Teilen über

Antispam-Nachrichtenkopfzeilen in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In allen Microsoft 365-Organisationen überprüft Exchange Online Protection (EOP) alle eingehenden Nachrichten auf Spam, Malware und andere Bedrohungen. Die Ergebnisse dieser Scans werden den folgenden Kopfzeilenfeldern in Nachrichten hinzugefügt:

  • X-Forefront-Antispam-Report: enthält Informationen zur Nachricht und ihrer Verarbeitung.
  • X-Microsoft-Antispam: liefert zusätzliche Informationen über Massensendungen und Phishing.
  • Authentifizierungsergebnisse: enthält Informationen zu den Ergebnissen von SPF, DKIM und DMARC (E-Mail-Authentifizierung).

In diesem Artikel wird beschrieben, was in diesen Kopfzeilenfeldern verfügbar ist.

Informationen dazu, wie Sie einen E-Mail-Nachrichtenkopf in verschiedenen E-Mail-Clients anzeigen, finden Sie unter Anzeigen von Internet Nachrichtenkopfzeilen in Outlook.

Tipp

Sie können den Inhalt einer Nachrichtenkopfzeile kopieren und in das Tool Nachrichtenkopfanalyse einfügen. Mit diesem Tool können Sie Kopfzeilen analysieren und in ein besser lesbares Format umwandeln.

Felder der Nachrichtenkopfzeile X-Forefront-Antispam-Report

Wenn Sie die Nachrichtenheader-Informationen haben, suchen Sie nach dem X-Forefront-Antispam-Report-Header. Dieser Header enthält mehrere Feld- und Wertpaare, die durch Semikolons (;). Zum Beispiel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Die einzelnen Felder und Werte werden in der folgenden Tabelle beschrieben.

Hinweis

Die X-Forefront-Antispam-Report-Kopfzeile enthält viele verschiedene Kopfzeilenfelder und Werte. Felder, die nicht in der Tabelle beschrieben werden, werden ausschließlich vom Microsoft-Antispamteam zu Diagnosezwecken verwendet.

Feld Beschreibung
ARC Das ARC-Protokoll weist die folgenden Felder auf:
  • AAR: Zeichnet den Inhalt der Authentifizierungsergebnis-Kopfzeile aus DMARC auf.
  • AMS: Enthält kryptographische Signaturen der Nachrichten.
  • AS: Enthält kryptographische Signaturen der Nachrichtenkopfzeilen. Dieses Feld enthält ein Tag einer Kettenüberprüfung mit der Bezeichnung "cv=", das das Ergebnis der Kettenüberprüfung in Form von kein, bestanden oder fehlgeschlagen enthält.
CAT: Die Kategorie der Schutzrichtlinie, die auf die Nachricht angewendet wird:
  • AMP: Antischadsoftware
  • BIMP: Markenidentitätswechsel*
  • BULK: Massensendung
  • DIMP: Domänenidentitätswechsel*
  • FTBP: Antischadsoftware-Filter für allgemeine Anlagen
  • GIMP: Identitätswechsel der Postfachintelligenz*
  • HPHSH oder HPHISH: Hohe Phishingwahrscheinlichkeit
  • HSPM: Hohe Spamwahrscheinlichkeit
  • INTOS: Intra-Organization Phishing
  • MALW: Schadsoftware
  • OSPM: Ausgehende Spamnachricht
  • PHSH: Phishing
  • SAP: Sichere Anlagen*
  • SPM: Spam
  • SPOOF: Spoofing
  • UIMP: Benutzeridentitätswechsel*

*Nur Defender for Office 365.

Eine eingehende Nachricht kann durch mehrere Formen des Schutzes und mehrere Erkennungsscans gekennzeichnet werden. Richtlinien werden in der Reihenfolge der Rangfolge angewendet, und die Richtlinie mit der höchsten Priorität wird zuerst angewendet. Weitere Informationen finden Sie unter Welche Richtlinie gilt, wenn mehrere Schutzmethoden und Erkennungsscans für Ihre E-Mails ausgeführt werden?
CIP:[IP address] Die IP-Verbindungsadresse. Sie können diese IP-Adresse in der Liste der zugelassenen IP-Adressen oder in der IP-Sperrliste verwenden. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter.
CTRY Das Quellland/die Quellregion, das/die durch die VERBINDUNGS-IP-Adresse bestimmt wird, die möglicherweise nicht mit der ursprünglich gesendeten IP-Adresse identisch ist.
DIR Die Directionality der Nachricht:
  • INB: Eingehende Nachricht.
  • OUT: Ausgehende Nachricht.
  • INT: Interne Nachricht.
H:[helostring] Die HELO- oder EHLO-Zeichenfolge des verbindenden E-Mail-Servers.
IPV:CAL Die Nachricht wurde von der Spamfilterung übersprungen, da sich die IP-Quelladresse in der Liste der zugelassenen IP-Adressen befand. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter.
IPV:NLI Die IP-Adresse wurde in keiner IP-Zuverlässigkeitsliste gefunden.
LANG Die Sprache, in der die Nachricht geschrieben wurde, wie durch den Ländercode angegeben (z. B. ru_RU für Russisch).
PTR:[ReverseDNS] Der PTR-Eintrag (auch bekannt als Reverse-DNS-Lookup) der Quell-IP-Adresse.
SCL Die SCL-Bewertung (Spam Confidence Level) der Nachricht. Ein höherer Wert gibt an, dass die Nachricht mit größerer Wahrscheinlichkeit Spam ist. Weitere Informationen finden Sie unter SCL-Bewertungen (Spam Confidence Level).
SFTY Die Nachricht wurde als Phishing identifiziert und ist auch mit einem der folgenden Werte gekennzeichnet:
  • 9.19:Domänenidentitätswechsel. Die sendende Domäne versucht, die Identität einer geschützten Domäne anzunehmen. Der Sicherheitstipp für Domänenidentitätswechsel wird der Nachricht (sofern aktiviert) hinzugefügt.
  • 9.20: Benutzeridentitätswechsel. Der sendende Benutzer versucht, sich als Benutzer in der Organisation des Empfängers oder als ein geschützter Benutzer auszugeben, der in einer Anti-Phishing-Richtlinie in Microsoft Defender für Office 365 angegeben ist. Der Sicherheitstipp für Benutzeridentitätswechsel wird der Nachricht (sofern aktiviert) hinzugefügt.
  • 9.25: Sicherheitstipp für den ersten Kontakt. Dieser Wert könnte ein Hinweis auf eine verdächtige oder Phishing-Nachricht sein. Weitere Informationen finden Sie unter Sicherheitstipps für den ersten Kontakt.
SFV:BLK Die Filterung wurde übersprungen, und die Nachricht wurde blockiert, da sie von einem Absender stammt, der sich in der Liste mit blockierten Absendern des Benutzers befindet.

Weitere Informationen dazu, wie Administratoren die Liste blockierter Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer.
SFV:NSPM Die Spamfilterung markierte die Nachricht als nichtspam, und die Nachricht wurde an die vorgesehenen Empfänger gesendet.
SFV:SFE Die Filterung wurde übersprungen und die Nachricht wurde zugelassen, da sie von einer Adresse stammt, die sich in der Liste der sicheren Absender des Benutzers befindet.

Weitere Informationen dazu, wie Administratoren die Liste sicherer Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer.
SFV:SKA Die Nachricht wurde von der Spamfilterung übersprungen und an den Posteingang übermittelt, da sich der Absender in der Liste der zulässigen Absender oder in der Liste der zulässigen Domänen in einer Antispamrichtlinie befand. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
SFV:SKB Die Nachricht wurde als Spam gekennzeichnet, da sie einem Sender in der Liste der blockierten Absender oder in der Liste der blockierten Domänen in einer Antispamrichtlinie entsprach. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
SFV:SKN Die Nachricht wurde vor der Verarbeitung durch Spamfilterung als nichtspam gekennzeichnet. Die Nachricht wurde durch eine Nachrichtenflussregel z. B. als SCL-1 oder Spamfilter umgehen markiert.
SFV:SKQ Die Nachricht wurde aus der Quarantäne freigegeben und an die vorgesehenen Empfänger gesendet.
SFV:SKS Die Nachricht wurde vor der Verarbeitung durch Spamfilterung als Spam gekennzeichnet. Die Nachricht wurde beispielsweise durch eine Nachrichtenflussregel als SCL-5 bis 9 markiert.
SFV:SPM Die Nachricht wurde vom Spamfilter als Spam markiert.
SRV:BULK Die Nachricht wurde von der Spamfilterung und durch den BCL-Schwellenwert (Bulk Complaint Level) als Massen-E-Mail erkannt. Wenn der MarkAsSpamBulkMail -Parameter On (standardmäßig aktiviert) ist, wird eine Massen-E-Mail-Nachricht als Spam (SCL 6) markiert. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
X-CustomSpam: [ASFOption] Die Nachricht stimmte mit einer erweiterten Einstellung für Spamfilter (AFL) überein. Informationen zum Anzeigen des X-Header-Werts für jede ASF-Einstellung finden Sie unter Erweiterte Einstellungen für Spamfilter (ASF).

Hinweis: ASF fügt X-CustomSpam: Nachrichten X-Header-Felder hinzu, nachdem die Nachrichten von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verarbeitet wurden, sodass Sie nachrichtenflussregeln nicht verwenden können, um Nachrichten zu identifizieren und darauf zu reagieren, die von ASF gefiltert wurden.

Felder der Nachrichtenkopfzeile X-Microsoft-Antispam

In der folgenden Tabelle werden nützliche Felder im X-Microsoft-Antispam-Nachrichtenheader beschrieben. Andere Felder in diesem Header werden ausschließlich vom Antispamteam von Microsoft zu Diagnosezwecken verwendet.

Feld Beschreibung
BCL Das Massenbeschwerdeniveau (Bulk Complaint Level, BCL) der Nachricht. Ein höheres BCL-Niveau zeigt an, dass eine als Massensendung gesendete E-Mail mit größerer Wahrscheinlichkeit zu Beschwerden führen wird (und daher eher als Spam einzustufen ist). Weitere Informationen finden Sie unter Massenbeschwerdegrad (BCL) in EOP.

Nachrichtenkopfzeile „Authentication-results“

Die Ergebnisse der E-Mail-Authentifizierungsüberprüfung für SPF, DKIM und DMARC werden in eingehende Nachrichten in der Nachrichtenkopfzeile Authentifizierungsergebnisse aufgezeichnet. Der Header Authentication-results ist in RFC 7001 definiert.

Die folgende Liste beschreibt den Text, der der Kopfzeile Authentifizierungsergebnisse für jede Art der E-Mail-Authentifizierungsprüfung hinzugefügt wird:

  • SPF verwendet die folgende Syntax:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Zum Beispiel:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM verwendet die folgende Syntax:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Zum Beispiel:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC verwendet die folgende Syntax:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Zum Beispiel:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Nachrichtenkopfzeilenfelder “Authentifizierungsergebnisse”

In der folgenden Tabelle werden die Felder und die möglichen Werte für jede E-Mail-Authentifizierungsprüfung beschrieben.

Feld Beschreibung
action Gibt die Aktion an, die vom Spamfilter basierend auf den Ergebnissen der DMARC-Prüfung ausgeführt wird. Zum Beispiel:
  • pct.quarantine: Gibt an, dass ein Prozentsatz, der weniger als 100 % der Nachrichten, die DMARC nicht bestehen, trotzdem übermittelt wird. Dies bedeutet, dass die Nachricht dmarc fehlgeschlagen ist und die DMARC-Richtlinie auf p=quarantinefestgelegt wurde. Das Feld pct wurde jedoch nicht auf 100 % festgelegt, und das System hat nach dem Zufallsprinzip ermittelt, dass die DMARC-Aktion nicht gemäß der DMARC-Richtlinie der angegebenen Domäne angewendet wird.
  • pct.reject: Gibt an, dass ein Prozentsatz, der weniger als 100 % der Nachrichten, die DMARC nicht bestehen, trotzdem übermittelt wird. Dies bedeutet, dass die Nachricht dmarc fehlgeschlagen ist und die DMARC-Richtlinie auf p=rejectfestgelegt wurde. Das Pct-Feld wurde jedoch nicht auf 100 % festgelegt, und das System hat zufällig ermittelt, dass die DMARC-Aktion nicht gemäß der DMARC-Richtlinie der angegebenen Domäne angewendet wird.
  • permerror: Bei der DMARC-Auswertung ist ein dauerhafter Fehler aufgetreten, z. B. beim Auftreten eines falsch formatierten DMARC TXT-Eintrags im DNS. Der Versuch, die Nachricht erneut zu senden, wird höchstwahrscheinlich kein anderes Ergebnis liefern. Stattdessen müssen Sie sich möglicherweise an den Besitzer der Domäne wenden, um das Problem zu beheben.
  • temperror: Während der DMARC-Auswertung ist ein temporärer Fehler aufgetreten. Möglicherweise können Sie anfordern, dass der Absender die Nachricht später erneut sendet, um die E-Mail ordnungsgemäß zu verarbeiten.
compauth Ergebnis der zusammengesetzten Authentifizierung. Wird von Microsoft 365 verwendet, um mehrere Authentifizierungstypen (SPF, DKIM und DMARC) oder einen anderen Teil der Nachricht zu kombinieren, um zu bestimmen, ob die Nachricht authentifiziert ist. Verwendet die "From:"-Domäne als Grundlage für die Prüfung. Hinweis: Trotz eines Fehlers compauth ist die Meldung möglicherweise weiterhin zulässig, wenn andere Bewertungen nicht auf verdächtige Art hinweisen.
dkim Beschreibt die Ergebnisse der DKIM-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass: Gibt an, dass die Nachricht die DKIM-Prüfung bestanden hat.
  • fail (Ursache): Gibt an, dass die Nachricht die DKIM-Prüfung nicht bestanden hat und warum. Beispielsweise, wenn die Nachricht nicht signiert oder die Signatur nicht überprüft wurde.
  • none: Gibt an, dass die Nachricht nicht signiert wurde. Dieses Ergebnis kann oder nicht darauf hindeuten, dass die Domäne über einen DKIM-Eintrag verfügt oder dass der DKIM-Eintrag kein Ergebnis ergibt.
dmarc Beschreibt die Ergebnisse der DMARC-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass: Gibt an, dass die Nachricht die DMARC-Prüfung bestanden hat.
  • fail: Gibt an, dass die Nachricht die DMARC-Prüfung nicht bestanden hat.
  • bestguesspass: Gibt an, dass für die Domäne kein DMARC TXT-Eintrag vorhanden ist. Wenn die Domäne über einen DMARC TXT-Eintrag verfügte, wäre die DMARC-Überprüfung für die Nachricht bestanden.
  • none: Gibt an, dass kein DMARC-TXT-Eintrag für die sendende Domäne in DNS vorhanden ist.
header.d Die in der DKIM-Signatur identifizierte Domäne, sofern vorhanden. Dies ist die Domäne, die für den öffentlichen Schlüssel abgefragt wird.
header.from Die Domäne der 5322.From-Adresse im Kopf der E-Mail-Nachricht (auch als Absenderadresse oder P2-Absender bezeichnet). Der Empfänger sieht die Absenderadresse in E-Mail-Clients.
reason Der Grund, warum die zusammengesetzte Authentifizierung erfolgreich war oder fehlgeschlagen ist. Der Wert ist ein dreistelliger Code. Zum Beispiel:
  • 000: Die explizite Authentifizierung der Nachricht ist fehlgeschlagen (compauth=fail). Beispielsweise hat die Nachricht einen DMARC-Fehler empfangen, und die DMARC-Richtlinienaktion lautet p=quarantine oder p=reject.
  • 001 Die implizite Authentifizierung der Nachricht ist fehlgeschlagen (compauth=fail). Dieses Ergebnis bedeutet, dass in der sendenden Domäne keine E-Mail-Authentifizierungsdatensätze veröffentlicht wurden, oder wenn dies der Fall war, eine schwächere Fehlerrichtlinie (SPF ~all oder ?alloder eine DMARC-Richtlinie von p=none).
  • 002 gibt an, dass die Organisation über eine Richtlinie für das Absender/Domänepaar verfügt, für die das Senden von gefälschten E-Mails explizit untersagt ist. Ein Administrator konfiguriert diese Einstellung manuell.
  • 010: Die Nachricht ist fehlgeschlagen DMARC, die DMARC-Richtlinienaktion ist p=reject oder p=quarantine, und die sendende Domäne ist eine der akzeptierten Domänen Ihrer organization (Self-to-Self- oder organisationsinternes Spoofing).
  • 1xx oder 7xx: Die Authentifizierung der Nachricht war erfolgreich (compauth=pass). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes. Der Wert 130 gibt an, dass die Nachricht die Authentifizierung bestanden hat, und das ARC-Ergebnis wurde verwendet, um einen DMARC-Fehler zu überschreiben.
  • 2xx: Die Nachricht wurde mit dem Ergebnis „soft-pass“ implizit authentifiziert (compauth=softpass). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes.
  • 3xx: Die Nachricht wurde nicht auf die zusammengesetzte Authentifizierung (compauth=none) überprüft.
  • 4xx oder 9xx: Die zusammengesetzte Authentifizierung wurde für die Nachricht umgangen (compauth=none). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes.
  • 6xx: Fehler bei der impliziten E-Mail-Authentifizierung der Nachricht, und die sendende Domäne ist eine der akzeptierten Domänen Ihrer organization (Self-to-Self- oder organisationsinternes Spoofing).
smtp.mailfrom Die Domäne der 5321.MailFrom-Adresse (auch als MAIL FROM-Adresse, P1-Absender oder Umschlagabsender bezeichnet). Diese E-Mail-Adresse wird für Unzustellbarkeitsberichte (auch als NDRs oder Unzustellbarkeitsnachrichten bezeichnet) verwendet.
spf Beschreibt die Ergebnisse der SPF-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass (IP address): Die SPF-Überprüfung für die Nachricht wurde bestanden und enthält die IP-Adresse des Absenders. Der Client kann E-Mails im Auftrag der Absenderdomäne senden oder weiterleiten.
  • fail (IP address): Die SPF-Überprüfung für die Nachricht ist fehlgeschlagen, und enthält die IP-Adresse des Absenders. Dieses Ergebnis wird manchmal als harter Fehler bezeichnet.
  • softfail (reason): Der SPF-Eintrag hat bestimmt, dass der Host nicht die Erlaubnis zum Senden hat, sich jedoch im Übergang befindet.
  • neutral: Der SPF-Eintrag gibt explizit an, dass er nicht bestätigt, ob die IP-Adresse zum Senden autorisiert ist.
  • none: Die Domäne verfügt nicht über einen SPF-Eintrag oder der SPF-Eintrag führt zu keinem Ergebnis.
  • temperror: Es ist ein vorübergehender Fehler aufgetreten. Dabei kann es sich beispielsweise um einen DNS-Fehler handeln. Dieselbe Überprüfung ist zu einem späteren Zeitpunkt möglicherweise erfolgreich.
  • permerror: Es ist ein dauerhafter Fehler aufgetreten. Dabei kann es sich zum Beispiel um einen Fehler handeln, bei dem die Domäne einen falsch formatierten SPF-Eintrag aufweist.