Partilhar via

Cabeçalhos de mensagens antiss spam em organizações na cloud

Sugestão

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Em todas as organizações com caixas de correio na nuvem, o Microsoft 365 analisa todas as mensagens recebidas relativamente a spam, software maligno e outras ameaças. Os resultados destas análises são adicionados aos seguintes campos de cabeçalho nas mensagens:

  • X-Forefront-Antispam-Report: contém informações sobre a mensagem e sobre como foi processada.
  • X-Microsoft-Antispam: contém informações adicionais sobre correio em massa e phishing.
  • Resultados da autenticação: contém informações sobre os resultados da autenticação de e-mail, incluindo Sender Policy Framework (SPF), Domainkeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting e Conformance (DMARC).

Este artigo descreve o que está disponível nestes campos de cabeçalho.

Para obter informações sobre como ver um cabeçalho de mensagem de e-mail em vários clientes de e-mail, consulte Ver cabeçalhos de mensagens da Internet no Outlook.

Sugestão

Pode copiar e colar os conteúdos de um cabeçalho de mensagem na ferramenta Analisador de Cabeçalhos de Mensagens . Esta ferramenta ajuda a analisar cabeçalhos num formato mais legível.

Campos de cabeçalho da mensagem X-Forefront-Antispam-Report

Depois de ter as informações do cabeçalho da mensagem, localize o cabeçalho X-Forefront-Antispam-Report . Existem múltiplos pares de campos e valores neste cabeçalho separados por ponto e vírgula (;). Por exemplo:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Os campos e valores individuais estão descritos na tabela seguinte.

Nota

O cabeçalho X-Forefront-Antispam-Report contém muitos campos e valores diferentes. Os campos que não estão descritos na tabela são utilizados exclusivamente pela equipa anti-spam da Microsoft para fins de diagnóstico.

Campo Descrição
ARC O Authenticated Received Chain (ARC) protocolo tem os seguintes campos:
  • AAR: regista o conteúdo do cabeçalho Authentication-results da DMARC.
  • AMS: inclui assinaturas criptográficas da mensagem.
  • AS: inclui assinaturas criptográficas dos cabeçalhos de mensagens. Este campo contém uma etiqueta de uma validação de cadeia denominada "cv=", que inclui o resultado da validação da cadeia como nenhum, passar ou falhar.
CAT: A categoria da política de ameaças aplicada à mensagem:
  • AMP: Antimalware
  • BIMP: representação de marca*
  • BULK: em massa
  • DIMP: representação de domínio*
  • FTBP: filtro de anexos comuns antimalware
  • GIMP: Representação de informações da caixa de correio*
  • HPHSH ou HPHISH: phishing de alta confiança
  • HSPM: spam de alta confiança
  • INTOS: phishing Intra-Organization
  • MALW: Software Maligno
  • OSPM: spam de saída
  • PHSH: Phishing
  • SAP: Anexos Seguros*
  • SPM: Spam
  • SPOOF: Spoofing
  • UIMP: representação do utilizador*

*apenas Defender para Office 365.

Várias formas de proteção e múltiplas análises de deteção podem sinalizar uma mensagem de entrada. As políticas são aplicadas por ordem de precedência e a política com a prioridade mais alta é aplicada primeiro. Para obter mais informações, consulte Que política se aplica quando são executados vários métodos de proteção e análises de deteção no seu e-mail.
CIP:[IP address] O endereço IP de ligação. Pode utilizar este endereço IP na Lista de Permissões de IP ou na Lista de Bloqueios de IP. Para obter mais informações, veja Configurar a filtragem de ligações.
CTRY O país/região de origem, conforme determinado pelo endereço IP de ligação, que pode não ser o mesmo que o endereço IP de envio de origem.
DIR A Direcionalidade da mensagem:
  • INB: Mensagem de entrada.
  • OUT: Mensagem de saída.
  • INT: mensagem interna.
H:[helostring] A cadeia HELO ou EHLO do servidor de e-mail de ligação.
IPV:CAL A mensagem ignorou a filtragem de spam porque o endereço IP de origem estava na Lista de Permissões de IP. Para obter mais informações, veja Configurar a filtragem de ligações.
IPV:NLI O endereço IP não foi encontrado em nenhuma lista de reputação de IP.
LANG O idioma em que a mensagem foi escrita conforme especificado pelo código de país (por exemplo, ru_RU para russo).
PTR:[ReverseDNS] O registo PTR (também conhecido como pesquisa DNS inversa) do endereço IP de origem.
SCL O nível de confiança de spam (SCL) da mensagem. Um valor mais alto indica que é mais provável que a mensagem seja spam. Para obter mais informações, veja Nível de confiança de spam (SCL).
SFTY A mensagem foi identificada como phishing e também está marcada com um dos seguintes valores:
  • 9.19: Representação de domínio. O domínio de envio está a tentar representar um domínio protegido. A sugestão de segurança para representação de domínio é adicionada à mensagem (se a representação de domínio estiver ativada).
  • 9.20: Representação do utilizador. O utilizador que está a enviar está a tentar representar um utilizador na organização do destinatário ou um utilizador protegido especificado numa política anti-phishing no Microsoft Defender para Office 365. A sugestão de segurança para a representação do utilizador é adicionada à mensagem (se a representação do utilizador estiver ativada).
  • 9.25: Sugestão de segurança do primeiro contacto. Este valor pode ser uma indicação de uma mensagem suspeita ou de phishing. Para obter mais informações, consulte Sugestão de segurança do primeiro contacto.
SFV:BLK A filtragem foi ignorada e a mensagem foi bloqueada porque foi enviada a partir de um endereço na lista de Remetentes Bloqueados de um utilizador.

Para obter mais informações sobre como os administradores podem gerir a lista de Remetentes Bloqueados de um utilizador, consulte Configurar definições de e-mail de lixo em caixas de correio na nuvem.
SFV:NSPM A filtragem de spam marcou a mensagem como nonspam e a mensagem foi enviada para os destinatários pretendidos.
SFV:SFE A filtragem foi ignorada e a mensagem foi permitida porque foi enviada a partir de um endereço na lista de Remetentes Seguros de um utilizador.

Para obter mais informações sobre como os administradores podem gerir a lista de Remetentes Seguros de um utilizador, consulte Configurar definições de e-mail de lixo em caixas de correio na nuvem.
SFV:SKA A mensagem ignorou a filtragem de spam e foi entregue na Caixa de Entrada porque o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos numa política anti-spam. Para obter mais informações, veja Configurar políticas antisspam.
SFV:SKB A mensagem foi marcada como spam porque correspondia a um remetente na lista de remetentes bloqueados ou na lista de domínios bloqueados numa política antiss spam. Para obter mais informações, veja Configurar políticas antisspam.
SFV:SKN A mensagem foi marcada como nonspam antes do processamento por filtragem de spam. Por exemplo, a mensagem foi marcada como SCL -1 ou Ignorar a filtragem de spam por uma regra de fluxo de correio.
SFV:SKQ A mensagem foi divulgada a partir da quarentena e foi enviada para os destinatários pretendidos.
SFV:SKS A mensagem foi marcada como spam antes de ser processada pela filtragem de spam. Por exemplo, a mensagem foi marcada como SCL 5 a 9 por uma regra de fluxo de correio.
SFV:SPM A mensagem foi marcada como spam por filtragem de spam.
SRV:BULK A mensagem foi identificada como e-mail em massa através da filtragem de spam e do limiar de nível de reclamação em massa (BCL). Quando o parâmetro MarkAsSpamBulkMail está (está On ativado por predefinição), uma mensagem de e-mail em massa é marcada como spam (SCL 6). Para obter mais informações, veja Configurar políticas antisspam.
X-CustomSpam: [ASFOption] A mensagem correspondeu a uma definição de Filtro de Spam Avançado (ASF). Para ver o valor do cabeçalho X para cada definição do ASF, veja Definições avançadas do Filtro de Spam (ASF) em políticas antisspam.

Nota: o ASF adiciona X-CustomSpam: campos de cabeçalho X a mensagens após as mensagens de processamento das regras de fluxo de correio do Exchange (também conhecidas como regras de transporte). Não pode utilizar regras de fluxo de correio para identificar e agir sobre mensagens filtradas pelo ASF.

Campos de cabeçalho da mensagem X-Microsoft-Antispam

A tabela seguinte descreve campos úteis no cabeçalho da mensagem X-Microsoft-Antispam . Outros campos neste cabeçalho são utilizados exclusivamente pela equipa antiss spam da Microsoft para fins de diagnóstico.

Campo Descrição
BCL O nível de reclamação em massa (BCL) da mensagem. Um BCL superior indica que é mais provável que uma mensagem de correio em massa gere reclamações (pelo que é mais provável que seja spam). Para obter mais informações, veja Nível de reclamação em massa (BCL).

Cabeçalho da mensagem authentication-results

Os resultados das verificações de autenticação de e-mail para SPF, DKIM e DMARC são registados (carimbados) no cabeçalho da mensagem Authentication-results nas mensagens de entrada. O cabeçalho Authentication-results é definido em RFC 7001.

A lista seguinte descreve o texto adicionado ao cabeçalho Authentication-Results para cada tipo de verificação de autenticação de e-mail:

  • O SPF utiliza a seguinte sintaxe:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Por exemplo:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • O DKIM utiliza a seguinte sintaxe:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Por exemplo:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC utiliza a seguinte sintaxe:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Por exemplo:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Campos de cabeçalho de mensagem de resultados de autenticação

A tabela seguinte descreve os campos e os valores possíveis para cada verificação de autenticação de e-mail.

Campo Descrição
action Indica a ação tomada pelo filtro de spam com base nos resultados da verificação DMARC. Por exemplo:
  • pct.quarantine: indica que uma percentagem inferior a 100% das mensagens que não passam dMARC são entregues de qualquer forma. Este resultado significa que a mensagem falhou em DMARC e a política DMARC foi definida como p=quarantine. No entanto, o campo pct não estava definido como 100%, e o sistema decidiu aleatoriamente não aplicar a ação DMARC de acordo com a política DMARC do domínio especificado.
  • pct.reject: indica que uma percentagem inferior a 100% das mensagens que não passam dMARC são entregues de qualquer forma. Este resultado significa que a mensagem falhou em DMARC e a política DMARC foi definida como p=reject. No entanto, o campo pct não estava definido como 100% e o sistema decidiu aleatoriamente não aplicar a ação DMARC de acordo com a política DMARC do domínio especificado.
  • permerror: ocorreu um erro permanente durante a avaliação DMARC, como encontrar um registo TXT DMARC formado incorretamente no DNS. Reenviar esta mensagem não é provável que tenha um resultado diferente. Em vez disso, poderá ter de contactar o proprietário do domínio para resolver o problema.
  • temperror: Ocorreu um erro temporário durante a avaliação DMARC. Se o remetente enviar a mensagem mais tarde, poderá ser processada corretamente.
compauth Resultado da autenticação composta. O Microsoft 365 combina vários tipos de autenticação (SPF, DKIM e DMARC) e outras partes da mensagem para determinar se a mensagem está autenticada. Utiliza o domínio De: como base de avaliação. Nota: apesar de uma compauth falha, a mensagem poderá continuar a ser permitida se outras avaliações não indicarem uma natureza suspeita.
dkim Descreve os resultados da verificação DKIM da mensagem. Os valores possíveis incluem:
  • pass: indica a verificação DKIM da mensagem transmitida.
  • fail (reason): indica que a verificação DKIM da mensagem falhou e porquê. Por exemplo, se a mensagem não tiver sido assinada ou a assinatura não tiver sido verificada.
  • nenhum: indica que a mensagem não foi assinada. Este resultado pode ou não indicar que o domínio tem um registo DKIM ou que o registo DKIM não é avaliado como um resultado.
dmarc Descreve os resultados da verificação DMARC da mensagem. Os valores possíveis incluem:
  • pass: indica a verificação DMARC da mensagem transmitida.
  • falha: indica que a verificação DMARC da mensagem falhou.
  • bestguesspass: indica que não existe nenhum registo TXT DMARC para o domínio. Se o domínio tivesse um registo TXT DMARC, a verificação DMARC da mensagem passaria.
  • none: indica que não existe nenhum registo TXT DMARC para o domínio de envio no DNS.
header.d Domínio identificado na assinatura DKIM, se existir. Este domínio é consultado para a chave pública.
header.from O domínio do endereço De no cabeçalho da mensagem de e-mail (também conhecido como endereço 5322.From ou remetente P2). O destinatário vê o endereço De nos clientes de e-mail.
reason A razão pela qual a autenticação composta passou ou falhou. O valor é um código de três dígitos. Para obter mais informações, veja a secção Códigos do Motivo da autenticação composta .
smtp.mailfrom O domínio do endereço MAIL FROM (também conhecido como endereço 5321.MailFrom , remetente P1 ou remetente de envelope). Este endereço de e-mail é utilizado para relatórios de entrega sem fins lucrativos (também conhecidos como NDRs ou mensagens de devolução).
spf Descreve os resultados da verificação SPF da mensagem (se a origem da mensagem está incluída no registo SPF do domínio). Os valores possíveis incluem:
  • pass (IP address): a origem da mensagem está incluída no registo SPF do domínio. A origem está autorizada a enviar ou reencaminhar e-mails para o domínio.
  • fail (IP address): também conhecido como falha difícil. A origem da mensagem não está incluída no registo SPF do domínio e o domínio indica ao sistema de e-mail de destino para rejeitar a mensagem (-all).
  • softfail (reason): também conhecido como falha recuperável. A origem da mensagem não está incluída no registo SPF do domínio e o domínio indica ao sistema de e-mail de destino para aceitar e marcar a mensagem (~all).
  • neutral: a origem da mensagem não está incluída no registo SPF do domínio e o domínio não oferece ao destino nenhuma instrução específica para a mensagem (?all).
  • none: o domínio não tem um registo SPF ou o registo SPF não é avaliado como um resultado.
  • temperror: ocorreu um erro temporário. Por exemplo, um erro de DNS. A mesma verificação mais tarde poderá ser bem-sucedida.
  • permerror: Ocorreu um erro permanente. Por exemplo, o domínio tem um registo SPF mal formatado.

Códigos do Motivo da autenticação composta

A tabela seguinte descreve os códigos de três dígitos reason utilizados com compauth resultados.

Sugestão

Para obter mais informações sobre os resultados da autenticação de e-mail e como corrigir falhas, consulte Guia de Operações de Segurança para autenticação de e-mail no Microsoft 365.

Código do motivo Descrição
000 A mensagem falhou na autenticação explícita (compauth=fail). A mensagem recebeu uma falha DMARC e a ação de política DMARC é p=quarantine ou p=reject.
001 A mensagem falhou na autenticação implícita (compauth=fail). O domínio de envio não tinha registos de autenticação de e-mail publicados ou, se o fizeram, tinham uma política de falha mais fraca (SPF ~all ou ?all, ou uma política DMARC de p=none).
002 A organização tem uma política para o par de remetentes/domínios que está explicitamente proibida de enviar e-mails falsificados. Um administrador configura manualmente esta definição.
010 A mensagem falhou DMARC, a ação de política DMARC é p=reject ou p=quarantinee o domínio de envio é um dos domínios aceites da sua organização (spoofing self-to-self ou intra-org).
1xx A mensagem passou autenticação explícita ou implícita (compauth=pass).
  100 O SPF passou ou o DKIM passou e os domínios nos endereços MAIL FROM e From estão alinhados.
  101 A mensagem era DKIM assinada pelo domínio utilizado no endereço De.
  102 Os domínios MAIL FROM e From address foram alinhados e o SPF passou.
  103 O domínio De endereço está alinhado com o registo PTR de DNS (pesquisa inversa) associado ao endereço IP de origem
  104 O registo PTR de DNS (pesquisa inversa) associado ao endereço IP de origem está alinhado com o domínio de endereço De.
  108 O DKIM falhou devido a uma modificação do corpo da mensagem atribuída a saltos legítimos anteriores. Por exemplo, o corpo da mensagem foi modificado no ambiente de e-mail no local da organização.
  109 Embora o domínio do remetente não tenha nenhum registo DMARC, a mensagem passaria, mesmo assim.
  111 Apesar de um erro temporário DMARC ou um erro permanente, o domínio SPF ou DKIM alinha-se com o domínio de endereço De.
  112 Um tempo limite de DNS impediu a obtenção do registo DMARC.
  115 A mensagem foi enviada de uma organização do Microsoft 365 onde o domínio de endereço De está configurado como um domínio aceite.
  116 O registo MX do domínio De endereço está alinhado com o registo PTR (pesquisa inversa) do endereço IP de ligação.
  130 O resultado do ARC de um selador ARC fidedigno sobressaiu a falha DMARC.
2xx A mensagem passou de forma recuperável a autenticação implícita (compauth=softpass).
  201 O registo PTR do domínio de endereço De está alinhado com a sub-rede do registo PTR para o endereço IP de ligação.
  202 O domínio De endereço alinha-se com o domínio do registo PTR para o endereço IP de ligação.
3xx A mensagem não foi verificada para autenticação composta (compauth=none).
4xx A mensagem ignorou a autenticação composta (compauth=none).
501 O DMARC não foi imposto. A mensagem é um relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução) e o contacto entre o remetente e o destinatário é estabelecido anteriormente.
502 O DMARC não foi imposto. A mensagem é um NDR válido para uma mensagem enviada por esta organização.
6xx A mensagem falhou na autenticação implícita de e-mail (compauth=fail).
  601 O domínio de envio é um domínio aceite na sua organização (spoofing self-to-self ou intra-org).
7xx A mensagem passou a autenticação implícita (compauth=pass).
  701-704 O DMARC não foi imposto porque esta organização tem um histórico de receção de mensagens legítimas da infraestrutura de envio.
9xx A mensagem ignorou a autenticação composta (compauth=none).
  905 O DMARC não foi imposto devido a encaminhamento complexo. Por exemplo, as mensagens da Internet são encaminhadas através de um ambiente do Exchange no local ou de um serviço que não seja da Microsoft antes de chegarem ao Microsoft 365.
  • Last updated on