分享方式:


Microsoft 365 的反垃圾郵件標頭

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在所有 Microsoft 365 組織中,Exchange Online Protection (EOP) 會掃描所有內送郵件是否有垃圾郵件、惡意程式碼及其他威脅。 這些掃描的結果會新增至郵件中的下列標頭欄位:

  • X-Forefront-Antispam-Report:包含訊息及其處理方式的相關資訊。
  • X-Microsoft-Antispam:包含大宗郵件和網路釣魚的相關額外資訊。
  • Authentication-results:包含 SPF、DKIM 和 DMARC (電子郵件驗證) 結果的相關資訊。

本文將說明這些標頭欄位提供的項目。

如需如何在各種電子郵件用戶端中檢視電子郵件標頭的詳細資訊,請參閱 在 Outlook 中查看網際網路郵件標題

提示

您可以複製訊息標題的內容並貼到訊息標題分析器 工具中。 這項工具可協助您剖析標頭,並以易讀取的格式來呈現。

X-Forefront-Antispam-Report 郵件標頭欄位

當您擁有訊息標題資訊之後,請找出 X-Forefront-反垃圾郵件報告 標題。 此標頭中有多個字段和值組,並以分號分隔 (;) 。 例如:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

下表說明個別欄位和值。

注意事項

X-Forefront-Antispam-Report 標頭包含許多不同的欄位和值。 未在表格中描述的欄位專供 Microsoft 反垃圾郵件小組用於診斷目的。

欄位 描述
ARC ARC 通訊協定含有下列欄位:
  • AAR:記錄來自 DMARC 的 Authentication-results 標頭的內容。
  • AMS:包含郵件的加密簽章。
  • AS:包含郵件標頭的加密簽章。 此欄位含有名為 "cv=" 的鏈結驗證標籤,其中包含鏈結驗證結果為 nonepassfail
CAT: 套用至訊息的保護原則類別:
  • AMP:反惡意程式碼
  • BIMP:品牌模擬*
  • BULK:大量
  • DIMP:網域模擬*
  • FTBP:反惡意代碼 通用附件篩選
  • GIMP信箱智慧 模擬*
  • HPHSHHPHISH:高信賴度網路釣魚
  • HSPM:高信賴度垃圾郵件
  • INTOS:Intra-Organization 網路釣魚
  • MALW:惡意程式碼
  • OSPM:輸出垃圾郵件
  • PHSH:網路釣魚
  • SAP:安全附件*
  • SPM:垃圾郵件
  • SPOOF:詐騙
  • UIMP:用戶模擬*

*僅 適用於 Office 365 的 Defender。

輸入訊息可能會由多種形式的保護和多個偵測掃描標示。 原則會依優先順序套用,並優先套用優先順序最高的原則。 如需詳細資訊,請參閱在您的電子郵件上執行多種保護方法和偵測掃描時適用的原則
CIP:[IP address] 連接的 IP 位址。 您可以在 IP 允許清單或 IP 封鎖清單中使用這個 IP 位址。 如需詳細資訊,請參閱設定連線篩選
CTRY 線上 IP 位址所決定的來源國家/地區,可能與原始傳送的 IP 位址不同。
DIR 訊息的方向:
  • INB:輸入訊息。
  • OUT:輸出訊息。
  • INT:內部訊息。
H:[helostring] 連線電子郵件伺服器的 HELO 或 EHLO 字串。
IPV:CAL 郵件跳過垃圾郵件篩選,因為來源 IP 位址位於 IP 允許清單中。 如需詳細資訊,請參閱設定連線篩選
IPV:NLI 在任何IP信譽清單上都找不到IP位址。
LANG 訊息所撰寫的語言,如國家/地區代碼 (所指定,例如,ru_RU俄文) 。
PTR:[ReverseDNS] 來源 IP 位址的 PTR 記錄 (又稱為反向 DNS 查閱)。
SCL 郵件的垃圾郵件信賴等級 (SCL)。 此值越高,表示郵件越有可能是垃圾郵件。 如需詳細資訊,請參閱垃圾郵件信賴等級 (SCL)
SFTY 訊息已識別為網路釣魚,而且也會標示下列其中一個值:
  • 9.19:網域冒充。 傳送端網域嘗試模擬受保護的網域。 網域模擬的安全提示會新增至郵件 (如果已啟用)。
  • 9.20:使用者冒充。 寄件端使用者嘗試冒充收件者組織中的使用者,或適用於 Office 365 的 Microsoft Defender 防網路釣魚原則中指定的受保護使用者。 使用者模擬的安全提示會新增至郵件 (如果已啟用)。
  • 9.25:首次接觸安全提示。 此值可以是可疑或網路釣魚訊息的指示。 如需詳細資訊,請參閱首次接觸安全提示
SFV:BLK 已略過篩選,但封鎖郵件,因為該郵件是從使用者的封鎖寄件者清單上的地址傳送。

如需系統管理員如何管理使用者的封鎖寄件者清單的詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定

SFV:NSPM 垃圾郵件篩選會將郵件標示為非垃圾郵件,並將郵件傳送給預定的收件者。
SFV:SFE 已略過篩選,但允許郵件,因為該郵件是從使用者的安全寄件者清單上的地址傳送。

如需系統管理員如何管理使用者的安全寄件者清單的詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定

SFV:SKA 郵件跳過垃圾郵件篩選,並已傳送到收件匣,因為寄件者位於反垃圾郵件原則中允許的寄件者清單或允許的網域清單。 如需詳細資訊,請參閱設定反垃圾郵件原則
SFV:SKB 郵件被標示為垃圾郵件,因為該郵件符合反垃圾郵件原則中封鎖的寄件者清單或封鎖的網域清單中的寄件者。 如需詳細資訊,請參閱設定反垃圾郵件原則
SFV:SKN 在垃圾郵件篩選處理之前,郵件已標示為非垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL-1 或略過垃圾郵件篩選
SFV:SKQ 郵件已從隔離區釋出,並傳送給預定的收件者。
SFV:SKS 在垃圾郵件篩選處理之前,郵件已標示為垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL 5 到 9。
SFV:SPM 垃圾郵件篩選已將此郵件標記為垃圾郵件。
SRV:BULK 垃圾郵件篩選和大量抱怨層級 (BCL) 閾值將郵件視為大宗郵件。 當 MarkAsSpamBulkMail 參數為 On (非預設值),大量電子郵件會被標示為垃圾郵件 (SCL 6)。 如需詳細資訊,請參閱設定反垃圾郵件原則
X-CustomSpam: [ASFOption] 郵件符合進階垃圾郵件篩選 (ASF) 設定。 若要查看每個 ASF 設定的 X 標頭值,請參閱進階垃圾郵件篩選 (ASF) 設定

注意:ASF X-CustomSpam: 會在 Exchange 郵件流程規則處理郵件 之後 ,將 X 標頭欄位新增至郵件 (也稱為傳輸規則) ,因此您無法使用郵件流程規則來識別 ASF 篩選的郵件並採取行動。

X-Microsoft-Antispam 郵件標頭欄位

下表說明在 X-Microsoft-Antispam 郵件標頭中的實用欄位。 此標頭的其他欄位專供 Microsoft 反垃圾郵件小組進行診斷之用。

欄位 描述
BCL 郵件的大量抱怨層級 (BCL)。 BCL 高,表示大量郵件訊息更容易引發抱怨 (因此更可能是垃圾郵件)。 如需詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級

Authentication-results 郵件標頭

SPF、DKIM 和 DMARC 的電子郵件驗證檢查結果會記錄 (加戳記) 在輸入郵件的 Authentication-results 郵件標頭中。 Authentication-results 標頭定義於 RFC 7001 中。

下列清單說明針對每個類型電子郵件驗證檢查新增至 Authentication-Results 標頭的文字:

  • SPF 使用下列語法:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    例如:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM 使用下列語法:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    例如:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC 使用下列語法:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    例如:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Authentication-results 郵件標頭欄位

下表描述每個電子郵件驗證檢查的欄位和可能的值。

欄位 描述
action 表示垃圾郵件篩選器根據 DMARC 檢查結果所採取的動作作。 例如:
  • pct.quarantine:表示未通過 DMARC 的訊息百分比小於 100%, 還是會傳遞。 此結果表示訊息 DMARC 失敗,且 DMARC 原則設定為 p=quarantine。 但是,pct 欄位未設定為 100%,而且系統會隨機決定不要根據指定網域的 DMARC 原則套用 DMARC 動作。
  • pct.reject:表示未通過 DMARC 的訊息百分比小於 100%, 還是會傳遞。 此結果表示訊息 DMARC 失敗,且 DMARC 原則設定為 p=reject。 但是,pct 欄位未設定為 100%,而且系統會隨機決定不要根據指定網域的 DMARC 原則套用 DMARC 動作。
  • permerror:D MARC評估期間發生永久錯誤,例如在 DNS 中遇到格式不正確的 DMARC TXT 記錄。 嘗試重新傳送此郵件也不太會有不同的結果。 相反地,您可能需要連絡網域的擁有者才能解決問題。
  • temperror:D MARC評估期間發生暫時性錯誤。 您可能稍後可以要求寄件者重新傳送郵件,以便正確處理電子郵件。
compauth 複合驗證結果。 由 Microsoft 365 用來結合多種類型的驗證 (SPF、DKIM 和 DMARC) ,或訊息的任何其他部分,以判斷訊息是否已驗證。 使用 From: 網域作為評估基礎。 注意:儘管 compauth 發生失敗,但如果其他評量未指出可疑性質,仍可能允許訊息。
dkim 描述郵件的 DKIM 檢查結果。 可能的值包括:
  • pass:表示郵件的 DKIM 檢查通過。
  • fail (原因):表示郵件的 DKIM 檢查失敗及原因。 例如,如果訊息未簽署或簽章未驗證。
  • none:表示訊息未簽署。 此結果可能或可能不會指出網域具有 DKIM 記錄,或 DKIM 記錄未評估為結果。
dmarc 描述郵件的 DMARC 檢查結果。 可能的值包括:
  • pass:表示郵件的 DMARC 檢查通過。
  • fail:表示郵件的 DMARC 檢查失敗。
  • bestguesspass:指出網域沒有 DMARC TXT 記錄存在。 如果網域有 DMARC TXT 記錄,則會通過訊息的 DMARC 檢查。
  • none:表示 DNS 中的寄件網域沒有 DKIM TXT 記錄。
header.d 如果有的話,表示在 DKIM 簽章中識別出網域。 這是查詢公開金鑰的網域。
header.from 電子郵件標頭中 5322.From 位址的網域 (又稱為「寄件者地址」或 P2 寄件者)。 收件者會看到電子郵件用戶端中的「寄件者地址」。
reason 複合驗證通過或失敗的原因。 此值為三位數的程序代碼。 例如:
  • 000:郵件明確驗證失敗 (compauth=fail)。 例如,收到 DMARC 失敗的訊息,而 DMARC 原則動作是 p=quarantinep=reject
  • 001 表示郵件未通過隱含驗證 (compauth=fail)。 此結果表示傳送網域並未發佈電子郵件驗證記錄,或者如果已發行,則其失敗原則 (SPF ~all?all,或是 DMARC p=none 原則為) 。
  • 002:組織擁有的寄件者/網域配對原則明確禁止傳送詐騙電子郵件。 系統管理員會手動設定此設定。
  • 010:訊息 DMARC 失敗,DMARC 原則動作為 p=rejectp=quarantine,且傳送網域是貴組織接受的其中一個網域, (自我對自我或組織內部詐騙) 。
  • 1xx7xx:郵件通過驗證 (compauth=pass)。 最後兩個數字是 Microsoft 365 使用的內部代碼。 值 130 表示訊息通過驗證,而 ARC 結果是用來覆寫 DMARC 失敗。
  • 2xx:郵件非強制通過驗證 (compauth=softpass)。 最後兩個數字是 Microsoft 365 使用的內部代碼。
  • 3xx:未檢查訊息是否有復合驗證 (compauth=none) 。
  • 4xx9xx:郵件略過複合驗證 (compauth=none)。 最後兩個數字是 Microsoft 365 使用的內部代碼。
  • 6xx:郵件未通過隱含電子郵件驗證,且傳送網域是貴組織接受的其中一個網域, (自我對自我或組織內部詐騙) 。
smtp.mailfrom 5321.MailFrom 位址的網域 (又稱為「郵件寄件者地址」、P1 寄件者或信封寄件者)。 此電子郵件地址用於非傳遞報告, (也稱為 NDR 或退回的郵件) 。
spf 描述郵件的 SPF 檢查結果。 可能的值包括:
  • pass (IP address):郵件的 SPF 檢查通過,且包含寄件者的 IP 位址。 用戶端獲得授權,可代表寄件者的網域傳送或轉送電子郵件。
  • fail (IP address):郵件的 SPF 檢查失敗,且包含寄件者的 IP 位址。 此結果有時稱為 「硬性失敗」
  • softfail (reason):SPF 記錄已將主機指定為不允許傳送,但處於轉換狀態。
  • neutral:SPF 記錄會明確指出它不會判斷IP位址是否已獲授權傳送。
  • none:網域沒有 SPF 記錄或 SPF 記錄未得到結果。
  • temperror:發生暫時性錯誤。 例如,DNS 錯誤。 相同檢查可能稍後會成功。
  • permerror:發生永久性錯誤。 例如,網域有格式錯誤的 SPF 記錄時。