Meldingshoder for søppelpost i Microsoft 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
I alle Microsoft 365-organisasjoner skanner Exchange Online Protection (EOP) alle innkommende meldinger etter søppelpost, skadelig programvare og andre trusler. Resultatene av disse skanningene legges til i følgende topptekstfelt i meldinger:
- X-Forefront-Antispam-Report: Inneholder informasjon om meldingen og om hvordan den ble behandlet.
- X-Microsoft-Antispam: Inneholder tilleggsinformasjon om masseutsendelse av e-post og phishing.
- Godkjenningsresultater: Inneholder informasjon om resultater for SPF, DKIM og DMARC (e-postgodkjenning).
Denne artikkelen beskriver hva som er tilgjengelig i disse topptekstfeltene.
Hvis du vil ha informasjon om hvordan du viser et e-postmeldingshode i ulike e-postklienter, kan du se Vis meldingshoder på Internett i Outlook.
Tips
Du kan kopiere og lime inn innholdet i et meldingshode i verktøyet For meldingshodeanalyse . Dette verktøyet bidrar til å analysere topptekster og legge dem i et mer lesbart format.
Meldingshodefelt for X-Forefront-Antispam-Report
Når du har meldingshodeinformasjonen, finner du toppteksten X-Forefront-Antispam-Report . Det finnes flere felt- og verdipar i denne overskriften atskilt med semikolon (;). Eksempel:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
De individuelle feltene og verdiene er beskrevet i tabellen nedenfor.
Obs!
Toppteksten X-Forefront-Antispam-Report inneholder mange forskjellige felt og verdier. Felt som ikke er beskrevet i tabellen, brukes utelukkende av Microsofts søppelpostteam til diagnoseformål.
Felt | Beskrivelse |
---|---|
ARC |
Protokollen ARC har følgende felt:
|
CAT: |
Kategorien for beskyttelsespolicyen som brukes på meldingen:
*Bare Defender for Office 365. En innkommende melding kan flagges av flere former for beskyttelse og skanning av flere gjenkjenninger. Policyer brukes i en prioritetsrekkefølge, og policyen med høyest prioritet brukes først. Hvis du vil ha mer informasjon, kan du se Hvilken policy som gjelder når flere beskyttelsesmetoder og gjenkjenningsskanninger kjører på e-posten din. |
CIP:[IP address] |
IP-adressen som kobles til. Du kan bruke denne IP-adressen i ip-tillatelseslisten eller IP-blokkeringslisten. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkoblingsfiltrering. |
CTRY |
Kildelandet/-området som bestemmes av IP-adressen for tilkoblingen, som kanskje ikke er den samme som den opprinnelige IP-adressen som sendes. |
DIR |
Meldingsretningen:
|
H:[helostring] |
HELO- eller EHLO-strengen for den koblede e-postserveren. |
IPV:CAL |
Meldingen hoppet over søppelpostfiltrering fordi kilde-IP-adressen var i listen over tillatte IP-adresser. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkoblingsfiltrering. |
IPV:NLI |
Ip-adressen ble ikke funnet på noen IP-omdømmeliste. |
LANG |
Språket som meldingen ble skrevet i, som angitt av landskoden (for eksempel ru_RU for russisk). |
PTR:[ReverseDNS] |
PTR-posten (også kjent som det omvendte DNS-oppslaget) for kilde-IP-adressen. |
SCL |
Søppelpost-konfidensnivået (SCL) for meldingen. En høyere verdi indikerer at det er mer sannsynlig at meldingen er søppelpost. Hvis du vil ha mer informasjon, kan du se SCL (Spam Confidence Level). |
SFTY |
Meldingen ble identifisert som phishing og er også merket med én av følgende verdier:
|
SFV:BLK |
Filtrering ble hoppet over, og meldingen ble blokkert fordi den ble sendt fra en adresse i en brukers liste over blokkerte avsendere. Hvis du vil ha mer informasjon om hvordan administratorer kan administrere en brukers liste over blokkerte avsendere, kan du se Konfigurere innstillinger for søppelpost i Exchange Online-postbokser. |
SFV:NSPM |
Søppelpostfiltrering merket meldingen som ikke-pam, og meldingen ble sendt til de tiltenkte mottakerne. |
SFV:SFE |
Filtrering ble hoppet over, og meldingen ble tillatt fordi den ble sendt fra en adresse i en brukers liste over klarerte avsendere. Hvis du vil ha mer informasjon om hvordan administratorer kan administrere en brukers liste over klarerte avsendere, kan du se Konfigurere innstillinger for søppelpost i Exchange Online-postbokser. |
SFV:SKA |
Meldingen hoppet over filtrering av søppelpost og ble levert til innboksen fordi avsenderen var i listen over tillatte avsendere eller en liste over tillatte domener i en policy for søppelpost. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost. |
SFV:SKB |
Meldingen ble merket som søppelpost fordi den samsvarte med en avsender i listen over blokkerte avsendere eller blokkerte domener i en policy for søppelpost. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost. |
SFV:SKN |
Meldingen ble merket som ikke-pam før behandling av søppelpostfiltrering. Meldingen ble for eksempel merket som SCL -1 eller Omgå filtrering av søppelpost etter en e-postflytregel. |
SFV:SKQ |
Meldingen ble frigitt fra karantene og ble sendt til de tiltenkte mottakerne. |
SFV:SKS |
Meldingen ble merket som søppelpost før behandling av søppelpostfiltrering. Meldingen ble for eksempel merket som SCL 5 til 9 av en e-postflytregel. |
SFV:SPM |
Meldingen ble merket som søppelpost ved filtrering av søppelpost. |
SRV:BULK |
Meldingen ble identifisert som masse-e-post ved filtrering av søppelpost og terskelen for masseklagenivå (BCL). Når parameteren MarkAsSpamBulkMail er On (den er aktivert som standard), merkes en masse-e-postmelding som søppelpost (SCL 6). Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost. |
X-CustomSpam: [ASFOption] |
Meldingen samsvarte med innstillingen Avansert søppelpostfilter (ASF). Hvis du vil se X-topptekstverdien for hver ASF-innstilling, kan du se innstillingene for Avansert søppelpostfilter (ASF). Obs! ASF legger til X-CustomSpam: X-overskriftsfelt i meldinger etter at meldingene ble behandlet av regler for Exchange-e-postflyt (også kalt transportregler), slik at du ikke kan bruke regler for e-postflyt til å identifisere og behandle meldinger som ble filtrert etter ASF. |
Meldingshodefelt for X-Microsoft-Antispam-melding
Tabellen nedenfor beskriver nyttige felt i meldingshodet X-Microsoft-Antispam . Andre felt i denne overskriften brukes utelukkende av Microsofts søppelpostteam til diagnoseformål.
Felt | Beskrivelse |
---|---|
BCL |
Masseklagenivået (BCL) for meldingen. En høyere BCL indikerer at en masseutsendelse av e-postmeldinger er mer sannsynlig å generere klager (og er derfor mer sannsynlig å være søppelpost). Hvis du vil ha mer informasjon, kan du se Masseklagenivå (BCL) i EOP. |
Meldingshode for godkjenningsresultater
Resultatene av e-postgodkjenningskontroller for SPF, DKIM og DMARC registreres (stemplet) i meldingshodet for godkjenningsresultater i innkommende meldinger. Overskriften for godkjenningsresultater er definert i RFC 7001.
Listen nedenfor beskriver teksten som er lagt til i overskriften Godkjenningsresultater for hver type e-postgodkjenningskontroll:
SPF bruker følgende syntaks:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Eksempel:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM bruker følgende syntaks:
dkim=<pass|fail (reason)|none> header.d=<domain>
Eksempel:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC bruker følgende syntaks:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Eksempel:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Meldingshodefelt for godkjenningsresultater
Tabellen nedenfor beskriver feltene og mulige verdier for hver kontroll av e-postgodkjenning.
Felt | Beskrivelse |
---|---|
action |
Angir handlingen som utføres av søppelpostfilteret basert på resultatene av DMARC-kontrollen. Eksempel:
|
compauth |
Resultat for sammensatt godkjenning. Brukes av Microsoft 365 til å kombinere flere typer godkjenning (SPF, DKIM og DMARC) eller andre deler av meldingen for å avgjøre om meldingen er godkjent eller ikke. Bruker Fra:-domenet som grunnlag for evalueringen. Merk: Til tross for en compauth feil, kan meldingen fortsatt være tillatt hvis andre vurderinger ikke indikerer en mistenkelig natur. |
dkim |
Beskriver resultatene av DKIM-kontrollen for meldingen. Mulige verdier inkluderer:
|
dmarc |
Beskriver resultatene av DMARC-kontrollen for meldingen. Mulige verdier inkluderer:
|
header.d |
Domene identifisert i DKIM-signaturen hvis aktuelt. Dette er domenet som spørres etter fellesnøkkelen. |
header.from |
Domenet til 5322.From adressen i meldingshodet for e-postmeldingen (også kalt Fra-adressen eller P2-avsenderen). Mottakeren ser Fra-adressen i e-postklienter. |
reason |
Årsaken til at den sammensatte godkjenningen ble sendt eller mislyktes. Verdien er en tresifret kode. Eksempel:
|
smtp.mailfrom |
Domenet til 5321.MailFrom adressen (også kjent som MAIL FROM-adresse, P1-avsender eller konvoluttavsender). Denne e-postadressen brukes for rapporter om manglende levering (også kjent som NDR-er eller returmeldinger). |
spf |
Beskriver resultatene av SPF-kontrollen for meldingen. Mulige verdier inkluderer:
|
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for