Udostępnij przez

Nagłówki wiadomości antyspamowych w organizacjach w chmurze

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

We wszystkich organizacjach ze skrzynkami pocztowymi w chmurze platforma Microsoft 365 skanuje wszystkie przychodzące wiadomości pod kątem spamu, złośliwego oprogramowania i innych zagrożeń. Wyniki tych skanów są dodawane do następujących pól nagłówka w komunikatach:

  • X-Forefront-Antispam-Report: zawiera informacje o komunikacie i sposobie jego przetwarzania.
  • X-Microsoft-Antispam: zawiera dodatkowe informacje na temat poczty zbiorczej i wyłudzania informacji.
  • Wyniki uwierzytelniania: zawiera informacje na temat wyników uwierzytelniania poczty e-mail, w tym struktury zasad nadawcy (SPF), kluczy domen identyfikowanej poczty (DKIM) oraz uwierzytelniania komunikatów opartych na domenie, raportowania i zgodności (DMARC).

W tym artykule opisano, co jest dostępne w tych polach nagłówka.

Aby uzyskać informacje o sposobie wyświetlania nagłówka wiadomości e-mail w różnych klientach poczty e-mail, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.

Porada

Zawartość nagłówka komunikatu można skopiować i wkleić do narzędzia Analizator nagłówka wiadomości . To narzędzie ułatwia analizowanie nagłówków w bardziej czytelnym formacie.

Pola nagłówka komunikatu X-Forefront-Antispam-Report

Po wyświetleniu informacji nagłówka komunikatu znajdź nagłówek X-Forefront-Antispam-Report . W tym nagłówku istnieje wiele par pól i wartości rozdzielonych średnikami (;). Przykład:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Poszczególne pola i wartości są opisane w poniższej tabeli.

Uwaga

Nagłówek X-Forefront-Antispam-Report zawiera wiele różnych pól i wartości. Pola, które nie są opisane w tabeli, są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole Opis
ARC Protokół Authenticated Received Chain (ARC) zawiera następujące pola:
  • AAR: rejestruje zawartość nagłówka Authentication-results z DMARC.
  • AMS: zawiera sygnatury kryptograficzne komunikatu.
  • AS: zawiera sygnatury kryptograficzne nagłówków wiadomości. To pole zawiera tag weryfikacji łańcucha o nazwie "cv=", który zawiera wynik weryfikacji łańcucha jako brak, przekazywanie lub niepowodzenie.
CAT: Kategoria zasad zagrożeń zastosowana do komunikatu:
  • AMP: Ochrona przed złośliwym oprogramowaniem
  • BIMP: Personifikacja marki*
  • BULK:Wielkość
  • DIMP: Personifikacja domeny*
  • FTBP: Filtr typowych załączników chroniących przed złośliwym oprogramowaniem
  • GIMP: Personifikacja analizy skrzynki pocztowej*
  • HPHSH lub HPHISH: Wyłudzanie informacji o wysokim poziomie ufności
  • HSPM: Spam o wysokim poziomie ufności
  • INTOS: wyłudzanie informacji Intra-Organization
  • MALW: Złośliwe oprogramowanie
  • OSPM: Spam wychodzący
  • PHSH: wyłudzanie informacji
  • SAP: Bezpieczne załączniki*
  • SPM:Spam
  • SPOOF:Fałszowanie
  • UIMP: Personifikacja użytkownika*

*tylko Ochrona usługi Office 365 w usłudze Defender.

Wiele form ochrony i wielu skanów wykrywania może oznaczać komunikat przychodzący. Zasady są stosowane w kolejności pierwszeństwa, a zasady o najwyższym priorytecie są stosowane jako pierwsze. Aby uzyskać więcej informacji, zobacz Jakie zasady mają zastosowanie w przypadku uruchamiania wielu metod ochrony i skanowania wykrywania w wiadomości e-mail.
CIP:[IP address] Łączący się adres IP. Tego adresu IP można użyć na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
CTRY Kraj/region źródłowy określony przez łączący się adres IP, który może nie być taki sam jak źródłowy adres IP wysyłający.
DIR Kierunek komunikatu:
  • INB: Komunikat przychodzący.
  • OUT: Komunikat wychodzący.
  • INT: Komunikat wewnętrzny.
H:[helostring] Ciąg HELO lub EHLO łączącego się serwera poczty e-mail.
IPV:CAL Komunikat pominął filtrowanie spamu, ponieważ źródłowy adres IP znajduje się na liście dozwolonych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
IPV:NLI Nie odnaleziono adresu IP na żadnej liście reputacji adresów IP.
LANG Język, w jakim wiadomość została napisana zgodnie z kodem kraju (na przykład ru_RU dla języka rosyjskiego).
PTR:[ReverseDNS] Rekord PTR (znany również jako odwrotne wyszukiwanie DNS) źródłowego adresu IP.
SCL Poziom ufności spamu (SCL) wiadomości. Wyższa wartość wskazuje, że wiadomość jest bardziej prawdopodobna jako spam. Aby uzyskać więcej informacji, zobacz Poziom ufności spamu (SCL).
SFTY Wiadomość została zidentyfikowana jako wyłudzająca informacje i jest również oznaczona jedną z następujących wartości:
  • 9.19: Personifikacja domeny. Domena wysyłająca próbuje personifikować chronioną domenę. Wskazówka dotycząca bezpieczeństwa personifikacji domeny jest dodawana do komunikatu (jeśli jest włączona personifikacja domeny).
  • 9.20: Personifikacja użytkownika. Wysyłający użytkownik próbuje personifikować użytkownika w organizacji odbiorcy lub chronionego użytkownika określonego w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender. Wskazówka dotycząca bezpieczeństwa dotycząca personifikacji użytkowników jest dodawana do komunikatu (jeśli jest włączona personifikacja użytkownika).
  • 9.25: Pierwsza porada bezpieczeństwa kontaktu. Ta wartość może wskazywać na podejrzaną lub wyłudzającą informacje. Aby uzyskać więcej informacji, zobacz Porada dotycząca bezpieczeństwa pierwszego kontaktu.
SFV:BLK Filtrowanie zostało pominięte, a komunikat został zablokowany, ponieważ został wysłany z adresu na liście zablokowanych nadawców użytkownika.

Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą zablokowanych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w skrzynkach pocztowych w chmurze.
SFV:NSPM Filtrowanie spamu oznaczało wiadomość jako nonspam, a wiadomość została wysłana do zamierzonych adresatów.
SFV:SFE Filtrowanie zostało pominięte, a komunikat był dozwolony, ponieważ został wysłany z adresu na liście bezpiecznych nadawców użytkownika.

Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą bezpiecznych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w skrzynkach pocztowych w chmurze.
SFV:SKA Wiadomość pominąła filtrowanie spamu i została dostarczona do skrzynki odbiorczej, ponieważ nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKB Wiadomość została oznaczona jako spam, ponieważ pasowała do nadawcy na liście zablokowanych nadawców lub zablokowanych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKN Wiadomość została oznaczona jako nonspam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL -1 lub Pomiń filtrowanie spamu według reguły przepływu poczty.
SFV:SKQ Wiadomość została zwolniona z kwarantanny i została wysłana do zamierzonych adresatów.
SFV:SKS Wiadomość została oznaczona jako spam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL od 5 do 9 przez regułę przepływu poczty.
SFV:SPM Wiadomość została oznaczona jako spam przez filtrowanie spamu.
SRV:BULK Wiadomość została zidentyfikowana jako zbiorcza wiadomość e-mail przez filtrowanie spamu i próg poziomu skarg zbiorczych (BCL). Gdy parametr MarkAsSpamBulkMail jest On (domyślnie włączony), zbiorcza wiadomość e-mail jest oznaczona jako spam (SCL 6). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
X-CustomSpam: [ASFOption] Wiadomość była zgodna z ustawieniem zaawansowanego filtru spamu (ASF). Aby wyświetlić wartość nagłówka X dla każdego ustawienia asf, zobacz Ustawienia zaawansowanego filtru spamu (ASF) w zasadach ochrony przed spamem.

Uwaga: usługa ASF dodaje X-CustomSpam: pola nagłówka X do komunikatów po przetworzeniu komunikatów przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu). Nie można używać reguł przepływu poczty do identyfikowania komunikatów filtrowanych przez usługę ASF i reagowania na nie.

Pola nagłówka komunikatu X-Microsoft-Antispam

W poniższej tabeli opisano przydatne pola w nagłówku komunikatu X-Microsoft-Antispam . Inne pola w tym nagłówku są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole Opis
BCL Poziom skargi zbiorczej (BCL) komunikatu. Wyższa lista BCL wskazuje, że wiadomość e-mail zbiorcza jest bardziej skłonna do generowania skarg (i dlatego jest bardziej prawdopodobna jako spam). Aby uzyskać więcej informacji, zobacz Poziom skarg zbiorczych (BCL).

Nagłówek komunikatu authentication-results

Wyniki kontroli uwierzytelniania poczty e-mail dla SPF, DKIM i DMARC są rejestrowane (ostemplowane) w nagłówku komunikatu Authentication-results w komunikatach przychodzących. Nagłówek Authentication-results jest zdefiniowany w dokumencie RFC 7001.

Na poniższej liście opisano tekst dodany do nagłówka Authentication-Results dla każdego typu sprawdzania uwierzytelniania poczty e-mail:

  • SPF używa następującej składni:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Przykład:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • Usługa DKIM używa następującej składni:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Przykład:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • Usługa DMARC używa następującej składni:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Przykład:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Pola nagłówka komunikatu authentication-results

W poniższej tabeli opisano pola i możliwe wartości dla każdego sprawdzania uwierzytelniania poczty e-mail.

Pole Opis
action Wskazuje akcję podjętą przez filtr spamu na podstawie wyników sprawdzania DMARC. Przykład:
  • pct.quarantine: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=quarantine. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny.
  • pct.reject: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=reject. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny.
  • permerror: Wystąpił trwały błąd podczas oceny DMARC, taki jak napotkanie niepoprawnie utworzonego rekordu TXT DMARC w systemie DNS. Ponowne przesłanie tej wiadomości prawdopodobnie nie będzie miało innego wyniku. Zamiast tego może być konieczne skontaktowanie się z właścicielem domeny w celu rozwiązania problemu.
  • temperror: Wystąpił tymczasowy błąd podczas oceny DMARC. Jeśli nadawca wyśle wiadomość później, może zostać prawidłowo przetworzony.
compauth Wynik uwierzytelniania złożonego. Platforma Microsoft 365 łączy wiele typów uwierzytelniania (SPF, DKIM i DMARC) i innych części komunikatu, aby określić, czy komunikat jest uwierzytelniony. Używa domeny From: jako podstawy oceny. Uwaga: mimo compauth niepowodzenia komunikat może nadal być dozwolony, jeśli inne oceny nie wskazują podejrzanego charakteru.
dkim Opisuje wyniki sprawdzania DKIM dla komunikatu. Możliwe wartości obejmują:
  • pass: wskazuje sprawdzanie DKIM dla przekazanego komunikatu.
  • fail (reason): wskazuje sprawdzanie DKIM dla komunikatu nie powiodło się i dlaczego. Jeśli na przykład wiadomość nie została podpisana lub podpis nie został zweryfikowany.
  • brak: wskazuje, że wiadomość nie została podpisana. Ten wynik może lub nie może wskazywać, że domena ma rekord DKIM lub rekord DKIM nie daje wyniku.
dmarc Opisuje wyniki sprawdzania DMARC dla komunikatu. Możliwe wartości obejmują:
  • pass: wskazuje sprawdzanie DMARC dla przekazanego komunikatu.
  • niepowodzenie: wskazuje, że sprawdzanie DMARC dla komunikatu nie powiodło się.
  • bestguesspass: wskazuje, że dla domeny nie istnieje żaden rekord TXT DMARC. Jeśli domena ma rekord DMARC TXT, sprawdzanie DMARC dla komunikatu przejdzie.
  • brak: wskazuje, że dla domeny wysyłającej w systemie DNS nie istnieje żaden rekord TXT DMARC.
header.d Domena zidentyfikowana w sygnaturze DKIM, jeśli istnieje. Ta domena jest wysyłana w poszukiwaniu klucza publicznego.
header.from Domena adresu Od w nagłówku wiadomości e-mail (znana 5322.From również jako adres lub nadawca P2). Adresat widzi adres Od w klientach poczty e-mail.
reason Przyczyna, dla którego uwierzytelnianie złożone zostało przekazane lub nie powiodło się. Wartość to trzycyfrowy kod. Aby uzyskać więcej informacji, zobacz sekcję Kody przyczyn uwierzytelniania złożonego .
smtp.mailfrom Domena adresu MAIL FROM (znana 5321.MailFrom również jako adres, nadawca P1 lub nadawca koperty). Ten adres e-mail jest używany w przypadku raportów o braku dostarczania (znanych również jako serwery NDR lub komunikaty odrzuceń).
spf Opisuje wyniki sprawdzania SPF komunikatu (czy źródło komunikatu jest zawarte w rekordzie SPF dla domeny). Możliwe wartości obejmują:
  • pass (IP address): źródło komunikatu jest zawarte w rekordzie SPF dla domeny. Źródło jest autoryzowane do wysyłania lub przekazywania wiadomości e-mail dla domeny.
  • fail (IP address): Nazywane również twardym niepowodzeniem. Źródło wiadomości nie jest uwzględnione w rekordzie SPF dla domeny, a domena nakazuje docelowemu systemowi poczty e-mail odrzucenie wiadomości (-all).
  • softfail (reason): Nazywane również niepowodzeniem nietrwałym. Źródło wiadomości nie jest zawarte w rekordzie SPF dla domeny, a domena nakazuje docelowemu systemowi poczty e-mail zaakceptowanie i oznaczenie wiadomości (~all).
  • neutral: Źródło komunikatu nie jest uwzględnione w rekordzie SPF dla domeny, a domena nie oferuje miejsca docelowego żadnej konkretnej instrukcji dla komunikatu (?all).
  • none: Domena nie ma rekordu SPF lub rekord SPF nie daje wyniku.
  • temperror: Wystąpił tymczasowy błąd. Na przykład błąd DNS. To samo sprawdzenie później może zakończyć się pomyślnie.
  • permerror: Wystąpił trwały błąd. Na przykład domena ma nieprawidłowo sformatowany rekord SPF.

Kody przyczyn uwierzytelniania złożonego

W poniższej tabeli opisano trzycyfrowe reason kody używane z wynikami compauth .

Porada

Aby uzyskać więcej informacji na temat wyników uwierzytelniania poczty e-mail i sposobu poprawiania błędów, zobacz Security Operations guide for email authentication in Microsoft 365 (Przewodnik po operacjach zabezpieczeń dotyczący uwierzytelniania poczty e-mail w usłudze Microsoft 365).

Kod przyczyny Opis
000 Komunikat nie może jawnie uwierzytelnić (compauth=fail). Komunikat otrzymał błąd DMARC, a akcja zasad DMARC to p=quarantine lub p=reject.
001 Komunikat nie powiódł się podczas uwierzytelniania niejawnego (compauth=fail). Domena wysyłająca nie miała opublikowanych rekordów uwierzytelniania poczty e-mail lub jeśli tak, miała słabsze zasady błędów (SPF ~all lub ?all, lub zasady DMARC ).p=none
002 Organizacja ma zasady dotyczące pary nadawcy/domeny, która jawnie nie może wysyłać sfałszowanych wiadomości e-mail. Administrator ręcznie konfiguruje to ustawienie.
010 Komunikat nie powiodł się DMARC, akcja zasad DMARC to p=reject lub p=quarantine, a domena wysyłająca jest jedną z akceptowanych domen organizacji (samoobsługowe lub wewnątrz organizacji).
1xx Komunikat przeszedł jawne lub niejawne uwierzytelnianie (compauth=pass).
  100 Przekazano protokół SPF lub przekazano moduł DKIM, a domeny w adresach MAIL FROM i From są wyrównane.
  101 Komunikat to DKIM podpisany przez domenę używaną w polu Adres od.
  102 Domeny adresów MAIL FROM i From zostały wyrównane i przekazano SPF.
  103 Domena Z adresu jest zgodna z rekordem PTR DNS (wsteczne wyszukiwanie) skojarzonym ze źródłowym adresem IP
  104 Rekord PTR DNS (wsteczne wyszukiwanie) skojarzony ze źródłowym adresem IP jest zgodny z domeną Z adresu.
  108 DKIM nie powiodło się z powodu modyfikacji treści komunikatu przypisanej do poprzednich uzasadnionych przeskoków. Na przykład treść wiadomości została zmodyfikowana w lokalnym środowisku poczty e-mail organizacji.
  109 Mimo że domena nadawcy nie ma rekordu DMARC, komunikat mimo to zostanie przekazany.
  111 Pomimo tymczasowego błędu DMARC lub trwałego błędu domena SPF lub DKIM jest zgodna z domeną Z adresu.
  112 Limit czasu DNS uniemożliwił pobranie rekordu DMARC.
  115 Wiadomość została wysłana z organizacji platformy Microsoft 365, w której domena Z adresu jest skonfigurowana jako akceptowana domena.
  116 Rekord MX dla domeny Z adresu jest zgodny z rekordem PTR (wsteczne wyszukiwanie) łączącego się adresu IP.
  130 Wynik arc z zaufanego uszczelniacz arc overrode awarii DMARC.
2xx Niejawne uwierzytelnianie przekazywane przez komunikat (compauth=softpass).
  201 Rekord PTR dla domeny Z adresu jest zgodny z podsiecią rekordu PTR dla łączącego się adresu IP.
  202 Domena Z adresu jest zgodna z domeną rekordu PTR dla łączącego się adresu IP.
3xx Komunikat nie został sprawdzony pod kątem uwierzytelniania złożonego (compauth=none).
4xx Komunikat pominął uwierzytelnianie złożone (compauth=none).
501 DMARC nie zostało wymuszone. Wiadomość jest prawidłowym raportem o braku dostarczania (znanym również jako komunikat NDR lub bounce), a kontakt między nadawcą a odbiorcą został wcześniej nawiązany.
502 DMARC nie zostało wymuszone. Komunikat jest prawidłowym identyfikatorem NDR dla wiadomości wysłanej z tej organizacji.
6xx Niejawne uwierzytelnianie wiadomości e-mail (compauth=fail) nie powiodło się.
  601 Domena wysyłająca jest akceptowaną domeną w organizacji (samoobsługowe lub wewnątrz organizacji).
7xx Komunikat przeszedł uwierzytelnianie niejawne (compauth=pass).
  701-704 DMARC nie zostało wymuszone, ponieważ ta organizacja ma historię otrzymywania legalnych komunikatów z infrastruktury wysyłania.
9xx Komunikat pominął uwierzytelnianie złożone (compauth=none).
  905 DMARC nie zostało wymuszone ze względu na złożony routing. Na przykład komunikaty internetowe są kierowane przez lokalne środowisko programu Exchange lub usługę inną niż Microsoft przed dotarciem do platformy Microsoft 365.
  • Last updated on