Intestazioni dei messaggi della protezione da posta indesiderata in Microsoft 365
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
In tutte le organizzazioni Microsoft 365, Exchange Online Protection (EOP) analizza tutti i messaggi in arrivo per identificare posta indesiderata, malware e altre minacce. I risultati di queste analisi vengono aggiunti a questi campi di intestazione nei messaggi:
- X-Forefront-Antispam-Report: contiene informazioni sul messaggio e sul modo in cui è stato elaborato.
- X-Microsoft-Antispam: fornisce informazioni aggiuntive sulla posta inviata in massa e il phishing.
- Authentication-results: contiene informazioni sui risultati delle autenticazioni della posta elettronica SPF, DKIM e DMARC.
Questo articolo descrive le caratteristiche disponibili in questi campi di intestazione.
Per informazioni sulla visualizzazione dell'intestazione di un messaggio di posta elettronica in diversi client di posta elettronica, vedere Visualizzare le intestazioni dei messaggi Internet in Outlook.
Consiglio
È possibile copiare e incollare il contenuto dell’intestazione di un messaggio nello strumento Analizzatore intestazione messaggio. Questo strumento consente di analizzare le intestazioni e di inserirle in un formato più leggibile.
Campi di intestazione del messaggio X-Forefront-Antispam-Report
Dopo aver trovato le informazioni sull’intestazione del messaggio, trovare l’intestazione X-Forefront-Antispam-Report. In questa intestazione sono presenti più coppie di campi e valori separati da punti e virgola (;). Ad esempio:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
I campi e i valori sono descritti nel dettaglio nella tabella seguente.
Nota
L’intestazione X-Forefront-Antispam-Report contiene molti campi e valori. L'utilizzo dei campi non descritti nella tabella è riservato al team di protezione dalla posta indesiderata di Microsoft per finalità diagnostiche.
Campo | Descrizione |
---|---|
ARC |
I campi del protocollo ARC sono i seguenti:
|
CAT: |
Categoria di criteri di protezione applicati al messaggio:
*Defender per Office 365 solo. Un messaggio in ingresso potrebbe essere contrassegnato da più forme di protezione e analisi di rilevamento multiple. I criteri vengono applicati in un ordine di precedenza e i criteri con la priorità più alta vengono applicati per primi. Per altre informazioni, vedere Criteri applicabili ai messaggi di posta elettronica quando vengono usati più metodi di protezione e analisi di rilevamento. |
CIP:[IP address] |
L'indirizzo IP che si connette. È possibile usare questo indirizzo IP nell'elenco Consenti indirizzi IP o nell'elenco Blocca indirizzi IP. Per ulteriori informazioni, vedere Configurare il filtraggio delle connessioni. |
CTRY |
Paese/area geografica di origine determinato dall'indirizzo IP di connessione, che potrebbe non essere lo stesso dell'indirizzo IP di invio di origine. |
DIR |
Direzionalità del messaggio:
|
H:[helostring] |
Stringa HELO o EHLO del server di posta elettronica connesso. |
IPV:CAL |
Il messaggio è stato ignorato dal filtro della posta indesiderata perché l'indirizzo IP di origine era riportato nell'elenco Consenti indirizzi IP. Per ulteriori informazioni, vedere Configurare il filtraggio delle connessioni. |
IPV:NLI |
L'indirizzo IP non è stato trovato in alcun elenco di reputazione IP. |
LANG |
Lingua in cui è stato scritto il messaggio come specificato dal codice del paese , ad esempio ru_RU per il russo. |
PTR:[ReverseDNS] |
Il record PTR (noto anche come ricerca DNS inversa) dell'indirizzo IP di origine. |
SCL |
Il livello di probabilità di posta indesiderata (SCL) del messaggio. Più alto è il valore, maggiore è la probabilità che si tratti di un messaggio di posta indesiderata. Per ulteriori informazioni, vedere Livello di probabilità di posta indesiderata (SCL). |
SFTY |
Il messaggio è stato identificato come phishing ed è anche contrassegnato con uno dei valori seguenti:
|
SFV:BLK |
Il filtro è stato ignorato e il messaggio è stato bloccato, perché è stato inviato da un utente presente nell'elenco Mittenti bloccati di un utente. Per altre informazioni sul modo in cui gli amministratori possono gestire l'elenco dei mittenti bloccati di un utente, vedere Configurare le impostazioni della posta indesiderata nelle cassette postali di Exchange Online. |
SFV:NSPM |
Il filtro della posta indesiderata ha contrassegnato il messaggio come nonspam e il messaggio è stato inviato ai destinatari previsti. |
SFV:SFE |
Il filtro è stato ignorato e il messaggio è stato lasciato passare, perché è stato inviato da un utente presente nell'elenco Mittenti attendibili di un utente. Per altre informazioni sul modo in cui gli amministratori possono gestire l'elenco dei mittenti attendibili di un utente, vedere Configurare le impostazioni di posta indesiderata nelle cassette postali di Exchange Online. |
SFV:SKA |
Il messaggio è stato ignorato dal filtro della posta indesiderata ed è stato recapitato alla posta in arivo, perché il mittente era presente in un elenco di mittenti consentiti o di domini consentiti di un criterio di protezione dalla posta indesiderata. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata. |
SFV:SKB |
Il messaggio è stato contrassegnato come posta indesiderata perché corrisponde a un mittente presente in un elenco di mittenti o domini bloccati in un criterio di protezione dalla posta indesiderata. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata. |
SFV:SKN |
Il messaggio è stato contrassegnato come nonspam prima dell'elaborazione tramite filtro della posta indesiderata. Ad esempio, il messaggio è stato contrassegnato come SCL -1 o Ignora filtro posta indesiderata da una regola del flusso di posta. |
SFV:SKQ |
Il messaggio è stato rilasciato dalla quarantena ed è stato inviato al destinatario. |
SFV:SKS |
Il messaggio è stato contrassegnato come posta indesiderata prima dell'elaborazione tramite filtro della posta indesiderata. Ad esempio, il messaggio è stato contrassegnato come SCL 5-9 da una regola del flusso di posta. |
SFV:SPM |
Il messaggio è stato contrassegnato come posta indesiderata dal filtro della posta indesiderata. |
SRV:BULK |
Il messaggio è stato identificato come posta elettronica in blocco dal filtro posta indesiderata e dalla soglia del livello di reclamo in blocco. Se il parametro MarkAsSpamBulkMail è On , ed è attivato per impostazione predefinita, un messaggio di posta elettronica in blocco viene contrassegnato come posta indesiderata (SCL 6). Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata. |
X-CustomSpam: [ASFOption] |
Il messaggio corrisponde a un'impostazione di filtro avanzato della posta indesiderata (ASF). Per vedere il valore X-header per ogni impostazione ASF, consultare le Impostazioni di filtro avanzato della posta indesiderata (ASF). Nota: ASF aggiunge X-CustomSpam: campi X-header ai messaggi dopo che i messaggi sono stati elaborati dalle regole del flusso di posta di Exchange (note anche come regole di trasporto), quindi non è possibile usare le regole del flusso di posta per identificare e agire sui messaggi filtrati in base a ASF. |
Campi di intestazione del messaggio X-Microsoft-Antispam
Nella tabella seguente vengono descritti i campi utili nell'intestazione del messaggio X-Microsoft-Antispam. L'utilizzo degli altri campi dell'intestazione è riservato al team di protezione dalla posta indesiderata di Microsoft per scopi di diagnostica.
Campo | Descrizione |
---|---|
BCL |
Il Livello di reclamo in blocco (BCL) del messaggio. Più il BCL è elevato, maggiore è la probabilità che un messaggio di posta elettronica in blocco generi reclami, ed è quindi più probabile che si tratti di posta indesiderata. Per altre informazioni, vedere Livello di reclamo in blocco (BCL) in EOP. |
Intestazione del messaggio Authentication-results
I risultati dei controlli dell'autenticazione della posta elettronica per SPF, DKIM e DMARC sono registrati (stampati) nell'intestazione Authentication-results dei messaggi in ingresso. L'intestazione Authentication-results è definita in RFC 7001.
L'elenco che segue descrive il testo che viene aggiunto all'intestazione Authentication-Results per ogni tipo di controllo dell'autenticazione:
SPF utilizza la sintassi seguente:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Ad esempio:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM utilizza la sintassi seguente:
dkim=<pass|fail (reason)|none> header.d=<domain>
Ad esempio:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC utilizza la sintassi seguente:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Ad esempio:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Campi dell'intestazione del messaggio Authentication-results
Nella tabella seguente vengono descritti i campi e i valori possibili per il controllo di autenticazione di ogni messaggio di posta elettronica.
Campo | Descrizione |
---|---|
action |
Indica l'azione eseguita dal filtro posta indesiderata in base ai risultati del controllo DMARC. Ad esempio:
|
compauth |
Risultato autenticazione composita. Usato da Microsoft 365 per combinare più tipi di autenticazione (SPF, DKIM e DMARC) o qualsiasi altra parte del messaggio per determinare se il messaggio viene autenticato o meno. Usa il dominio Da: come base per la valutazione.
Nota: nonostante un compauth errore, il messaggio potrebbe essere comunque consentito se altre valutazioni non indicano una natura sospetta. |
dkim |
Descrive i risultati del controllo DKIM per il messaggio. I valori possibili includono:
|
dmarc |
Descrive i risultati del controllo DMARC per il messaggio. I valori possibili includono:
|
header.d |
Dominio identificato nella firma DKIM, se presente. Questo è il dominio sottoposto a query per la chiave pubblica. |
header.from |
Il dominio dell'indirizzo 5322.From nell'intestazione del messaggio di posta elettronica, anche noto come indirizzo mittente o mittente P2. Il destinatario vede l'indirizzo mittente nei client di posta elettronica. |
reason |
Il motivo per cui l'autenticazione composita è stata superata o meno. Il valore è un codice a tre cifre. Ad esempio:
|
smtp.mailfrom |
Il dominio dell'indirizzo 5321.MailFrom , anche noto come indirizzo posta mittente, mittente P1 o mittente della busta. Questo indirizzo di posta elettronica viene usato per i report non recapitabili (noti anche come rapporti di mancato recapito o messaggi di mancato recapito). |
spf |
Descrive i risultati del controllo SPF per il messaggio. I valori possibili includono:
|