Jaa


Roskapostin torjuntaviestien otsikot Microsoft 365:ssä

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Kaikissa Microsoft 365 -organisaatioissa Exchange Online Protection (EOP) tarkistaa kaikki saapuvat viestit roskapostin, haittaohjelmien ja muiden uhkien varalta. Näiden tarkistusten tulokset lisätään seuraaviin otsikkokenttiin viesteissä:

  • X-Forefront-Antispam-Report: Sisältää tietoja viestistä ja sen käsittelytavan.
  • X-Microsoft-Antispam: Sisältää lisätietoja joukkosähköpostista ja tietojenkalastelusta.
  • Todennustulokset: Sisältää tietoja SPF:n, DKIM:n ja DMARC:n (sähköpostitodennuksen) tuloksista.

Tässä artikkelissa kuvataan, mitä näissä otsikkokentissä on käytettävissä.

Lisätietoja siitä, miten voit tarkastella sähköpostiviestin otsikkoa eri sähköpostiohjelmissa, on artikkelissa Näytä Internet-viestien otsikot Outlookissa.

Vihje

Voit kopioida ja liittää viestin otsikon sisällön Viestin otsikon analysointi - työkaluun. Tämän työkalun avulla voit jäsentää otsikoita ja sijoittaa ne helpommin luettavaan muotoon.

X-Forefront-Antispam-Report -viestin otsikkokentät

Kun sinulla on viestin otsikkotiedot, etsi X-Forefront-Antispam-Report-otsikko . Tässä otsikossa on useita kenttä- ja arvopareja puolipisteillä erotettuina (;). Esimerkki:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Yksittäiset kentät ja arvot kuvataan seuraavassa taulukossa.

Huomautus

X-Forefront-Antispam-Report-otsikko sisältää monia erilaisia kenttiä ja arvoja. Microsoftin roskapostintorjuntatiimi käyttää ainoastaan diagnostisiin tarkoituksiin kenttiä, joita ei ole kuvattu taulukossa.

Kenttä Kuvaus
ARC ARC Protokolla sisältää seuraavat kentät:
  • AAR: Tallentaa todentamistulosten otsikon sisällön DMARC:stä.
  • AMS: Sisältää viestin salausallekirjoitukset.
  • AS: Sisältää viestien otsikoiden salausallekirjoitukset. Tämä kenttä sisältää ketjun vahvistuksen tunnisteen nimeltä "cv=", joka sisältää ketjun vahvistuksen tuloksen muodossa ei mitään, läpäise tai epäonnistu.
CAT: Viestissä käytetty suojauskäytännön luokka:
  • AMP: Haittaohjelmien torjunta
  • BULK:Massa
  • DIMP: Toimialueen tekeytyminen*
  • FTBP: Haittaohjelmien torjunta , yleiset liitteet -suodatin
  • GIMP: Postilaatikon älykkyys tekeytyminen*
  • HPHSH tai HPHISH: Erittäin luotettava tietojenkalastelu
  • HSPM: Erittäin luotettava roskaposti
  • INTOS: Intra-Organization tietojenkalastelu
  • MALW:Haittaohjelma
  • OSPM: Lähtevä roskaposti
  • PHSH: Tietojenkalastelu
  • SAP: Turvalliset liitteet*
  • SPM:Roskaposti
  • SPOOF:Huijaus
  • UIMP: Käyttäjäksi tekeytyminen*

*vain Defender for Office 365.

Saapuva viesti saattaa olla merkitty usealla suojausmuodolla ja useiden tunnistustarkistusten avulla. Käytäntöjä käytetään tärkeysjärjestyksessä, ja käytäntöä, jolla on suurin prioriteetti, sovelletaan ensin. Lisätietoja on artikkelissa Mitä käytäntöä sovelletaan, kun sähköpostissa suoritetaan useita suojausmenetelmiä ja tunnistustarkistusta.
CIP:[IP address] Yhteyden muodostava IP-osoite. Voit käyttää tätä IP-osoitetta sallittujen IP-osoitteiden luettelossa tai IP-estoluettelossa. Lisätietoja on kohdassa Yhteyssuodatuksen määrittäminen.
CTRY Yhteyden muodostavan IP-osoitteen määrittämä lähdemaa tai -alue, joka ei ehkä ole sama kuin lähde-IP-osoite.
DIR Viestin suunta:
  • INB: Saapuva viesti.
  • OUT: Lähtevä viesti.
  • INT: Sisäinen viesti.
H:[helostring] Yhteyssähköpostipalvelimen HELO- tai EHLO-merkkijono.
IPV:CAL Viesti ohitti roskapostin suodatuksen, koska lähde-IP-osoite oli sallittujen IP-osoitteiden luettelossa. Lisätietoja on kohdassa Yhteyssuodatuksen määrittäminen.
IPV:NLI IP-osoitetta ei löytynyt mistään IP-maineluettelosta.
LANG Kieli, jolla viesti kirjoitettiin maakoodin mukaisesti (esimerkiksi ru_RU venäjän kielelle).
PTR:[ReverseDNS] Lähde-IP-osoitteen PTR-tietue (eli käänteinen DNS-haku).
SCL Viestin roskapostin luotettavuustaso. Suurempi arvo ilmaisee, että viesti on todennäköisemmin roskaposti. Lisätietoja on kohdassa Roskapostin luotettavuustaso .
SFTY Viesti tunnistettiin tietojenkalasteluksi, ja se on merkitty myös jollakin seuraavista arvoista:
SFV:BLK Suodatus ohitettiin ja viesti estettiin, koska se lähetettiin käyttäjän estettyjen lähettäjien luettelon osoitteesta.

Lisätietoja siitä, miten järjestelmänvalvojat voivat hallita käyttäjän estettyjen lähettäjien luetteloa, on artikkelissa Roskapostiasetusten määrittäminen Exchange Online postilaatikoissa.

SFV:NSPM Roskapostin suodatus merkitsi viestin nonspam-merkinnäksi ja viesti lähetettiin aiottuihin vastaanottajiin.
SFV:SFE Suodatus ohitettiin ja viesti sallittiin, koska se lähetettiin käyttäjän turvalliset lähettäjät -luettelon osoitteesta.

Lisätietoja siitä, miten järjestelmänvalvojat voivat hallita käyttäjän Turvallisten lähettäjien luetteloa, on artikkelissa Roskapostiasetusten määrittäminen Exchange Online postilaatikoissa.

SFV:SKA Viesti ohitti roskapostin suodattamisen, ja se toimitettiin Saapuneet-kansioon, koska lähettäjä oli roskapostin torjuntakäytännön sallittujen lähettäjien luettelossa tai sallittujen toimialueiden luettelossa. Lisätietoja on artikkelissa Roskapostin torjuntakäytäntöjen määrittäminen.
SFV:SKB Viesti oli merkitty roskapostiksi, koska se vastasi estettyjen lähettäjien luettelossa olevaa lähettäjää tai roskapostin torjuntakäytännön estettyjen toimialueiden luetteloa. Lisätietoja on artikkelissa Roskapostin torjuntakäytäntöjen määrittäminen.
SFV:SKN Viesti merkittiin nonspam-merkinnäksi ennen käsittelyä roskapostisuodattimella. Viesti on esimerkiksi merkitty SCL -1- tai Ohita roskapostisuodatus postinkulkusäännöllä.
SFV:SKQ Viesti vapautettiin karanteenista, ja se lähetettiin aiottuihin vastaanottajiin.
SFV:SKS Viesti oli merkitty roskapostiksi ennen käsittelyä roskapostisuodattimella. Esimerkiksi postinkulun sääntö on merkinnyt viestin SCL 5:ksi –9.
SFV:SPM Roskapostisuodatus merkitsi viestin roskapostiksi.
SRV:BULK Viesti tunnistettiin joukkosähköpostiksi roskapostisuodattimella ja valitusten joukkotason (BCL) raja-arvolla. Kun MarkAsSpamBulkMail-parametri on (se on On oletusarvoisesti käytössä), joukkosähköpostiviesti merkitään roskapostiksi (SCL 6). Lisätietoja on artikkelissa Roskapostin torjuntakäytäntöjen määrittäminen.
X-CustomSpam: [ASFOption] Viesti vastasi ASF(Advanced Spam Filter) -asetusta. Jos haluat nähdä kunkin ASF-asetuksen X-otsikon arvon, katso lisäasetuksia roskapostisuodattimelle (ASF).

Huomautus: ASF lisää X-CustomSpam: X-otsikkokenttiä viesteihin sen jälkeen, kun Exchangen postinkulun säännöt (eli siirtosäännöt) ovat käsitelleet viestit, joten et voi käyttää postinkulun sääntöjä ASF:n suodattamien viestien tunnistamiseen ja käsittelemiseen.

X-Microsoft-Antispam-viestien otsikkokentät

Seuraavassa taulukossa kuvataan X-Microsoft-Antispam-sanomaotsikon hyödyllisiä kenttiä. Microsoftin roskapostintorjuntatiimi käyttää muita tämän ylätunnisteen kenttiä diagnostisiin tarkoituksiin.

Kenttä Kuvaus
BCL Viestin joukkovalitustaso. Suurempi BCL tarkoittaa, että joukkosähköpostiviesti aiheuttaa todennäköisemmin valituksia (ja on siksi todennäköisemmin roskapostia). Lisätietoja on kohdassa Joukkovalitustaso (BCL) EOP:ssä.

Todennustulosten sanomaotsikko

SPF:n, DKIM:n ja DMARC:n sähköpostin todennustarkistusten tulokset tallennetaan (leimataan) saapuvien viestien todennustulosviestien otsikkoon. Todennustulosten otsikko on määritetty kohdassa RFC 7001.

Seuraavassa luettelossa kuvataan teksti, joka lisätään todennustulosten otsikkoon kullekin sähköpostin todennustarkistustyypille:

  • SPF käyttää seuraavaa syntaksia:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Esimerkki:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM käyttää seuraavaa syntaksia:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Esimerkki:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC käyttää seuraavaa syntaksia:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Esimerkki:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Todennustulosten sanoman otsikkokentät

Seuraavassa taulukossa kuvataan kunkin sähköpostin todennustarkistuksen kentät ja mahdolliset arvot.

Kenttä Kuvaus
action Ilmaisee roskapostisuodattimen DMARC-tarkistuksen tulosten perusteella suorittaman toiminnon. Esimerkki:
  • pct.quarantine: Ilmaisee, että prosenttiosuus, joka on alle 100 % viesteistä, jotka eivät läpäise DMARC:tä, toimitetaan joka tapauksessa. Tämä tulos tarkoittaa, että viesti epäonnistui DMARC:ssä ja DMARC-käytännön arvoksi p=quarantineoli asetettu . Pct-kentän arvoksi ei kuitenkaan asetettu 100 %, ja järjestelmä päätti satunnaisesti olla soveltamatta DMARC-toimintoa määritetyn toimialueen DMARC-käytännön mukaisesti.
  • pct.reject: Ilmaisee, että prosenttiosuus, joka on alle 100 % viesteistä, jotka eivät läpäise DMARC:tä, toimitetaan joka tapauksessa. Tämä tulos tarkoittaa, että viesti epäonnistui DMARC:ssä ja DMARC-käytännön arvoksi p=rejectoli asetettu . Pct-kentän arvoksi ei kuitenkaan asetettu 100 % ja järjestelmä päätti satunnaisesti olla soveltamatta DMARC-toimintoa määritetyn toimialueen DMARC-käytännön mukaisesti.
  • permerror: DMARC-arvioinnin aikana ilmeni pysyvä virhe, kuten virheellisesti muodostettu DMARC TXT -tietue DNS:ssä. Jos yrität lähettää tämän viestin uudelleen, tulos ei todennäköisesti pääty eri tulokseen. Saatat sen sijaan joutua ottamaan yhteyttä toimialueen omistajaan ongelman ratkaisemiseksi.
  • temperror: DMARC-arvioinnin aikana ilmeni tilapäinen virhe. Voit ehkä pyytää lähettäjää lähettämään viestin myöhemmin uudelleen, jotta sähköposti käsitellään oikein.
compauth Yhdistelmätodennuksen tulos. Microsoft 365 käyttää tätä useiden todennustyyppien (SPF, DKIM ja DMARC) tai minkä tahansa muun viestin osan yhdistämiseen sen määrittämiseksi, todennetaanko viesti vai ei. Käyttää arvioinnin pohjana Mistä: -toimialuetta. Huomautus: virheestä huolimatta compauth viesti saattaa silti olla sallittu, jos muut arvioinnit eivät osoita epäilyttävää luonnetta.
dkim Kuvaa viestin DKIM-tarkistuksen tuloksia. Mahdollisia arvoja ovat esimerkiksi seuraavat:
  • pass: Ilmaisee välitettyjen viestien DKIM-tarkistuksen.
  • fail (reason): Ilmaisee, että viestin DKIM-tarkistus epäonnistui ja miksi. Jos viestiä ei esimerkiksi allekirjoitettu tai allekirjoitusta ei vahvistettu.
  • none: Ilmaisee, että viestiä ei ole allekirjoitettu. Tämä tulos voi olla merkki siitä, että toimialueella on DKIM-tietue tai DKIM-tietue ei tuota tulosta.
dmarc Kuvaa viestin DMARC-tarkistuksen tuloksia. Mahdollisia arvoja ovat esimerkiksi seuraavat:
  • pass: Ilmaisee välitettyjen viestien DMARC-tarkistuksen.
  • fail: Ilmaisee, että viestin DMARC-tarkistus epäonnistui.
  • bestguesspass: Ilmaisee, että toimialueelle ei ole DMARC TXT -tietuetta. Jos toimialueella olisi DMARC TXT -tietue, viestin DMARC-tarkistus olisi välitetty.
  • none: Ilmaisee, että DNS:n lähettävälle toimialueelle ei ole DMARC TXT -tietuetta.
header.d Toimialue, joka on määritetty DKIM-allekirjoituksessa, jos sellainen on. Tämä on toimialue, johon tehdään julkisen avaimen kysely.
header.from Sähköpostiosoitteen 5322.From toimialue sähköpostiviestin otsikossa (tunnetaan myös nimellä Lähettäjä-osoite tai P2-lähettäjä). Vastaanottaja näkee Lähettäjä-osoitteen sähköpostiohjelmissa.
reason Yhdistelmätodennuksen läpäisty tai epäonnistunut syy. Arvo on kolminumeroinen koodi. Esimerkki:
  • 000: Viesti epäonnistui eksplisiittisen todennuksen (compauth=fail) jälkeen. Esimerkiksi viesti vastaanotti DMARC-epäonnistumisen ja DMARC-käytäntötoiminto on p=quarantine tai p=reject.
  • 001: Viesti epäonnistui implisiittisessä todennuksessa (compauth=fail). Tämä tulos tarkoittaa sitä, että lähettävällä toimialueella ei ollut julkaistuja sähköpostin todennustietueita, tai jos oli, heillä oli heikompi virhekäytäntö (SPF ~all tai ?alltai DMARC-käytäntö).p=none
  • 002: Organisaatiolla on lähettäjä-/toimialueparin käytäntö, joka on nimenomaisesti kielletty lähettämästä huijattua sähköpostia. Järjestelmänvalvoja määrittää tämän asetuksen manuaalisesti.
  • 010: Viesti epäonnistui DMARC:ssä, DMARC-käytäntötoiminto on p=reject tai p=quarantine, ja lähetystoimialue on yksi organisaatiosi hyväksytyistä toimialueista (itseensä tai organisaationsisäinen huijaus).
  • 1xx tai 7xx: Viesti välitettiin todennus (compauth=pass). Viimeiset kaksi numeroa ovat Microsoft 365:n käyttämiä sisäisiä koodeja. Arvo 130 ilmaisee, että viesti välitti todennuksen, ja ARC-tulosta käytettiin ohittamaan DMARC-virhe.
  • 2xx: Viesti pehmeästi välitetty implisiittinen todennus (compauth=softpass). Viimeiset kaksi numeroa ovat Microsoft 365:n käyttämiä sisäisiä koodeja.
  • 3xx: Viestiä ei tarkastettu yhdistelmätodennuksen (compauth=none) osalta.
  • 4xx tai 9xx: Viesti ohitti yhdistelmätodennuksen (compauth=none). Viimeiset kaksi numeroa ovat Microsoft 365:n käyttämiä sisäisiä koodeja.
  • 6xx: Viesti epäonnistui implisiittisessä sähköpostin todennuksessa, ja lähetystoimialue on yksi organisaatiosi hyväksytyistä toimialueista (itseensä tai organisaationsisäinen huijaus).
smtp.mailfrom Osoitteen toimialue 5321.MailFrom (kutsutaan myös MAIL FROM -osoitteeksi, P1-lähettäjäksi tai kirjekuoren lähettäjäksi). Tätä sähköpostiosoitetta käytetään toimitusraportteihin (NDR-raportit tai pomppuviestit).
spf Kuvaa viestin SPF-tarkistuksen tuloksia. Mahdollisia arvoja ovat esimerkiksi seuraavat:
  • pass (IP address): SpF-tarkistus välitettyjen viestien osalta ja sisältää lähettäjän IP-osoitteen. Asiakkaalla on oikeus lähettää tai välittää sähköpostia lähettäjän toimialueen puolesta.
  • fail (IP address): Viestin SPF-tarkistus epäonnistui. Se sisältää lähettäjän IP-osoitteen. Tätä tulosta kutsutaan joskus kovaksi epäonnistumiseksi.
  • softfail (reason): SPF-tietue määrittää, että isännälle ei sallita lähetystä, mutta se on siirtymävaiheessa.
  • neutral: SPF-tietueessa todetaan eksplisiittisesti, että se ei vahvista, onko IP-osoitteella oikeus lähettää.
  • none: Toimialueella ei ole SPF-tietuetta, tai SPF-tietue ei anna tulokseksi tulosta.
  • temperror: On ilmennyt tilapäinen virhe. Esimerkiksi DNS-virhe. Sama tarkistus myöhemmin saattaa onnistua.
  • permerror: Ilmeni pysyvä virhe. Esimerkiksi toimialueella on väärin muotoiltu SPF-tietue.