Megosztás a következőn keresztül:

Levélszemét elleni üzenetfejlécek felhőbeli szervezetekben

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.

A Microsoft 365 minden felhőpostaládával rendelkező szervezetben megvizsgálja az összes bejövő üzenetet levélszemét, kártevők és egyéb fenyegetések keresése céljából. A vizsgálatok eredményei az üzenetek következő fejlécmezőihez lesznek hozzáadva:

  • X-Forefront-Antispam-Report: Információkat tartalmaz az üzenetről és a feldolgozás módjáról.
  • X-Microsoft-Antispam: További információt tartalmaz a tömeges levelezésről és az adathalászatról.
  • Hitelesítési eredmények: Információkat tartalmaz az e-mail-hitelesítési eredményekről, beleértve a feladói házirend keretrendszerét (SPF), a domainkeys Identified Mail (DKIM) és a tartományalapú üzenethitelesítést, jelentéskészítést és megfelelőséget (DMARC).

Ez a cikk az ezekben a fejlécmezőkben elérhető lehetőségeket ismerteti.

Az e-mail-fejlécek különböző levelezőprogramokban való megtekintéséről további információt az Internetes üzenetfejlécek megtekintése az Outlookban című témakörben talál.

Tipp

Az üzenetfejléc tartalmát az Üzenetfejléc-elemző eszközbe másolhatja és beillesztheti. Ez az eszköz segít olvashatóbb formátumban elemezni a fejléceket.

X-Forefront-Antispam-Report üzenetfejlécmezők

Miután megkapta az üzenetfejléc adatait, keresse meg az X-Forefront-Antispam-Report fejlécet. Ebben a fejlécben több mező- és értékpár is van pontosvesszővel elválasztva (;). Például:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Az egyes mezőket és értékeket az alábbi táblázat ismerteti.

Megjegyzés:

Az X-Forefront-Antispam-Report fejléc számos különböző mezőt és értéket tartalmaz. A táblázatban nem ismertetett mezőket kizárólag a Microsoft levélszemét-ellenes csapata használja diagnosztikai célokra.

Mező Leírás
ARC A Authenticated Received Chain (ARC) protokoll a következő mezőket tartalmazza:
  • AAR: A DMARC Authentication-results fejlécének tartalmát rögzíti.
  • AMS: Az üzenet titkosítási aláírását tartalmazza.
  • AS: Az üzenetfejlécek titkosítási aláírását tartalmazza. Ez a mező egy nevű "cv="láncérvényesítési címkét tartalmaz, amely a láncérvényesítés eredményét nem, sikeres vagy sikertelen állapotúként tartalmazza.
CAT: Az üzenetre alkalmazott veszélyforrás-szabályzat kategóriája:
  • AMP: Kártevőirtó
  • BIMP: Márka megszemélyesítése*
  • BULK:Tömeges
  • DIMP: Tartomány megszemélyesítése*
  • FTBP: Kártevőirtó gyakori mellékletek szűrője
  • GIMP: Postaládaintelligencia-megszemélyesítés*
  • HPHSH vagy HPHISH: Megbízható adathalászat
  • HSPM: Nagy megbízhatóságú levélszemét
  • INTOS: Intra-Organization adathalászat
  • MALW:Malware
  • OSPM: Kimenő levélszemét
  • PHSH:Adathalászat
  • SAP: Biztonságos mellékletek*
  • SPM:Spam
  • SPOOF:Svindli
  • UIMP: Felhasználó megszemélyesítése*

*Csak Office 365 Defender.

A védelem több formája és a több észlelési vizsgálat is megjelölhet egy bejövő üzenetet. A szabályzatok prioritási sorrendben vannak alkalmazva, és először a legmagasabb prioritású házirendet alkalmazza a rendszer. További információ: Milyen szabályzat vonatkozik, ha több védelmi módszer és észlelési vizsgálat fut az e-mailben.
CIP:[IP address] A csatlakozó IP-cím. Ezt az IP-címet használhatja az IP-címek engedélyezési listájában vagy az IP-címblokkok listájában. További információ: Kapcsolatszűrés konfigurálása.
CTRY A csatlakozó IP-cím által meghatározott forrásország/régió, amely nem feltétlenül egyezik meg a küldő IP-címmel.
DIR Az üzenet iránya:
  • INB: Bejövő üzenet.
  • OUT: Kimenő üzenet.
  • INT: Belső üzenet.
H:[helostring] A csatlakozó e-mail-kiszolgáló HELO- vagy EHLO-sztringje.
IPV:CAL Az üzenet kihagyta a levélszemétszűrést, mert a forrás IP-címe szerepel az IP-címek engedélyezési listájában. További információ: Kapcsolatszűrés konfigurálása.
IPV:NLI Az IP-cím nem található egyik IP-hírnévlistában sem.
LANG Az a nyelv, amelyben az üzenet meg lett írva az országkódban megadottak szerint (például az orosz ru_RU).
PTR:[ReverseDNS] A forrás IP-cím PTR rekordja (más néven fordított DNS-keresés).
SCL Az üzenet levélszemét-megbízhatósági szintje (SCL). A magasabb érték azt jelzi, hogy az üzenet nagyobb valószínűséggel levélszemét. További információ: Levélszemét megbízhatósági szintje (SCL).
SFTY Az üzenet adathalászként lett azonosítva, és az alábbi értékek egyikével is megjelölve van:
  • 9.19: Tartomány megszemélyesítése. A küldő tartomány védett tartományt próbál megszemélyesíteni. A tartományi megszemélyesítés biztonsági tippje hozzá lesz adva az üzenethez (ha a tartomány megszemélyesítése engedélyezve van).
  • 9.20: Felhasználói megszemélyesítés. A küldő felhasználó megpróbál megszemélyesíteni egy felhasználót a címzett szervezetében, vagy egy, a Office 365 Microsoft Defender adathalászat elleni szabályzatában megadott védett felhasználót. A felhasználói megszemélyesítés biztonsági tippje hozzá lesz adva az üzenethez (ha a felhasználó megszemélyesítése engedélyezve van).
  • 9.25: Első érintésbiztonsági tipp. Ez az érték gyanús vagy adathalász üzenetre utalhat . További információ: Első kapcsolatfelvétel biztonsági tippje.
SFV:BLK A szűrés ki lett hagyva, és az üzenet le lett tiltva, mert egy felhasználó Letiltott feladók listájában lévő címről lett elküldve.

További információ arról, hogy a rendszergazdák hogyan kezelhetik a felhasználók Letiltott feladók listáját: Levélszemét-beállítások konfigurálása a felhőbeli postaládákban.
SFV:NSPM A levélszemétszűrés nemspamként jelölte meg az üzenetet, és az üzenetet a címzetteknek küldték el.
SFV:SFE A szűrés ki lett hagyva, és az üzenet engedélyezve lett, mert egy felhasználó Megbízható feladók listájában lévő címről lett elküldve.

További információ arról, hogy a rendszergazdák hogyan kezelhetik a felhasználók Megbízható feladók listáját: Levélszemét-beállítások konfigurálása a felhőbeli postaládákban.
SFV:SKA Az üzenet kihagyta a levélszemétszűrést, és a Beérkezett üzenetek mappába lett kézbesítve, mert a feladó szerepel az engedélyezett feladók listáján vagy az engedélyezett tartományok listáján egy levélszemét-ellenes házirendben. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
SFV:SKB Az üzenet levélszemétként lett megjelölve, mert megfelelt egy feladónak a letiltott feladók listájában vagy a letiltott tartományok listájában egy levélszemét-ellenes házirendben. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
SFV:SKN Az üzenet a levélszemétszűrés feldolgozása előtt nem láthatóként lett megjelölve. Az üzenet például SCL -1 vagy Levélszemétszűrés mellőzése e-mail-forgalmi szabály szerint volt megjelölve.
SFV:SKQ Az üzenet felszabadult a karanténból, és a címzetteknek lett elküldve.
SFV:SKS Az üzenet levélszemétként lett megjelölve, mielőtt levélszemétszűrés útján feldolgozta. Az üzenetet például egy levélforgalmi szabály 5–9. SCL-ként jelölte meg.
SFV:SPM Az üzenet levélszemétszűréssel lett megjelölve.
SRV:BULK Az üzenet tömeges e-mailként lett azonosítva a levélszemétszűrés és a tömeges panaszszint (BCL) küszöbértéke alapján. Ha a MarkAsSpamBulkMail paraméter On (alapértelmezés szerint be van kapcsolva), a tömeges e-mailek levélszemétként (SCL 6) lesznek megjelölve. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
X-CustomSpam: [ASFOption] Az üzenet megfelelt egy Speciális levélszemétszűrő (ASF) beállításnak. Az egyes ASF-beállítások X-fejlécértékének megtekintéséhez lásd: Speciális levélszemétszűrő (ASF) beállítások a levélszemét-ellenes házirendekben.

Megjegyzés: Az ASF X-fejlécmezőket ad X-CustomSpam: hozzá az üzenetekhez az Exchange levelezési szabályai (más néven átviteli szabályok) feldolgozása után . Nem használhat levélforgalmi szabályokat az ASF által szűrt üzenetek azonosítására és a műveletekre.

X-Microsoft-Antispam üzenetfejlécmezők

Az alábbi táblázat az X-Microsoft-Antispam üzenetfejléc hasznos mezőit ismerteti. A fejléc többi mezőjét kizárólag a Microsoft levélszemét-ellenes csapata használja diagnosztikai célokra.

Mező Leírás
BCL Az üzenet tömeges panaszszintje (BCL). A magasabb szintű BCL azt jelzi, hogy egy tömeges e-mail-üzenet nagyobb valószínűséggel hoz létre panaszokat (és ezért nagyobb valószínűséggel levélszemét). További információ: Tömeges panaszszint (BCL).

Hitelesítési eredmények üzenetfejléce

Az SPF, A DKIM és a DMARC e-mail-hitelesítési ellenőrzéseinek eredményei a bejövő üzenetek hitelesítési eredmények üzenetfejlécében lesznek rögzítve (lebélyegezve). A Hitelesítési eredmények fejléc az RFC 7001-ben van definiálva.

Az alábbi lista az e-mail-hitelesítés egyes típusainak Hitelesítési eredmények fejlécéhez hozzáadott szöveget ismerteti:

  • Az SPF a következő szintaxist használja:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Például:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • A DKIM a következő szintaxist használja:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Például:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • A DMARC a következő szintaxist használja:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Például:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Hitelesítési eredmények üzenetfejlécmezői

Az alábbi táblázat az egyes e-mail-hitelesítési ellenőrzések mezőit és lehetséges értékeit ismerteti.

Mező Leírás
action A levélszemétszűrő által a DMARC-ellenőrzés eredményei alapján végrehajtott műveletet jelzi. Például:
  • pct.quarantine: Azt jelzi, hogy a DMARC-t nem átadó üzenetek 100%-nál kisebb százaléka mindenképpen kézbesítve lesz. Ez az eredmény azt jelenti, hogy az üzenet sikertelen volt, és a DMARC-szabályzat értéke p=quarantine. A pct mező azonban nem lett 100%-ra állítva, és a rendszer véletlenszerűen úgy döntött, hogy nem alkalmazza a DMARC-műveletet a megadott tartomány DMARC-szabályzata alapján.
  • pct.reject: Azt jelzi, hogy a DMARC-t nem átadó üzenetek 100%-nál kisebb százaléka mindenképpen kézbesítve lesz. Ez az eredmény azt jelenti, hogy az üzenet sikertelen volt, és a DMARC-szabályzat értéke p=reject. A pct mező azonban nem lett 100%-ra állítva, és a rendszer véletlenszerűen úgy döntött, hogy nem alkalmazza a DMARC-műveletet a megadott tartomány DMARC-szabályzata alapján.
  • permerror: Állandó hiba történt a DMARC kiértékelése során, például helytelenül formázott DMARC TXT rekordba ütközött a DNS-ben. Az üzenet újraküldése valószínűleg nem eredményez más eredményt. Ehelyett előfordulhat, hogy a probléma megoldásához kapcsolatba kell lépnie a tartomány tulajdonosával.
  • temperror: Ideiglenes hiba történt a DMARC kiértékelése során. Ha a feladó később küldi el az üzenetet, előfordulhat, hogy megfelelően lesz feldolgozva.
compauth Összetett hitelesítési eredmény. A Microsoft 365 több hitelesítési típust (SPF, DKIM és DMARC) és az üzenet más részeit kombinálva állapítja meg, hogy az üzenet hitelesítve van-e. A kiértékelés alapjaként a From: tartományt használja. Megjegyzés: A hiba ellenére compauth az üzenet továbbra is engedélyezhető, ha más értékelések nem jeleznek gyanús természetet.
dkim Az üzenet DKIM-ellenőrzésének eredményeit ismerteti. A lehetséges értékek a következők:
  • pass: Azt jelzi, hogy a DKIM ellenőrzi az átadott üzenetet.
  • fail (reason): Azt jelzi, hogy az üzenet DKIM-ellenőrzése sikertelen volt, és hogy miért. Ha például az üzenet nem volt aláírva, vagy az aláírás nem lett hitelesítve.
  • none: Azt jelzi, hogy az üzenet nincs aláírva. Ez az eredmény jelezheti vagy nem jelzi, hogy a tartomány DKIM-rekorddal rendelkezik, vagy a DKIM rekord nem értékeli ki az eredményt.
dmarc Az üzenet DMARC-ellenőrzésének eredményeit ismerteti. A lehetséges értékek a következők:
  • pass: Az átadott üzenet DMARC-ellenőrzését jelzi.
  • fail: Azt jelzi, hogy az üzenet DMARC-ellenőrzése sikertelen volt.
  • bestguesspass: Azt jelzi, hogy a tartományhoz nem létezik DMARC TXT rekord. Ha a tartomány rendelkezik DMARC TXT rekorddal, az üzenet DMARC-ellenőrzése sikeres lesz.
  • none: Azt jelzi, hogy nem létezik DMARC TXT rekord a küldő tartományhoz a DNS-ben.
header.d A DKIM-aláírásban azonosított tartomány, ha van ilyen. Ez a tartomány lekérdezi a nyilvános kulcsot.
header.from A Feladó cím tartománya az e-mail-üzenet fejlécében (más néven a cím vagy a 5322.From P2 feladó). A címzett a Feladó címet látja az e-mail-ügyfelekben.
reason Az összetett hitelesítés sikeres vagy sikertelen volt. Az érték egy háromjegyű kód. További információ: Összetett hitelesítési okkódok szakasz.
smtp.mailfrom A MAIL FROM cím tartománya (más néven a cím, a 5321.MailFrom P1 feladó vagy a boríték feladója). Ez az e-mail-cím nem kézbesítési jelentésekhez (más néven NDR-ekhez vagy visszapattanó üzenetekhez) használatos.
spf Az üzenet SPF-ellenőrzésének eredményeit ismerteti (hogy az üzenetforrás szerepel-e a tartomány SPF rekordjában). A lehetséges értékek a következők:
  • pass (IP address): Az üzenetforrás szerepel a tartomány SPF rekordjában. A forrás jogosult e-mailek küldésére vagy továbbítására a tartomány számára.
  • fail (IP address): Más néven hard fail. Az üzenetforrás nem szerepel a tartomány SPF rekordjában, és a tartomány utasítja a cél levelezőrendszert az üzenet elutasítására (-all).
  • softfail (reason): Más néven helyreállítható hiba. Az üzenetforrás nem szerepel a tartomány SPF rekordjában, és a tartomány arra utasítja a cél levelezőrendszert, hogy fogadja el és jelölje meg az üzenetet (~all).
  • neutral: Az üzenetforrás nem szerepel a tartomány SPF rekordjában, és a tartomány nem ad utasítást a célnak az üzenethez (?all).
  • none: A tartomány nem rendelkezik SPF rekorddal, vagy az SPF rekord nem értékeli ki az eredményt.
  • temperror: Ideiglenes hiba történt. Például EGY DNS-hiba. Ugyanez az ellenőrzés később sikeres lehet.
  • permerror: Állandó hiba történt. A tartomány például rosszul formázott SPF rekorddal rendelkezik.

Összetett hitelesítés okkódjai

Az alábbi táblázat az eredményekkel compauth együtt használt háromjegyű reason kódokat ismerteti.

Tipp

Az e-mail-hitelesítési eredményekről és a hibák javításáról további információt a Biztonsági műveletek útmutató az e-mail-hitelesítéshez a Microsoft 365-ben című témakörben talál.

Okkód Leírás
000 Az üzenet nem tudott explicit hitelesítést végrehajtani (compauth=fail). Az üzenet sikertelen DMARC-üzenetet kapott, és a DMARC-szabályzatművelet p=quarantine vagy p=reject.
001 Az üzenet implicit hitelesítése meghiúsult (compauth=fail). A küldő tartomány nem tett közzé e-mail-hitelesítési rekordokat, vagy ha igen, gyengébb hibaszabályzattal (SPF ~all vagy ?all, vagy DMARC-szabályzattal p=none) rendelkezett.
002 A szervezet rendelkezik a feladó/tartomány párra vonatkozó szabályzattal, amely kifejezetten tiltja a hamisított e-mailek küldését. Ezt a beállítást egy rendszergazda manuálisan konfigurálja.
010 Az üzenet sikertelen volt, a DMARC-szabályzat művelete p=reject vagy p=quarantine, és a küldő tartomány a szervezet egyik elfogadott tartománya (önkiszolgáló vagy szervezeten belüli hamisítás).
1xx Az üzenet explicit vagy implicit hitelesítést (compauth=pass) átadott.
  100 Az SPF vagy a DKIM át lett adva, és a MAIL FROM és a From cím tartományai egymáshoz vannak igazítva.
  101 Az üzenet a Feladó címben használt tartomány által aláírt DKIM volt.
  102 A MAIL FROM és a From címtartomány egymáshoz lett igazítva, és az SPF át lett adva.
  103 A Feladó címtartomány a forrás IP-címhez társított DNS PTR rekordhoz (névkereséshez) igazodik
  104 A forrás IP-címhez társított DNS PTR rekord (fordított keresés) a Feladó címtartományhoz igazodik.
  108 A DKIM a korábbi legitim ugrásokhoz hozzárendelt üzenettörzs-módosítás miatt meghiúsult. Az üzenettörzs például módosult a szervezet helyszíni e-mail-környezetében.
  109 Bár a feladó tartománya nem rendelkezik DMARC-rekorddal, az üzenet mégis átmegy.
  111 A DMARC ideiglenes vagy állandó hibája ellenére az SPF vagy a DKIM tartomány a Feladó címtartományhoz igazodik.
  112 A DNS-időtúllépés megakadályozta a DMARC-rekord lekérését.
  115 Az üzenetet egy Microsoft 365-szervezet küldte, ahol a Feladó címtartomány elfogadott tartományként van konfigurálva.
  116 A From címtartomány MX rekordja a csatlakozó IP-cím PTR rekordjával (névkeresésével) igazodik.
  130 A megbízható ARC-tömítőből származó ARC-eredmény felülírja a DMARC-hibát.
2xx A helyreállíthatóan átadott implicit hitelesítés (compauth=softpass) üzenet.
  201 A From címtartomány PTR rekordja igazodik a csatlakozó IP-cím PTR rekordjának alhálózatához.
  202 A Feladó címtartomány a csatlakozó IP-cím PTR-rekordjának tartományához igazodik.
3xx Az üzenet nem lett ellenőrizve összetett hitelesítéshez (compauth=none).
4xx Az üzenet megkerülte az összetett hitelesítést (compauth=none).
501 A DMARC nem lett kényszerítve. Az üzenet egy érvényes sikertelen kézbesítésről szóló jelentés (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenet), és korábban létrejött a kapcsolat a feladó és a címzett között.
502 A DMARC nem lett kényszerítve. Az üzenet érvényes sikertelen kézbesítésről tájékoztató jelentés a szervezettől küldött üzenetekhez.
6xx Az üzenet nem tudott implicit e-mail-hitelesítést végrehajtani (compauth=fail).
  601 A küldő tartomány a szervezet elfogadott tartománya (önkiszolgáló vagy szervezeten belüli hamisítás).
7xx Az üzenet implicit hitelesítést (compauth=pass) átadott.
  701-704 A DMARC-t nem kényszerítette a rendszer, mert ennek a szervezetnek előzményei vannak, hogy megbízható üzeneteket fogadjon a küldő infrastruktúrából.
9xx Az üzenet megkerülte az összetett hitelesítést (compauth=none).
  905 A DMARC nem lett kényszerítve az összetett útválasztás miatt. Az internetes üzenetek például a Microsoft 365 elérése előtt egy helyszíni Exchange-környezetben vagy egy nem Microsoft-szolgáltatásban vannak átirányítva.
  • Last updated on