رؤوس رسائل مكافحة البريد العشوائي في Microsoft 365

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في جميع مؤسسات Microsoft 365، يقوم Exchange Online Protection (EOP) بمسح جميع الرسائل الواردة بحثا عن البريد العشوائي والبرامج الضارة والتهديدات الأخرى. تتم إضافة نتائج عمليات الفحص هذه إلى حقول الرأس التالية في الرسائل:

  • X-Forefront-Antispam-Report: يحتوي على معلومات حول الرسالة وكيفية معالجتها.
  • X-Microsoft-Antispam: يحتوي على معلومات إضافية حول البريد المجمع والتصيد الاحتيالي.
  • نتائج المصادقة: تحتوي على معلومات حول نتائج SPF وDKIM وDMARC (مصادقة البريد الإلكتروني).

توضح هذه المقالة ما هو متوفر في حقول الرأس هذه.

للحصول على معلومات حول كيفية عرض رأس رسالة بريد إلكتروني في عملاء بريد إلكتروني مختلفين، راجع عرض رؤوس رسائل الإنترنت في Outlook.

تلميح

يمكنك نسخ محتويات رأس رسالة ولصقها في أداة محلل رأس الرسالة . تساعد هذه الأداة في تحليل العناوين ووضعها في تنسيق أكثر قابلية للقراءة.

حقول رأس رسالة X-Forefront-Antispam-Report

بعد الحصول على معلومات رأس الرسالة، ابحث عن رأس X-Forefront-Antispam-Report . هناك العديد من أزواج الحقول والقيم في هذا العنوان مفصولة بفواصل منقوطة (;). على سبيل المثال:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

يتم وصف الحقول والقيم الفردية في الجدول التالي.

ملاحظة

يحتوي رأس X-Forefront-Antispam-Report على العديد من الحقول والقيم المختلفة. يتم استخدام الحقول غير الموضحة في الجدول حصريا من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض التشخيص.

الميدان الوصف
ARC ARC يحتوي البروتوكول على الحقول التالية:
  • AAR: يسجل محتوى عنوان Authentication-results من DMARC.
  • AMS: يتضمن توقيعات التشفير للرسالة.
  • AS: يتضمن توقيعات التشفير لرؤوس الرسائل. يحتوي هذا الحقل على علامة للتحقق من صحة سلسلة تسمى "cv="، والتي تتضمن نتيجة التحقق من صحة السلسلة على أنها لا شيء أو تمرير أو فشل.
CAT: فئة نهج الحماية المطبقة على الرسالة:
  • AMP: مكافحة البرامج الضارة
  • BULK:معظم
  • DIMP: انتحال هوية المجال*
  • FTBP: عامل تصفية المرفقات الشائعة لمكافحة البرامج الضارة
  • GIMP: انتحال معلومات علبة البريد*
  • HPHSH أو HPHISH: التصيد الاحتيالي عالي الثقة
  • HSPM: بريد عشوائي عالي الثقة
  • INTOS: Intra-Organization التصيد الاحتيالي
  • MALW:البرامج الضاره
  • OSPM: البريد العشوائي الصادر
  • PHSH:التصيد
  • SAP: مرفقات آمنة*
  • SPM:البريد المزعج
  • SPOOF:التحايل
  • UIMP: انتحال هوية المستخدم*

*Defender لـ Office 365 فقط.

قد يتم وضع علامة على رسالة واردة بواسطة أشكال متعددة من الحماية وفحوصات الكشف المتعددة. يتم تطبيق النهج بترتيب الأسبقية، ويتم تطبيق النهج ذي الأولوية القصوى أولا. لمزيد من المعلومات، راجع ما النهج الذي ينطبق عند تشغيل طرق حماية متعددة وفحص الكشف على بريدك الإلكتروني.
CIP:[IP address] عنوان IP المتصل. يمكنك استخدام عنوان IP هذا في قائمة السماح ب IP أو قائمة حظر IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
CTRY البلد/المنطقة المصدر كما يحدده عنوان IP المتصل، والذي قد لا يكون هو نفسه عنوان IP المرسل الأصلي.
DIR اتجاه الرسالة:
  • INB: رسالة واردة.
  • OUT: رسالة صادرة.
  • INT: رسالة داخلية.
H:[helostring] سلسلة HELO أو EHLO لخادم البريد الإلكتروني المتصل.
IPV:CAL تخطيت الرسالة تصفية البريد العشوائي لأن عنوان IP المصدر كان في قائمة السماح ب IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
IPV:NLI لم يتم العثور على عنوان IP في أي قائمة سمعة IP.
LANG اللغة التي تمت كتابة الرسالة بها كما هو محدد بواسطة رمز البلد (على سبيل المثال، ru_RU للغة الروسية).
PTR:[ReverseDNS] سجل PTR (المعروف أيضا باسم بحث DNS العكسي) لعنوان IP المصدر.
SCL مستوى ثقة البريد العشوائي (SCL) للرسالة. تشير القيمة الأعلى إلى أن الرسالة من المرجح أن تكون بريدا عشوائيا. لمزيد من المعلومات، راجع مستوى ثقة البريد العشوائي (SCL).
SFTY تم تحديد الرسالة على أنها تصيد احتيالي وتم وضع علامة عليها أيضا بإحدى القيم التالية:
  • 9.19: انتحال هوية المجال. يحاول مجال الإرسال انتحال صفة مجال محمي. تتم إضافة تلميح الأمان لانتحال هوية المجال إلى الرسالة (إذا تم تمكينها).
  • 9.20: انتحال هوية المستخدم. يحاول المستخدم المرسل انتحال شخصية مستخدم في مؤسسة المستلم، أو مستخدم محمي محدد في نهج مكافحة التصيد الاحتيالي في Microsoft Defender لـ Office 365. تتم إضافة تلميح الأمان لانتحال هوية المستخدم إلى الرسالة (إذا تم تمكينها).
  • 9.25: تلميح أمان الاتصال الأول. قد تكون هذه القيمة مؤشرا على رسالة مشبوهة أو تصيد احتيالي. لمزيد من المعلومات، راجع تلميح أمان جهة الاتصال الأولى.
SFV:BLK تم تخطي التصفية وتم حظر الرسالة لأنه تم إرسالها من عنوان في قائمة المرسلين المحظورين للمستخدم.

لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة المرسلين المحظورين للمستخدم، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد Exchange Online.
SFV:NSPM وضعت تصفية البريد العشوائي علامة على الرسالة على أنها nonspam وتم إرسال الرسالة إلى المستلمين المقصودين.
SFV:SFE تم تخطي التصفية وتم السماح بالرسالة لأنه تم إرسالها من عنوان في قائمة المرسلين الآمنين للمستخدم.

لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة المرسلين الآمنين للمستخدم، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب بريد Exchange Online.
SFV:SKA تخطيت الرسالة تصفية البريد العشوائي وتم تسليمها إلى علبة الوارد لأن المرسل كان في قائمة المرسلين المسموح بها أو قائمة المجالات المسموح بها في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
SFV:SKB تم وضع علامة على الرسالة على أنها بريد عشوائي لأنها تطابق مرسلا في قائمة المرسلين المحظورين أو قائمة المجالات المحظورة في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
SFV:SKN تم وضع علامة على الرسالة على أنها غير واضحة قبل المعالجة عن طريق تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة على أنها SCL -1 أو تجاوز تصفية البريد العشوائي بواسطة قاعدة تدفق البريد.
SFV:SKQ تم تحرير الرسالة من العزل وتم إرسالها إلى المستلمين المقصودين.
SFV:SKS تم وضع علامة على الرسالة على أنها بريد عشوائي قبل المعالجة عن طريق تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة على أنها SCL 5 إلى 9 بواسطة قاعدة تدفق البريد.
SFV:SPM تم وضع علامة على الرسالة على أنها بريد عشوائي عن طريق تصفية البريد العشوائي.
SRV:BULK تم تحديد الرسالة على أنها بريد إلكتروني مجمع عن طريق تصفية البريد العشوائي وحد مستوى الشكوى المجمعة (BCL). عندما تكون المعلمة MarkAsSpamBulkMail ( On قيد التشغيل بشكل افتراضي)، يتم وضع علامة على رسالة بريد إلكتروني مجمعة على أنها بريد عشوائي (SCL 6). لمزيد من المعلومات، راجع تكوين نهج مكافحة البريد العشوائي.
X-CustomSpam: [ASFOption] تطابقت الرسالة مع إعداد عامل تصفية البريد العشوائي المتقدم (ASF). للاطلاع على قيمة رأس X لكل إعداد ASF، راجع إعدادات عامل تصفية البريد العشوائي المتقدم (ASF).

ملاحظة: يضيف X-CustomSpam: ASF حقول رأس X إلى الرسائل بعد معالجة الرسائل بواسطة قواعد تدفق بريد Exchange (المعروفة أيضا باسم قواعد النقل)، لذلك لا يمكنك استخدام قواعد تدفق البريد لتحديد الرسائل التي تمت تصفيتها بواسطة ASF والعمل عليها.

حقول رأس رسالة X-Microsoft-Antispam

يصف الجدول التالي الحقول المفيدة في رأس رسالة X-Microsoft-Antispam . يتم استخدام الحقول الأخرى في هذا العنوان حصريا من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض التشخيص.

الميدان الوصف
BCL مستوى الشكوى المجمعة (BCL) للرسالة. تشير قائمة التحكم بالوصول (BCL) الأعلى إلى أن رسالة البريد المجمعة من المرجح أن تولد شكاوى (وبالتالي من المرجح أن تكون بريدا عشوائيا). لمزيد من المعلومات، راجع مستوى الشكوى المجمعة (BCL) في EOP.

عنوان رسالة نتائج المصادقة

يتم تسجيل نتائج عمليات التحقق من مصادقة البريد الإلكتروني ل SPF وDKIM وDMARC (مختومة) في رأس رسالة Authentication-results في الرسائل الواردة. يتم تعريف عنوان Authentication-results في RFC 7001.

تصف القائمة التالية النص الذي تمت إضافته إلى عنوان Authentication-Results لكل نوع من أنواع التحقق من مصادقة البريد الإلكتروني:

  • يستخدم SPF بناء الجملة التالي:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    على سبيل المثال:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • يستخدم DKIM بناء الجملة التالي:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    على سبيل المثال:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • يستخدم DMARC بناء الجملة التالي:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    على سبيل المثال:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

حقول رأس رسالة نتائج المصادقة

يصف الجدول التالي الحقول والقيم المحتملة لكل فحص لمصادقة البريد الإلكتروني.

الميدان الوصف
action يشير إلى الإجراء الذي اتخذه عامل تصفية البريد العشوائي استنادا إلى نتائج فحص DMARC. على سبيل المثال:
  • pct.quarantine: يشير إلى أنه يتم تسليم نسبة أقل من 100٪ من الرسائل التي لا تمرر DMARC على أي حال. تعني هذه النتيجة أن الرسالة فشلت DMARC وتم تعيين نهج DMARC إلى p=quarantine. ولكن لم يتم تعيين حقل pct إلى 100٪، وحدد النظام عشوائيا عدم تطبيق إجراء DMARC وفقا لنهج DMARC للمجال المحدد.
  • pct.reject: يشير إلى أنه يتم تسليم نسبة أقل من 100٪ من الرسائل التي لا تمرر DMARC على أي حال. تعني هذه النتيجة أن الرسالة فشلت DMARC وتم تعيين نهج DMARC إلى p=reject. ولكن لم يتم تعيين حقل pct إلى 100٪ وتم تحديد النظام عشوائيا على عدم تطبيق إجراء DMARC وفقا لنهج DMARC للمجال المحدد.
  • permerror: حدث خطأ دائم أثناء تقييم DMARC، مثل مواجهة سجل DMARC TXT تم تكوينه بشكل غير صحيح في DNS. من غير المحتمل أن تنتهي محاولة إعادة إرسال هذه الرسالة بنتيجة مختلفة. بدلا من ذلك، قد تحتاج إلى الاتصال بمالك المجال لحل المشكلة.
  • temperror: حدث خطأ مؤقت أثناء تقييم DMARC. قد تتمكن من طلب إعادة إرسال الرسالة في وقت لاحق من أجل معالجة البريد الإلكتروني بشكل صحيح.
compauth نتيجة المصادقة المركبة. يستخدمه Microsoft 365 لدمج أنواع متعددة من المصادقة (SPF وDKIM وDMARC)، أو أي جزء آخر من الرسالة لتحديد ما إذا كانت الرسالة تمت مصادقتها أم لا. يستخدم المجال من: كأساس للتقييم. ملاحظة: على الرغم من الفشل، قد يظل مسموحا compauth بالرسالة إذا لم تشير التقييمات الأخرى إلى طبيعة مريبة.
dkim يصف نتائج التحقق من DKIM للرسالة. تتضمن القيم المحتملة ما يلي:
  • pass: يشير إلى التحقق من DKIM للرسالة التي تم تمريرها.
  • فشل (السبب): يشير إلى فشل التحقق من DKIM للرسالة ولماذا. على سبيل المثال، إذا لم يتم توقيع الرسالة أو لم يتم التحقق من التوقيع.
  • لا شيء: يشير إلى أن الرسالة لم يتم توقيعها. قد تشير هذه النتيجة أو لا تشير إلى أن المجال يحتوي على سجل DKIM أو أن سجل DKIM لا يتم تقييمه إلى نتيجة.
dmarc يصف نتائج التحقق من DMARC للرسالة. تتضمن القيم المحتملة ما يلي:
  • pass: يشير إلى التحقق من DMARC للرسالة التي تم تمريرها.
  • فشل: يشير إلى فشل التحقق من DMARC للرسالة.
  • bestguesspass: يشير إلى عدم وجود سجل DMARC TXT للمجال. إذا كان المجال يحتوي على سجل DMARC TXT، فسيتم تمرير التحقق من DMARC للرسالة.
  • none: يشير إلى عدم وجود سجل DMARC TXT لمجال الإرسال في DNS.
header.d المجال المحدد في توقيع DKIM إن وجد. هذا هو المجال الذي يتم الاستعلام عن المفتاح العام.
header.from مجال 5322.From العنوان في رأس رسالة البريد الإلكتروني (المعروف أيضا باسم عنوان من أو مرسل P2). يرى المستلم عنوان من في عملاء البريد الإلكتروني.
reason سبب تمرير المصادقة المركبة أو فشلها. القيمة هي رمز مكون من ثلاثة أرقام. على سبيل المثال:
  • 000: فشلت الرسالة في المصادقة الصريحة (compauth=fail). على سبيل المثال، تلقت الرسالة فشل DMARC وكان إجراء نهج DMARC أو p=quarantinep=reject.
  • 001: فشلت الرسالة في المصادقة الضمنية (compauth=fail). تعني هذه النتيجة أن مجال الإرسال لم يكن لديه سجلات مصادقة البريد الإلكتروني المنشورة، أو إذا كان لديه نهج فشل أضعف (SPF ~all أو ?all، أو نهج DMARC ل p=none).
  • 002: لدى المؤسسة نهج لزوج المرسل/المجال المحظور صراحة من إرسال بريد إلكتروني منتحل. يقوم المسؤول بتكوين هذا الإعداد يدويا.
  • 010: فشلت الرسالة DMARC، وإجراء نهج DMARC هو p=reject أو p=quarantine، والمجال المرسل هو أحد المجالات المقبولة لمؤسستك (انتحال ذاتي أو داخل المؤسسة).
  • 1xx أو 7xx: تم تمرير الرسالة المصادقة (compauth=pass). الرقمان الأخيران هما رموز داخلية يستخدمها Microsoft 365.
  • 2xx: المصادقة الضمنية المرنة للرسالة (compauth=softpass). الرقمان الأخيران هما رموز داخلية يستخدمها Microsoft 365.
  • 3xx: لم يتم التحقق من الرسالة للمصادقة المركبة (compauth=none).
  • 4xx أو 9xx: تجاوزت الرسالة المصادقة المركبة (compauth=none). الرقمان الأخيران هما رموز داخلية يستخدمها Microsoft 365.
  • 6xx: فشلت الرسالة في مصادقة البريد الإلكتروني الضمنية، ومجال الإرسال هو أحد المجالات المقبولة لمؤسستك (انتحال ذاتي أو داخل المؤسسة).
smtp.mailfrom مجال 5321.MailFrom العنوان (المعروف أيضا باسم عنوان MAIL FROM أو مرسل P1 أو مرسل المغلف). يتم استخدام عنوان البريد الإلكتروني هذا لتقارير عدم التسليم (المعروفة أيضا باسم NDRs أو الرسائل المرتدة).
spf يصف نتائج التحقق من SPF للرسالة. تتضمن القيم المحتملة ما يلي:
  • pass (IP address): التحقق من SPF للرسالة التي تم تمريرها ويتضمن عنوان IP الخاص بالمرسل. العميل مخول بإرسال بريد إلكتروني أو ترحيله نيابة عن مجال المرسل.
  • fail (IP address): فشل التحقق من SPF للرسالة ويتضمن عنوان IP الخاص بالمرسل. تسمى هذه النتيجة أحيانا فشلا صعبا.
  • softfail (reason): عين سجل SPF المضيف على أنه غير مسموح له بالإرسال، ولكنه في مرحلة انتقالية.
  • neutral: ينص سجل SPF صراحة على أنه لا يؤكد ما إذا كان عنوان IP مصرحا بإرساله.
  • none: لا يحتوي المجال على سجل SPF أو لا يتم تقييم سجل SPF إلى نتيجة.
  • temperror: حدث خطأ مؤقت. على سبيل المثال، خطأ DNS. قد ينجح الفحص نفسه لاحقا.
  • permerror: حدث خطأ دائم. على سبيل المثال، يحتوي المجال على سجل SPF منسق بشكل سيئ.