med känsliga ord i ämnet eller meddelandetexten markeras som skräppost med hög konfidens.

X-CustomSpam: Sensitive word in subject/body
SPF-post: svårt fel

MarkAsSpamSpfRecordHardFail

Meddelanden som skickas från en IP-adress som inte angetts i SPF Sender Policy Framework (SPF)-posten i DNS för käll-e-postdomänen markeras som skräppost med hög konfidens.

Testläge är inte tillgängligt för den här inställningen.

X-CustomSpam: SPF Record Fail

I följande ASF-inställningar för Markera som skräppost ställer du in SCL för identifierade meddelanden på 6, vilket motsvarar en skräppostfilter-bedömning och motsvarande åtgärd i principer för skräppostskydd.



Principinställning för skydd mot skräppost Beskrivning X-sidhuvud tillagt
Filtrering av avsändar-ID misslyckas

MarkAsSpamFromAddressAuthFail

Meddelanden som gör att en kontroll av villkorsstyrd avsändar-ID misslyckas markeras som skräppost.

Den här inställningen kombinerar en SPF-kontroll med en avsändar-ID-kontroll för att skydda mot meddelanderubriker som innehåller förfalskade avsändare.

Testläge är inte tillgängligt för den här inställningen.

X-CustomSpam: SPF From Record Fail
Bakåtcatter

MarkAsSpamNdrBackscatter

Bakåtcatter är bara skräp i rapporter om utebliven leverans (kallas även NDR-rapporter eller icke-leveranskavsändare) som orsakas av förfalskade avsändare i e-postmeddelanden. Mer information finns i Meddelanden på grund av bakåtmeddelande och EOP.

Du behöver inte konfigurera den här inställningen i följande miljöer, eftersom legitima NDR-meddelanden levereras och bakåtcatter markeras som skräppost:

  • Microsoft 365 organisationer med Exchange Online postlådor.
  • Lokala e-postorganisationer där du dirigerar utgående e-post via EOP.

I fristående EOP-miljöer som skyddar inkommande e-post till lokala postlådor får följande resultat om du slår på eller av den här inställningen:

  • På: Legitima NDR-meddelanden levereras och bakåtcatter markeras som skräppost.
  • Av: Legitima NDR-meddelanden och bakåtcatter går igenom vanlig skräppostfiltrering. De flesta legitima NDR-meddelanden levereras till det ursprungliga meddelandets avsändare. Vissa, men inte alla, bakåtcatter markeras som skräppost. Per definition kan bakåtcatter bara levereras till den falska avsändaren, inte till den ursprungliga avsändaren.

Testläge är inte tillgängligt för den här inställningen.

X-CustomSpam: Backscatter NDR