Encabezados de mensajes de correo no deseado en Microsoft 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En todas las organizaciones de Microsoft 365, Exchange Online Protection (EOP) analiza todos los mensajes entrantes para detectar spam, malware y otras amenazas. Los resultados de estos análisis se agregan a los siguientes campos de encabezado de los mensajes:

  • X-Forefront-antispam-Report: contiene información sobre el mensaje y cómo se ha procesado.
  • X-Microsoft-antispam: contiene información adicional sobre el correo masivo y el phishing.
  • Authentication-results: contiene información sobre los resultados de SPF, DKIM y DMARC (autenticación de correo electrónico).

Este artículo describe lo que está disponible en estos campos de encabezado.

Para obtener información sobre cómo ver el encabezado del mensaje de un correo electrónico en distintos clientes de correo electrónico, vea Analizador de encabezados de mensaje

Sugerencia

Puede copiar y pegar el contenido del encabezado del mensaje en la herramienta Analizador de encabezados de mensaje. Esta herramienta le ayuda a analizar los encabezados y los convierte en un formato más legible.

Campos del encabezado del mensaje X-Forefront-Antispam-Report

Cuando tenga la información del encabezado del mensaje, busque el encabezado X-Forefront-Antispam-Report. Hay varios pares de campo y valor en este encabezado separados por punto y coma (;). Por ejemplo:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Los campos y valores individuales se describen en la siguiente tabla.

Nota:

El encabezado X-Forefront-Antispam-Report contiene muchos campos y valores de encabezado distintos. Los campos que no se describen en la tabla los usa exclusivamente el equipo de protección contra correo no deseado de Microsoft con fines de diagnóstico.

Campo Description
ARC El protocolo ARC tiene los campos siguientes:
  • AAR: registra el contenido del encabezado Authentication-results de DMARC.
  • AMS: incluye las firmas criptográficas del mensaje.
  • AS: incluye las firmas criptográficas de los encabezados del mensaje. Este campo contiene una etiqueta de una validación de cadena denominada "cv=", que incluye el resultado de la validación de la cadena como none, pass o fail.
CAT: Categoría de directiva de protección que se aplica al mensaje:
  • AMP: Antimalware
  • BULK: Masivo
  • DIMP: suplantación de dominio*
  • FTBP: filtro de datos adjuntos comunes antimalware
  • GIMP: suplantación de inteligencia de buzones*
  • HPHSH o HPHISH: suplantación de identidad de alta confianza
  • HSPM: Correo no deseado de alta confianza
  • INTOS: Intra-Organization phishing
  • MALW: Malware
  • OSPM: Correo no deseado saliente
  • PHSH: Phishing
  • SAP: datos adjuntos seguros*
  • SPM: Spam
  • SPOOF: Suplantación electrónica
  • UIMP: suplantación de usuario*

*solo Defender para Office 365.

Un mensaje entrante puede marcarse mediante varias formas de protección y varios exámenes de detección. Las directivas se aplican en orden de prioridad y la directiva con la prioridad más alta se aplica primero. Para obtener más información, consulte Qué directiva se aplica cuando se ejecutan varios métodos de protección y exámenes de detección en el correo electrónico.
CIP:[IP address] La dirección IP de conexión. Puede usar esta dirección IP en la Lista de direcciones IP permitidas o en la Lista de direcciones IP bloqueadas. Para obtener más información, consulte Configurar filtrado de la conexión.
CTRY País o región de origen determinado por la dirección IP de conexión, que podría no ser la misma que la dirección IP de envío de origen.
DIR Direccionalidad del mensaje:
  • INB: mensaje entrante.
  • OUT: mensaje saliente.
  • INT: mensaje interno.
H:[helostring] Cadenas HELO o EHLO del servidor de correo de conexión.
IPV:CAL El mensaje fue omitido del filtrado de correo no deseado porque la dirección IP de origen aparecía en la Lista de direcciones IP permitidas. Para obtener más información, consulte Configurar filtrado de la conexión.
IPV:NLI La dirección IP no se encontró en ninguna lista de reputación de IP.
LANG Idioma en el que se escribió el mensaje según lo especificado por el código de país (por ejemplo, ru_RU para ruso).
PTR:[ReverseDNS] El registro PTR (también conocido como la búsqueda inversa de DNS) de la dirección IP de la fuente.
SCL Nivel de confianza de correo electrónico no deseado (SCL) del mensaje. Un valor superior indica que el mensaje tiene más posibilidades de ser correo no deseado. Para obtener más información, consulte Nivel de confianza del correo no deseado (SCL).
SFTY El mensaje se identificó como phishing y también se marca con uno de los siguientes valores:
  • 9.19: Suplantación de dominio. El dominio remitente está intentando suplantar un dominio protegido. La sugerencia de seguridad para la suplantación del dominio se agrega al mensaje (si está habilitada).
  • 9.20: Suplantación de usuario. El usuario remitente está intentando suplantar a otro usuario de la organización del destinatario, o bien a un usuario protegido que se especificó en una directiva contra la suplantación de identidad en Microsoft Defender para Office 365. La sugerencia de seguridad para la suplantación del usuario se agrega al mensaje (si está habilitada).
  • 9.25: Sugerencia de seguridad ante un primer contacto. Este valor podría indicar que se trata de un mensaje sospechoso o de suplantación de identidad (phishing). Para obtener más información, consulte Sugerencia de seguridad ante un primer contacto.
SFV:BLK Se omitió el filtrado y se bloqueó el mensaje porque se envió desde una dirección de la lista de remitentes bloqueados de un usuario.

Para más información sobre cómo los administradores pueden administrar la lista de Remitentes bloqueados de un usuario, consulte Configurar las opciones de correo electrónico no deseado en buzones de Exchange Online.

SFV:NSPM El filtrado de correo no deseado marcó el mensaje como nonspam y el mensaje se envió a los destinatarios previstos.
SFV:SFE Se omitió el filtrado y el mensaje se permitió porque se envió desde una dirección de la lista de remitentes seguros de un usuario.

Para más información sobre cómo los administradores pueden administrar la lista de Remitentes seguros de un usuario, consulte Configurar las opciones de correo electrónico no deseado en buzones de Exchange Online.

SFV:SKA El mensaje fue omitido del filtrado de correo electrónico no deseado y se entregó en la Bandeja de entrada porque el remitente estaba en una lista de remitentes permitidos o una lista de dominios permitidos de una directiva contra correo no deseado. Para más información, consulte Configurar directivas contra correo electrónico no deseado.
SFV:SKB El mensaje se marcó como correo no deseado porque coincidía con un remitente de una lista de remitentes bloqueados o una lista de dominios bloqueados de una directiva contra correo no deseado. Para más información, consulte Configurar directivas contra correo electrónico no deseado.
SFV:SKN El mensaje se marcó como nonspam antes de procesarlo mediante el filtrado de correo no deseado. Por ejemplo, el mensaje se marcó como SCL -1 u Omitir el filtrado de correo no deseado por una regla de flujo de correo.
SFV:SKQ El mensaje fue publicado desde la cuarentena y se ha enviado a los destinatarios.
SFV:SKS El mensaje se marcó como correo no deseado antes de procesarlo mediante el filtrado de correo no deseado. Por ejemplo, el mensaje se marcó como SCL de 5 a 9 por una regla de flujo de correo.
SFV:SPM El mensaje se marcó como correo no deseado por el filtro de correo no deseado.
SRV:BULK El mensaje se identificó como correo electrónico masivo por el filtrado de correo no deseado y el umbral de nivel de queja de correo masivo (BCL). Cuando el parámetro MarkAsSpamBulkMail está On (está activado de forma predeterminada), un mensaje de correo masivo se marca como correo no deseado (SCL 6). Para obtener más información, consulte Configurar directivas contra correo electrónico no deseado.
X-CustomSpam: [ASFOption] El mensaje coincide con una opción de Filtro de correo no deseado avanzado (ASF). Para ver el valor del encabezado X para cada opción de ASF, consulte Configuración del Filtro de correo no deseado avanzado (ASF).

Nota: ASF agrega X-CustomSpam: campos de encabezado X a los mensajes después de que las reglas de flujo de correo de Exchange procesaran los mensajes (también conocidas como reglas de transporte), por lo que no puede usar reglas de flujo de correo para identificar y actuar en los mensajes filtrados por ASF.

Campos de encabezado de mensaje de X-Microsoft-Antispam

En la tabla siguiente se describen los campos más útiles del encabezado de mensaje X-Microsoft-Antispam. El resto de los campos de este encabezado los usa exclusivamente el equipo de Microsoft contra el correo no deseado con fines de diagnóstico.

Campo Description
BCL Nivel de queja de correo masivo (BCL) del mensaje. Un BCL superior indica que es más probable que un mensaje de correo masivo generen quejas (y, por lo tanto, es más probable que sea correo no deseado). Para obtener más información, vea Nivel de quejas masivas (BCL) en EOP.

Encabezado de mensaje Authentication-results

Los resultados de las comprobaciones de autenticación de correo electrónico para SPF, DKIM y DMARC se registran (marcan) en el encabezado de mensaje Authentication-results en mensajes entrantes. El encabezado Authentication-results se define en RFC 7001.

La siguiente lista describe el texto que se agrega al encabezado Authentication-Results para cada tipo de comprobación de autenticación de correo electrónico:

  • SPF usa la siguiente sintaxis:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Por ejemplo:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM usa la siguiente sintaxis:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Por ejemplo:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC usa la siguiente sintaxis:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Por ejemplo:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Campos del encabezado del mensaje Authentication-results

En la siguiente tabla se describen los campos y los valores posibles para todas las comprobaciones de autenticación de correo electrónico.

Campo Descripción
action Indica la acción efectuada por el filtro de correo no deseado en función de los resultados de la comprobación de DMARC. Por ejemplo:
  • pct.quarantine: indica que un porcentaje menor que el 100 % de los mensajes que no pasan DMARC se entregan de todos modos. Este resultado significa que el mensaje produjo un error en DMARC y que la directiva DMARC se estableció en p=quarantine. Sin embargo, el campo pct no se estableció en el 100 %, y el sistema determinó aleatoriamente no aplicar la acción DMARC según la directiva DMARC del dominio especificado.
  • pct.reject: indica que un porcentaje menor que el 100 % de los mensajes que no pasan DMARC se entregan de todos modos. Este resultado significa que el mensaje produjo un error en DMARC y que la directiva DMARC se estableció en p=reject. Sin embargo, el campo pct no se estableció en el 100 % y el sistema determinó aleatoriamente no aplicar la acción DMARC según la directiva DMARC del dominio especificado.
  • permerror: se produjo un error permanente durante la evaluación de DMARC, como encontrar un registro TXT de DMARC con formato incorrecto en DNS. Es probable que volver a enviar este mensaje no produzca un resultado diferente. En su lugar, es posible que tenga que ponerse en contacto con el propietario del dominio para resolver el problema.
  • temperror: se produjo un error temporal durante la evaluación de DMARC. Es posible que pueda solicitar que el remitente vuelva a enviar el mensaje más adelante para procesar el correo electrónico correctamente.
compauth Resultado de la autenticación compuesta. Lo usa Microsoft 365 para combinar varios tipos de autenticación (SPF, DKIM y DMARC) o cualquier otra parte del mensaje para determinar si el mensaje se autentica o no. Usa el dominio De: como base de la evaluación. Nota: A pesar de un compauth error, es posible que el mensaje todavía se permita si otras evaluaciones no indican una naturaleza sospechosa.
dkim Describe los resultados de la comprobación de DKIM del mensaje. Los valores posibles son:
  • pass: indica que se superó la validación por DKIM del mensaje.
  • fail (motivo): indica que no se superó la validación por DKIM del mensaje e incluye el motivo. Por ejemplo, si el mensaje no se firmó o no se comprobó la firma.
  • none: indica que el mensaje no se firmó. Este resultado podría indicar o no que el dominio tiene un registro DKIM o que el registro DKIM no se evalúa como un resultado.
dmarc Describe los resultados de la comprobación de DMARC del mensaje. Los valores posibles son:
  • pass: indica que se superó la validación por DMARC del mensaje.
  • fail: indica que no se superó la validación por DMARC del mensaje.
  • bestguesspass: indica que no existe ningún registro TXT de DMARC para el dominio. Si el dominio tuviera un registro TXT de DMARC, la comprobación de DMARC para el mensaje habría pasado.
  • none: indica que no hay ningún registro TXT de DMARC para el dominio remitente en DNS.
header.d Dominio identificado en la firma de DKIM, en caso de haber alguna. Se trata del dominio consultado para obtener la clave pública.
header.from El dominio de la dirección 5322.From del encabezado del mensaje de correo electrónico (también denominada dirección De o remitente P2). El destinatario ve la dirección De del remitente en los clientes de correo electrónico.
reason El motivo por el que se ha producido un error en la autenticación compuesta. El valor es un código de tres dígitos. Por ejemplo:
  • 000: el mensaje no se pudo autenticar explícitamente (compauth=fail). Por ejemplo, el mensaje recibió un error de DMARC y la acción de directiva DMARC es p=quarantine o p=reject.
  • 001: el mensaje no se pudo autenticar implícitamente (compauth=fail). Este resultado significa que el dominio de envío no tenía registros de autenticación de correo electrónico publicados, o si lo hicieron, tenían una directiva de error más débil (SPF ~all o ?all, o una directiva DMARC de p=none).
  • 002: la organización tiene una directiva para el par de remitente y dominio que prohíbe explícitamente el envío de correos electrónicos falsificados. Un administrador configura manualmente esta configuración.
  • 010: Error en el mensaje DMARC, la acción de directiva DMARC es p=reject o p=quarantiney el dominio de envío es uno de los dominios aceptados por la organización (suplantación de identidad propia o dentro de la organización).
  • 1xx o 7xx: el mensaje pasó la autenticación (compauth=pass). Los dos últimos dígitos son códigos internos utilizados por Microsoft 365.
  • 2xx: el mensaje superó la autenticación implícita (compauth=softpass). Los dos últimos dígitos son códigos internos utilizados por Microsoft 365.
  • 3xx: el mensaje no se ha comprobado para la autenticación compuesta (compauth=none).
  • 4xx o 9XX: el mensaje ignoró la autenticación compuesta (compauth=none). Los dos últimos dígitos son códigos internos utilizados por Microsoft 365.
  • 6xx: el mensaje produjo un error en la autenticación de correo electrónico implícita y el dominio de envío es uno de los dominios aceptados por la organización (suplantación de identidad propia o dentro de la organización).
smtp.mailfrom El dominio de la dirección 5321.MailFrom (también conocida como dirección MAIL FROM, remitente P1 o remitente del sobre). Esta dirección de correo electrónico se usa para informes de no entrega (también conocidos como NDR o mensajes de devolución).
spf Describe los resultados de la comprobación de SPF del mensaje. Los valores posibles son:
  • pass (IP address): se superó la verificación de SPF del mensaje e incluye la dirección IP del remitente. El cliente tiene autorización para enviar o retransmitir un correo electrónico en nombre del dominio del remitente.
  • fail (IP address): no se superó la verificación de SPF del mensaje e incluye la dirección IP del remitente. Este resultado a veces se denomina error duro.
  • softfail (reason): el registro SPF determinó que el servidor no puede efectuar envíos, pero se encuentra en transición.
  • neutral: el registro SPF indica explícitamente que no afirma si la dirección IP está autorizada para enviar.
  • none: el dominio no tiene un registro SPF o el registro SPF no se evalúa como resultado.
  • temperror: se ha producido un error temporal. Por ejemplo, un error de DNS. Es posible la misma comprobación sea correcta más tarde.
  • permerror: se ha producido un error permanente. Por ejemplo, el dominio tiene un registro SPF con un formato incorrecto.