Cabeçalhos de mensagens anti-spam no Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em todas as organizações do Microsoft 365, o EOP (Proteção do Exchange Online) verifica todas as mensagens recebidas em busca de spam, malware e outras ameaças. Os resultados dessas verificações são adicionados aos seguintes campos de cabeçalho nas mensagens:

  • X-Forefront-Antispam-Report: contém informações sobre a mensagem e como ela foi processada.
  • X-Microsoft-Antispam: contém informações adicionais sobre email em massa e phishing.
  • Authentication-results: contém informações sobre resultados de SPF, DKIM e DMARC (autenticação de email).

Este artigo descreve o que está disponível nesses campos de cabeçalho.

Para saber mais sobre como exibir um cabeçalho de mensagem de email em vários clientes de email, confira Exibir cabeçalhos de mensagens de Internet no Outlook.

Dica

Você pode copiar e colar o conteúdo de um cabeçalho da mensagem na ferramenta Analisador do cabeçalho da mensagem. Essa ferramenta ajuda a analisar os cabeçalhos, deixando-os em um formato mais legível.

Campos de cabeçalho da mensagem X-Forefront-Antispam-Report

Depois de obter as informações do cabeçalho da mensagem, localize o cabeçalho X-Forefront-Antispam-Report. Há vários pares de campo e valor neste cabeçalho separados por ponto e vírgula (;). Por exemplo:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Os campos e valores individuais são descritos na tabela a seguir.

Observação

O cabeçalho X-Forefront-Antispam-Report contém muitos campos e valores diferentes. Os campos que não estão descritos na tabela são usados exclusivamente pela equipe antispam da Microsoft para fins de diagnóstico.

Campo Descrição
ARC O protocolo ARC tem os seguintes campos:
  • AAR: registra o conteúdo do cabeçalho Authentication-results do DMARC.
  • AMS: inclui assinaturas criptográficas da mensagem.
  • AS: inclui assinaturas criptográficas dos cabeçalhos da mensagem. Este campo contém uma marca de validação da cadeia chamada "cv=", que inclui o resultado da validação de cadeia como nenhum, aprovado ou falha.
CAT: A categoria de política de proteção aplicada à mensagem:
  • AMP: Antimalware
  • BULK: Em massa
  • DIMP: representação de domínio*
  • FTBP: filtro de anexos comuns anti-malware
  • GIMP: representação de inteligência de caixa de correio*
  • HPHSH ou HPHISH : Phishing de alta confiança
  • HSPM: Spam de alta confiança
  • INTOS: phishing Intra-Organization
  • MALW: Malware
  • OSPM: Spam de saída
  • PHSH: Phishing
  • SAP: Anexos seguros*
  • SPM: Spam
  • SPOOF: Spoofing
  • UIMP: representação do usuário*

*Defender para Office 365 somente.

Uma mensagem de entrada pode ser sinalizada por várias formas de proteção e várias verificações de detecção. As políticas são aplicadas em uma ordem de precedência e a política com a maior prioridade é aplicada primeiro. Para obter mais informações, consulte Qual política se aplica quando vários métodos de proteção e verificações de detecção são executados em seus e-mails.
CIP:[IP address] O endereço IP de conexão. Você pode usar esse endereço IP na Lista de permissões de IP ou na Lista de bloqueios de IP. Para obter mais informações, confira Configurar a filtragem da conexão.
CTRY O país/região de origem, conforme determinado pelo endereço IP de conexão, que pode não ser o mesmo que o endereço IP de envio de origem.
DIR A direcionalidade da mensagem:
  • INB: mensagem de entrada.
  • OUT: mensagem de saída.
  • INT: mensagem interna.
H:[helostring] A sequência HELO ou EHLO do servidor de emails de conexão.
IPV:CAL A mensagem ignorou a filtragem de spam porque o endereço de IP de origem estava na Lista de permissões do IP. Para obter mais informações, confira Configurar a filtragem da conexão.
IPV:NLI O endereço IP não foi encontrado em nenhuma lista de reputação de IP.
LANG A linguagem em que a mensagem foi escrita conforme especificado pelo código do país (por exemplo, ru_RU para russo).
PTR:[ReverseDNS] O registro PTR do endereço IP de envio, também conhecido como o endereço de DNS reverso.
SCL O nível de confiança do spam (SCL) da mensagem. Um valor mais alto indica que é mais provável que a mensagem seja spam. Para obter mais informações, confira Nível de confiança de Spam (SCL).
SFTY A mensagem foi identificada como phishing e também está marcada com um dos seguintes valores:
  • 9.19: Usurpação de identidade de domínio. O domínio de envio está tentando usurpar a identidade de um domínio protegido. A dica de segurança contra a usurpação de identidade de domínio é adicionada à mensagem (se estiver habilitada).
  • 9.20: Usurpação de identidade de usuário. O usuário remetente está tentando usurpar a identidade de um usuário na organização do destinatário ou um usuário protegido que está especificado em uma política anti-phishing no Microsoft Defender para Office 365. A dica de segurança contra a usurpação de identidade de usuário é adicionada à mensagem (se estiver habilitada).
  • 9.25: Primeira dica de segurança de contato. Esse valor pode ser uma indicação de uma mensagem suspeita ou de phishing. Para obter mais informações, consulte A primeira dica de segurança de contato.
SFV:BLK A filtragem foi ignorada e a mensagem foi bloqueada, pois foi enviada de um endereço da lista de remetentes bloqueados de um usuário.

Para saber mais sobre como os administradores podem gerenciar a lista de remetentes bloqueados de um usuário, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online.

SFV:NSPM A filtragem de spam marcou a mensagem como nonspam e a mensagem foi enviada aos destinatários pretendidos.
SFV:SFE A filtragem foi ignorada e a mensagem foi permitida porque foi enviada de um endereço na lista de remetentes Confiáveis ​​de um Usuário.

Para obter mais informações sobre como os administradores podem gerenciar a lista de remetentes confiáveis de um usuário, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online.

SFV:SKA A mensagem ignorou a filtragem de spam e foi entregue na caixa de entrada, pois o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos em uma política antispam. Para saber mais, confira Configurar políticas antispam.
SFV:SKB A mensagem foi marcada como spam, pois correspondeu a um remetente da lista de remetentes bloqueados ou da lista de domínios bloqueados em uma política antispam. Para saber mais, confira Configurar políticas antispam.
SFV:SKN A mensagem foi marcada como nonspam antes do processamento pela filtragem de spam. Por exemplo, a mensagem foi marcada como SCL -1 ou Ignorar filtragem de spam por uma regra de fluxo de email.
SFV:SKQ A mensagem foi liberada da quarentena e enviada aos destinatários pretendidos.
SFV:SKS A mensagem foi marcada como spam antes do processamento por filtragem de spam. Por exemplo, a mensagem foi marcada como SCL 5 a 9 por uma regra de fluxo de email.
SFV:SPM A mensagem foi marcada como spam pela filtragem de spam.
SRV:BULK A mensagem foi identificada como e-mail em massa pela filtragem de spam e pelo limite do nível de reclamação em massa (BCL). Quando o parâmetro MarkAsSpamBulkMail estiver On (está ativado por padrão), uma mensagem de e-mail em massa é marcada como spam (CL 6). Para saber mais, confira Configurar políticas anti-spam.
X-CustomSpam: [ASFOption] A mensagem correspondeu a uma configuração de Filtro de spam avançado (ASF). Para ver o valor do cabeçalho X de cada configuração ASF, confira configurações do Filtro de Spam Avançado (ASF).

Observação: o ASF adiciona X-CustomSpam: campos de cabeçalho X às mensagens depois que as mensagens foram processadas pelas regras de fluxo de email do Exchange (também conhecidas como regras de transporte), para que você não possa usar regras de fluxo de email para identificar e agir em mensagens filtradas pelo ASF.

Campos de cabeçalho da mensagem X-Microsoft-Antispam

A tabela a seguir descreve campos úteis no cabeçalho da mensagem X-Microsoft-Antispam. Outros campos neste cabeçalho são usados exclusivamente pela equipe anti-spam da Microsoft para fins de diagnóstico.

Campo Descrição
BCL O nível de reclamação em massa (BCL) da mensagem. Um BCL mais alto indica que uma mensagem de email em massa tem mais chances de gerar reclamações (e, portanto, mais chances que seja spam). Para obter mais informações, consulte BCL (nível de reclamação em massa) no EOP.

Cabeçalho da mensagem Authentication-results

Os resultados das verificações de autenticação de email para SPF, DKIM e DMARC são registrados (carimbados) no cabeçalho da mensagem Authentication-results nas mensagens de entrada. O cabeçalho de resultados de autenticação é definido no RFC 7001.

A lista a seguir descreve o texto adicionado ao cabeçalho Authentication-Results para cada tipo de verificação de autenticação de email:

  • O SPF usa a seguinte sintaxe:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Por exemplo:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • O DKIM usa a seguinte sintaxe:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Por exemplo:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • O DMARC usa a seguinte sintaxe:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Por exemplo:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Campos do cabeçalho de mensagem Authentication-results

A tabela a seguir descreve os campos e valores possíveis para cada verificação de autenticação de email.

Campo Descrição
action Indica a ação executada pelo filtro de spam com base nos resultados da verificação do DMARC. Por exemplo:
  • pct.quarantine: indica que uma porcentagem menor que 100% das mensagens que não passam dMARC são entregues de qualquer maneira. Esse resultado significa que a mensagem falhou no DMARC e a política DMARC foi definida como p=quarantine. Mas o campo pct não foi definido como 100%, e o sistema determinado aleatoriamente a não aplicar a ação DMARC de acordo com a política DMARC do domínio especificado.
  • pct.reject: indica que uma porcentagem menor que 100% das mensagens que não passam dMARC são entregues de qualquer maneira. Esse resultado significa que a mensagem falhou no DMARC e a política DMARC foi definida como p=reject. Mas o campo pct não foi definido como 100% e o sistema determinado aleatoriamente a não aplicar a ação DMARC de acordo com a política DMARC do domínio especificado.
  • permerror: ocorreu um erro permanente durante a avaliação do DMARC, como encontrar um registro DMARC TXT formado incorretamente no DNS. Tentar reenviar esta mensagem provavelmente não terminará com um resultado diferente. Em vez disso, talvez seja necessário entrar em contato com o proprietário do domínio para resolve o problema.
  • temperror: ocorreu um erro temporário durante a avaliação do DMARC. Você pode ser capaz de solicitar que o remetente reenvia a mensagem mais tarde, a fim de processar o email corretamente.
compauth Resultado da autenticação composta. Usado pelo Microsoft 365 para combinar vários tipos de autenticação (SPF, DKIM e DMARC), ou qualquer outra parte da mensagem para determinar se a mensagem é autenticada ou não. Usa o domínio De: como base de avaliação. Observação: apesar de uma compauth falha, a mensagem ainda poderá ser permitida se outras avaliações não indicarem uma natureza suspeita.
dkim Descreve os resultados da verificação do DKIM para a mensagem. Os valores possíveis incluem:
  • pass: Indica que a verificação DKIM para a mensagem foi aprovada.
  • fail (motivo): Indica que a verificação do DKIM para a mensagem falhou e o porquê. Por exemplo, se a mensagem não foi assinada ou a assinatura não foi verificada.
  • nenhum: indica que a mensagem não foi assinada. Esse resultado pode ou não indicar que o domínio tem um registro DKIM ou o registro DKIM não é avaliado como um resultado.
dmarc Descreve os resultados da verificação do DMARC para a mensagem. Os valores possíveis incluem:
  • pass: Indica que a verificação do DMARC para a mensagem foi aprovada.
  • fail: Indica que houve falha na verificação do DMARC para a mensagem.
  • bestguesspass: indica que não existe nenhum registro DMARC TXT para o domínio. Se o domínio tivesse um registro DMARC TXT, o DMARC marcar para a mensagem teria passado.
  • none: Indica que não há nenhum registro DMARC TXT para o domínio de envio no DNS.
header.d Domínio identificado na assinatura DKIM, se houver. Este é o domínio consultado para a chave pública.
header.from O domínio do 5322.From endereço no cabeçalho da mensagem de e-ail (também conhecido como endereço De ou remetente P2). O destinatário vê o endereço De nos clientes de email.
reason O motivo pelo qual a autenticação composta foi aprovada ou falhou. O valor é um código de três dígitos. Por exemplo:
  • 000: A mensagem foi reprovada na autenticação explícita (compauth=fail). Por exemplo, a mensagem recebeu uma falha DMARC e a ação de política DMARC é p=quarantine ou p=reject.
  • 001: A mensagem foi reprovada na autenticação implícita (compauth=fail). Esse resultado significa que o domínio de envio não tinha registros de autenticação de email publicados ou, se o fizessem, eles tinham uma política de falha mais fraca (SPF ~all ou ?all, ou uma política DMARC de p=none).
  • 002: A organização possui uma política para o par remetente/domínio, que é explicitamente proibido de enviar emails falsificados. Um administrador configura manualmente essa configuração.
  • 010: A mensagem falhou DMARC, a ação de política DMARC é p=reject ou p=quarantine, e o domínio de envio é um dos domínios aceitos da sua organização (falsificação auto-auto ou intra-org).
  • 1xx ou 7xx: A mensagem passou pela autenticação (compauth=pass). Os últimos dois dígitos são códigos internos usados pelo Microsoft 365.
  • 2xx: A mensagem passou facilmente pela autenticação implícita (compauth=softpass). Os últimos dois dígitos são códigos internos usados pelo Microsoft 365.
  • 3xx: A mensagem não foi marcada para autenticação composta (compauth=none).
  • 4xx ou 9xx: A mensagem ignorou a autenticação composta (compauth=none). Os últimos dois dígitos são códigos internos usados pelo Microsoft 365.
  • 6xx: A mensagem falhou na autenticação implícita de email e o domínio de envio é um dos domínios aceitos da sua organização (falsificação auto-auto ou intra-org).
smtp.mailfrom O domínio do 5321.MailFrom endereço (também conhecido como endereço ENVIAR DE, remetente P1 ou remetente do envelope). Esse endereço de email é usado para relatórios de não entrega (também conhecidos como NDRs ou mensagens de salto).
spf Descreve os resultados da verificação do SPF para a mensagem. Os valores possíveis incluem:
  • pass (IP address): a verificação do SPF para a mensagem foi aprovada e inclui um endereço IP do remetente. O cliente está autorizado a enviar ou retransmitir emails em nome do domínio do remetente.
  • fail (IP address): a verificação do SPF para a mensagem reprovada e inclui um endereço IP do remetente. Esse resultado às vezes é chamado de falha dura.
  • softfail (reason): o registro SPF designou o host como não tendo permissão para enviar, mas está em transição.
  • neutral: o registro SPF afirma explicitamente que não afirma se o endereço IP está autorizado a enviar.
  • none: o domínio não tem um registro SPF ou o registro do SPF não é avaliado como um resultado.
  • temperror: ocorreu um erro temporário. Por exemplo, um erro de DNS. A mesma verificação mais tarde pode ter êxito.
  • permerror: ocorreu um erro permanente. Por exemplo, o domínio tem um registro SPF mal formatado.