رؤوس رسائل مكافحة البريد العشوائي في Microsoft 365

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• Microsoft Defender Office 365 الخطة 1 الخطة 2
• Microsoft 365 Defender

في كل Microsoft 365، Exchange Online Protection البريد الإلكتروني (EOP) فحص كل الرسائل الواردة للبريد العشوائي والبرامج الضارة وغيرها من التهديدات. تضاف نتائج عمليات الفحص هذه إلى حقول الرأس التالية في الرسائل:

• X-Forefront-Antispam-Report: يحتوي على معلومات حول الرسالة وكيفية معالجتها.

• X-Microsoft-Antispam: يحتوي على معلومات إضافية حول البريد المجمع والتصيد الاحتيالي.

• نتائج المصادقة: تحتوي على معلومات حول نتائج SPF و DKIM و DMARC (مصادقة البريد الإلكتروني).

تصف هذه المقالة ما هو متوفر في حقول الرأس هذه.

للحصول على معلومات حول كيفية عرض رأس رسالة بريد إلكتروني في عملاء بريد إلكتروني مختلفين، راجع عرض رؤوس رسائل الإنترنت في Outlook.

تلميح

يمكنك نسخ محتويات رأس الرسالة ولصقها في أداة محلل رؤوس الرسائل. تساعد هذه الأداة على تحليل رؤوس النسق ووضعها بتنسيق قابل للقراءة بشكل أكبر.

حقول رأس الرسالة X-Forefront-Antispam-Report

بعد الحصول على معلومات رأس الرسالة، ابحث عن رأس X-Forefront-Antispam-Report . سيكون هناك عدة أزواج من الحقول والقيم في هذا الرأس مفصولة بفواصل منسوجة (;). على سبيل المثال:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

يتم وصف الحقول الفردية والقيم في الجدول التالي.

ملاحظة

يحتوي رأس X-Forefront-Antispam-Report على العديد من الحقول والقيم المختلفة. يتم استخدام الحقول التي لم يتم وصفها في الجدول بشكل حصري من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض تشخيصية.

الحقل	الوصف
ARC	البروتوكول ARC به الحقول التالية: AAR: يسجل محتوى رأس نتائج المصادقة من DMARC. AMS: يتضمن تواقيع التشفير للرسالة. AS: يتضمن تواقيع تشفير رؤوس الرسائل. يحتوي هذا الحقل على علامة للتحقق "cv="من صحة السلسلة تسمى ، والتي تتضمن نتيجة التحقق من صحة السلسلة ك بلا أو تمرير أو فشل.
CAT:	فئة نهج الحماية، المطبقة على الرسالة: BULK: مجمع DIMP: انتحال المجال GIMP: انتحال يستند إلى معلومات علبة البريد HPHSH أو HPHISH : تصيد احتيالي عالي الثقة HSPM: بريد عشوائي عالي الثقة MALW: البرامج الضارة PHSH: التصيد الاحتيالي SPM: بريد عشوائي SPOOF: اانتحال UIMP: انتحال المستخدم AMP: مكافحة البرامج الضارة SAP: خزينة المرفقات OSPM: البريد العشوائي الصادر قد يتم وضع علامة على رسالة واردة بواسطة نماذج متعددة للحماية وفحص الكشف المتعدد. لدى النهج أولويات مختلفة، يتم تطبيق النهج ذات الأولوية العليا أولا. للحصول على مزيد من المعلومات، راجع النهج الذي ينطبق عند تشغيل العديد من أساليب الحماية وفحص الكشف على بريدك الإلكتروني.
CIP:[IP address]	عنوان IP للاتصال. يمكنك استخدام عنوان IP هذا في قائمة السماح ب IP أو قائمة حظر IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
CTRY	البلد المصدر كما يحدده عنوان IP للاتصال، والذي قد لا يكون هو نفسه عنوان IP المرسل المصدر.
H:[helostring]	سلسلة HELO أو EHLO الخاصة بخادم البريد الإلكتروني الذي يتصل بالإنترنت.
IPV:CAL	تخطيت الرسالة تصفية البريد العشوائي لأن عنوان IP المصدر كان في قائمة السماح ب IP. لمزيد من المعلومات، راجع تكوين تصفية الاتصال.
IPV:NLI	لم يتم العثور على عنوان IP في أي قائمة لسمعة IP.
LANG	اللغة التي تم بها كتابة الرسالة، كما هو محدد بواسطة رمز البلد (على سبيل المثال، ru_RU للغة الروسية).
PTR:[ReverseDNS]	سجل PTR (المعروف أيضا باسم بحث DNS العكسي) عنوان IP المصدر.
SCL	مستوى الثقة في البريد العشوائي (SCL) للرسالة. تشير القيمة الأعلى إلى أن الرسالة من المرجح أن تكون بريدا عشوائيا. لمزيد من المعلومات، راجع مستوى الثقة في البريد العشوائي (SCL).
SFTY	تم تعريف الرسالة على أنها تصيد احتيالي، كما سيتم وضع علامة عليها بوا إحدى القيم التالية: 9.19: انتحال المجال. يحاول مجال الإرسال انتحال مجال محمي. تضاف تلميح الأمان لانتحال المجال إلى الرسالة (إذا تم تمكينها). 9.20: انتحال المستخدم. يحاول المستخدم المرسل انتحال شخصية مستخدم في مؤسسة المستلم، أو مستخدم محمي تم تحديده في نهج مكافحة التصيد الاحتيالي في Microsoft Defender Office 365. تضاف تلميح الأمان لانتحال المستخدم إلى الرسالة (إذا تم تمكينها).
SFV:BLK	تم تخطي التصفية وحظر الرسالة لأنه تم إرسالها من عنوان في قائمة المرسلون المحظورون للمستخدم. لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة "المرسلون المحظورون" الخاصة بالمستخدم، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب البريد Exchange Online البريد.
SFV:NSPM	وضعت تصفية البريد العشوائي علامة على الرسالة كرسالة غير عشوائية، وقد تم إرسال الرسالة إلى المستلمين المقصودين.
SFV:SFE	تم تخطي التصفية والسماح بالرسالة لأنه تم إرسالها من عنوان في قائمة المرسلين خزينة المستخدمين. لمزيد من المعلومات حول كيفية إدارة المسؤولين لقائمة المرسلين خزينة المستخدمين، راجع تكوين إعدادات البريد الإلكتروني غير الهام على علب البريد Exchange Online البريد.
SFV:SKA	تم تخطي الرسالة لتصفية البريد العشوائي، وقد تم تسليمها إلى علبة الوارد لأن المرسل كان في قائمة المرسلين المسموح بهم أو قائمة المجالات المسموح بها في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين سياسات مكافحة البريد العشوائي.
SFV:SKB	تم وضع علامة على الرسالة كرسالة عشوائية لأنها تطابقت مع مرسل في قائمة المرسلين المحظورين أو قائمة المجالات المحظورة في نهج مكافحة البريد العشوائي. لمزيد من المعلومات، راجع تكوين سياسات مكافحة البريد العشوائي.
SFV:SKI	بطريقة مماثلة ل SFV:SKN، تجاوزت الرسالة تصفية البريد العشوائي لسبب آخر (على سبيل المثال، بريد إلكتروني داخل المؤسسة داخل نطاق مستأجر).
SFV:SKN	تم وضع علامة على الرسالة كرسالة غير عشوائية قبل معالجتها بواسطة تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة ك SCL -1 أو تجاوز تصفية البريد العشوائي بواسطة قاعدة تدفق البريد.
SFV:SKQ	تم إصدار الرسالة من الفحص وأرسلت إلى المستلمين المقصودين.
SFV:SKS	تم وضع علامة على الرسالة كرسالة عشوائية قبل معالجتها بواسطة تصفية البريد العشوائي. على سبيل المثال، تم وضع علامة على الرسالة ك SCL 5 إلى 9 بواسطة قاعدة تدفق البريد.
SFV:SPM	تم وضع علامة على الرسالة كرسالة عشوائية من خلال تصفية البريد العشوائي.
SRV:BULK	تم تعريف الرسالة كبريد إلكتروني مجمع بواسطة تصفية البريد العشوائي وعتبة مستوى الشكوى المجمعة (BCL). عندما تكون المعلمة MarkAsSpamBulkMail On (يتم بشكل افتراضي)، يتم وضع علامة على رسالة بريد إلكتروني مجمعة كبريد عشوائي (SCL 6). لمزيد من المعلومات، راجع تكوين سياسات مكافحة البريد العشوائي.
X-CustomSpam: [ASFOption]	تطابقت الرسالة مع إعداد تصفية البريد العشوائي المتقدمة (ASF). لرؤية قيمة X-header لكل إعداد ASF، راجع إعدادات تصفية البريد العشوائي المتقدمة (ASF).

حقول رؤوس رسائل X-Microsoft-Antispam

يصف الجدول التالي الحقول المفيدة في رأس رسالة X-Microsoft-Antispam . يتم استخدام الحقول الأخرى في هذا الرأس بشكل حصري من قبل فريق مكافحة البريد العشوائي من Microsoft لأغراض تشخيصية.

الحقل	الوصف
BCL	مستوى الشكوى المجمعة (BCL) للرسالة. يشير مؤشر BCL أعلى إلى أن رسالة البريد المجمع من المرجح أن تنشئ شكاوى (وبالتالي من المرجح أن تكون بريدا عشوائيا). لمزيد من المعلومات، راجع مستوى الشكوى المجمعة (BCL).

رأس رسالة نتائج المصادقة

يتم تسجيل (طابع) نتائج التحقق من مصادقة البريد الإلكتروني ل SPF و DKIM و DMARC في رأس رسالة نتائج المصادقة في الرسائل الواردة.

تصف القائمة التالية النص الذي يضاف إلى رأس مصادقة-نتائج لكل نوع من أنواع مصادقة البريد الإلكتروني:

• يستخدم SPF بناء الجملة التالي:

  spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
  

  على سبيل المثال:

  spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
  spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
  

• تستخدم DKIM بناء الجملة التالي:

  dkim=<pass|fail (reason)|none> header.d=<domain>
  

  على سبيل المثال:

  dkim=pass (signature was verified) header.d=contoso.com
  dkim=fail (body hash did not verify) header.d=contoso.com
  

• تستخدم DMARC بناء الجملة التالي:

  dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
  

  على سبيل المثال:

  dmarc=pass action=none header.from=contoso.com
  dmarc=bestguesspass action=none header.from=contoso.com
  dmarc=fail action=none header.from=contoso.com
  dmarc=fail action=oreject header.from=contoso.com
  

حقول رؤوس رسائل نتائج المصادقة

يصف الجدول التالي الحقول والقيم المحتملة لكل عملية تحقق من مصادقة البريد الإلكتروني.

الحقل	الوصف
action	تشير إلى الإجراء الذي تم اتخاذه بواسطة عامل تصفية البريد العشوائي استنادا إلى نتائج فحص DMARC. على سبيل المثال: oreject أو o.reject: ترمز إلى تجاوز الرفض. في هذه Microsoft 365 يستخدم هذا الإجراء عندما يتلقى رسالة تفشل في التحقق من DMARC من مجال له نهج p=reject في سجل DMARC TXT. بدلا من حذف الرسالة أو رفضها، Microsoft 365 وضع علامة على الرسالة كرسالة عشوائية. لمزيد من المعلومات حول Microsoft 365 تكوين البريد بهذه الطريقة، راجع كيفية Microsoft 365 البريد الإلكتروني الوارد الذي يفشل في DMARC. pct.quarantine: تشير إلى أنه سيتم تسليم نسبة مئوية أقل من 100٪ من الرسائل التي لا تجتاز DMARC على أي حال. وهذا يعني أن الرسالة فشلت في DMARC وأن النهج تم تعيينه إلى عزل، ولكن لم يتم تعيين حقل pct إلى 100٪ وكان النظام يحدد عشوائيا عدم تطبيق إجراء DMARC، وفقا لن نهج المجال المحدد. pct.reject: تشير إلى أنه سيتم تسليم نسبة مئوية أقل من 100٪ من الرسائل التي لا تجتاز DMARC على أي حال. وهذا يعني أن الرسالة فشلت في DMARC وقد تم تعيين النهج لرفضه، ولكن لم يتم تعيين حقل pct إلى 100٪ وكان النظام يحدد عشوائيا عدم تطبيق إجراء DMARC، وفقا لن نهج المجال المحدد. permerror: حدث خطأ دائم أثناء تقييم DMARC، مثل مواجهة سجل DMARC TXT تم تكوينه بشكل غير صحيح في DNS. من غير المرجح أن تنتهي محاولة إعادة إرسال هذه الرسالة نتيجة مختلفة. بدلا من ذلك، قد تحتاج إلى الاتصال بمالك المجال لحل المشكلة. temporarror: حدث خطأ مؤقت أثناء تقييم DMARC. قد تتمكن من طلب إعادة إرسال المرسل للرسالة في وقت لاحق لكي تتمكن من معالجة البريد الإلكتروني بشكل صحيح.
compauth	نتيجة المصادقة المركبة. يستخدمه Microsoft 365 لدمج أنواع متعددة من المصادقة مثل SPF أو DKIM أو DMARC أو أي جزء آخر من الرسالة لتحديد ما إذا كانت الرسالة مصدقة أم لا. يستخدم المجال من: كأساس للتقييم.
dkim	يصف نتائج التحقق من DKIM للرسالة. تتضمن القيم المحتملة: المرور: يشير إلى التحقق من DKIM للرسالة التي تم تمريرها. فشل (السبب): يشير إلى التحقق من DKIM لفشل الرسالة ولماذا. على سبيل المثال، إذا لم يتم توقيع الرسالة أو لم يتم التحقق من التوقيع. بلا: يشير إلى أنه لم يتم توقيع الرسالة. قد يشير ذلك أو لا يشير إلى أن المجال له سجل DKIM أو أن سجل DKIM لا يتم تقييمه إلى نتيجة، ولكن هذه الرسالة فقط لم يتم توقيعها.
dmarc	يصف نتائج التحقق من DMARC للرسالة. تتضمن القيم المحتملة: المرور: يشير إلى التحقق من DMARC للرسالة التي تم تمريرها. فشل: يشير إلى التحقق من فشل DMARC للرسالة. bestguesspass: تشير إلى أنه لا يوجد سجل DMARC TXT للمجال، ولكن إذا كان أحد السجلات موجودا، لتجاوزت عملية التحقق من DMARC للرسالة. بلا: تشير إلى عدم وجود سجل DMARC TXT لمجال الإرسال في DNS.
header.d	المجال المعرف في توقيع DKIM إن وجدت. هذا هو المجال الذي يتم الاستعلام عنه للمفتاح العام.
header.from	مجال العنوان في 5322.From رأس رسالة البريد الإلكتروني (المعروف أيضا باسم عنوان من أو مرسل P2). يرى المستلم عنوان "من" في عملاء البريد الإلكتروني.
reason	سبب مرور المصادقة المركبة أو فشلها. القيمة هي رمز من 3 أرقام. على سبيل المثال: 000: فشلت الرسالة في المصادقة الصريحة (compauth=fail). على سبيل المثال، تفشل الرسالة التي تم تلقيها في DMARC في إجراء الفحص أو الرفض. 001: فشلت الرسالة في المصادقة الضمنية (compauth=fail). وهذا يعني أن المجال المرسل لم يتم نشر سجلات مصادقة البريد الإلكتروني، أو إذا كان لديه نهج فشل ها هو (فشل SPF الناعم أو محايد، نهج DMARC ل p=none). 002: يوجد في المؤسسة نهج خاص بالزوجين المرسل/المجال يحظر بشكل صريح إرسال بريد إلكتروني منتحل. يتم تعيين هذا الإعداد يدويا من قبل المسؤول. 010: فشلت الرسالة في DMARC مع إجراء رفض أو عزل، والمجال المرسل هو أحد المجالات المقبولة في مؤسستك (هذا جزء من الانتحال الذاتي أو الانتحال داخل المؤسسة). 1xx أو 7xx: مرت الرسالة بالمصادقة (compauth=pass). إن آخر رقمين هو رموز داخلية تستخدمها Microsoft 365. 2xx: رسالة المصادقة الضمنيةcompauth=softpass (). إن آخر رقمين هو رموز داخلية تستخدمها Microsoft 365. 3xx: لم يتم التحقق من الرسالة للمصادقة المركبة (compauth=none). 4xx أو 9xx: تجاوزت الرسالة المصادقة المركبة (compauth=none). إن آخر رقمين هو رموز داخلية تستخدمها Microsoft 365. 6xx: فشلت الرسالة في مصادقة البريد الإلكتروني الضمني، وكان مجال الإرسال أحد المجالات المقبولة في مؤسستك (هذا جزء من الانتحال الذاتي أو الانتحال داخل المؤسسة).
smtp.mailfrom	مجال العنوان 5321.MailFrom (المعروف أيضا باسم عنوان MAIL FROM أو مرسل P1 أو مرسل المغلف). هذا هو عنوان البريد الإلكتروني المستخدم لتقارير عدم التسليم (المعروف أيضا بالتقارير بعدم التسليم أو رسائل البريد المرتد).
spf	يصف نتائج التحقق من SPF للرسالة. تتضمن القيم المحتملة: pass (IP address): تحقق SPF من الرسالة التي تم تمريرها وتتضمن عنوان IP الخاص بالمرسل. يتم تفويض العميل بإرسال البريد الإلكتروني أو ترحيله نيابة عن مجال المرسل. fail (IP address): فشل التحقق من SPF للرسالة ويتضمن عنوان IP للمرسل. يسمى هذا في بعض الأحيان فشلا صعبا. softfail (reason): عين سجل SPF المضيف على أنه غير مسموح له بإرساله، ولكنه في مرحلة انتقالية. neutral: يذكر سجل SPF صراحة أنه لا يؤكد ما إذا كان عنوان IP م مخولا لإرساله. none: لا يوجد سجل SPF للمجال أو لا يتم تقييم سجل SPF إلى نتيجة. temperror: حدث خطأ مؤقت. على سبيل المثال، خطأ DNS. قد ينجح نفس التحقق لاحقا. permerror: حدث خطأ دائم. على سبيل المثال، يكون للمجال سجل SPF تم تنسيقه بشكل غير صحيح.