Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Nagłówki wiadomości antyspamowych w usłudze Microsoft 365

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

We wszystkich organizacjach platformy Microsoft 365 Exchange Online Protection (EOP) skanuje wszystkie przychodzące wiadomości pod kątem spamu, złośliwego oprogramowania i innych zagrożeń. Wyniki tych skanów są dodawane do następujących pól nagłówka w komunikatach:

  • X-Forefront-Antispam-Report: zawiera informacje o komunikacie i sposobie jego przetwarzania.
  • X-Microsoft-Antispam: zawiera dodatkowe informacje na temat poczty zbiorczej i wyłudzania informacji.
  • Wyniki uwierzytelniania: zawiera informacje o wynikach SPF, DKIM i DMARC (uwierzytelnianie za pośrednictwem poczty e-mail).

W tym artykule opisano, co jest dostępne w tych polach nagłówka.

Aby uzyskać informacje o sposobie wyświetlania nagłówka wiadomości e-mail w różnych klientach poczty e-mail, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.

Porada

Zawartość nagłówka komunikatu można skopiować i wkleić do narzędzia Analizator nagłówka wiadomości . To narzędzie pomaga przeanalizować nagłówki i umieścić je w bardziej czytelnym formacie.

Pola nagłówka komunikatu X-Forefront-Antispam-Report

Po wyświetleniu informacji nagłówka komunikatu znajdź nagłówek X-Forefront-Antispam-Report . W tym nagłówku istnieje wiele par pól i wartości rozdzielonych średnikami (;). Przykład:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Poszczególne pola i wartości są opisane w poniższej tabeli.

Uwaga

Nagłówek X-Forefront-Antispam-Report zawiera wiele różnych pól i wartości. Pola, które nie są opisane w tabeli, są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole Opis
ARC Protokół ARC zawiera następujące pola:
  • AAR: rejestruje zawartość nagłówka Authentication-results z DMARC.
  • AMS: zawiera sygnatury kryptograficzne komunikatu.
  • AS: zawiera sygnatury kryptograficzne nagłówków wiadomości. To pole zawiera tag weryfikacji łańcucha o nazwie "cv=", który zawiera wynik weryfikacji łańcucha jako brak, przekazywanie lub niepowodzenie.
CAT: Kategoria zasad ochrony zastosowana do komunikatu:
  • AMP: Ochrona przed złośliwym oprogramowaniem
  • BIMP: Personifikacja marki*
  • BULK:Wielkość
  • DIMP: Personifikacja domeny*
  • FTBP: Filtr typowych załączników chroniących przed złośliwym oprogramowaniem
  • GIMP: Personifikacja analizy skrzynki pocztowej*
  • HPHSH lub HPHISH: Wyłudzanie informacji o wysokim poziomie ufności
  • HSPM: Spam o wysokim poziomie ufności
  • INTOS: wyłudzanie informacji Intra-Organization
  • MALW: Złośliwe oprogramowanie
  • OSPM: Spam wychodzący
  • PHSH: wyłudzanie informacji
  • SAP: Bezpieczne załączniki*
  • SPM:Spam
  • SPOOF:Fałszowanie
  • UIMP: Personifikacja użytkownika*

*tylko Ochrona usługi Office 365 w usłudze Defender.

Komunikat przychodzący może być oflagowany przez wiele form ochrony i wiele skanów wykrywania. Zasady są stosowane w kolejności pierwszeństwa, a zasady o najwyższym priorytecie są stosowane jako pierwsze. Aby uzyskać więcej informacji, zobacz Jakie zasady mają zastosowanie w przypadku uruchamiania wielu metod ochrony i skanowania wykrywania w wiadomości e-mail.
CIP:[IP address] Łączący się adres IP. Tego adresu IP można użyć na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
CTRY Kraj/region źródłowy określony przez łączący się adres IP, który może nie być taki sam jak źródłowy adres IP wysyłający.
DIR Kierunek komunikatu:
  • INB: Komunikat przychodzący.
  • OUT: Komunikat wychodzący.
  • INT: Komunikat wewnętrzny.
H:[helostring] Ciąg HELO lub EHLO łączącego się serwera poczty e-mail.
IPV:CAL Komunikat pominął filtrowanie spamu, ponieważ źródłowy adres IP znajduje się na liście dozwolonych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
IPV:NLI Nie odnaleziono adresu IP na żadnej liście reputacji adresów IP.
LANG Język, w jakim wiadomość została napisana zgodnie z kodem kraju (na przykład ru_RU dla języka rosyjskiego).
PTR:[ReverseDNS] Rekord PTR (znany również jako odwrotne wyszukiwanie DNS) źródłowego adresu IP.
SCL Poziom ufności spamu (SCL) wiadomości. Wyższa wartość wskazuje, że wiadomość jest bardziej prawdopodobna jako spam. Aby uzyskać więcej informacji, zobacz Poziom ufności spamu (SCL).
SFTY Wiadomość została zidentyfikowana jako wyłudzająca informacje i jest również oznaczona jedną z następujących wartości:
SFV:BLK Filtrowanie zostało pominięte, a komunikat został zablokowany, ponieważ został wysłany z adresu na liście zablokowanych nadawców użytkownika.

Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą zablokowanych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

SFV:NSPM Filtrowanie spamu oznaczało wiadomość jako nonspam, a wiadomość została wysłana do zamierzonych adresatów.
SFV:SFE Filtrowanie zostało pominięte, a komunikat był dozwolony, ponieważ został wysłany z adresu na liście bezpiecznych nadawców użytkownika.

Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą bezpiecznych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.

SFV:SKA Wiadomość pominąła filtrowanie spamu i została dostarczona do skrzynki odbiorczej, ponieważ nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKB Wiadomość została oznaczona jako spam, ponieważ pasowała do nadawcy na liście zablokowanych nadawców lub zablokowanych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKN Wiadomość została oznaczona jako nonspam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL -1 lub Pomiń filtrowanie spamu według reguły przepływu poczty.
SFV:SKQ Wiadomość została zwolniona z kwarantanny i została wysłana do zamierzonych adresatów.
SFV:SKS Wiadomość została oznaczona jako spam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL od 5 do 9 przez regułę przepływu poczty.
SFV:SPM Wiadomość została oznaczona jako spam przez filtrowanie spamu.
SRV:BULK Wiadomość została zidentyfikowana jako zbiorcza wiadomość e-mail przez filtrowanie spamu i próg poziomu skarg zbiorczych (BCL). Gdy parametr MarkAsSpamBulkMail jest On (domyślnie włączony), zbiorcza wiadomość e-mail jest oznaczona jako spam (SCL 6). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
X-CustomSpam: [ASFOption] Wiadomość była zgodna z ustawieniem zaawansowanego filtru spamu (ASF). Aby wyświetlić wartość nagłówka X dla każdego ustawienia asf, zobacz Ustawienia zaawansowanego filtru spamu (ASF).

Uwaga: usługa ASF dodaje X-CustomSpam: pola nagłówka X do wiadomości po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na wiadomościach filtrowanych przez usługę ASF.

Pola nagłówka komunikatu X-Microsoft-Antispam

W poniższej tabeli opisano przydatne pola w nagłówku komunikatu X-Microsoft-Antispam . Inne pola w tym nagłówku są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole Opis
BCL Poziom skargi zbiorczej (BCL) komunikatu. Wyższa lista BCL wskazuje, że wiadomość e-mail zbiorcza jest bardziej skłonna do generowania skarg (i dlatego jest bardziej prawdopodobna jako spam). Aby uzyskać więcej informacji, zobacz Poziom skarg zbiorczych (BCL) w EOP.

Nagłówek komunikatu authentication-results

Wyniki kontroli uwierzytelniania poczty e-mail dla SPF, DKIM i DMARC są rejestrowane (ostemplowane) w nagłówku komunikatu Authentication-results w komunikatach przychodzących. Nagłówek Authentication-results jest zdefiniowany w dokumencie RFC 7001.

Na poniższej liście opisano tekst dodany do nagłówka Authentication-Results dla każdego typu sprawdzania uwierzytelniania poczty e-mail :

  • SPF używa następującej składni:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Przykład:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • Usługa DKIM używa następującej składni:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Przykład:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • Usługa DMARC używa następującej składni:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Przykład:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Pola nagłówka komunikatu authentication-results

W poniższej tabeli opisano pola i możliwe wartości dla każdego sprawdzania uwierzytelniania poczty e-mail.

Pole Opis
action Wskazuje akcję podjętą przez filtr spamu na podstawie wyników sprawdzania DMARC. Przykład:
  • pct.quarantine: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=quarantine. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny.
  • pct.reject: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=reject. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny.
  • permerror: Wystąpił trwały błąd podczas oceny DMARC, taki jak napotkanie niepoprawnie utworzonego rekordu TXT DMARC w systemie DNS. Próba ponownego przesłania tej wiadomości prawdopodobnie nie zakończy się innym wynikiem. Zamiast tego może być konieczne skontaktowanie się z właścicielem domeny w celu rozwiązania problemu.
  • temperror: Wystąpił tymczasowy błąd podczas oceny DMARC. Możesz zażądać, aby nadawca ponownie wysłał wiadomość później, aby prawidłowo przetworzyć wiadomość e-mail.
compauth Wynik uwierzytelniania złożonego. Używany przez platformę Microsoft 365 do łączenia wielu typów uwierzytelniania (SPF, DKIM i DMARC) lub dowolnej innej części komunikatu w celu ustalenia, czy komunikat jest uwierzytelniony. Używa domeny From: jako podstawy oceny. Uwaga: mimo compauth niepowodzenia komunikat może nadal być dozwolony, jeśli inne oceny nie wskazują podejrzanego charakteru.
dkim Opisuje wyniki sprawdzania DKIM dla komunikatu. Możliwe wartości obejmują:
  • pass: wskazuje sprawdzanie DKIM dla przekazanego komunikatu.
  • fail (reason): wskazuje sprawdzanie DKIM dla komunikatu nie powiodło się i dlaczego. Jeśli na przykład wiadomość nie została podpisana lub podpis nie został zweryfikowany.
  • brak: wskazuje, że wiadomość nie została podpisana. Ten wynik może lub nie może wskazywać, że domena ma rekord DKIM lub rekord DKIM nie daje wyniku.
dmarc Opisuje wyniki sprawdzania DMARC dla komunikatu. Możliwe wartości obejmują:
  • pass: wskazuje sprawdzanie DMARC dla przekazanego komunikatu.
  • niepowodzenie: wskazuje, że sprawdzanie DMARC dla komunikatu nie powiodło się.
  • bestguesspass: wskazuje, że dla domeny nie istnieje żaden rekord TXT DMARC. Gdyby domena miała rekord DMARC TXT, sprawdzanie DMARC dla komunikatu zostałoby zakończone.
  • brak: wskazuje, że dla domeny wysyłającej w systemie DNS nie istnieje żaden rekord TXT DMARC.
header.d Domena zidentyfikowana w sygnaturze DKIM, jeśli istnieje. Jest to domena, która jest pytana o klucz publiczny.
header.from Domena 5322.From adresu w nagłówku wiadomości e-mail (znana również jako nadawca z adresu lub P2). Adresat widzi adres Od w klientach poczty e-mail.
reason Przyczyna przekazania lub niepowodzenia uwierzytelniania złożonego. Wartość to trzycyfrowy kod. Przykład:
  • 000: Komunikat nie może jawnie uwierzytelnić (compauth=fail). Na przykład komunikat otrzymał błąd DMARC, a akcja zasad DMARC to p=quarantine lub p=reject.
  • 001: Niejawne uwierzytelnianie (compauth=fail) nie powiodło się. Ten wynik oznacza, że domena wysyłająca nie ma opublikowanych rekordów uwierzytelniania poczty e-mail lub jeśli tak się stało, miała słabsze zasady błędów (SPF ~all lub ?all, lub zasady DMARC ).p=none
  • 002: Organizacja ma zasady dla pary nadawca/domena, które jawnie nie mogą wysyłać sfałszowanych wiadomości e-mail. Administrator ręcznie konfiguruje to ustawienie.
  • 010: Komunikat nie powiodł się DMARC, akcja zasad DMARC to p=reject lub p=quarantine, a domena wysyłająca jest jedną z akceptowanych domen organizacji (samoobsługowe lub intra-org spoofing).
  • 1xx lub 7xx: komunikat przeszedł uwierzytelnianie (compauth=pass). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365. Wartość 130 wskazuje, że komunikat przeszedł uwierzytelnianie, a wynik ARC został użyty do zastąpienia błędu DMARC.
  • 2xx: niejawne uwierzytelnianie przekazywane przez komunikat (compauth=softpass). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365.
  • 3xx: Komunikat nie został sprawdzony pod kątem uwierzytelniania złożonego (compauth=none).
  • 4xx lub 9xx: komunikat pominął uwierzytelnianie złożone (compauth=none). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365.
  • 6xx: Niejawne uwierzytelnianie wiadomości e-mail nie powiodło się, a domena wysyłająca jest jedną z akceptowanych domen organizacji (samoobsługowe lub wewnątrz organizacji).
smtp.mailfrom Domena adresu (znana 5321.MailFrom również jako adres MAIL FROM, nadawca P1 lub nadawca koperty). Ten adres e-mail jest używany w przypadku raportów o braku dostarczania (znanych również jako serwery NDR lub komunikaty odrzuceń).
spf Opisuje wyniki sprawdzania SPF dla komunikatu. Możliwe wartości obejmują:
  • pass (IP address): Sprawdzanie SPF dla przekazanej wiadomości i zawiera adres IP nadawcy. Klient ma uprawnienia do wysyłania lub przekazywania wiadomości e-mail w imieniu domeny nadawcy.
  • fail (IP address): Sprawdzanie SPF komunikatu nie powiodło się i zawiera adres IP nadawcy. Ten wynik jest czasami nazywany twardym niepowodzeniem.
  • softfail (reason): Rekord SPF wyznaczył hosta jako niedozwolony do wysyłania, ale jest w stanie przejściowym.
  • neutral: Rekord SPF jawnie stwierdza, że nie potwierdza, czy adres IP jest autoryzowany do wysyłania.
  • none: Domena nie ma rekordu SPF lub rekord SPF nie daje wyniku.
  • temperror: Wystąpił tymczasowy błąd. Na przykład błąd DNS. To samo sprawdzenie później może zakończyć się pomyślnie.
  • permerror: Wystąpił trwały błąd. Na przykład domena ma nieprawidłowo sformatowany rekord SPF.