Nagłówki wiadomości antyspamowych w usłudze Microsoft 365
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
We wszystkich organizacjach platformy Microsoft 365 Exchange Online Protection (EOP) skanuje wszystkie przychodzące wiadomości pod kątem spamu, złośliwego oprogramowania i innych zagrożeń. Wyniki tych skanów są dodawane do następujących pól nagłówka w komunikatach:
- X-Forefront-Antispam-Report: zawiera informacje o komunikacie i sposobie jego przetwarzania.
- X-Microsoft-Antispam: zawiera dodatkowe informacje na temat poczty zbiorczej i wyłudzania informacji.
- Wyniki uwierzytelniania: zawiera informacje o wynikach SPF, DKIM i DMARC (uwierzytelnianie za pośrednictwem poczty e-mail).
W tym artykule opisano, co jest dostępne w tych polach nagłówka.
Aby uzyskać informacje o sposobie wyświetlania nagłówka wiadomości e-mail w różnych klientach poczty e-mail, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.
Porada
Zawartość nagłówka komunikatu można skopiować i wkleić do narzędzia Analizator nagłówka wiadomości . To narzędzie pomaga przeanalizować nagłówki i umieścić je w bardziej czytelnym formacie.
Po wyświetleniu informacji nagłówka komunikatu znajdź nagłówek X-Forefront-Antispam-Report . W tym nagłówku istnieje wiele par pól i wartości rozdzielonych średnikami (;). Przykład:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Poszczególne pola i wartości są opisane w poniższej tabeli.
Uwaga
Nagłówek X-Forefront-Antispam-Report zawiera wiele różnych pól i wartości. Pola, które nie są opisane w tabeli, są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.
Pole | Opis |
---|---|
ARC |
Protokół ARC zawiera następujące pola:
|
CAT: |
Kategoria zasad ochrony zastosowana do komunikatu:
*tylko Ochrona usługi Office 365 w usłudze Defender. Komunikat przychodzący może być oflagowany przez wiele form ochrony i wiele skanów wykrywania. Zasady są stosowane w kolejności pierwszeństwa, a zasady o najwyższym priorytecie są stosowane jako pierwsze. Aby uzyskać więcej informacji, zobacz Jakie zasady mają zastosowanie w przypadku uruchamiania wielu metod ochrony i skanowania wykrywania w wiadomości e-mail. |
CIP:[IP address] |
Łączący się adres IP. Tego adresu IP można użyć na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń. |
CTRY |
Kraj/region źródłowy określony przez łączący się adres IP, który może nie być taki sam jak źródłowy adres IP wysyłający. |
DIR |
Kierunek komunikatu:
|
H:[helostring] |
Ciąg HELO lub EHLO łączącego się serwera poczty e-mail. |
IPV:CAL |
Komunikat pominął filtrowanie spamu, ponieważ źródłowy adres IP znajduje się na liście dozwolonych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń. |
IPV:NLI |
Nie odnaleziono adresu IP na żadnej liście reputacji adresów IP. |
LANG |
Język, w jakim wiadomość została napisana zgodnie z kodem kraju (na przykład ru_RU dla języka rosyjskiego). |
PTR:[ReverseDNS] |
Rekord PTR (znany również jako odwrotne wyszukiwanie DNS) źródłowego adresu IP. |
SCL |
Poziom ufności spamu (SCL) wiadomości. Wyższa wartość wskazuje, że wiadomość jest bardziej prawdopodobna jako spam. Aby uzyskać więcej informacji, zobacz Poziom ufności spamu (SCL). |
SFTY |
Wiadomość została zidentyfikowana jako wyłudzająca informacje i jest również oznaczona jedną z następujących wartości:
|
SFV:BLK |
Filtrowanie zostało pominięte, a komunikat został zablokowany, ponieważ został wysłany z adresu na liście zablokowanych nadawców użytkownika. Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą zablokowanych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych. |
SFV:NSPM |
Filtrowanie spamu oznaczało wiadomość jako nonspam, a wiadomość została wysłana do zamierzonych adresatów. |
SFV:SFE |
Filtrowanie zostało pominięte, a komunikat był dozwolony, ponieważ został wysłany z adresu na liście bezpiecznych nadawców użytkownika. Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą bezpiecznych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych. |
SFV:SKA |
Wiadomość pominąła filtrowanie spamu i została dostarczona do skrzynki odbiorczej, ponieważ nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem. |
SFV:SKB |
Wiadomość została oznaczona jako spam, ponieważ pasowała do nadawcy na liście zablokowanych nadawców lub zablokowanych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem. |
SFV:SKN |
Wiadomość została oznaczona jako nonspam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL -1 lub Pomiń filtrowanie spamu według reguły przepływu poczty. |
SFV:SKQ |
Wiadomość została zwolniona z kwarantanny i została wysłana do zamierzonych adresatów. |
SFV:SKS |
Wiadomość została oznaczona jako spam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL od 5 do 9 przez regułę przepływu poczty. |
SFV:SPM |
Wiadomość została oznaczona jako spam przez filtrowanie spamu. |
SRV:BULK |
Wiadomość została zidentyfikowana jako zbiorcza wiadomość e-mail przez filtrowanie spamu i próg poziomu skarg zbiorczych (BCL). Gdy parametr MarkAsSpamBulkMail jest On (domyślnie włączony), zbiorcza wiadomość e-mail jest oznaczona jako spam (SCL 6). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem. |
X-CustomSpam: [ASFOption] |
Wiadomość była zgodna z ustawieniem zaawansowanego filtru spamu (ASF). Aby wyświetlić wartość nagłówka X dla każdego ustawienia asf, zobacz Ustawienia zaawansowanego filtru spamu (ASF). Uwaga: usługa ASF dodaje X-CustomSpam: pola nagłówka X do wiadomości po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na wiadomościach filtrowanych przez usługę ASF. |
W poniższej tabeli opisano przydatne pola w nagłówku komunikatu X-Microsoft-Antispam . Inne pola w tym nagłówku są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.
Pole | Opis |
---|---|
BCL |
Poziom skargi zbiorczej (BCL) komunikatu. Wyższa lista BCL wskazuje, że wiadomość e-mail zbiorcza jest bardziej skłonna do generowania skarg (i dlatego jest bardziej prawdopodobna jako spam). Aby uzyskać więcej informacji, zobacz Poziom skarg zbiorczych (BCL) w EOP. |
Wyniki kontroli uwierzytelniania poczty e-mail dla SPF, DKIM i DMARC są rejestrowane (ostemplowane) w nagłówku komunikatu Authentication-results w komunikatach przychodzących. Nagłówek Authentication-results jest zdefiniowany w dokumencie RFC 7001.
Na poniższej liście opisano tekst dodany do nagłówka Authentication-Results dla każdego typu sprawdzania uwierzytelniania poczty e-mail :
SPF używa następującej składni:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Przykład:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
Usługa DKIM używa następującej składni:
dkim=<pass|fail (reason)|none> header.d=<domain>
Przykład:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
Usługa DMARC używa następującej składni:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Przykład:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
W poniższej tabeli opisano pola i możliwe wartości dla każdego sprawdzania uwierzytelniania poczty e-mail.
Pole | Opis |
---|---|
action |
Wskazuje akcję podjętą przez filtr spamu na podstawie wyników sprawdzania DMARC. Przykład:
|
compauth |
Wynik uwierzytelniania złożonego. Używany przez platformę Microsoft 365 do łączenia wielu typów uwierzytelniania (SPF, DKIM i DMARC) lub dowolnej innej części komunikatu w celu ustalenia, czy komunikat jest uwierzytelniony. Używa domeny From: jako podstawy oceny.
Uwaga: mimo compauth niepowodzenia komunikat może nadal być dozwolony, jeśli inne oceny nie wskazują podejrzanego charakteru. |
dkim |
Opisuje wyniki sprawdzania DKIM dla komunikatu. Możliwe wartości obejmują:
|
dmarc |
Opisuje wyniki sprawdzania DMARC dla komunikatu. Możliwe wartości obejmują:
|
header.d |
Domena zidentyfikowana w sygnaturze DKIM, jeśli istnieje. Jest to domena, która jest pytana o klucz publiczny. |
header.from |
Domena 5322.From adresu w nagłówku wiadomości e-mail (znana również jako nadawca z adresu lub P2). Adresat widzi adres Od w klientach poczty e-mail. |
reason |
Przyczyna przekazania lub niepowodzenia uwierzytelniania złożonego. Wartość to trzycyfrowy kod. Przykład:
|
smtp.mailfrom |
Domena adresu (znana 5321.MailFrom również jako adres MAIL FROM, nadawca P1 lub nadawca koperty). Ten adres e-mail jest używany w przypadku raportów o braku dostarczania (znanych również jako serwery NDR lub komunikaty odrzuceń). |
spf |
Opisuje wyniki sprawdzania SPF dla komunikatu. Możliwe wartości obejmują:
|