Delen via


Geavanceerde spamfilterinstellingen (ASF) in EOP

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige EOP-organisaties (Exchange Online Protection) zonder Exchange Online-postvakken, kunnen beheerders met geavanceerde spamfilterinstellingen (ASF) in antispambeleid berichten als spam markeren op basis van specifieke berichteigenschappen. ASF richt zich specifiek op deze eigenschappen, omdat ze vaak worden aangetroffen in spam. Afhankelijk van de eigenschap markeren ASF-detecties het bericht als Spam of Spam met hoge betrouwbaarheid.

Opmerking

Het inschakelen van een of meer asf-instellingen is een agressieve benadering van spamfilters. U kunt berichten die zijn gefilterd op ASF niet rapporteren als fout-positieven aan Microsoft. U kunt berichten die zijn gefilterd op ASF identificeren op:

  • Periodieke quarantainemeldingen van spam en spamfilters met hoge betrouwbaarheid.
  • De aanwezigheid van gefilterde berichten in quarantaine.
  • De specifieke X-CustomSpam: X-headervelden die worden toegevoegd aan berichten, zoals beschreven in dit artikel.

ASF voegt X-headervelden toe X-CustomSpam: aan berichten nadat de berichten zijn verwerkt door Exchange-e-mailstroomregels (ook wel transportregels genoemd), zodat u geen e-mailstroomregels kunt gebruiken om berichten te identificeren en erop te reageren die zijn gefilterd op ASF. U kunt regels voor Postvak IN in postvakken gebruiken om de bezorging van het bericht te beïnvloeden.

In de volgende secties worden de ASF-instellingen en -opties beschreven die beschikbaar zijn in antispambeleidsregels in de Microsoft Defender-portal en in Exchange Online PowerShell of zelfstandige EOP PowerShell (New-HostedContentFilterPolicy en Set-HostedContentFilterPolicy). Zie Antispambeleid configureren in EOP voor meer informatie.

Tip

ASF-instellingen zijn niet ingeschakeld in standaard- of strikt vooraf ingesteld beveiligingsbeleid, dus u kunt ALLEEN ASF-instellingen configureren in het standaard antispambeleid of aangepast antispambeleid. Zie Uw beveiligingsbeleidsstrategie bepalen voor meer informatie over het gebruik van beveiligingsbeleid.

ASF-instellingen inschakelen, uitschakelen of testen

Voor elke ASF-instelling zijn de volgende opties beschikbaar in het antispambeleid:

  • Op: ASF voegt het bijbehorende veld X-header toe aan het bericht:

  • Uit: de ASF-instelling is uitgeschakeld. Dit is de standaardwaarde.

  • Test: De ASF-instelling bevindt zich in de testmodus. Wat er met het bericht gebeurt, wordt bepaald door de waarde testmodus (TestModeAction):

    • Geen: de berichtbezorging wordt niet beïnvloed door de ASF-detectie. Het bericht is nog steeds onderhevig aan andere typen filters en regels in EOP en Defender voor Office 365.
    • Standaard X-headertekst toevoegen (AddXHeader): de waarde X-CustomSpam: This message was filtered by the custom spam filter option van de X-header wordt toegevoegd aan het bericht. U kunt deze waarde gebruiken in regels voor Postvak IN (geen regels voor e-mailstroom) om de bezorging van het bericht te beïnvloeden.
    • BCC-bericht verzenden (BccMessage): De opgegeven e-mailadressen (de parameterwaarde TestModeBccToRecipients in PowerShell) worden toegevoegd aan het BCC-veld van het bericht en het bericht wordt bezorgd bij de extra BCC-geadresseerden. In de Microsoft Defender-portal scheidt u meerdere e-mailadressen op puntkomma's (;). In PowerShell scheidt u meerdere e-mailadressen door komma's.

    De testmodus is niet beschikbaar voor de volgende ASF-instellingen:

    • Filteren van voorwaardelijke afzender-id's: harde fout (MarkAsSpamFromAddressAuthFail)
    • NDR backscatter (MarkAsSpamNdrBackscatter)
    • SPF-record: harde fout (MarkAsSpamSpfRecordHardFail)

    Dezelfde testmodusactie wordt toegepast op alle ASF-instellingen die zijn ingesteld op Testen. U kunt geen verschillende testmodusacties configureren voor verschillende ASF-instellingen.

Instellingen voor spamscore verhogen

De volgende asf-instellingen voor spamscore verhogen resulteren in een toename van de spamscore en dus een hogere kans om als spam te worden gemarkeerd met een spamvertrouwensniveau (SCL) van 5 of 6, wat overeenkomt met een spamfilterbeoordeling en de bijbehorende actie in antispambeleid. Niet elk bericht dat aan de volgende ASF-voorwaarden voldoet, wordt gemarkeerd als spam.

Antispambeleidsinstelling Beschrijving X-header toegevoegd
Afbeeldingskoppelingen naar externe websites (IncreaseScoreWithImageLinks) Berichten met <Img> HTML-tagkoppelingen naar externe sites (bijvoorbeeld met behulp van http) worden gemarkeerd als spam. X-CustomSpam: Image links to remote sites
Numeriek IP-adres in URL (IncreaseScoreWithNumericIps) Berichten die numerieke URL's (meestal IP-adressen) bevatten, worden gemarkeerd als spam. X-CustomSpam: Numeric IP in URL
URL-omleiding naar andere poort (IncreaseScoreWithRedirectToOtherPort) Berichten die hyperlinks bevatten die worden omgeleid naar andere TCP-poorten dan 80 (HTTP), 8080 (alternatieve HTTP) of 443 (HTTPS) worden gemarkeerd als spam. X-CustomSpam: URL redirect to other port
Koppelingen naar .biz- of .info-websites (IncreaseScoreWithBizOrInfoUrls) Berichten met .biz of .info koppelingen in de hoofdtekst van het bericht worden gemarkeerd als spam.

URL's zoals contoso.info.com (waarbij .biz of .info niet het domein op het hoogste niveau is) komen ook overeen.
X-CustomSpam: URL to .biz or .info websites

Markeren als spam-instellingen

Met de volgende ASF-instellingen markeren als spam wordt de SCL van gedetecteerde berichten ingesteld op 9, wat overeenkomt met een spamfilter met hoge betrouwbaarheid en de bijbehorende actie in antispambeleid.

Antispambeleidsinstelling Beschrijving X-header toegevoegd
Lege berichten (MarkAsSpamEmptyMessages) Berichten zonder onderwerp, geen inhoud in de berichttekst en geen bijlagen worden gemarkeerd als spam met hoge betrouwbaarheid. X-CustomSpam: Empty Message
Ingesloten tags in HTML (MarkAsSpamEmbedTagsInHtml) Berichten die HTML-tags bevatten <embed> , worden gemarkeerd als spam met hoge betrouwbaarheid.

Met deze tag kunt u verschillende soorten documenten insluiten in een HTML-document (bijvoorbeeld geluiden, video's of afbeeldingen).
X-CustomSpam: Embed tag in html
JavaScript of VBScript in HTML (MarkAsSpamJavaScriptInHtml) Berichten die gebruikmaken van JavaScript of Visual Basic Script Edition in HTML, worden gemarkeerd als spam met hoge betrouwbaarheid.

Deze scripttalen worden in e-mailberichten gebruikt om ervoor te zorgen dat specifieke acties automatisch worden uitgevoerd.
X-CustomSpam: Javascript or VBscript tags in HTML
Formuliertags in HTML (MarkAsSpamFormTagsInHtml) Berichten die HTML-tags bevatten <form> , worden gemarkeerd als spam met hoge betrouwbaarheid.

Deze tag wordt gebruikt om websiteformulieren te maken. E-mailadvertenties bevatten vaak deze tag om informatie van de ontvanger te vragen.
X-CustomSpam: Form tag in html
Frame- of iframetags in HTML (MarkAsSpamFramesInHtml) Berichten die HTML-tags bevatten <frame> , <iframe> worden gemarkeerd als spam met hoge betrouwbaarheid.

Deze tags worden gebruikt in e-mailberichten om de pagina op te maken voor het weergeven van tekst of afbeeldingen.
X-CustomSpam: IFRAME or FRAME in HTML
Webfouten in HTML (MarkAsSpamWebBugsInHtml) Een webfout (ook wel webbaken genoemd) is een grafisch element (vaak zo klein als één pixel bij één pixel) dat bepaalt of de ontvanger het bericht heeft gelezen.

Berichten die webfouten bevatten, worden gemarkeerd als spam met hoge betrouwbaarheid.

Legitieme nieuwsbrieven kunnen gebruikmaken van webfouten, hoewel velen ze beschouwen als een inbreuk op de privacy.
X-CustomSpam: Web bug
Objecttags in HTML (MarkAsSpamObjectTagsInHtml) Berichten die HTML-tags bevatten <object> , worden gemarkeerd als spam met hoge betrouwbaarheid.

Met deze tag kunnen invoegtoepassingen of toepassingen worden uitgevoerd in een HTML-venster.
X-CustomSpam: Object tag in html
Gevoelige woorden (MarkAsSpamSensitiveWordList_) Microsoft onderhoudt een dynamische, maar niet-bewerkbare lijst met woorden die zijn gekoppeld aan mogelijk aanstootgevende berichten.

Berichten die woorden bevatten uit de lijst met gevoelige woorden in het onderwerp of de berichttekst, worden gemarkeerd als spam met hoge betrouwbaarheid.
X-CustomSpam: Sensitive word in subject/body
SPF-record: harde fout (MarkAsSpamSpfRecordHardFail) Berichten die worden verzonden vanaf een IP-adres dat niet is opgegeven in de SPF Sender Policy Framework-record (SPF) in DNS voor het bron-e-maildomein, worden gemarkeerd als spam met hoge betrouwbaarheid.

De testmodus is niet beschikbaar voor deze instelling.
X-CustomSpam: SPF Record Fail

Met de volgende ASF-instellingen markeren als spam wordt de SCL van gedetecteerde berichten ingesteld op 6, wat overeenkomt met een spamfilterbeoordeling en de bijbehorende actie in antispambeleid.

Antispambeleidsinstelling Beschrijving X-header toegevoegd
Het filteren van afzender-id's mislukt (MarkAsSpamFromAddressAuthFail) Berichten die niet kunnen worden gecontroleerd op een voorwaardelijke afzender-id, worden gemarkeerd als spam.

Deze instelling combineert een SPF-controle met een afzender-id-controle om u te beschermen tegen berichtkoppen die vervalste afzenders bevatten.

De testmodus is niet beschikbaar voor deze instelling.
X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter is nutteloze rapporten over niet-bezorging (ook wel NDR's of niet-bezorgde berichten genoemd) die worden veroorzaakt door vervalste afzenders in e-mailberichten. Zie Backscatter-berichten en EOP voor meer informatie.

U hoeft deze instelling niet te configureren in de volgende omgevingen, omdat legitieme NDR's worden geleverd en backscatter wordt gemarkeerd als spam:
  • Microsoft 365-organisaties met Exchange Online-postvakken.
  • On-premises e-mailorganisaties waar u uitgaande e-mail routeert via EOP.


In zelfstandige EOP-omgevingen die binnenkomende e-mail naar on-premises postvakken beveiligen, heeft het in- of uitschakelen van deze instelling het volgende resultaat:
  • Aan: Legitieme NDR's worden geleverd en backscatter wordt gemarkeerd als spam.
  • Uit: Legitieme NDR's en backscatter doorlopen normale spamfilters. De meeste legitieme NDR's worden bezorgd bij de oorspronkelijke afzender van het bericht. Sommige, maar niet alle backscatter is gemarkeerd als spam. Backscatter kan per definitie alleen worden geleverd aan de vervalste afzender, niet aan de oorspronkelijke afzender.


De testmodus is niet beschikbaar voor deze instelling.
X-CustomSpam: Backscatter NDR