Hlavičky antispamových zpráv v cloudových organizacích

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete v tématu Vyzkoušení Microsoft Defender pro Office 365.

Ve všech organizacích s cloudovými poštovními schránkami Microsoft 365 kontroluje ve všech příchozích zprávách spam, malware a další hrozby. Výsledky těchto kontrol se přidají do následujících polí záhlaví ve zprávách:

• X-Forefront-Antispam-Report: Obsahuje informace o zprávě a o tom, jak byla zpracována.
• X-Microsoft-Antispam: Obsahuje další informace o hromadné poště a phishingu.
• Výsledky ověřování: Obsahuje informace o výsledcích ověřování e-mailů, včetně architektury SPF (Sender Policy Framework), DKIM (Domainkeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting and Conformance).

Tento článek popisuje, co je v těchto polích záhlaví dostupné.

Informace o tom, jak zobrazit záhlaví e-mailové zprávy v různých e-mailových klientech, najdete v článku Zobrazení záhlaví internetových zpráv v Outlooku.

Tip

Obsah záhlaví zprávy můžete zkopírovat a vložit do nástroje Analyzátor hlaviček zpráv . Tento nástroj pomáhá parsovat záhlaví do čitelnějšího formátu.

Pole záhlaví zprávy X-Forefront-Antispam-Report

Jakmile budete mít informace o záhlaví zprávy, vyhledejte záhlaví X-Forefront-Antispam-Report . V této hlavičce je několik dvojic polí a hodnot oddělených středníky (;). Příklady:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Jednotlivá pole a hodnoty jsou popsány v následující tabulce.

Poznámka

Hlavička X-Forefront-Antispam-Report obsahuje mnoho různých polí a hodnot. Pole, která nejsou popsaná v tabulce, používají výhradně antispamový tým Microsoftu pro diagnostické účely.

:-----	Popis
ARC	Protokol Authenticated Received Chain (ARC) obsahuje následující pole: AAR: Zaznamenává obsah hlavičky Authentication-results z DMARC. AMS: Obsahuje kryptografické podpisy zprávy. AS: Obsahuje kryptografické podpisy záhlaví zpráv. Toto pole obsahuje značku ověření řetězu s názvem "cv=", která zahrnuje výsledek ověření řetězu jako žádné, úspěšné nebo neúspěšné.
CAT:	Kategorie zásad hrozeb použitých na zprávu: AMP: Antimalwarový software BIMP: Zosobnění značky* BULK:Hromadné DIMP: Zosobnění domény* FTBP: Antimalwarový filtr běžných příloh GIMP: Zosobnění inteligentních poštovních schránek* HPHSH nebo HPHISH: Vysoce důvěryhodný útok phishing HSPM: Nevyžádaná pošta s vysokou spolehlivostí INTOS: Intra-Organization phishing MALW:Malware OSPM: Odchozí spam PHSH:Phishing SAP: Bezpečné přílohy* SPM:Spam SPOOF:Spoofing UIMP: Zosobnění uživatele* *Jenom Defender for Office 365. Příchozí zprávu může označit více forem ochrany a více detekčních kontrol. Zásady se použijí v pořadí podle priority a jako první se použije zásada s nejvyšší prioritou. Další informace najdete v tématu Jaké zásady platí, když se v e-mailu spustí více metod ochrany a kontrol detekce.
CIP:[IP address]	Připojující se IP adresa. Tuto IP adresu můžete použít v seznamu povolených IP adres nebo v seznamu blokovaných IP adres. Další informace najdete v tématu Konfigurace filtrování připojení.
CTRY	Zdrojová země nebo oblast určená připojující se IP adresou, která nemusí být stejná jako původní odesílající IP adresa.
DIR	Směrovost zprávy: INB: Příchozí zpráva. OUT: Odchozí zpráva. INT: Interní zpráva.
H:[helostring]	Řetězec HELO nebo EHLO připojujícího se e-mailového serveru.
IPV:CAL	Zpráva přeskočila filtrování spamu, protože zdrojová IP adresa byla v seznamu povolených IP adres. Další informace najdete v tématu Konfigurace filtrování připojení.
IPV:NLI	IP adresa nebyla nalezena v žádném seznamu reputace IP adres.
LANG	Jazyk, ve kterém byla zpráva napsána, jak je určeno kódem země (například ru_RU pro ruštinu).
PTR:[ReverseDNS]	Záznam PTR (označovaný také jako reverzní vyhledávání DNS) zdrojové IP adresy.
SCL	Úroveň spolehlivosti spamu (SCL) zprávy. Vyšší hodnota znamená, že zpráva s větší pravděpodobností bude spam. Další informace najdete v tématu Úroveň spolehlivosti spamu (SCL).
SFTY	Zpráva byla identifikována jako phishing a je také označena jednou z následujících hodnot: 9.19: Zosobnění domény. Odesílající doména se pokouší zosobnit chráněnou doménu. Bezpečnostní tip pro zosobnění domény se přidá do zprávy (pokud je zosobnění domény povolené). 9.20: Zosobnění uživatele. Odesílající uživatel se pokouší zosobnit uživatele v organizaci příjemce nebo chráněného uživatele zadaného v zásadách ochrany proti phishingu v Microsoft Defender pro Office 365. Do zprávy se přidá bezpečnostní tip pro zosobnění uživatele (pokud je zosobnění uživatele povolené). 9.25: Bezpečnostní hrot prvního kontaktu. Tato hodnota může značit podezřelou nebo phishingovou zprávu. Další informace najdete v tématu Bezpečnostní tip pro první kontakt.
SFV:BLK	Filtrování bylo vynecháno a zpráva byla zablokovaná, protože byla odeslána z adresy v seznamu blokovaných odesílatelů uživatele. Další informace o tom, jak můžou správci spravovat seznam blokovaných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty v cloudových poštovních schránkách.
SFV:NSPM	Filtrování spamu označilo zprávu jako nonspam a zpráva byla odeslána zamýšleným příjemcům.
SFV:SFE	Filtrování bylo vynecháno a zpráva byla povolena, protože byla odeslána z adresy v seznamu bezpečných odesílatelů uživatele. Další informace o tom, jak můžou správci spravovat seznam bezpečných odesílatelů uživatele, najdete v tématu Konfigurace nastavení nevyžádané pošty v cloudových poštovních schránkách.
SFV:SKA	Zpráva přeskočila filtrování spamu a byla doručena do složky Doručená pošta, protože odesílatel byl v seznamu povolených odesílatelů nebo povolených domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
SFV:SKB	Zpráva byla označena jako spam, protože odpovídala odesílateli v seznamu blokovaných odesílatelů nebo seznamu blokovaných domén v zásadách ochrany proti spamu. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
SFV:SKN	Zpráva byla před zpracováním filtrováním spamu označena jako nonspam. Například zpráva byla označena jako SCL -1 nebo Vynechat filtrování spamu pravidlem toku pošty.
SFV:SKQ	Zpráva byla uvolněna z karantény a byla odeslána zamýšleným příjemcům.
SFV:SKS	Zpráva byla před zpracováním filtrováním spamu označena jako spam. Například zpráva byla označena jako SCL 5 až 9 pravidlem toku pošty.
SFV:SPM	Zpráva byla označena jako spam filtrováním spamu.
SRV:BULK	Zpráva byla identifikována jako hromadný e-mail pomocí filtrování spamu a prahové hodnoty úrovně hromadné stížnosti (BCL). Pokud je On parametr MarkAsSpamBulkMail (ve výchozím nastavení zapnutý), hromadná e-mailová zpráva se označí jako spam (SCL 6). Další informace najdete v tématu Konfigurace zásad ochrany proti spamu.
X-CustomSpam: [ASFOption]	Zpráva odpovídala nastavení rozšířeného filtru spamu (ASF). Pokud chcete zobrazit hodnotu záhlaví X pro každé nastavení ASF, přečtěte si téma Nastavení rozšířeného filtru spamu (ASF) v zásadách ochrany proti spamu. Poznámka: ASF přidá X-CustomSpam:do zpráv po zpracování pravidel toku pošty Exchange (označovaných také jako pravidla přenosu) do zpráv záhlaví X. Pravidla toku pošty nemůžete použít k identifikaci zpráv filtrovaných pomocí ASF a k jejich zpracování.

Pole záhlaví zprávy X-Microsoft-Antispam

Následující tabulka popisuje užitečná pole v záhlaví zprávy X-Microsoft-Antispam . Ostatní pole v této hlavičce používá výhradně antispamový tým Microsoftu pro diagnostické účely.

:-----	Popis
BCL	Úroveň hromadné stížnosti (BCL) zprávy. Vyšší seznam BCL znamená, že hromadná e-mailová zpráva s větší pravděpodobností generuje stížnosti (a proto je pravděpodobnější, že se jedná o spam). Další informace najdete v tématu Úroveň hromadné stížnosti (BCL).

Hlavička zprávy s výsledky ověřování

Výsledky kontrol ověřování e-mailů pro SPF, DKIM a DMARC se zaznamenávají (orazítkují) v záhlaví zprávy s výsledky ověřování v příchozích zprávách. Hlavička Výsledky ověřování je definována v DOKUMENTU RFC 7001.

Následující seznam popisuje text přidaný do hlavičky Authentication-Results pro každý typ kontroly ověřování e-mailu:

• SPF používá následující syntaxi:

  spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
  

  Příklady:

  spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
  
  spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
  

• DKIM používá následující syntaxi:

  dkim=<pass|fail (reason)|none> header.d=<domain>
  

  Příklady:

  dkim=pass (signature was verified) header.d=contoso.com
  
  dkim=fail (body hash did not verify) header.d=contoso.com
  

• DMARC používá následující syntaxi:

  dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
  

  Příklady:

  dmarc=pass action=none header.from=contoso.com
  
  dmarc=bestguesspass action=none header.from=contoso.com
  
  dmarc=fail action=none header.from=contoso.com
  
  dmarc=fail action=oreject header.from=contoso.com
  

Pole záhlaví zpráv s výsledky ověřování

Následující tabulka popisuje pole a možné hodnoty pro každou kontrolu ověřování e-mailu.

:-----	Popis
action	Označuje akci prováděnou filtrem spamu na základě výsledků kontroly DMARC. Příklady: pct.quarantine: Označuje, že procento méně než 100 % zpráv, které neprojdou DMARC, je přesto doručeno. Tento výsledek znamená, že zpráva selhala DMARC a zásada DMARC byla nastavena na p=quarantine. Pole pct ale nebylo nastavené na 100 % a systém náhodně zjistil, že se akce DMARC nepoužije podle zásad DMARC zadané domény. pct.reject: Označuje, že procento méně než 100 % zpráv, které neprojdou DMARC, je přesto doručeno. Tento výsledek znamená, že zpráva selhala DMARC a zásada DMARC byla nastavena na p=reject. Pole pct ale nebylo nastaveno na 100 % a systém náhodně zjistil, že se akce DMARC nepoužije podle zásad DMARC zadané domény. permerror: Během vyhodnocování DMARC došlo k trvalé chybě, například k nesprávně vytvořenému záznamu TXT DMARC v DNS. Opětovné odeslání této zprávy pravděpodobně nebude mít jiný výsledek. Místo toho možná budete muset kontaktovat vlastníka domény, aby se problém vyřešil. temperror: Během vyhodnocování DMARC došlo k dočasné chybě. Pokud odesílatel zprávu odešle později, může být správně zpracována.
compauth	Výsledek složené ověřování Microsoft 365 kombinuje různé typy ověřování (SPF, DKIM a DMARC) a další části zprávy a zjišťuje, jestli je zpráva ověřená. Používá doménu From: jako základ vyhodnocení. Poznámka: I přes compauth selhání může být zpráva stále povolená, pokud jiná hodnocení nenaznačují podezřelou povahu.
dkim	Popisuje výsledky kontroly DKIM pro zprávu. Mezi možné hodnoty patří: pass: Označuje kontrolu DKIM pro předanou zprávu. selhání (důvod): Označuje, že kontrola DKIM pro zprávu selhala a proč. Například pokud zpráva nebyla podepsána nebo podpis nebyl ověřen. none: Označuje, že zpráva nebyla podepsána. Tento výsledek může nebo nemusí znamenat, že doména má záznam DKIM nebo že se záznam DKIM nevyhodnocuje jako výsledek.
dmarc	Popisuje výsledky kontroly DMARC pro zprávu. Mezi možné hodnoty patří: pass: Označuje kontrolu DMARC pro předanou zprávu. selhání: Označuje, že kontrola DMARC zprávu selhala. bestguesspass: Označuje, že pro doménu neexistuje žádný záznam TXT DMARC. Pokud by doména měla záznam TXT DMARC, kontrola DMARC by zprávu prošla. none: Označuje, že pro odesílající doménu v DNS neexistuje žádný záznam TXT DMARC.
header.d	Doména identifikovaná v podpisu DKIM, pokud existuje. Tato doména se dotazuje na veřejný klíč.
header.from	Doména adresy Odesílatele v záhlaví e-mailové zprávy (označovaná 5322.From také jako adresa nebo odesílatel P2). Příjemce uvidí v e-mailových klientech adresu Odesílatele.
reason	Důvod, proč složené ověřování proběhlo nebo selhalo Hodnota je třímístný kód. Další informace najdete v části Kódy důvodů složeného ověřování .
smtp.mailfrom	Doména adresy MAIL FROM (označovaná také jako 5321.MailFrom adresa, odesílatel P1 nebo odesílatel obálky). Tato e-mailová adresa se používá pro oznámení o nedoručení (označovaná také jako oznámení o nedoručení nebo nedoručitelnosti).
spf	Popisuje výsledky kontroly SPF pro zprávu (jestli je zdroj zprávy zahrnutý v záznamu SPF pro doménu). Mezi možné hodnoty patří: pass (IP address): Zdroj zpráv je součástí záznamu SPF pro doménu. Zdroj má oprávnění odesílat nebo předávat e-maily pro doménu. fail (IP address): Označuje se také jako těžké selhání. Zdroj zpráv není součástí záznamu SPF pro doménu a doména dává cílovému e-mailovému systému pokyn, aby zprávu odmítl (-all). softfail (reason): Označuje se také jako měkké selhání. Zdroj zpráv není součástí záznamu SPF pro doménu a doména dává cílovému e-mailovému systému pokyn, aby zprávu přijal a označil (~all). neutral: Zdroj zprávy není součástí záznamu SPF pro doménu a doména nenabízí cílovému cíli žádné konkrétní pokyny pro zprávu (?all). none: Doména nemá záznam SPF nebo se záznam SPF nevyhodnotí jako výsledek. temperror: Došlo k dočasné chybě. Například chyba DNS. Stejná kontrola může být později úspěšná. permerror: Došlo k trvalé chybě. Doména má například špatně formátovaný záznam SPF.

Kódy důvodů složeného ověřování

Následující tabulka popisuje tříciferné reason kódy použité s compauth výsledky.

Tip

Další informace o výsledcích ověřování e-mailů a o tom, jak opravit selhání, najdete v průvodci operacemi zabezpečení pro ověřování e-mailů v Microsoftu 365.

Kód důvodu	Popis
000	Zpráva selhala při explicitním ověření (compauth=fail). Zpráva přijala selhání DMARC a akce zásad DMARC je p=quarantine nebo p=reject.
001	Zpráva selhala při implicitní ověřování (compauth=fail). Odesílající doména neměla publikované záznamy ověřování e-mailů, nebo pokud ano, měla slabší zásady selhání (SPF ~all nebo ?all, nebo zásady DMARC pro p=none).
002	Organizace má zásadu pro pár odesílatel/doména, která má explicitně zakázáno odesílat zfalšované e-maily. Správce toto nastavení nakonfiguruje ručně.
010	Zpráva selhala v DMARC, akce zásad DMARC je p=reject nebo p=quarantinea odesílající doména je jedna z domén, které vaše organizace akceptuje (falšování identity v rámci organizace nebo self-to-self).
1xx	Zpráva prošla explicitním nebo implicitním ověřováním (compauth=pass).
100	SPF byl předán nebo předán DKIM a domény v adresách MAIL FROM a From jsou zarovnané.
101	Zpráva byla DKIM podepsána doménou použitou v adrese Od.
102	Domény MAIL FROM a From address byly zarovnané a SPF byly předány.
103	Doména adresy From odpovídá záznamu DNS PTR (zpětné vyhledávání) přidruženému ke zdrojové IP adrese.
104	Záznam DNS PTR (zpětné vyhledávání) přidružený ke zdrojové IP adrese odpovídá doméně adresy Od.
108	DKIM selhal kvůli úpravě textu zprávy připisované předchozím legitimním směrováním. Text zprávy se například změnil v místním e-mailovém prostředí organizace.
109	Přestože doména odesílatele nemá žádný záznam DMARC, zpráva by přesto prošla.
111	Bez ohledu na dočasnou nebo trvalou chybu DMARC se doména SPF nebo DKIM shoduje s doménou adresy Od.
112	Vypršení časového limitu DNS zabránilo načtení záznamu DMARC.
115	Zpráva byla odeslána z organizace Microsoft 365, kde je doména adresy Odesílatele nakonfigurovaná jako akceptovaná doména.
116	Záznam MX pro doménu adresy From odpovídá záznamu PTR (zpětné vyhledávání) připojující se IP adresy.
130	Výsledek ARC z důvěryhodného těsnicího nástroje ARC přehluší selhání DMARC.
2xx	Zpráva soft-předané implicitní ověřování (compauth=softpass).
201	Záznam PTR pro doménu adresy From odpovídá podsíti záznamu PTR pro připojující se IP adresu.
202	Doména adresy From odpovídá doméně záznamu PTR pro připojující se IP adresu.
3xx	Zpráva nebyla zkontrolována pro složené ověřování (compauth=none).
4xx	Zpráva vynechala složené ověřování (compauth=none).
501	DMARC se nevynucuje. Zpráva je platná zpráva o nedoručení (označovaná také jako oznámení o nedoručení nebo nedoručitelnosti) a kontakt mezi odesílatelem a příjemcem byl dříve navázán.
502	DMARC se nevynucuje. Zpráva je platné oznámení o nedoručení pro zprávu odeslanou z této organizace.
6xx	Zpráva selhala při implicitní ověřování e-mailu (compauth=fail).
601	Odesílající doména je ve vaší organizaci akceptovaná doména (falšování identity v rámci organizace).
7xx	Zpráva prošla implicitní ověřování (compauth=pass).
701-704	DMARC se nevynucoval, protože tato organizace má historii přijímání legitimních zpráv z odesílající infrastruktury.
9xx	Zpráva vynechala složené ověřování (compauth=none).
905	DMARC se nevynucuje kvůli složitému směrování. Internetové zprávy se například před připojením k Microsoftu 365 směrují přes místní prostředí Exchange nebo službu jiné společnosti než Microsoft.