مشاركة عبر

رؤوس رسائل مكافحة البريد العشوائي في المؤسسات السحابية

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي من Defender for Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender for Office 365.

في جميع المؤسسات التي تحتوي على علب بريد سحابية، يفحص Microsoft 365 جميع الرسائل الواردة بحثا عن البريد العشوائي والبرامج الضارة والتهديدات الأخرى. تتم إضافة نتائج عمليات الفحص هذه إلى حقول الرأس التالية في الرسائل:

  • X-Forefront-Antispam-Report: يحتوي على معلومات حول الرسالة وكيفية معالجتها.
  • X-Microsoft-Antispam: يحتوي على معلومات إضافية حول البريد المجمع والتصيد الاحتيالي.
  • نتائج المصادقة: يحتوي على معلومات حول نتائج مصادقة البريد الإلكتروني بما في ذلك إطار عمل نهج المرسل (SPF) وDainkeys Identified Mail (DKIM) ومصادقة الرسائل المستندة إلى المجال وإعداد التقارير والتوافق (DMARC).

توضح هذه المقالة ما هو متوفر في حقول الرأس هذه.

للحصول على معلومات حول كيفية عرض رأس رسالة بريد إلكتروني في عملاء بريد إلكتروني مختلفين، راجع عرض رؤوس رسائل الإنترنت في Outlook.

تلميح

يمكنك نسخ محتويات رأس رسالة ولصقها في أداة محلل رأس الرسالة . تساعد هذه الأداة في تحليل العناوين في تنسيق أكثر قابلية للقراءة.

حقول رأس رسالة X-Forefront-Antispam-Report

بعد الحصول على معلومات رأس الرسالة، ابحث عن رأس X-Forefront-Antispam-Report . هناك العديد من أزواج الحقول والقيم في هذا العنوان مفصولة بفواصل منقوطة (;). على سبيل المثال:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

يتم وصف الحقول والقيم الفردية في الجدول التالي.

ملاحظة

يحتوي رأس X-Forefront-Antispam-Report على العديد من الحقول والقيم المختلفة. يتم استخدام الحقول غير الموضحة في الجدول حصريا من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض التشخيص.

الميدان الوصف
ARC Authenticated Received Chain (ARC) يحتوي البروتوكول على الحقول التالية:
  • AAR: يسجل محتوى عنوان Authentication-results من DMARC.
  • AMS: يتضمن توقيعات التشفير للرسالة.
  • AS: يتضمن توقيعات التشفير لرؤوس الرسائل. يحتوي هذا الحقل على علامة للتحقق من صحة سلسلة تسمى "cv="، والتي تتضمن نتيجة التحقق من صحة السلسلة على أنها لا شيء أو تمرير أو فشل.
CAT: فئة نهج التهديد المطبق على الرسالة:
  • AMP: مكافحة البرامج الضارة
  • BIMP: انتحال العلامة التجارية*
  • BULK:معظم
  • DIMP: انتحال هوية المجال*
  • FTBP: عامل تصفية المرفقات الشائعة لمكافحة البرامج الضارة
  • GIMP: انتحال معلومات علبة البريد*
  • HPHSH أو HPHISH: التصيد الاحتيالي عالي الثقة
  • HSPM: بريد عشوائي عالي الثقة
  • INTOS: Intra-Organization التصيد الاحتيالي
  • MALW:البرامج الضاره
  • OSPM: البريد العشوائي الصادر
  • PHSH:التصيد
  • SAP: مرفقات آمنة*
  • SPM:البريد المزعج
  • SPOOF:التحايل
  • UIMP: انتحال هوية المستخدم*

*Defender for Office 365 فقط.

قد تقوم أشكال متعددة من الحماية وفحوصات الكشف المتعددة بوضع علامة على رسالة واردة. يتم تطبيق النهج بترتيب الأسبقية، ويتم تطبيق النهج ذي الأولوية القصوى أولا. لمزيد من المعلومات، راجع ما النهج الذي ينطبق عند تشغيل طرق حماية متعددة وفحص الكشف على بريدك الإلكتروني.
CIP:[IP address] عنوان IP المتصل. يمكنك استخدام عنوان IP هذا في قائمة السماح ب IP أو قائمة حظر IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
CTRY البلد/المنطقة المصدر كما يحدده عنوان IP المتصل، والذي قد لا يكون هو نفسه عنوان IP المرسل الأصلي.
DIR اتجاه الرسالة:
  • INB: رسالة واردة.
  • OUT: رسالة صادرة.
  • INT: رسالة داخلية.
H:[helostring] سلسلة HELO أو EHLO لخادم البريد الإلكتروني المتصل.
IPV:CAL تخطيت الرسالة تصفية البريد العشوائي لأن عنوان IP المصدر كان في قائمة السماح ب IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
IPV:NLI لم يتم العثور على عنوان IP في أي قائمة سمعة IP.
LANG اللغة التي تمت كتابة الرسالة بها كما هو محدد بواسطة رمز البلد (على سبيل المثال، ru_RU للغة الروسية).
PTR:[ReverseDNS] سجل PTR (المعروف أيضا باسم بحث DNS العكسي) لعنوان IP المصدر.
SCL مستوى ثقة البريد العشوائي (SCL) للرسالة. تشير القيمة الأعلى إلى أن الرسالة من المرجح أن تكون بريدا عشوائيا. لمزيد من المعلومات، راجع مستوى ثقة البريد العشوائي (SCL).
SFTY تم تحديد الرسالة على أنها تصيد احتيالي وتم وضع علامة عليها أيضا بإحدى القيم التالية:
  • 9.19: انتحال هوية المجال. يحاول مجال الإرسال انتحال صفة مجال محمي. تتم إضافة تلميح الأمان لانتحال هوية المجال إلى الرسالة (إذا تم تمكين انتحال المجال).
  • 9.20: انتحال هوية المستخدم. يحاول المستخدم المرسل انتحال شخصية مستخدم في مؤسسة المستلم، أو مستخدم محمي محدد في نهج مكافحة التصيد الاحتيالي في Microsoft Defender Office 365. تتم إضافة تلميح الأمان لانتحال هوية المستخدم إلى الرسالة (إذا تم تمكين انتحال هوية المستخدم).
  • 9.25: تلميح أمان الاتصال الأول. قد تكون هذه القيمة مؤشرا على رسالة مشبوهة أو تصيد احتيالي. لمزيد من المعلومات، راجع تلميح أمان جهة الاتصال الأولى.
SFV:BLK تم تخطي التصفية وتم حظر الرسالة لأنه تم إرسالها من عنوان في قائمة المرسلين المحظورين للمستخدم.

لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة المرسلين المحظورين للمستخدم، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد السحابة.
SFV:NSPM وضعت تصفية البريد العشوائي علامة على الرسالة على أنها nonspam وتم إرسال الرسالة إلى المستلمين المقصودين.
SFV:SFE تم تخطي التصفية وتم السماح بالرسالة لأنه تم إرسالها من عنوان في قائمة المرسلين الآمنين للمستخدم.

لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة المرسلين الآمنين للمستخدم، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد السحابة.
SFV:SKA تخطيت الرسالة تصفية البريد العشوائي وتم تسليمها إلى علبة الوارد لأن المرسل كان في قائمة المرسلين المسموح بها أو قائمة المجالات المسموح بها في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
SFV:SKB تم وضع علامة على الرسالة على أنها بريد عشوائي لأنها تطابق مرسلا في قائمة المرسلين المحظورين أو قائمة المجالات المحظورة في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
SFV:SKN تم وضع علامة على الرسالة على أنها غير واضحة قبل المعالجة عن طريق تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة على أنها SCL -1 أو تجاوز تصفية البريد العشوائي بواسطة قاعدة تدفق البريد.
SFV:SKQ تم تحرير الرسالة من العزل وتم إرسالها إلى المستلمين المقصودين.
SFV:SKS تم وضع علامة على الرسالة على أنها بريد عشوائي قبل المعالجة عن طريق تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة على أنها SCL 5 إلى 9 بواسطة قاعدة تدفق البريد.
SFV:SPM تم وضع علامة على الرسالة على أنها بريد عشوائي عن طريق تصفية البريد العشوائي.
SRV:BULK تم تحديد الرسالة على أنها بريد إلكتروني مجمع عن طريق تصفية البريد العشوائي وحد مستوى الشكوى المجمعة (BCL). عندما تكون المعلمة MarkAsSpamBulkMail ( On قيد التشغيل بشكل افتراضي)، يتم وضع علامة على رسالة بريد إلكتروني مجمعة على أنها بريد عشوائي (SCL 6). لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
X-CustomSpam: [ASFOption] تطابقت الرسالة مع إعداد عامل تصفية البريد العشوائي المتقدم (ASF). للاطلاع على قيمة رأس X لكل إعداد ASF، راجع إعدادات تصفية البريد العشوائي المتقدمة (ASF) في نهج مكافحة البريد العشوائي.

ملاحظة: يضيف X-CustomSpam: ASF حقول رأس X إلى الرسائل بعد معالجة قواعد تدفق بريد Exchange (المعروفة أيضا باسم قواعد النقل). لا يمكنك استخدام قواعد تدفق البريد لتحديد الرسائل التي تمت تصفيتها بواسطة ASF والعمل عليها.

حقول رأس رسالة X-Microsoft-Antispam

يصف الجدول التالي الحقول المفيدة في رأس رسالة X-Microsoft-Antispam . يتم استخدام الحقول الأخرى في هذا العنوان حصريا من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض التشخيص.

الميدان الوصف
BCL مستوى الشكوى المجمعة (BCL) للرسالة. تشير قائمة التحكم بالوصول (BCL) الأعلى إلى أن رسالة البريد المجمعة من المرجح أن تولد شكاوى (وبالتالي من المرجح أن تكون بريدا عشوائيا). لمزيد من المعلومات، راجع مستوى الشكوى المجمعة (BCL).

عنوان رسالة نتائج المصادقة

يتم تسجيل نتائج عمليات التحقق من مصادقة البريد الإلكتروني ل SPF وDKIM وDMARC (مختومة) في رأس رسالة Authentication-results في الرسائل الواردة. يتم تعريف عنوان Authentication-results في RFC 7001.

تصف القائمة التالية النص المضاف إلى عنوان Authentication-Results لكل نوع من أنواع التحقق من مصادقة البريد الإلكتروني:

  • يستخدم SPF بناء الجملة التالي:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    على سبيل المثال:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • يستخدم DKIM بناء الجملة التالي:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    على سبيل المثال:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • يستخدم DMARC بناء الجملة التالي:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    على سبيل المثال:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

حقول رأس رسالة نتائج المصادقة

يصف الجدول التالي الحقول والقيم المحتملة لكل فحص لمصادقة البريد الإلكتروني.

الميدان الوصف
action يشير إلى الإجراء الذي اتخذه عامل تصفية البريد العشوائي استنادا إلى نتائج فحص DMARC. على سبيل المثال:
  • pct.quarantine: يشير إلى أنه يتم تسليم نسبة أقل من 100٪ من الرسائل التي لا تمرر DMARC على أي حال. تعني هذه النتيجة أن الرسالة فشلت DMARC وتم تعيين نهج DMARC إلى p=quarantine. ولكن لم يتم تعيين حقل pct إلى 100٪، وحدد النظام عشوائيا عدم تطبيق إجراء DMARC وفقا لنهج DMARC للمجال المحدد.
  • pct.reject: يشير إلى أنه يتم تسليم نسبة أقل من 100٪ من الرسائل التي لا تمرر DMARC على أي حال. تعني هذه النتيجة أن الرسالة فشلت DMARC وتم تعيين نهج DMARC إلى p=reject. ولكن لم يتم تعيين حقل pct إلى 100٪ وتم تحديد النظام عشوائيا على عدم تطبيق إجراء DMARC وفقا لنهج DMARC للمجال المحدد.
  • permerror: حدث خطأ دائم أثناء تقييم DMARC، مثل مواجهة سجل DMARC TXT تم تكوينه بشكل غير صحيح في DNS. من غير المحتمل أن يكون لإعادة إرسال هذه الرسالة نتيجة مختلفة. بدلا من ذلك، قد تحتاج إلى الاتصال بمالك المجال لحل المشكلة.
  • temperror: حدث خطأ مؤقت أثناء تقييم DMARC. إذا أرسل المرسل الرسالة لاحقا، فقد تتم معالجتها بشكل صحيح.
compauth نتيجة المصادقة المركبة. يجمع Microsoft 365 بين أنواع متعددة من المصادقة (SPF وDKIM وDMARC) وأجزاء أخرى من الرسالة لتحديد ما إذا كانت الرسالة مصادقا عليها أم لا. يستخدم المجال من: كأساس للتقييم. ملاحظة: على الرغم من الفشل، قد يظل مسموحا compauth بالرسالة إذا لم تشير التقييمات الأخرى إلى طبيعة مريبة.
dkim يصف نتائج التحقق من DKIM للرسالة. تتضمن القيم المحتملة ما يلي:
  • pass: يشير إلى التحقق من DKIM للرسالة التي تم تمريرها.
  • فشل (السبب): يشير إلى فشل التحقق من DKIM للرسالة ولماذا. على سبيل المثال، إذا لم يتم توقيع الرسالة أو لم يتم التحقق من التوقيع.
  • لا شيء: يشير إلى أن الرسالة لم يتم توقيعها. قد تشير هذه النتيجة أو لا تشير إلى أن المجال يحتوي على سجل DKIM أو أن سجل DKIM لا يتم تقييمه إلى نتيجة.
dmarc يصف نتائج التحقق من DMARC للرسالة. تتضمن القيم المحتملة ما يلي:
  • pass: يشير إلى التحقق من DMARC للرسالة التي تم تمريرها.
  • فشل: يشير إلى فشل التحقق من DMARC للرسالة.
  • bestguesspass: يشير إلى عدم وجود سجل DMARC TXT للمجال. إذا كان المجال يحتوي على سجل DMARC TXT، تمرير التحقق من DMARC للرسالة.
  • none: يشير إلى عدم وجود سجل DMARC TXT لمجال الإرسال في DNS.
header.d المجال المحدد في توقيع DKIM، إن وجد. يتم الاستعلام عن هذا المجال للمفتاح العام.
header.from مجال عنوان من في رأس رسالة البريد الإلكتروني (المعروف أيضا باسم 5322.From العنوان أو مرسل P2). يرى المستلم عنوان من في عملاء البريد الإلكتروني.
reason سبب تمرير المصادقة المركبة أو فشلها. القيمة هي رمز مكون من ثلاثة أرقام. لمزيد من المعلومات، راجع قسم رموز سبب المصادقة المركبة .
smtp.mailfrom مجال عنوان MAIL FROM (المعروف أيضا باسم 5321.MailFrom العنوان أو مرسل P1 أو مرسل المغلف). يتم استخدام عنوان البريد الإلكتروني هذا لتقارير عدم التسليم (المعروفة أيضا باسم NDRs أو الرسائل المرتدة).
spf يصف نتائج التحقق من SPF للرسالة (ما إذا كان مصدر الرسالة مضمنا في سجل SPF للمجال). تتضمن القيم المحتملة ما يلي:
  • pass (IP address): يتم تضمين مصدر الرسالة في سجل SPF للمجال. يتم تفويض المصدر لإرسال البريد الإلكتروني للمجال أو ترحيله.
  • fail (IP address): يعرف أيضا بالفشل الثابت. لا يتم تضمين مصدر الرسالة في سجل SPF للمجال، ويرشد المجال نظام البريد الإلكتروني الوجهة لرفض الرسالة (-all).
  • softfail (reason): يعرف أيضا باسم الفشل الناعم. لا يتم تضمين مصدر الرسالة في سجل SPF للمجال، ويرشد المجال نظام البريد الإلكتروني الوجهة لقبول الرسالة ووضع علامة لها (~all).
  • neutral: مصدر الرسالة غير مضمن في سجل SPF للمجال، ولا يقدم المجال الوجهة أي إرشادات محددة للرسالة (?all).
  • none: لا يحتوي المجال على سجل SPF أو لا يتم تقييم سجل SPF إلى نتيجة.
  • temperror: حدث خطأ مؤقت. على سبيل المثال، خطأ DNS. قد ينجح الفحص نفسه لاحقا.
  • permerror: حدث خطأ دائم. على سبيل المثال، يحتوي المجال على سجل SPF منسق بشكل سيئ.

رموز سبب المصادقة المركبة

يصف الجدول التالي الرموز المكونة من ثلاثة أرقام reason المستخدمة مع compauth النتائج.

تلميح

لمزيد من المعلومات حول نتائج مصادقة البريد الإلكتروني وكيفية تصحيح حالات الفشل، راجع دليل عمليات الأمان لمصادقة البريد الإلكتروني في Microsoft 365.

رمز السبب الوصف
000 فشلت الرسالة في المصادقة الصريحة (compauth=fail). تلقت الرسالة فشل DMARC وكان إجراء نهج DMARC هو p=quarantine أو p=reject.
001 فشلت الرسالة في المصادقة الضمنية (compauth=fail). لم يكن لدى مجال الإرسال سجلات مصادقة البريد الإلكتروني المنشورة، أو إذا كان لديه نهج فشل أضعف (SPF ~all أو ?all، أو نهج DMARC ل p=none).
002 لدى المؤسسة نهج لزوج المرسل/المجال المحظور صراحة من إرسال بريد إلكتروني منتحل. يقوم المسؤول بتكوين هذا الإعداد يدويا.
010 فشلت الرسالة DMARC، وإجراء نهج DMARC هو p=reject أو p=quarantine، والمجال المرسل هو أحد المجالات المقبولة لمؤسستك (انتحال ذاتي أو داخل المؤسسة).
1xx مرت الرسالة بمصادقة صريحة أو ضمنية (compauth=pass).
  100 تم تمرير SPF أو تمرير DKIM وتتم محاذاة المجالات في عنواني MAIL FROM و From.
  101 تم توقيع الرسالة DKIM بواسطة المجال المستخدم في عنوان From.
  102 تمت محاذاة مجالات عنوان MAIL FROM و From وتم تمرير SPF.
  103 يتوافق مجال العنوان From مع سجل DNS PTR (البحث العكسي) المقترن بعنوان IP المصدر
  104 يتوافق سجل DNS PTR (البحث العكسي) المقترن بعنوان IP المصدر مع مجال عنوان From.
  108 فشل DKIM بسبب تعديل نص الرسالة الذي يعزى إلى القفزات المشروعة السابقة. على سبيل المثال، تم تعديل نص الرسالة في بيئة البريد الإلكتروني المحلية للمؤسسة.
  109 على الرغم من أن مجال المرسل لا يحتوي على سجل DMARC، إلا أن الرسالة ستمر، على أي حال.
  111 على الرغم من وجود خطأ مؤقت في DMARC أو خطأ دائم، يتوافق مجال SPF أو DKIM مع مجال عنوان From.
  112 منع مهلة DNS استرداد سجل DMARC.
  115 تم إرسال الرسالة من مؤسسة Microsoft 365 حيث تم تكوين مجال عنوان From كمجال مقبول.
  116 يتوافق سجل MX لمجال عنوان From مع سجل PTR (البحث العكسي) لعنوان IP المتصل.
  130 نتيجة ARC من ختم ARC موثوق به تتجاوز فشل DMARC.
2xx المصادقة الضمنية المرنة للرسالة (compauth=softpass).
  201 يتوافق سجل PTR لمجال عنوان From مع الشبكة الفرعية لسجل PTR لعنوان IP المتصل.
  202 يتوافق مجال العنوان From مع مجال سجل PTR لعنوان IP المتصل.
3xx لم يتم التحقق من الرسالة للمصادقة المركبة (compauth=none).
4xx تجاوزت الرسالة المصادقة المركبة (compauth=none).
501 لم يتم فرض DMARC. الرسالة عبارة عن تقرير غير تسليم صالح (يعرف أيضا باسم NDR أو رسالة ارتداد)، وتم إنشاء جهة اتصال بين المرسل والمستلم مسبقا.
502 لم يتم فرض DMARC. الرسالة هي NDR صالح لرسالة تم إرسالها من هذه المؤسسة.
6xx فشلت الرسالة في مصادقة البريد الإلكتروني الضمنية (compauth=fail).
  601 مجال الإرسال هو مجال مقبول في مؤسستك (انتحال ذاتي أو داخل المؤسسة).
7xx مرت الرسالة بالمصادقة الضمنية (compauth=pass).
  701-704 لم يتم فرض DMARC لأن هذه المؤسسة لديها تاريخ لتلقي رسائل شرعية من البنية الأساسية المرسلة.
9xx تجاوزت الرسالة المصادقة المركبة (compauth=none).
  905 لم يتم فرض DMARC بسبب التوجيه المعقد. على سبيل المثال، يتم توجيه رسائل الإنترنت من خلال بيئة Exchange محلية أو خدمة غير Microsoft قبل الوصول إلى Microsoft 365.
  • Last updated on