Paramètres du filtre anti-courrier indésirable avancé (ASF) dans EOP

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans des Exchange Online ou des organisations de Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les paramètres de filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable permettent aux administrateurs de marquer les messages comme courrier indésirable en fonction de propriétés de message spécifiques. ASF cible spécifiquement ces propriétés, car elles sont couramment trouvées dans le courrier indésirable. En fonction de la propriété, les détections ASF marquent le message comme courrier indésirable ou courrier indésirable à haut niveau de confiance.

Remarque

L’activation d’un ou de plusieurs paramètres ASF est une approche agressive du filtrage du courrier indésirable. Vous ne pouvez pas signaler à Microsoft les messages filtrés par ASF en tant que faux positifs. Vous pouvez identifier les messages qui ont été filtrés par ASF par :

  • Notifications de mise en quarantaine périodiques du courrier indésirable et verdicts de filtre de courrier indésirable à haut niveau de confiance.
  • Présence de messages filtrés en quarantaine.
  • Champs d’en-tête X spécifiques X-CustomSpam: ajoutés aux messages, comme décrit dans cet article.

ASF ajoute X-CustomSpam: des champs d’en-tête X aux messages une fois que les messages ont été traités par les règles de flux de messagerie Exchange (également appelées règles de transport). Vous ne pouvez donc pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages qui ont été filtrés par ASF. Vous pouvez utiliser des règles de boîte de réception dans les boîtes aux lettres pour affecter la remise du message.

Les sections suivantes décrivent les paramètres et options ASF disponibles dans les stratégies anti-courrier indésirable dans le portail Microsoft Defender et dans Exchange Online PowerShell ou EOP autonome (New-HostedContentFilterPolicy et Set-HostedContentFilterPolicy). Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.

Activer, désactiver ou tester les paramètres ASF

Pour chaque paramètre ASF, les options suivantes sont disponibles dans les stratégies anti-courrier indésirable :

  • Sur : ASF ajoute le champ X-header correspondant au message et marque le message comme courrier indésirable (SCL 5 ou 6 pour Augmenter les paramètres de score de courrier indésirable) ou courrier indésirable à haut niveau de confiance (SCL 9 pour Marquer comme des paramètres de courrier indésirable).
  • Désactivé : le paramètre ASF est désactivé. Il s’agit de la valeur par défaut.
  • Test : le paramètre ASF est en mode test. Ce qui arrive au message est déterminé par la valeur du mode test (TestModeAction) :

    • Aucun : la remise des messages n’est pas affectée par la détection ASF. Le message est toujours soumis à d’autres types de filtrage et de règles dans EOP et Defender for Office 365.

    • Ajouter un texte d’en-tête X par défaut (AddXHeader) : la valeur X-CustomSpam: This message was filtered by the custom spam filter option X-header est ajoutée au message. Vous pouvez utiliser cette valeur dans les règles de boîte de réception (et non dans les règles de flux de courrier) pour affecter la remise du message.

    • Envoyer un message Cci (BccMessage) : les adresses e-mail spécifiées (valeur du paramètre TestModeBccToRecipients dans PowerShell) sont ajoutées au champ Cci du message et le message est remis aux destinataires cci supplémentaires. Dans le portail Microsoft Defender, vous séparez plusieurs adresses e-mail par des points-virgules (;). Dans PowerShell, vous séparez plusieurs adresses e-mail par des virgules.

    • Le mode test n’est pas disponible pour les paramètres ASF suivants :

      • Filtrage conditionnel de l’ID d’expéditeur : échec physique (MarkAsSpamFromAddressAuthFail)
      • Rétrodiffusion NDR(MarkAsSpamNdrBackscatter)
      • Enregistrement SPF : échec physique (MarkAsSpamSpfRecordHardFail)

    • La même action de mode de test est appliquée à tous les paramètres ASF définis sur Test. Vous ne pouvez pas configurer différentes actions en mode de test pour différents paramètres ASF.

Augmenter les paramètres de score de courrier indésirable

Les paramètres ASF Augmenter le score de courrier indésirable suivants entraînent une augmentation du score de courrier indésirable et donc une plus grande probabilité d’être marqué comme courrier indésirable avec un niveau de confiance du courrier indésirable (SCL) de 5 ou 6, ce qui correspond à un verdict de filtre de courrier indésirable et à l’action correspondante dans les stratégies anti-courrier indésirable. Tous les messages qui correspondent aux conditions ASF suivantes ne sont pas marqués comme courrier indésirable.

Paramètre de stratégie anti-courrier indésirable Description X-header ajouté
Liens d’image vers des sites web distants (IncreaseScoreWithImageLinks) Les messages qui contiennent <Img> des liens de balise HTML vers des sites distants (par exemple, à l’aide de http) sont marqués comme courrier indésirable. X-CustomSpam: Image links to remote sites
Adresse IP numérique dans l’URL (IncreaseScoreWithNumericIps) Les messages qui contiennent des URL numériques (généralement des adresses IP) sont marqués comme courrier indésirable. X-CustomSpam: Numeric IP in URL
Redirection d’URL vers un autre port (IncreaseScoreWithRedirectToOtherPort) Les messages qui contiennent des liens hypertexte qui redirigent vers des ports TCP autres que 80 (HTTP), 8080 (HTTP de remplacement) ou 443 (HTTPS) sont marqués comme courrier indésirable. X-CustomSpam: URL redirect to other port
Liens vers des sites web .biz ou .info (IncreaseScoreWithBizOrInfoUrls) Les messages qui contiennent .biz des liens ou .info dans le corps du message sont marqués comme courrier indésirable. X-CustomSpam: URL to .biz or .info websites

Marquer comme paramètres de courrier indésirable

Les paramètres ASF Marquer comme courrier indésirable suivants définissent la liste de contrôle de sécurité des messages détectés sur 9, ce qui correspond à un verdict de filtre de courrier indésirable à haute confiance et à l’action correspondante dans les stratégies anti-courrier indésirable.

Paramètre de stratégie anti-courrier indésirable Description X-header ajouté
Messages vides (MarkAsSpamEmptyMessages) Les messages sans objet, sans contenu dans le corps du message et sans pièce jointe sont marqués comme courrier indésirable à haut niveau de confiance. X-CustomSpam: Empty Message
Balises incorporées en HTML (MarkAsSpamEmbedTagsInHtml) Les messages qui contiennent des <embed> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance.

Cette balise permet l’incorporation de différents types de documents dans un document HTML (par exemple, des sons, des vidéos ou des images).		 X-CustomSpam: Embed tag in html
JavaScript ou VBScript en HTML (MarkAsSpamJavaScriptInHtml) Les messages qui utilisent JavaScript ou Visual Basic Script Edition en HTML sont marqués comme courrier indésirable à haut niveau de confiance.

Ces langages de script sont utilisés dans les e-mails pour provoquer des actions spécifiques automatiquement.		 X-CustomSpam: Javascript or VBscript tags in HTML
Balises de formulaire en HTML (MarkAsSpamFormTagsInHtml) Les messages qui contiennent des <form> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance.

Cette balise est utilisée pour créer des formulaires de site web. Les publicités électroniques utilisent souvent cette balise pour demander des informations au destinataire.		 X-CustomSpam: Form tag in html
Balises frame ou iframe en HTML (MarkAsSpamFramesInHtml) Les messages qui contiennent des <frame> balises HTML ou <iframe> sont marqués comme courrier indésirable à haut niveau de confiance.

Ces balises sont utilisées dans les messages électroniques pour mettre en forme la page pour l’affichage du texte ou des graphiques.		 X-CustomSpam: IFRAME or FRAME in HTML
Bogues web en HTML (MarkAsSpamWebBugsInHtml) Un bogue web (également appelé balise web) est un élément graphique (souvent aussi petit qu’un pixel par pixel) utilisé dans les messages électroniques pour déterminer si le destinataire a lu le message.

Les messages qui contiennent des bogues web sont marqués comme courrier indésirable à haut niveau de confiance.

Les bulletins d’informations légitimes peuvent utiliser des bogues web, bien que beaucoup considèrent cela comme une atteinte à la vie privée.		 X-CustomSpam: Web bug
Balises d’objet en HTML (MarkAsSpamObjectTagsInHtml) Les messages qui contiennent des <object> balises HTML sont marqués comme courrier indésirable à haut niveau de confiance.

Cette balise permet aux plug-ins ou applications de s’exécuter dans une fenêtre HTML.		 X-CustomSpam: Object tag in html
Mots sensibles (MarkAsSpamSensitiveWordList_) Microsoft gère une liste dynamique mais non modifiable de mots associés à des messages potentiellement offensants.

Les messages qui contiennent des mots de la liste de mots sensibles dans l’objet ou le corps du message sont marqués comme courrier indésirable à haut niveau de confiance.		 X-CustomSpam: Sensitive word in subject/body
Enregistrement SPF : échec physique (MarkAsSpamSpfRecordHardFail) Les messages envoyés à partir d’une adresse IP qui n’est pas spécifiée dans l’enregistrement SPF Sender Policy Framework (SPF) dans DNS pour le domaine de messagerie source sont marqués comme courrier indésirable à haut niveau de confiance.

Le mode test n’est pas disponible pour ce paramètre.		 X-CustomSpam: SPF Record Fail

Les paramètres ASF Marquer comme courrier indésirable définissent la liste de contrôle de contrôle d’accès des messages détectés sur 6, ce qui correspond à un verdict de filtre anti-courrier indésirable et à l’action correspondante dans les stratégies anti-courrier indésirable.

Paramètre de stratégie anti-courrier indésirable Description X-header ajouté
Échec du filtrage de l’ID de l’expéditeur (MarkAsSpamFromAddressAuthFail) Les messages qui échouent de manière case activée un ID d’expéditeur conditionnel sont marqués comme courrier indésirable.

Ce paramètre combine un case activée SPF avec un ID d’expéditeur case activée pour vous protéger contre les en-têtes de message qui contiennent des expéditeurs falsifiés.

Le mode test n’est pas disponible pour ce paramètre.		 X-CustomSpam: SPF From Record Fail
Rétrodiffusion (MarkAsSpamNdrBackscatter) La rétrodiffusion est un rapport de non-remise inutile (également appelé NDR ou message de rebond) provoqué par des expéditeurs falsifiés dans les messages électroniques. Pour plus d’informations, consultez Messages de rétrodiffusion et EOP.

Vous n’avez pas besoin de configurer ce paramètre dans les environnements suivants, car les NDR légitimes sont remises et la rétrodiffusion est marquée comme courrier indésirable :
  • Organisations Microsoft 365 avec Exchange Online boîtes aux lettres.
  • Organisations de messagerie locales où vous routez le courrier sortant via Exchange Online Protection (EOP).


Dans les environnements EOP autonomes qui protègent le courrier entrant vers les boîtes aux lettres locales, l’activation ou la désactivation de ce paramètre a le résultat suivant :
  • Activé : les NDR légitimes sont remis et la rétrodiffusion est marquée comme courrier indésirable.
  • Désactivé : les NDR légitimes et la rétrodiffusion passent par le filtrage normal du courrier indésirable. La plupart des NDR légitimes sont remises à l’expéditeur du message d’origine. Certaines rétrodiffusions, mais pas toutes, sont marquées comme courrier indésirable. Par définition, la rétrodiffusion peut être remise uniquement à l’expéditeur usurpé, et non à l’expéditeur d’origine.


Le mode test n’est pas disponible pour ce paramètre.		 X-CustomSpam: Backscatter NDR