Bulut kuruluşlarında istenmeyen postadan koruma iletisi üst bilgileri

İpucu

Office 365 Plan 2 için Microsoft Defender'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında Office 365 deneme sürümü için 90 günlük Defender'ı kullanın. Office 365 için deneme Microsoft Defender'nda kaydolabilecek kişiler ve deneme koşulları hakkında bilgi edinin.

Bulut posta kutuları olan tüm kuruluşlarda, Microsoft 365 tüm gelen iletileri istenmeyen posta, kötü amaçlı yazılım ve diğer tehditler için tarar. Bu taramaların sonuçları iletilerde aşağıdaki üst bilgi alanlarına eklenir:

• X-Forefront-Antispam-Report: İleti ve nasıl işlendiği hakkında bilgi içerir.
• X-Microsoft-Antispam: Toplu posta ve kimlik avı hakkında ek bilgiler içerir.
• Kimlik doğrulama sonuçları: Sender Policy Framework (SPF), Domainkeys Identified Mail (DKIM) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) dahil olmak üzere e-posta kimlik doğrulaması sonuçları hakkında bilgi içerir.

Bu makalede, bu üst bilgi alanlarında kullanılabilenler açıklanmaktadır.

Çeşitli e-posta istemcilerinde e-posta iletisi üst bilgisini görüntüleme hakkında bilgi için bkz. Outlook'ta internet iletisi üst bilgilerini görüntüleme.

İpucu

İleti üst bilgisinin içeriğini kopyalayıp İleti Üst Bilgisi Çözümleyicisi aracına yapıştırabilirsiniz. Bu araç üst bilgileri daha okunabilir bir biçimde ayrıştırmada yardımcı olur.

X-Forefront-Antispam-Report ileti üst bilgisi alanları

İleti üst bilgisi bilgilerini aldıktan sonra X-Forefront-Antispam-Report üst bilgisini bulun. Bu üst bilgide noktalı virgülle (;)) ayrılmış birden çok alan ve değer çifti vardır. Örneğin:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Tek tek alanlar ve değerler aşağıdaki tabloda açıklanmıştır.

Not

X-Forefront-Antispam-Report üst bilgisi birçok farklı alan ve değer içerir. Tabloda açıklanmayan alanlar, tanılama amacıyla yalnızca Microsoft istenmeyen posta önleme ekibi tarafından kullanılır.

Alan	Açıklama
ARC	Protokol Authenticated Received Chain (ARC) aşağıdaki alanlara sahiptir: AAR: DMARC'den Authentication-results üst bilgisinin içeriğini kaydeder. AMS: İletinin şifreleme imzalarını içerir. AS: İleti üst bilgilerinin şifreleme imzalarını içerir. Bu alan, zincir doğrulamasının sonucunu yok, geçti veya başarısız olarak içeren adlı "cv="bir zincir doğrulaması etiketi içerir.
CAT:	İletiye uygulanan tehdit ilkesi kategorisi: AMP: Kötü amaçlı yazılımdan koruma BIMP: Marka kimliğe bürünme* BULK:Toplu DIMP: Etki alanı kimliğe bürünme* FTBP: Kötü amaçlı yazılımdan koruma yaygın ekleri filtresi GIMP: Posta kutusu yönetim bilgileri kimliğe bürünme* HPHSH veya HPHISH: Yüksek güvenilirlikli kimlik avı HSPM: Yüksek güvenilirlikli istenmeyen posta INTOS: kimlik avı Intra-Organization MALW:Malware OSPM: Giden istenmeyen posta PHSH:Kimlik avı SAP: Güvenli Ekler* SPM:Spam SPOOF:Sızdırma UIMP: Kullanıcı kimliğe bürünme* *Yalnızca Office 365 için Defender. Birden çok koruma biçimi ve birden çok algılama taraması gelen iletiye bayrak verebilir. İlkeler öncelik sırasına göre uygulanır ve önce en yüksek önceliğe sahip ilke uygulanır. Daha fazla bilgi için bkz . E-postanızda birden çok koruma yöntemi ve algılama taraması çalıştırıldığında hangi ilke geçerli olur?
CIP:[IP address]	Bağlanan IP adresi. Bu IP adresini IP İzin Ver Listesi'nde veya IP Engelleme Listesi'nde kullanabilirsiniz. Daha fazla bilgi için bkz. Bağlantı filtrelemeyi yapılandırma.
CTRY	Kaynak ülke/bölge, bağlanan IP adresi tarafından belirlenir ve kaynak gönderen IP adresiyle aynı olmayabilir.
DIR	İletinin Yönü: INB: Gelen ileti. OUT: Giden ileti. INT: İç ileti.
H:[helostring]	Bağlanan e-posta sunucusunun HELO veya EHLO dizesi.
IPV:CAL	Kaynak IP adresi IP İzin Verme Listesi'nde olduğundan ileti istenmeyen posta filtrelemeyi atladı. Daha fazla bilgi için bkz. Bağlantı filtrelemeyi yapılandırma.
IPV:NLI	IP adresi herhangi bir IP saygınlığı listesinde bulunamadı.
LANG	İletinin ülke kodu tarafından belirtildiği şekilde yazıldığı dil (örneğin, Rusça için ru_RU).
PTR:[ReverseDNS]	Kaynak IP adresinin PTR kaydı (ters DNS araması olarak da bilinir).
SCL	İletinin istenmeyen posta güvenilirlik düzeyi (SCL). Daha yüksek bir değer, iletinin istenmeyen posta olma olasılığının daha yüksek olduğunu gösterir. Daha fazla bilgi için bkz. İstenmeyen posta güvenilirlik düzeyi (SCL).
SFTY	İleti kimlik avı olarak tanımlandı ve aynı zamanda aşağıdaki değerlerden biriyle işaretlendi: 9.19: Etki alanı kimliğe bürünme. Gönderen etki alanı korumalı bir etki alanının kimliğine bürünmeye çalışır. Etki alanı kimliğe bürünme için güvenlik ipucu iletiye eklenir (etki alanı kimliğe bürünme etkinse). 9.20: Kullanıcı kimliğine bürünme. Gönderen kullanıcı, alıcının kuruluşundaki bir kullanıcının veya Office 365 için Microsoft Defender kimlik avı önleme ilkesinde belirtilen korumalı bir kullanıcının kimliğine bürünmeye çalışır. Kullanıcı kimliğe bürünme için güvenlik ipucu iletiye eklenir (kullanıcı kimliğe bürünme etkinleştirildiyse). 9.25: İlk temas emniyet ucu. Bu değer şüpheli veya kimlik avı iletisinin göstergesi olabilir . Daha fazla bilgi için bkz. İlk iletişim güvenliği ipucu.
SFV:BLK	Filtreleme atlandı ve kullanıcının Engellenen Gönderenler listesindeki bir adresten gönderildiği için ileti engellendi. Yöneticilerin kullanıcının Engellenen Gönderenler listesini nasıl yönetebileceği hakkında daha fazla bilgi için bkz. Bulut posta kutularında gereksiz e-posta ayarlarını yapılandırma.
SFV:NSPM	İstenmeyen posta filtrelemesi iletiyi sayfa dışı olarak işaretledi ve ileti hedeflenen alıcılara gönderildi.
SFV:SFE	Filtreleme atlandı ve kullanıcının Güvenilir Gönderenler listesindeki bir adresten gönderildiği için iletiye izin verildi. Yöneticilerin kullanıcının Güvenilir Gönderenler listesini nasıl yönetebileceği hakkında daha fazla bilgi için bkz. Bulut posta kutularında gereksiz e-posta ayarlarını yapılandırma.
SFV:SKA	İleti istenmeyen posta filtrelemeyi atladı ve gönderen bir istenmeyen posta önleme ilkesinde izin verilen gönderenler listesinde veya izin verilen etki alanları listesinde olduğundan Gelen Kutusu'na teslim edildi. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
SFV:SKB	İleti, istenmeyen posta önleme ilkesindeki engellenen gönderenler listesindeki veya engellenen etki alanları listesindeki bir gönderenle eşleştiğinden istenmeyen posta olarak işaretlendi. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
SFV:SKN	İleti, istenmeyen posta filtrelemesi tarafından işlenmeden önce istenmeyen posta olarak işaretlendi. Örneğin, ileti bir posta akışı kuralıyla SCL -1 veya İstenmeyen posta filtrelemesini atla olarak işaretlendi.
SFV:SKQ	İleti karantinadan çıkarıldı ve hedeflenen alıcılara gönderildi.
SFV:SKS	İleti, istenmeyen posta filtrelemesi tarafından işlenmeden önce istenmeyen posta olarak işaretlendi. Örneğin, ileti bir posta akışı kuralı tarafından SCL 5 ile 9 olarak işaretlendi.
SFV:SPM	İleti, istenmeyen posta filtrelemesi tarafından istenmeyen posta olarak işaretlendi.
SRV:BULK	İleti, istenmeyen posta filtreleme ve toplu şikayet düzeyi (BCL) eşiği tarafından toplu e-posta olarak tanımlandı. MarkAsSpamBulkMail parametresi (Onvarsayılan olarak açıktır) olduğunda, toplu e-posta iletisi istenmeyen posta (SCL 6) olarak işaretlenir. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
X-CustomSpam: [ASFOption]	İleti, Gelişmiş İstenmeyen Posta Filtresi (ASF) ayarıyla eşleşmiştir. Her ASF ayarının X üst bilgisi değerini görmek için, istenmeyen posta önleme ilkelerinde Gelişmiş İstenmeyen Posta Filtresi (ASF) ayarlarına bakın. Not: ASF, Exchange posta akışı kuralları (aktarım kuralları olarak da bilinir) işlem iletilerinin ardından iletilere X üst bilgisi alanları eklerX-CustomSpam:. ASF tarafından filtrelenen iletileri tanımlamak ve üzerinde işlem yapmak için posta akışı kurallarını kullanamazsınız.

X-Microsoft-Antispam ileti üst bilgisi alanları

Aşağıdaki tabloda , X-Microsoft-Antispam ileti üst bilgisindeki yararlı alanlar açıklanmaktadır. Bu üst bilgideki diğer alanlar yalnızca Microsoft istenmeyen posta önleme ekibi tarafından tanılama amacıyla kullanılır.

Alan	Açıklama
BCL	İletinin toplu şikayet düzeyi (BCL). Daha yüksek bir BCL, toplu posta iletisinin şikayet oluşturma olasılığının daha yüksek olduğunu gösterir (ve bu nedenle istenmeyen posta olma olasılığı daha yüksektir). Daha fazla bilgi için bkz . Toplu şikayet düzeyi (BCL).

Kimlik doğrulama sonuçları ileti üst bilgisi

SPF, DKIM ve DMARC için e-posta kimlik doğrulaması denetimlerinin sonuçları, gelen iletilerde Kimlik doğrulama sonuçları ileti üst bilgisine kaydedilir (damgalı). Kimlik doğrulama sonuçları üst bilgisi RFC 7001'de tanımlanır.

Aşağıdaki listede, her e-posta kimlik doğrulaması denetimi türü için Authentication-Results üst bilgisine eklenen metin açıklanmaktadır:

• SPF aşağıdaki söz dizimini kullanır:

  spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
  

  Örneğin:

  spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
  
  spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
  

• DKIM aşağıdaki söz dizimini kullanır:

  dkim=<pass|fail (reason)|none> header.d=<domain>
  

  Örneğin:

  dkim=pass (signature was verified) header.d=contoso.com
  
  dkim=fail (body hash did not verify) header.d=contoso.com
  

• DMARC aşağıdaki söz dizimini kullanır:

  dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
  

  Örneğin:

  dmarc=pass action=none header.from=contoso.com
  
  dmarc=bestguesspass action=none header.from=contoso.com
  
  dmarc=fail action=none header.from=contoso.com
  
  dmarc=fail action=oreject header.from=contoso.com
  

Kimlik doğrulama sonuçları ileti üst bilgisi alanları

Aşağıdaki tabloda, her e-posta kimlik doğrulaması denetimi için alanlar ve olası değerler açıklanmaktadır.

Alan	Açıklama
action	DMARC denetiminin sonuçlarına göre istenmeyen posta filtresi tarafından gerçekleştirilen eylemi gösterir. Örneğin: pct.quarantine: DMARC'den geçmeyen iletilerin %100'den azının yine de teslim edilir olduğunu gösterir. Bu sonuç, iletinin DMARC'de başarısız olduğu ve DMARC ilkesinin olarak p=quarantineayarlandığı anlamına gelir. Ancak pct alanı %100 olarak ayarlanmadı ve sistem, belirtilen etki alanının DMARC ilkesi başına DMARC eylemini uygulamamaya rastgele karar verdi. pct.reject: DMARC'den geçmeyen iletilerin %100'den azının yine de teslim edilir olduğunu gösterir. Bu sonuç, iletinin DMARC'de başarısız olduğu ve DMARC ilkesinin olarak p=rejectayarlandığı anlamına gelir. Ancak pct alanı %100 olarak ayarlanmadı ve sistem, belirtilen etki alanının DMARC ilkesine göre DMARC eylemini uygulamamaya rastgele karar verdi. permerror: DMARC değerlendirmesi sırasında, DNS'de yanlış biçimlendirilmiş bir DMARC TXT kaydıyla karşılaşma gibi kalıcı bir hata oluştu. Bu iletiyi yeniden göndermenin farklı bir sonucu olma olasılığı yoktur. Bunun yerine, sorunu çözmek için etki alanının sahibine başvurmanız gerekebilir. temperror: DMARC değerlendirmesi sırasında geçici bir hata oluştu. Gönderen iletiyi daha sonra gönderirse düzgün bir şekilde işlenebilir.
compauth	Bileşik kimlik doğrulama sonucu. Microsoft 365, birden çok kimlik doğrulama türünü (SPF, DKIM ve DMARC) ve iletinin diğer bölümlerini birleştirerek iletinin kimliğinin doğrulanıp doğrulanmamış olduğunu belirler. Değerlendirmenin temeli olarak Kimden: etki alanını kullanır. Not: Bir compauth hataya rağmen, diğer değerlendirmeler şüpheli bir yapıyı göstermiyorsa iletiye izin verilmeye devam edebilir.
dkim	İleti için DKIM denetiminin sonuçlarını açıklar. Olası değerler şunlardır: pass: Geçirilen ileti için DKIM denetimini gösterir. fail (reason): İleti için DKIM denetiminin başarısız olduğunu ve nedenini gösterir. Örneğin, ileti imzalanmamışsa veya imza doğrulanmamışsa. none: İletinin imzalı olmadığını gösterir. Bu sonuç, etki alanının DKIM kaydı olduğunu veya DKIM kaydının bir sonuç olarak değerlendirilmediğini gösterebilir veya göstermeyebilir.
dmarc	İleti için DMARC denetiminin sonuçlarını açıklar. Olası değerler şunlardır: pass: Geçirilen ileti için DMARC denetimini gösterir. fail: İleti için DMARC denetiminin başarısız olduğunu gösterir. bestguesspass: Etki alanı için DMARC TXT kaydının mevcut olmadığını gösterir. Etki alanında DMARC TXT kaydı varsa, ileti için DMARC denetimi geçer. none: DNS'de gönderen etki alanı için DMARC TXT kaydı olmadığını gösterir.
header.d	Varsa, DKIM imzasında tanımlanan etki alanı. Bu etki alanı ortak anahtar için sorgulanır.
header.from	E-posta iletisi üst bilgisindeki Kimden adresinin etki alanı (adres veya P2 gönderen olarak 5322.From da bilinir). Alıcı, e-posta istemcilerinde Kimden adresini görür.
reason	Bileşik kimlik doğrulamasının geçirilmesinin veya başarısız olmasının nedeni. Değer üç basamaklı bir koddur. Daha fazla bilgi için Bileşik kimlik doğrulama Neden kodları bölümüne bakın.
smtp.mailfrom	MAIL FROM adresinin etki alanı (adres, P1 gönderen veya zarf gönderen olarak 5321.MailFrom da bilinir). Bu e-posta adresi, teslim edilemez raporlar (NDR'ler veya geri dönen iletiler olarak da bilinir) için kullanılır.
spf	İleti için SPF denetiminin sonuçlarını açıklar (ileti kaynağının etki alanı için SPF kaydına eklenip eklenmediği). Olası değerler şunlardır: pass (IP address): İleti kaynağı, etki alanının SPF kaydına eklenir. Kaynak, etki alanı için e-posta gönderme veya geçiş yetkisine sahip. fail (IP address): Sabit başarısız olarak da bilinir. İleti kaynağı etki alanının SPF kaydına dahil değildir ve etki alanı hedef e-posta sistemine iletiyi (-all ) reddetmesini ister. softfail (reason): Geçici hata olarak da bilinir. İleti kaynağı etki alanının SPF kaydına dahil değildir ve etki alanı hedef e-posta sistemine iletiyi (~all) kabul edip işaretlemesini ister. neutral: İleti kaynağı etki alanının SPF kaydına dahil değildir ve etki alanı hedefe ileti (?all) için belirli bir yönerge sağlamaz. none: Etki alanının SPF kaydı yok veya SPF kaydı bir sonuç olarak değerlendirilmez. temperror: Geçici bir hata oluştu. Örneğin, bir DNS hatası. Aynı denetim daha sonra başarılı olabilir. permerror: Kalıcı bir hata oluştu. Örneğin, etki alanının hatalı biçimlendirilmiş bir SPF kaydı vardır.

Bileşik kimlik doğrulama Neden kodları

Aşağıdaki tabloda sonuçlarla compauth birlikte kullanılan üç basamaklı reason kodlar açıklanmaktadır.

İpucu

E-posta kimlik doğrulaması sonuçları ve hataları düzeltme hakkında daha fazla bilgi için bkz. Microsoft 365'te e-posta kimlik doğrulaması için Güvenlik İşlemleri kılavuzu.

Neden kodu	Açıklama
000	İleti açık kimlik doğrulaması (compauth=fail ) başarısız oldu. İleti bir DMARC başarısız oldu ve DMARC ilke eylemi veya p=rejectşeklindedirp=quarantine.
001	İleti örtük kimlik doğrulaması (compauth=fail) başarısız oldu. Gönderen etki alanında yayımlanmış e-posta kimlik doğrulama kayıtları yoktu veya yayımlandıysa daha zayıf bir hata ilkesi (SPF ~all veya ?allveya DMARC ilkesi p=none) vardı.
002	Kuruluşun gönderen/etki alanı çifti için sahte e-posta göndermesi açıkça yasaklanmış bir ilkesi vardır. Yönetici bu ayarı el ile yapılandırıyor.
010	İleti DMARC'de başarısız oldu, DMARC ilke eylemi veya p=quarantineve p=reject gönderen etki alanı kuruluşunuzun kabul edilen etki alanlarından biridir (kendi kendine veya kuruluş içi kimlik sahtekarlık).
1xx	İleti açık veya örtük kimlik doğrulamasını (compauth=pass) geçirdi.
100	SPF geçti veya DKIM geçti ve MAIL FROM ve From adreslerindeki etki alanları hizalanır.
101	İleti, Kimden adresinde kullanılan etki alanı tarafından imzalanan DKIM'ydi.
102	MAIL FROM ve From adres etki alanları hizalandı ve SPF geçirildi.
103	Kimden adresi etki alanı, kaynak IP adresiyle ilişkilendirilmiş DNS PTR kaydıyla (geriye doğru arama) hizalanır
104	Kaynak IP adresiyle ilişkili DNS PTR kaydı (geriye doğru arama), Kimden adresi etki alanıyla hizalanır.
108	DKIM, önceki geçerli atlamalarla ilişkilendirilen bir ileti gövdesi değişikliği nedeniyle başarısız oldu. Örneğin, ileti gövdesi kuruluşun şirket içi e-posta ortamında değiştirildi.
109	Gönderenin etki alanında DMARC kaydı olmasa da ileti yine de geçirilebilir.
111	DMARC geçici hatasına veya kalıcı hataya rağmen SPF veya DKIM etki alanı Kimden adresi etki alanıyla hizalanır.
112	DNS zaman aşımı DMARC kaydının alınmasını engelledi.
115	İleti, Kimden adresi etki alanının kabul edilen bir etki alanı olarak yapılandırıldığı bir Microsoft 365 kuruluşundan gönderildi.
116	Kimden adresi etki alanının MX kaydı, bağlanan IP adresinin PTR kaydıyla (geriye doğru arama) hizalanır.
130	Güvenilir bir ARC sealer'dan elde edilen ARC sonucu DMARC hatasının üzerine çıkar.
2xx	Geçici olarak geçirilen örtük kimlik doğrulaması (compauth=softpass) iletisi.
201	Kimden adresi etki alanının PTR kaydı, bağlanan IP adresi için PTR kaydının alt ağıyla hizalanır.
202	Kimden adresi etki alanı, bağlanan IP adresi için PTR kaydının etki alanıyla hizalanır.
3xx	İleti bileşik kimlik doğrulaması (compauth=none) için denetlenmedi.
4xx	İleti bileşik kimlik doğrulamasını atladı (compauth=none).
501	DMARC zorunlu tutulmadı. İleti geçerli bir teslim edilmedi raporudur (NDR veya geri dönen ileti olarak da bilinir) ve gönderen ile alıcı arasındaki kişi önceden oluşturulmuştur.
502	DMARC zorunlu tutulmadı. İleti, bu kuruluştan gönderilen bir ileti için geçerli bir NDR'dir.
6xx	İleti örtük e-posta kimlik doğrulaması (compauth=fail ) başarısız oldu.
601	Gönderen etki alanı, kuruluşunuzda kabul edilen bir etki alanıdır (kendinden kendine veya kuruluş içi kimlik sahtekarlığına).
7xx	İleti örtük kimlik doğrulamasını (compauth=pass) geçirdi.
701-704	Bu kuruluş, gönderen altyapıdan meşru iletiler alma geçmişine sahip olduğundan DMARC uygulanmadı.
9xx	İleti bileşik kimlik doğrulamasını atladı (compauth=none).
905	Karmaşık yönlendirme nedeniyle DMARC uygulanmadı. Örneğin, internet iletileri Microsoft 365'e ulaşmadan önce şirket içi Exchange ortamı veya Microsoft dışı bir hizmet üzerinden yönlendirilir.