Sdílet prostřednictvím

Hlavičky antispamových zpráv v Microsoftu 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Ve všech organizacích Microsoft 365 kontroluje Exchange Online Protection (EOP) ve všech příchozích zprávách spam, malware a další hrozby. Výsledky těchto kontrol se přidají do následujících polí záhlaví ve zprávách:

  • X-Forefront-Antispam-Report: Obsahuje informace o zprávě a o tom, jak byla zpracována.
  • X-Microsoft-Antispam: Obsahuje další informace o hromadné poště a phishingu.
  • Výsledky ověřování: Obsahuje informace o výsledcích ověřování SPF, DKIM a DMARC (e-mailové ověřování).

Tento článek popisuje, co je v těchto polích záhlaví dostupné.

Informace o tom, jak zobrazit záhlaví e-mailové zprávy v různých e-mailových klientech, najdete v článku Zobrazení záhlaví internetových zpráv v Outlooku.

Tip

Obsah záhlaví zprávy můžete zkopírovat a vložit do nástroje Analyzátor hlaviček zpráv . Tento nástroj pomáhá analyzovat záhlaví a dát je do čitelnějšího formátu.

Pole záhlaví zprávy X-Forefront-Antispam-Report

Jakmile budete mít informace o záhlaví zprávy, vyhledejte záhlaví X-Forefront-Antispam-Report . V této hlavičce je několik dvojic polí a hodnot oddělených středníky (;). Příklady:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Jednotlivá pole a hodnoty jsou popsány v následující tabulce.

Poznámka

Hlavička X-Forefront-Antispam-Report obsahuje mnoho různých polí a hodnot. Pole, která nejsou popsaná v tabulce, používají výhradně antispamový tým Microsoftu pro diagnostické účely.

:----- Popis
ARC Protokol ARC obsahuje následující pole:
  • AAR: Zaznamenává obsah hlavičky Authentication-results z DMARC.
  • AMS: Obsahuje kryptografické podpisy zprávy.
  • AS: Obsahuje kryptografické podpisy záhlaví zpráv. Toto pole obsahuje značku ověření řetězu s názvem "cv=", která zahrnuje výsledek ověření řetězu jako žádné, úspěšné nebo neúspěšné.
CAT: Kategorie zásad ochrany, která se použije pro zprávu:
  • AMP: Antimalwarový software
  • BIMP: Zosobnění značky*
  • BULK:Množství
  • DIMP: Zosobnění domény*
  • FTBP: Antimalwarový filtr běžných příloh
  • GIMP: Zosobnění inteligentních poštovních schránek*
  • HPHSH nebo HPHISH: Vysoce důvěryhodný útok phishing
  • HSPM: Nevyžádaná pošta s vysokou spolehlivostí
  • INTOS: Intra-Organization phishing
  • MALW:Malware
  • OSPM: Odchozí spam
  • PHSH: Útok phishing
  • SAP: Bezpečné přílohy*
  • SPM:Spam
  • SPOOF:Spoofing
  • UIMP: Zosobnění uživatele*

*pouze Defender pro Office 365.

Příchozí zpráva může být označena několika formami ochrany a několika detekčními kontrolami. Zásady se použijí v pořadí podle priority a jako první se použije zásada s nejvyšší prioritou. Další informace najdete v tématu Jaké zásady platí, když se v e-mailu spustí více metod ochrany a kontrol detekce.
CIP:[IP address] Připojující se IP adresa. Tuto IP adresu můžete použít v seznamu povolených IP adres nebo v seznamu blokovaných IP adres. Další informace najdete v tématu Konfigurace filtrování připojení.
CTRY Zdrojová země nebo oblast určená připojující se IP adresou, která nemusí být stejná jako původní odesílající IP adresa.
DIR Směrovost zprávy:
  • INB: Příchozí zpráva.
  • OUT: Odchozí zpráva.
  • INT: Interní zpráva.
H:[helostring] Řetězec HELO nebo EHLO připojujícího se e-mailového serveru.
IPV:CAL Zpráva přeskočila filtrování spamu, protože zdrojová IP adresa byla v seznamu povolených IP adres. Další informace najdete v tématu Konfigurace filtrování připojení.
IPV:NLI IP adresa nebyla nalezena v žádném seznamu reputace IP adres.
LANG Jazyk, ve kterém byla zpráva napsána, jak je určeno kódem země (například ru_RU pro ruštinu).
PTR:[ReverseDNS] Záznam PTR (označovaný také jako reverzní vyhledávání DNS) zdrojové IP adresy.
SCL Úroveň spolehlivosti spamu (SCL) zprávy. Vyšší hodnota znamená, že zpráva s větší pravděpodobností bude spam. Další informace najdete v tématu Úroveň spolehlivosti spamu (SCL).
SFTY Zpráva byla identifikována jako phishing a je také označena jednou z následujících hodnot:
SFV:BLK Filtrování bylo vynecháno a zpráva byla zablokovaná, protože byla odeslána z adresy v seznamu blokovaných odesílatelů uživatele.

Další informace o tom, jak můžou správci spravovat seznam blokovaných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.
SFV:NSPM Filtrování spamu označilo zprávu jako nonspam a zpráva byla odeslána zamýšleným příjemcům.
SFV:SFE Filtrování bylo vynecháno a zpráva byla povolena, protože byla odeslána z adresy v seznamu bezpečných odesílatelů uživatele.

Další informace o tom, jak můžou správci spravovat seznam bezpečných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty u Exchange Online poštovních schránek.
SFV:SKA Zpráva přeskočila filtrování spamu a byla doručena do složky Doručená pošta, protože odesílatel byl v seznamu povolených odesílatelů nebo povolených domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
SFV:SKB Zpráva byla označena jako spam, protože odpovídala odesílateli v seznamu blokovaných odesílatelů nebo seznamu blokovaných domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
SFV:SKN Zpráva byla před zpracováním filtrováním spamu označena jako nonspam. Například zpráva byla označena jako SCL -1 nebo Vynechat filtrování spamu pravidlem toku pošty.
SFV:SKQ Zpráva byla uvolněna z karantény a byla odeslána zamýšleným příjemcům.
SFV:SKS Zpráva byla před zpracováním filtrováním spamu označena jako spam. Například zpráva byla označena jako SCL 5 až 9 pravidlem toku pošty.
SFV:SPM Zpráva byla označena jako spam filtrováním spamu.
SRV:BULK Zpráva byla identifikována jako hromadný e-mail pomocí filtrování spamu a prahové hodnoty úrovně hromadné stížnosti (BCL). Pokud je On parametr MarkAsSpamBulkMail (ve výchozím nastavení zapnutý), hromadná e-mailová zpráva se označí jako spam (SCL 6). Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
X-CustomSpam: [ASFOption] Zpráva odpovídala nastavení rozšířeného filtru spamu (ASF). Pokud chcete zobrazit hodnotu záhlaví X pro každé nastavení ASF, přečtěte si téma Nastavení rozšířeného filtru spamu (ASF).

Poznámka: ASF přidá X-CustomSpam: do zpráv pole záhlaví X poté , co byly zprávy zpracovány pravidly toku pošty Exchange (označované také jako pravidla přenosu), takže nemůžete použít pravidla toku pošty k identifikaci a zpracování zpráv filtrovaných pomocí ASF.

Pole záhlaví zprávy X-Microsoft-Antispam

Následující tabulka popisuje užitečná pole v záhlaví zprávy X-Microsoft-Antispam . Ostatní pole v této hlavičce používá výhradně antispamový tým Microsoftu pro diagnostické účely.

:----- Popis
BCL Úroveň hromadné stížnosti (BCL) zprávy. Vyšší seznam BCL znamená, že hromadná e-mailová zpráva s větší pravděpodobností generuje stížnosti (a proto je pravděpodobnější, že se jedná o spam). Další informace najdete v tématu Úroveň hromadné stížnosti (BCL) v EOP.

Hlavička zprávy s výsledky ověřování

Výsledky kontrol ověřování e-mailů pro SPF, DKIM a DMARC se zaznamenávají (orazítkují) v záhlaví zprávy s výsledky ověřování v příchozích zprávách. Hlavička Výsledky ověřování je definována v DOKUMENTU RFC 7001.

Následující seznam popisuje text přidaný do hlavičky Authentication-Results pro každý typ kontroly ověřování e-mailu:

  • SPF používá následující syntaxi:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Příklady:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM používá následující syntaxi:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Příklady:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC používá následující syntaxi:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Příklady:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Pole záhlaví zpráv s výsledky ověřování

Následující tabulka popisuje pole a možné hodnoty pro každou kontrolu ověřování e-mailu.

:----- Popis
action Označuje akci prováděnou filtrem spamu na základě výsledků kontroly DMARC. Příklady:
  • pct.quarantine: Označuje, že procento méně než 100 % zpráv, které neprojdou DMARC, je přesto doručeno. Tento výsledek znamená, že zpráva selhala DMARC a zásada DMARC byla nastavena na p=quarantine. Pole pct ale nebylo nastavené na 100 % a systém náhodně zjistil, že se akce DMARC nepoužije podle zásad DMARC zadané domény.
  • pct.reject: Označuje, že procento méně než 100 % zpráv, které neprojdou DMARC, je přesto doručeno. Tento výsledek znamená, že zpráva selhala DMARC a zásada DMARC byla nastavena na p=reject. Pole pct ale nebylo nastaveno na 100 % a systém náhodně zjistil, že se akce DMARC nepoužije podle zásad DMARC zadané domény.
  • permerror: Během vyhodnocování DMARC došlo k trvalé chybě, například k nesprávně vytvořenému záznamu TXT DMARC v DNS. Pokus o opětovné odeslání této zprávy pravděpodobně neskončí jiným výsledkem. Místo toho možná budete muset kontaktovat vlastníka domény, aby se problém vyřešil.
  • temperror: Během vyhodnocování DMARC došlo k dočasné chybě. Možná budete moct požádat odesílatele, aby zprávu později znovu odeslal, aby e-mail správně zpracovál.
compauth Výsledek složené ověřování Používá microsoft 365 ke kombinování více typů ověřování (SPF, DKIM a DMARC) nebo jakékoli jiné části zprávy k určení, jestli je zpráva ověřená. Používá doménu From: jako základ vyhodnocení. Poznámka: I přes compauth selhání může být zpráva stále povolená, pokud jiná hodnocení nenaznačují podezřelou povahu.
dkim Popisuje výsledky kontroly DKIM pro zprávu. Mezi možné hodnoty patří:
  • pass: Označuje kontrolu DKIM pro předanou zprávu.
  • selhání (důvod): Označuje, že kontrola DKIM pro zprávu selhala a proč. Například pokud zpráva nebyla podepsána nebo podpis nebyl ověřen.
  • none: Označuje, že zpráva nebyla podepsána. Tento výsledek může nebo nemusí znamenat, že doména má záznam DKIM nebo že se záznam DKIM nevyhodnocuje jako výsledek.
dmarc Popisuje výsledky kontroly DMARC pro zprávu. Mezi možné hodnoty patří:
  • pass: Označuje kontrolu DMARC pro předanou zprávu.
  • selhání: Označuje, že kontrola DMARC zprávu selhala.
  • bestguesspass: Označuje, že pro doménu neexistuje žádný záznam TXT DMARC. Pokud by doména měla záznam TXT DMARC, kontrola DMARC pro zprávu by byla úspěšná.
  • none: Označuje, že pro odesílající doménu v DNS neexistuje žádný záznam TXT DMARC.
header.d Doména identifikovaná v podpisu DKIM, pokud existuje. Jedná se o doménu, která se dotazuje na veřejný klíč.
header.from Doména 5322.From adresy v záhlaví e-mailové zprávy (označuje se také jako adresa odesílatele nebo odesílatel P2). Příjemce uvidí v e-mailových klientech adresu Odesílatele.
reason Důvod, proč složené ověřování proběhlo úspěšně nebo selhalo Hodnota je třímístný kód. Příklady:
  • 000: Zpráva selhala explicitní ověřování (compauth=fail). Například zpráva obdržela selhání DMARC a akce zásad DMARC je p=quarantine nebo p=reject.
  • 001: Zpráva selhala implicitní ověřování (compauth=fail). Tento výsledek znamená, že odesílající doména neměla publikované záznamy ověřování e-mailů, nebo pokud ano, měla slabší zásady selhání (SPF ~all nebo ?all, nebo zásady DMARC ).p=none
  • 002: Organizace má zásadu pro dvojici odesílatel/doména, u které je explicitně zakázáno odesílat zfalšované e-maily. Správce toto nastavení nakonfiguruje ručně.
  • 010: Zpráva selhala ve službě DMARC, akce zásad DMARC je p=reject nebo p=quarantinea odesílající doména je jedna z domén, které vaše organizace akceptuje (falšování identity v rámci organizace).
  • 1xx nebo 7xx: Zpráva prošla ověřováním (compauth=pass). Poslední dvě číslice jsou interní kódy používané Microsoftem 365. Hodnota 130 označuje, že zpráva prošla ověřováním a výsledek ARC byl použit k přepsání selhání DMARC.
  • 2xx: Zpráva soft-passed implicitní ověřování (compauth=softpass). Poslední dvě číslice jsou interní kódy používané Microsoftem 365.
  • 3xx: Zpráva nebyla zkontrolována pro složené ověřování (compauth=none).
  • 4xx nebo 9xx: Zpráva obchází složené ověřování (compauth=none). Poslední dvě číslice jsou interní kódy používané Microsoftem 365.
  • 6xx: Zpráva selhala při implicitním ověření e-mailu a doména pro odesílání je jednou z domén, které vaše organizace akceptuje (falšování identity v rámci organizace nebo v rámci organizace).
smtp.mailfrom Doména 5321.MailFrom adresy (označuje se také jako adresa MAIL FROM, odesílatel P1 nebo odesílatel obálky). Tato e-mailová adresa se používá pro oznámení o nedoručení (označovaná také jako oznámení o nedoručení nebo nedoručitelnosti).
spf Popisuje výsledky kontroly SPF pro zprávu. Mezi možné hodnoty patří:
  • pass (IP address): SPF zkontroluje předanou zprávu a obsahuje IP adresu odesílatele. Klient má oprávnění odesílat nebo předávat e-maily jménem domény odesílatele.
  • fail (IP address): Kontrola SPF zprávy se nezdařila a obsahuje IP adresu odesílatele. Tento výsledek se někdy označuje jako tvrdé selhání.
  • softfail (reason): Záznam SPF určil, že hostitel nemůže odesílat, ale je v přechodu.
  • neutral: Záznam SPF explicitně uvádí, že neuvádí, jestli je IP adresa oprávněná k odeslání.
  • none: Doména nemá záznam SPF nebo se záznam SPF nevyhodnotí jako výsledek.
  • temperror: Došlo k dočasné chybě. Například chyba DNS. Stejná kontrola může být později úspěšná.
  • permerror: Došlo k trvalé chybě. Doména má například špatně formátovaný záznam SPF.