共用方式為

雲端組織中的反垃圾郵件標頭

提示

您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能?Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在所有具有雲端信箱的組織中,Microsoft 365 會掃描所有傳入郵件,以尋找垃圾郵件、惡意代碼和其他威脅。 這些掃描的結果會新增至郵件中的下列標頭欄位:

  • X-Forefront-Antispam-Report:包含訊息及其處理方式的相關資訊。
  • X-Microsoft-Antispam:包含大宗郵件和網路釣魚的相關額外資訊。
  • 驗證結果:包含有關電子郵件驗證結果的資訊,包括寄件者策略框架 (SPF) 、網域金鑰識別郵件 (DKIM) ,以及基於網域的郵件驗證、報告和一致性 (DMARC) 。

本文將說明這些標頭欄位提供的項目。

如需如何在各種電子郵件用戶端中檢視電子郵件標頭的詳細資訊,請參閱 在 Outlook 中查看網際網路郵件標題

提示

您可以複製訊息標題的內容並貼到訊息標題分析器 工具中。 該工具有助於將標題解析為更具可讀性的格式。

X-Forefront-Antispam-Report 郵件標頭欄位

當您擁有訊息標題資訊之後,請找出 X-Forefront-反垃圾郵件報告 標題。 此標頭中有多個欄位和值組,以分號 (;) 分隔。 例如:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

下表說明個別欄位和值。

注意事項

X-Forefront-Antispam-Report 標頭包含許多不同的欄位和值。 未在表格中描述的欄位專供 Microsoft 反垃圾郵件小組用於診斷目的。

欄位 描述
ARC Authenticated Received Chain (ARC) 通訊協定含有下列欄位:
  • AAR:記錄來自 DMARC 的 Authentication-results 標頭的內容。
  • AMS:包含郵件的加密簽章。
  • AS:包含郵件標頭的加密簽章。 此欄位含有名為 "cv=" 的鏈結驗證標籤,其中包含鏈結驗證結果為 nonepassfail
CAT: 套用至郵件的威脅原則類別:
  • AMP:反惡意程式碼
  • BIMP:品牌冒充*
  • BULK:大量
  • DIMP:網域模擬*
  • FTBP:反惡意軟體 常見附件篩選器
  • GIMP郵箱情報 冒充*
  • HPHSHHPHISH:高信賴度網路釣魚
  • HSPM:高信賴度垃圾郵件
  • INTOS:Intra-Organization 網路釣魚
  • MALW:惡意程式碼
  • OSPM:輸出垃圾郵件
  • PHSH:網路釣魚
  • SAP: 安全附件*
  • SPM:垃圾郵件
  • SPOOF:詐騙
  • UIMP:使用者冒充*

*僅適用於 Office 365 的 Defender。

多種形式的保護和多次偵測掃描可能會標示入埠訊息。 原則會依優先順序套用,並先套用優先順序最高的原則。 如需詳細資訊,請參閱在您的電子郵件上執行多種保護方法和偵測掃描時適用的原則
CIP:[IP address] 連接的 IP 位址。 您可以在 IP 允許清單或 IP 封鎖清單中使用這個 IP 位址。 如需詳細資訊,請參閱設定連線篩選
CTRY 由連線 IP 位址所決定的來源國家/地區,可能與原始傳送 IP 位址不同。
DIR 訊息的方向性:
  • INB:傳入訊息。
  • OUT:傳出訊息。
  • INT:內部訊息。
H:[helostring] 連線電子郵件伺服器的 HELO 或 EHLO 字串。
IPV:CAL 郵件跳過垃圾郵件篩選,因為來源 IP 位址位於 IP 允許清單中。 如需詳細資訊,請參閱設定連線篩選
IPV:NLI 在任何 IP 信譽清單中找不到 IP 位址。
LANG 例如,國家/地區代碼所指定的訊息所用的語言 (,ru_RU俄語) 。
PTR:[ReverseDNS] 來源 IP 位址的 PTR 記錄 (又稱為反向 DNS 查閱)。
SCL 郵件的垃圾郵件信賴等級 (SCL)。 此值越高,表示郵件越有可能是垃圾郵件。 如需詳細資訊,請參閱垃圾郵件信賴等級 (SCL)
SFTY 郵件被識別為網路釣魚,也標示為下列其中一個值:
  • 9.19:網域冒充。 傳送端網域嘗試模擬受保護的網域。 如果) 啟用網域模擬,則會將網域模擬的安全提示新增至訊息 (。
  • 9.20:使用者冒充。 傳送使用者嘗試模擬收件者組織中的使用者,或適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中指定的受保護使用者。 使用者模擬的安全提示會新增至訊息 (如果已啟用使用者模擬) 。
  • 9.25:首次接觸安全提示。 此值可以是可疑或網路釣魚訊息的指示。 如需詳細資訊,請參閱首次接觸安全提示
SFV:BLK 已略過篩選,但封鎖郵件,因為該郵件是從使用者的封鎖寄件者清單上的地址傳送。

如需系統管理員如何管理使用者封鎖寄件者清單的詳細資訊,請參閱 在雲端信箱上設定垃圾郵件設定
SFV:NSPM 垃圾郵件篩選會將郵件標示為非垃圾郵件,並將郵件傳送給預期的收件者。
SFV:SFE 已略過篩選,但允許郵件,因為該郵件是從使用者的安全寄件者清單上的地址傳送。

如需系統管理員如何管理使用者安全寄件者清單的詳細資訊,請參閱 在雲端信箱上設定垃圾郵件設定
SFV:SKA 郵件跳過垃圾郵件篩選,並已傳送到收件匣,因為寄件者位於反垃圾郵件原則中允許的寄件者清單或允許的網域清單。 如需詳細資訊,請參閱設定反垃圾郵件原則
SFV:SKB 郵件被標示為垃圾郵件,因為該郵件符合反垃圾郵件原則中封鎖的寄件者清單或封鎖的網域清單中的寄件者。 如需詳細資訊,請參閱設定反垃圾郵件原則
SFV:SKN 在透過垃圾郵件過濾處理之前,郵件被標記為非垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL-1 或略過垃圾郵件篩選
SFV:SKQ 郵件已從隔離區釋出,並傳送給預定的收件者。
SFV:SKS 郵件在透過垃圾郵件過濾處理之前,已標示為垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL 5 到 9。
SFV:SPM 垃圾郵件篩選已將此郵件標記為垃圾郵件。
SRV:BULK 垃圾郵件篩選和大量抱怨層級 (BCL) 閾值將郵件視為大宗郵件。 當 MarkAsSpamBulkMail 參數為 On (非預設值),大量電子郵件會被標示為垃圾郵件 (SCL 6)。 如需詳細資訊,請參閱設定反垃圾郵件原則
X-CustomSpam: [ASFOption] 郵件符合進階垃圾郵件篩選 (ASF) 設定。 若要查看每個 ASF 設定的 X 標頭值,請參閱 進階垃圾郵件篩選器 (反垃圾郵件原則中的 ASF) 設定

附註: ASF 會在 Exchange 郵件流程規則之後 X 標頭欄位新增至X-CustomSpam:郵件 (也稱為傳輸規則) 處理郵件。 您無法使用郵件流程規則來識別 ASF 篩選的郵件並採取行動。

X-Microsoft-Antispam 郵件標頭欄位

下表說明在 X-Microsoft-Antispam 郵件標頭中的實用欄位。 此標頭的其他欄位專供 Microsoft 反垃圾郵件小組進行診斷之用。

欄位 描述
BCL 郵件的大量抱怨層級 (BCL)。 BCL 高,表示大量郵件訊息更容易引發抱怨 (因此更可能是垃圾郵件)。 如需詳細資訊,請參閱大量相容層級 (BCL)

Authentication-results 郵件標頭

SPF、DKIM 和 DMARC 的電子郵件驗證檢查結果會記錄 (加戳記) 在輸入郵件的 Authentication-results 郵件標頭中。 Authentication-results標頭在RFC 7001中定義。

下列清單說明針對每種類型的電子郵件驗證檢查,新增至 Authentication-Results 標頭的文字:

  • SPF 使用下列語法:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    例如:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM 使用下列語法:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    例如:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC 使用下列語法:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    例如:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Authentication-results 郵件標頭欄位

下表描述每個電子郵件驗證檢查的欄位和可能的值。

欄位 描述
action 表示垃圾郵件篩選器根據 DMARC 檢查結果所採取的動作作。 例如:
  • pct.quarantine:表示無論如何都會傳遞低於 100% 的未通過 DMARC 的訊息百分比。 此結果表示訊息未通過 DMARC,且 DMARC 原則已設定為 p=quarantine。 但是,pct 欄位未設定為 100%,系統隨機決定不根據指定網域的 DMARC 原則套用 DMARC 動作。
  • pct.reject:表示無論如何都會傳遞低於 100% 的未通過 DMARC 的訊息百分比。 此結果表示訊息未通過 DMARC,且 DMARC 原則已設定為 p=reject。 但是,pct 欄位未設定為 100%,系統隨機決定不根據指定網域的 DMARC 原則套用 DMARC 動作。
  • permerror:在 DMARC 評估期間發生永久性錯誤,例如在 DNS 中遇到格式不正確的 DMARC TXT 記錄。 重新傳送此訊息不太可能產生不同的結果。 相反地,您可能需要聯絡網域的擁有者才能解決問題。
  • temperror:在 DMARC 評估期間發生暫時錯誤。 如果寄件者稍後傳送訊息,則可能會正確處理訊息。
compauth 複合驗證結果。 Microsoft 365 結合了多種類型的身份驗證 (SPF、DKIM 和 DMARC) 以及郵件的其他部分,以確定郵件是否通過身份驗證。 使用 From: 網域作為評估基礎。 附註: 雖然失敗,但 compauth 如果其他評量未指出可疑性質,則仍可能允許此訊息。
dkim 描述郵件的 DKIM 檢查結果。 可能的值包括:
  • pass:表示郵件的 DKIM 檢查通過。
  • fail (原因):表示郵件的 DKIM 檢查失敗及原因。 例如,如果訊息未簽署或簽名未驗證。
  • none:表示訊息未簽署。 此結果可能表示網域有 DKIM 記錄,也可能不表示網域有 DKIM 記錄,或 DKIM 記錄未評估為結果。
dmarc 描述郵件的 DMARC 檢查結果。 可能的值包括:
  • pass:表示郵件的 DMARC 檢查通過。
  • fail:表示郵件的 DMARC 檢查失敗。
  • bestguesspass:表示網域存在的 DMARC TXT 記錄不存在。 如果網域有 DMARC TXT 記錄,則訊息的 DMARC 檢查將會通過。
  • none:表示 DNS 中的寄件網域沒有 DKIM TXT 記錄。
header.d DKIM 簽章中識別的網域 (如果有)。 查詢此網域以取得公開金鑰。
header.from 電子郵件訊息標頭中寄件者位址的網域也稱為 5322.From 地址或 P2 寄件者) (。 收件者會看到電子郵件用戶端中的「寄件者地址」。
reason 複合驗證通過或失敗的原因。 該值是三位數代碼。 如需詳細資訊,請參閱 複合驗證原因碼 一節。
smtp.mailfrom MAIL FROM 位址的網域也稱為 5321.MailFrom 位址、P1 寄件者或信封寄件者) (。 此電子郵件地址用於未傳遞報告 (也稱為 NDR 或退信郵件) 。
spf 描述郵件的 SPF 檢查結果 (郵件來源是否包含在網域) 的 SPF 記錄中。 可能的值包括:
  • pass (IP address):郵件來源包含在網域的 SPF 記錄中。 來源有權傳送或轉送網域的電子郵件。
  • fail (IP address):也稱為 硬失敗。 郵件來源不會包含在網域的 SPF 記錄中,而且網域會指示目的地電子郵件系統拒絕郵件 (-all) 。
  • softfail (reason):也稱為 軟失敗。 郵件來源不會包含在網域的 SPF 記錄中,而且網域會指示目的地電子郵件系統接受郵件並將其標示為 (~all) 。
  • neutral:郵件來源未包含在網域的 SPF 記錄中,且網域未為目的地提供郵件 (?all) 的特定指示。
  • none:網域沒有 SPF 記錄或 SPF 記錄未得到結果。
  • temperror:發生暫時性錯誤。 例如,DNS 錯誤。 相同檢查可能稍後會成功。
  • permerror:發生永久錯誤。 例如,網域有格式錯誤的 SPF 記錄時。

複合驗證原因碼

下表說明與結果搭配compauth使用的三位數reason代碼。

提示

如需電子郵件驗證結果以及如何更正失敗的詳細資訊,請參閱 Microsoft 365 中電子郵件驗證的安全性作業指南

原因碼 描述
000 訊息無法明確驗證 (compauth=fail) 。 訊息收到 DMARC 失敗,且 DMARC 原則動作為 p=quarantinep=reject
001 訊息無法 (compauth=fail 隱含驗證) 。 傳送網域未發佈電子郵件驗證記錄,或者即使已發佈,則其失敗原則 (SPF ~all?all,或 DMARC 原則為 p=none) 。
002 組織有明確禁止傳送詐騙電子郵件的寄件者/網域配對原則。 管理員手動設定此設定。
010 訊息失敗 DMARC,DMARC 原則動作為 p=rejectp=quarantine或 ,且傳送網域是組織接受的網域之一, (自我對己或組織內詐騙) 。
1xx 訊息傳遞明確或隱含驗證 (compauth=pass) 。
  100 SPF 傳遞或 DKIM 傳遞,且 MAIL FROM 和 From 位址中的網域會對齊。
  101 郵件是由寄件者位址中使用的網域簽署的 DKIM 。
  102 MAIL FROM 和 From 位址網域已對齊,且 SPF 已通過。
  103 寄件者位址網域與 DNS PTR 記錄對齊 (與來源 IP 位址相關聯的反向查閱)
  104 與來源 IP 位址相關聯 (反向查閱) 的 DNS PTR 記錄與寄件者位址網域一致。
  108 DKIM 失敗,因為訊息本文修改歸因於先前的合法躍點。 例如,郵件內文已在組織的內部部署電子郵件環境中修改。
  109 雖然寄件者的網域沒有 DMARC 記錄,但郵件無論如何都會通過。
  111 儘管存在 DMARC 臨時錯誤或永久錯誤,SPF 或 DKIM 網域仍與寄件者位址網域一致。
  112 DNS 逾時導致無法擷取 DMARC 記錄。
  115 郵件是從 Microsoft 365 組織傳送,其中 [寄件者] 位址網域設定為 接受的網域
  116 寄件者位址網域的 MX 記錄與連線 IP 位址 (反向查閱) 的 PTR 記錄一致。
  130 受信任的 ARC 密封器產生的 ARC 結果覆寫了 DMARC 故障。
2xx 訊息軟傳遞隱含驗證 (compauth=softpass) 。
  201 寄件者位址網域的 PTR 記錄與連線 IP 位址的 PTR 記錄子網路一致。
  202 [寄件者] 位址網域與連線 IP 位址的 PTR 記錄網域一致。
3xx 未檢查訊息是否有複合驗證 (compauth=none) 。
4xx 訊息略過複合驗證 (compauth=none) 。
501 DMARC 沒有被強制執行。 郵件是有效的未傳遞報告 (也稱為 NDR 或退信郵件) ,而且先前已建立寄件者與收件者之間的連絡。
502 DMARC 沒有被強制執行。 訊息是從此組織傳送之訊息的有效 NDR。
6xx 郵件無法通過隱含電子郵件驗證 (compauth=fail) 。
  601 傳送網域是組織中 接受的網域 (自我對自己或組織內詐騙) 。
7xx 訊息傳遞隱含驗證 (compauth=pass) 。
  701-704 未強制執行 DMARC,因為該組織有從傳送基礎設施接收合法訊息的歷史記錄。
9xx 訊息略過複合驗證 (compauth=none) 。
  905 由於路由複雜,DMARC 未強制執行。 例如,網際網路訊息會在到達 Microsoft 365 之前,透過內部部署 Exchange 環境或非 Microsoft 服務路由傳送。
  • Last updated on