Поделиться через


Параметры расширенного фильтра нежелательной почты (ASF) в EOP

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online параметры расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты позволяют администраторам помечать сообщения как спам на основе определенных свойств сообщений. ASF специально ориентирована на эти свойства, так как они часто встречаются в спаме. В зависимости от свойства обнаружения ASF помечают сообщение как спам или спам с высокой достоверностью.

Примечание.

Включение одного или нескольких параметров ASF — это агрессивный подход к фильтрации спама. Сообщения, отфильтрованные ASF, не могут быть ложными срабатываниями в Корпорацию Майкрософт. Вы можете определить сообщения, отфильтрованные по ASF, с помощью:

  • Периодические уведомления о карантине из-за спама и вердиктов фильтра нежелательной почты с высоким уровнем достоверности.
  • Наличие отфильтрованных сообщений в карантине.
  • Конкретные X-CustomSpam: поля заголовка X, добавляемые в сообщения, как описано в этой статье.

ASF добавляет X-CustomSpam: поля X-заголовка к сообщениям после обработки сообщений правилами потока обработки почты Exchange (также известными как правила транспорта), поэтому вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных ASF, и действия с сообщениями, которые были отфильтрованы ASF. Вы можете использовать правила папки "Входящие" в почтовых ящиках, чтобы повлиять на доставку сообщения.

В следующих разделах описаны параметры и параметры ASF, доступные в политиках защиты от нежелательной почты на портале Microsoft Defender и в Exchange Online PowerShell или автономном EOP PowerShell (New-HostedContentFilterPolicy и Set-HostedContentFilterPolicy). Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.

Совет

Параметры ASF не включены в стандартных или строгих предустановленных политиках безопасности, поэтому вы можете настроить параметры ASF в политике защиты от нежелательной почты по умолчанию или только в настраиваемых политиках защиты от нежелательной почты. Дополнительные сведения об использовании политик защиты см. в статье Определение стратегии политики защиты.

Включение, отключение и проверка параметров ASF

Для каждого параметра ASF в политиках защиты от нежелательной почты доступны следующие параметры:

  • On: ASF добавляет соответствующее поле X-заголовка в сообщение:

  • Выкл. Параметр ASF отключен. Это значение используется по умолчанию.

  • Тест. Параметр ASF находится в тестовом режиме. Что происходит с сообщением, определяется значением test mode (TestModeAction):

    • Нет: на доставку сообщений не влияет обнаружение ASF. Сообщение по-прежнему зависит от других типов фильтрации и правил в EOP и Defender для Office 365.
    • Добавление текста X-заголовка по умолчанию (AddXHeader): значение X-CustomSpam: This message was filtered by the custom spam filter option X-заголовка добавляется в сообщение. Это значение можно использовать в правилах папки "Входящие" (не в правилах потока обработки почты), чтобы повлиять на доставку сообщения.
    • Отправить сообщение СК (BccMessage). Указанные адреса электронной почты (значение параметра TestModeBccToRecipients в PowerShell) добавляются в поле СК сообщения, а сообщение доставляется дополнительным получателям ск. На портале Microsoft Defender несколько адресов электронной почты разделяются точкой с запятой (;). В PowerShell несколько адресов электронной почты разделяются запятыми.

    Тестовый режим недоступен для следующих параметров ASF:

    • Фильтрация условного идентификатора отправителя: жесткий сбой (MarkAsSpamFromAddressAuthFail)
    • NDR backscatter (MarkAsSpamNdrBackscatter)
    • Запись SPF: жесткий сбой (MarkAsSpamSpfRecordHardFail)

    Одно и то же действие тестового режима применяется ко всем параметрам ASF, для которых задано значение Test. Вы не можете настроить различные действия тестового режима для разных параметров ASF.

Увеличение параметров оценки нежелательной почты

Приведенные ниже параметры Увеличить оценку спама ASF приводят к увеличению оценки спама и, следовательно, к повышению вероятности получения пометки как спам с уровнем достоверности спама (SCL) 5 или 6, что соответствует вердикту фильтра спама и соответствующему действию в политиках защиты от нежелательной почты. Не каждое сообщение, соответствующее следующим условиям ASF, помечается как спам.

Параметр политики защиты от нежелательной почты Описание Добавлен заголовок X
Ссылки изображений на удаленные веб-сайты (IncreaseScoreWithImageLinks) Сообщения, содержащие <Img> ссылки тегов HTML на удаленные сайты (например, с помощью HTTP), помечаются как спам. X-CustomSpam: Image links to remote sites
Числовой IP-адрес в URL-адресе (IncreaseScoreWithNumericIps) Сообщения, содержащие числовые URL-адреса (как правило, IP-адреса), помечаются как спам. X-CustomSpam: Numeric IP in URL
Перенаправление URL-адреса на другой порт (IncreaseScoreWithRedirectToOtherPort) Сообщения, содержащие гиперссылки, которые перенаправляются на TCP-порты, отличные от 80 (HTTP), 8080 (альтернативный HTTP) или 443 (HTTPS), помечаются как спам. X-CustomSpam: URL redirect to other port
Ссылки на веб-сайты .biz или .info (IncreaseScoreWithBizOrInfoUrls) Сообщения, содержащие .biz или .info ссылки в тексте сообщения, помечаются как спам.

Обратите внимание, что URL-адреса, такие как contoso.info.com (где .biz или .info не является доменом верхнего уровня), также будут совпадать.
X-CustomSpam: URL to .biz or .info websites

Пометить как параметры нежелательной почты

В следующих параметрах ASF пометить как спам задается значение SCL обнаруженных сообщений равным 9, что соответствует вердикту фильтра нежелательной почты высокой достоверности и соответствующему действию в политиках защиты от нежелательной почты.

Параметр политики защиты от нежелательной почты Описание Добавлен заголовок X
Пустые сообщения (MarkAsSpamEmptyMessages) Сообщения без темы, содержимого в тексте сообщения и вложений помечаются как спам с высоким уровнем достоверности. X-CustomSpam: Empty Message
Внедренные теги в HTML (MarkAsSpamEmbedTagsInHtml) Сообщения, содержащие <embed> HTML-теги, помечаются как спам с высоким уровнем достоверности.

Этот тег позволяет внедрять различные типы документов в HTML-документ (например, звуки, видео или изображения).
X-CustomSpam: Embed tag in html
JavaScript или VBScript в HTML (MarkAsSpamJavaScriptInHtml) Сообщения, использующие JavaScript или Visual Basic Script Edition в HTML, помечаются как спам с высоким уровнем достоверности.

Эти языки сценариев используются в сообщениях электронной почты для автоматического выполнения определенных действий.
X-CustomSpam: Javascript or VBscript tags in HTML
Теги форм в HTML (MarkAsSpamFormTagsInHtml) Сообщения, содержащие <form> HTML-теги, помечаются как спам с высоким уровнем достоверности.

Этот тег используется для создания форм веб-сайта. Рекламные почтовые сообщения часто содержат этот тег, чтобы запрашивать у получателя ту или иную информацию.
X-CustomSpam: Form tag in html
Теги фрейма или iframe в HTML (MarkAsSpamFramesInHtml) Сообщения, содержащие <frame> теги ИЛИ <iframe> HTML, помечаются как спам с высоким уровнем достоверности.

Эти теги используются в сообщениях электронной почты для форматирования страницы для отображения текста или графики.
X-CustomSpam: IFRAME or FRAME in HTML
Веб-ошибки в HTML (MarkAsSpamWebBugsInHtml) Веб-ошибка (также известная как веб-маяк) — это графический элемент (часто размером от одного пикселя на один пиксель), который определяет, читает ли получатель сообщение.

Сообщения, содержащие веб-ошибки, помечаются как спам с высоким уровнем достоверности.

Законные информационные бюллетени могут использовать веб-ошибки, хотя многие считают их вторжением в частную жизнь.
X-CustomSpam: Web bug
Теги объектов в HTML (MarkAsSpamObjectTagsInHtml) Сообщения, содержащие <object> HTML-теги, помечаются как спам с высоким уровнем достоверности.

Этот тег позволяет подключаемым модулям или приложениям выполняться в окне HTML.
X-CustomSpam: Object tag in html
Конфиденциальные слова (MarkAsSpamSensitiveWordList_) Корпорация Майкрософт поддерживает динамический, но не редактируемый список слов, связанных с потенциально оскорбительными сообщениями.

Сообщения, содержащие слова из списка конфиденциальных слов в теме или тексте сообщения, помечаются как спам с высоким уровнем достоверности.
X-CustomSpam: Sensitive word in subject/body
Запись SPF: жесткий сбой (MarkAsSpamSpfRecordHardFail) Сообщения, отправленные с IP-адреса, который не указан в записи SPF Sender Policy Framework (SPF) в DNS для исходного домена электронной почты, помечаются как спам с высокой достоверностью.

Тестовый режим недоступен для этого параметра.
X-CustomSpam: SPF Record Fail

В следующих параметрах ПОметить как спам ASF для параметра SCL обнаруженных сообщений задано значение 6, что соответствует вердикту фильтра нежелательной почты и соответствующему действию в политиках защиты от нежелательной почты.

Параметр политики защиты от нежелательной почты Описание Добавлен заголовок X
Жесткий сбой фильтрации идентификатора отправителя (MarkAsSpamFromAddressAuthFail) Сообщения, которые жестко завершаются сбоем условной проверки идентификатора отправителя, помечаются как спам.

Этот параметр объединяет проверку SPF с проверкой идентификатора отправителя для защиты от заголовков сообщений, содержащих поддельные отправители.

Тестовый режим недоступен для этого параметра.
X-CustomSpam: SPF From Record Fail
Backscatter (MarkAsSpamNdrBackscatter) Backscatter — это бесполезные отчеты о недоставке (также известные как NDR или сообщения о недоставке), вызванные поддельными отправителями в сообщениях электронной почты. Дополнительные сведения см. в разделах Сообщения Backscatter и EOP.

Этот параметр не требуется настраивать в следующих средах, так как доставляются допустимые NDR, а обратный параметр помечается как спам:
  • Организации Microsoft 365 с почтовыми ящиками Exchange Online.
  • Организации с локальной электронной почтой, в которых исходящая почта маршрутизируется через EOP.


В автономных средах EOP, которые защищают входящие сообщения электронной почты в локальные почтовые ящики, включение или отключение этого параметра приводит к следующему результату:
  • Включено: доставляются допустимые NDR, а backscatter помечается как спам.
  • Выкл. Допустимые NDR и backscatter проходят обычную фильтрацию спама. Большинство допустимых NDR доставляются отправителю исходного сообщения. Некоторые, но не все backscatter помечается как спам. По определению, backscatter может быть доставлен только подделанному отправителю, а не исходному отправителю.


Тестовый режим недоступен для этого параметра.
X-CustomSpam: Backscatter NDR