Заголовки сообщений о защите от нежелательной почты в Microsoft 365

  • Статья
  • Чтение занимает 9 мин

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

Во всех организациях Microsoft 365 служба Exchange Online Protection (EOP) проверяет все входящие сообщения на наличие спама, вредоносных программ и других угроз. Результаты таких проверок добавляются в поля указанных ниже заголовков сообщений.

  • X-Forefront-Antispam-Report: содержит сведения о сообщении и о том, как оно было обработано.

  • X-Microsoft-Antispam: предоставляет дополнительные сведения о массовой рассылке и фишинге.

  • Authentication-results: содержит сведения о результатах проверок подлинности SPF, DKIM и DMARC.

В данной статье описано содержание полей этих заголовков.

Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Просмотр заголовков сообщений Интернета в Outlook.

Совет

Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.

Поля заголовка сообщения X-Forefront-Antispam-Report

После получения сведений о заголовке сообщения найдите заголовок X-Forefront-Antispam-Report. В этом заголовке содержится несколько пар из полей с их значениями, разделенных точкой с запятой (;). Например:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

Отдельные поля и значения описаны в таблице ниже.

Примечание.

Заголовок X-Forefront-Antispam-Report содержит множество различных полей и значений. Поля, не упомянутые в таблице, используются исключительно группой специалистов Майкрософт, ответственной за защиту от спама, для диагностики.

Поле Описание
ARC В протоколе ARC имеются следующие поля:
  • AAR: записывает содержимое заголовка Authentication-results из DMARC.
  • AMS: включает криптографические подписи сообщений.
  • AS: содержит криптографические подписи заголовков сообщений. В этом заголовке находится тег проверки цепочки "cv=", содержащий результат проверки цепочки в виде значений none, pass или fail.
CAT: Категория политики защиты, применяемая для сообщения:
  • BULK: массовая рассылка
  • DIMP: подмена домена
  • GIMP: олицетворение на основе аналитики почтовых ящиков
  • HPHSH или HPHISH: высокая вероятность фишинга
  • HSPM: высокая вероятность спама
  • MALW: вредоносная программа
  • PHSH: фишинг
  • SPM: спам
  • SPOOF: спуфинг
  • UIMP: подмена пользователей
  • AMP: защита от вредоносных программ
  • SAP: безопасные вложения
  • FTBP: политика типов файлов для защиты от вредоносных программ
  • OSPM: исходящий спам

Входящее сообщение может помечаться несколькими формами защиты и несколькими сканерами обнаружения. Политики имеют разные приоритеты. Политика с наивысшим приоритетом применяется в первую очередь. См. статью Какая политика применяется, когда для электронной почты запускается несколько методов защиты и сканеров обнаружения.
CIP:[IP address] IP-адрес для подключения. Этот IP-адрес можно использовать в списке разрешенных или заблокированных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
CTRY Страна источника, определяемая по подключенному IP-адресу, который может отличаться от IP-адреса отправителя.
H:[helostring] Строка HELO или EHLO подключенного почтового сервера.
IPV:CAL Сообщение пропустило фильтрацию спама, так как исходный IP-адрес был указан в списке разрешенных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
IPV:NLI IP-адрес отсутствовал в списке репутации IP-адресов.
LANG Язык, на котором написано сообщение, как это указано в коде страны или региона (например, ru_RU для русского).
PTR:[ReverseDNS] Запись PTR (называемая также обратным поиском DNS) исходного IP-адреса.
SCL Вероятность нежелательной почты (SCL) сообщения. Чем больше значение, тем вероятнее, что сообщение окажется спамом. Дополнительные сведения см. в статье Вероятность нежелательной почты (SCL).
SFTY Сообщение определено как фишинговое и помечается с помощью одного из следующих значений:
  • 9.19. Олицетворение доменов. Отправляющий домен пытается представиться защищенным доменом. В сообщение будет добавлен совет по безопасности в отношении подмены домена (если эта возможность включена).
  • 9.20. Олицетворение пользователей. Отправляющий пользователь пытается олицетворить пользователя в организации получателя или защищенного пользователя, указанного в политике защиты от фишинга в Microsoft Defender для Office 365. В сообщение будет добавлен совет по безопасности в отношении олицетворения пользователя (если эта возможность включена).
  • 9.25. Совет по безопасности при первом контакте. Это значение может быть признаком подозрительного или фишинга сообщения. Дополнительные сведения см. в разделе Совет по безопасности при первом контакте.
SFV:BLK Сообщение заблокировано без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка заблокированных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком заблокированных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.
SFV:NSPM Сообщение помечено фильтром спама как не являющееся спамом и отправлено указанным получателям.
SFV:SFE Сообщение пропущено без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка надежных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком надежных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.
SFV:SKA Сообщение отправлено в папку "Входящие" без применения к нему фильтра спама, так как отправитель находится в списке разрешенных отправителей или домен — в списке разрешенных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKB Сообщение помечено как спам, так как его параметры соответствуют записи в списке заблокированных отправителей или в списке заблокированных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKI Сообщение было помечено на основе содержимого сообщения внутри организации. Например, сообщение было помечено как SCL 1 для не спама или SCL 5–9 для спама.
SFV:SKN Сообщение помечено как не относящееся к спаму до обработки фильтром спама. Например, сообщение получило пометку SCL-1 или Не использовать фильтрацию спама по правилу потока почты.
SFV:SKQ Сообщение было извлечено из карантина и отправлено указанным получателям.
SFV:SKS Сообщение помечено как спам до обработки фильтром спама. Например, сообщение было помечено правилом потока почты как относящееся к категориям от SCL-5 до SCL-9.
SFV:SPM Сообщение помечено фильтром спама как спам.
SRV:BULK Сообщение идентифицировано как массовая рассылка в результате фильтрации спама и порогового значения уровня массовых жалоб (BCL). Если параметру MarkAsSpamBulkMail присвоено значение On (включен по умолчанию), сообщение массовой рассылки помечается как спам (SCL 6). Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.
X-CustomSpam: [ASFOption] Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Сведения о том, как узнать значение X-заголовка для каждого из параметров ASF, см. в статье Параметры расширенного фильтра спама (ASF).

Поля заголовка сообщения X-Microsoft-Antispam

В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

Поле Описание
BCL Количество жалоб на массовую рассылку (BCL) сообщения. Более высокий уровень BCL указывает, что массово рассылаемое сообщение часто вызовет жалобы (и поэтому скорее всего является спамом). Дополнительные сведения см. в статье Порог неприятия массовых рассылок (BCL).

Заголовок сообщения Authentication-results

Результаты проверки подлинности сообщений электронной почты для SPF, DKIM и DMARC записываются в заголовке входящих сообщений Authentication-results.

В приведенном ниже списке приведен текст, добавляемый в заголовок Authentication-results для каждого типа проверки подлинности сообщений электронной почты.

  • В SPF используется следующий синтаксис.

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Например:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • В DKIM используется следующий синтаксис.

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Например:

    dkim=pass (signature was verified) header.d=contoso.com
dkim=fail (body hash did not verify) header.d=contoso.com

  • В DMARC используется следующий синтаксис.

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Например:

    dmarc=pass action=none header.from=contoso.com
dmarc=bestguesspass action=none header.from=contoso.com
dmarc=fail action=none header.from=contoso.com
dmarc=fail action=oreject header.from=contoso.com

Поля заголовка сообщения Authentication-results

В этой таблице содержатся поля и возможные значения для каждого типа проверки подлинности сообщений электронной почты.

Поле Описание
action Указывает действие, выполняемое фильтром спама на основании результатов проверки с помощью DMARC. Например:
  • oreject или o.reject. Указывает, что было выполнено переопределение отклонения. В этом случае Microsoft 365 использует это действие при получении сообщения, не прошедшего проверку DMARC, из доменов, в записях DMARC TXT которых применена политика отклонения (p=reject). Вместо удаления или отклонения такого сообщения служба Microsoft 365 помечает его как спам. Дополнительные сведения о том, почему Microsoft 365 поступает именно так, см. в разделе Как Microsoft 365 обрабатывает входящую почту, не прошедшую проверки DMARC.
  • pct.quarantine. Указывает, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и согласно политике должно быть отправлено в карантин, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.
  • pct.reject. Указывает, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и согласно политике должно быть отклонено, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.
  • permerror. Указывает, что во время проверки с помощью DMARC произошла постоянная ошибка, такая как обнаружение неправильно созданной записи DMARC TXT в DNS. Попытка отправить такое сообщение повторно вряд ли завершится другим результатом. Вместо этого может потребоваться обратиться к владельцу домена с просьбой устранить проблему.
  • temperror. Указывает, что во время проверки с помощью DMARC произошла временная ошибка. Можно обратиться к отправителю с просьбой повторно отправить сообщение позже, чтобы почта была обработана должным образом.
compauth Результат многофакторной проверки подлинности. Используется в Microsoft 365 для сочетания различных типов проверки подлинности, например SPF, DKIM, DMARC или другой части сообщения, чтобы определить, прошло ли сообщение проверку подлинности. В качестве основы для оценки используется домен "От:".
dkim Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DKIM пройдена успешно.
  • fail (причина). Указывает, что не удалось проверить сообщение с помощью DKIM, а также причину этого. Например, когда сообщение не подписано или подпись не проверена.
  • none. Указывает, что сообщение не подписано. Это может быть связано с тем, что для домена задана запись DKIM, которая не приводит к результату.
dmarc Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DMARC пройдена успешно.
  • fail. Указывает, что проверка сообщения с помощью DMARC не пройдена.
  • bestguesspass. Указывает, что для домена отсутствует запись DMARC TXT, однако если бы такая запись существовала, проверка DMARC была бы пройдена успешно.
  • none. Указывает, что для отправляющего домена в DNS отсутствует запись DMARC TXT.
header.d Определяет домен, указанный в подписи DKIM, если такая есть. Это домен, у которого запрашивается открытый ключ.
header.from Домен, указанный в адресе 5322.From в заголовке сообщения ("адрес отправителя" или "отправитель P2"). Получатель видит адрес отправителя в почтовых клиентах.
reason Причина удачного или неудачного выполнения многофакторной проверки подлинности. Значением является 3-значный код. Например:
  • 000. Сообщение не прошло явную проверку подлинности (compauth=fail). Например, сообщение получило ошибку DMARC с действием отправки на карантин или отклонения.
  • 001. Сообщение не прошло неявную проверку подлинности (compauth=fail). Это означает, что отправляющий домен не содержал опубликованных записей проверки подлинности электронной почты, либо (при их наличии) к ним применялась менее строгая политика сбоя (SPF — несерьезный сбой или нейтральный результат, политика DMARC p=none).
  • 002. В организация есть политика для пары отправитель/домен, явным образом запрещающая отправку подделанных электронных сообщений. Этот параметр настраивается вручную администратором.
  • 010. Сообщению не удалось пройти проверку DMARC, оно было отклонено или отправлено в карантин, а домен отправителя является одним из одобренных вашей организацией доменов (это так называемый спуфинг внутри организации).
  • 1xx или 7xx. Сообщение прошло проверку подлинности (compauth=pass). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 2xx. Сообщение прошло нестрогую неявную проверку подлинности (compauth=softpass). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 3xx. Сообщение не подвергалось многофакторной проверке подлинности (compauth=none).
  • 4xx или 9xx. Сообщение обошло многофакторную проверку подлинности (compauth=none). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 6xx. Сообщению не удалось пройти неявную проверку подлинности, а домен отправителя является одним из разрешенных вашей организацией доменов (это так называемый спуфинг внутри организации).
smtp.mailfrom Домен адреса 5321.MailFrom (например, "адрес отправителя", "отправитель P1" или "отправитель конверта"). Это адрес электронной почты, который используется в отчетах о недоставке (сообщения NDR или сообщения о возврате).
spf Описывает результаты проверки сообщения с использованием инфраструктуры политики отправителей. Возможные значения:
  • pass (IP address): сообщение прошло проверку SPF. Указан IP-адрес отправителя. Клиент уполномочен отправлять или пересылать сообщение электронной почты от имени домена отправителя.
  • fail (IP address): сообщение не прошло проверку SPF. Указан IP-адрес отправителя. Это еще иногда называется серьезным сбоем.
  • softfail (reason): в записи SPF определено, что данному узлу не разрешена отправка, но он имеет промежуточный статус.
  • neutral: в записи SPF явно указано, что она не устанавливает, разрешена ли отправка с данного IP-адреса.
  • none: для домена не задана запись SPF или эта запись не предписывает результатов.
  • temperror: произошла временная ошибка. Например, ошибка DNS. В дальнейшем проверка может быть пройдена.
  • permerror: произошла постоянная ошибка. Например, запись SPF для домена имеет неправильный формат.