Brevhoveder mod spam i Microsoft 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I alle Microsoft 365-organisationer scanner Exchange Online Protection (EOP) alle indgående meddelelser for spam, malware og andre trusler. Resultaterne af disse scanninger føjes til følgende headerfelter i meddelelser:

  • X-Forefront-Antispam-Report: Indeholder oplysninger om meddelelsen og om, hvordan den blev behandlet.
  • X-Microsoft-Antispam: Indeholder flere oplysninger om massemails og phishing.
  • Godkendelsesresultater: Indeholder oplysninger om resultater for SPF, DKIM og DMARC (mailgodkendelse).

I denne artikel beskrives det, hvad der er tilgængeligt i disse headerfelter.

Du kan få oplysninger om, hvordan du får vist en mailheader i forskellige mailklienter, under Få vist brevhoveder på internettet i Outlook.

Tip

Du kan kopiere og indsætte indholdet af en meddelelsesoverskrift i værktøjet Analyse af meddelelsesoverskrift . Dette værktøj hjælper med at fortolke overskrifter og sætte dem i et mere læsevenligt format.

Headerfelter for X-Forefront-Antispam-Report

Når du har oplysninger om brevhovederne, skal du finde X-Forefront-Antispam-Report-headeren . Der er flere felt- og værdipar i denne header adskilt af semikolon (;). Det kan f.eks. være:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

De enkelte felter og værdier er beskrevet i følgende tabel.

Bemærk!

X-Forefront-Antispam-Report-headeren indeholder mange forskellige felter og værdier. Felter, der ikke er beskrevet i tabellen, bruges udelukkende af Microsofts anti-spam-team til diagnosticeringsformål.

Feltet Beskrivelse
ARC Protokollen ARC indeholder følgende felter:
  • AAR: Registrerer indholdet af headeren med godkendelsesresultater fra DMARC.
  • AMS: Indeholder kryptografiske signaturer i meddelelsen.
  • AS: Indeholder kryptografiske signaturer i brevhovederne. Dette felt indeholder en kode for en kædevalidering, der kaldes "cv=", og som indeholder resultatet af kædevalideringen som ingen, bestået eller mislykket.
CAT: Den kategori af beskyttelsespolitik, der anvendes på meddelelsen:
  • AMP: Antimalware
  • BULK:Bulk
  • DIMP, repræsentation af domæne*
  • FTBP: Filter for almindelige vedhæftede filer mod skadelig software
  • GIMP, repræsentation af postkasseintelligens*
  • HPHSH eller HPHISH: Phishing med høj genkendelsessikkerhed
  • HSPM: Spam med høj genkendelsessikkerhed
  • INTOS, Intra-Organization phishing
  • MALW:Malware
  • OSPM, Udgående spam
  • PHSH:Phishing
  • SAP, sikre vedhæftede filer*
  • SPM:Spam
  • SPOOF:Spoofing
  • UIMP, bruger repræsenter*

*kun Defender for Office 365.

En indgående meddelelse kan være markeret af flere former for beskyttelse og scanninger med flere registreringer. Politikker anvendes i en prioriteret rækkefølge, og politikken med den højeste prioritet anvendes først. Du kan få flere oplysninger under Hvilken politik gælder, når flere beskyttelsesmetoder og registreringsscanninger kører på din mail.
CIP:[IP address] Den ip-adresse, der opretter forbindelse. Du kan bruge denne IP-adresse på listen over tilladte IP-adresser eller listen over IP-blokeringer. Du kan få flere oplysninger under Konfigurer forbindelsesfiltrering.
CTRY Kildelandet/-området, som bestemmes af den forbundne IP-adresse, som muligvis ikke er den samme som den oprindelige afsender-IP-adresse.
DIR Meddelelsens retningsbestemthed:
  • INB: Indgående meddelelse.
  • OUT: Udgående meddelelse.
  • INT: Intern meddelelse.
H:[helostring] HELO- eller EHLO-strengen på forbindelsesmailserveren.
IPV:CAL Meddelelsen sprang over filtrering af spam, fordi kildens IP-adresse var på listen over tilladte IP-adresser. Du kan få flere oplysninger under Konfigurer forbindelsesfiltrering.
IPV:NLI IP-adressen blev ikke fundet på nogen liste over IP-omdømme.
LANG Det sprog, som meddelelsen blev skrevet på, som angivet i landekoden (f.eks. ru_RU for russisk).
PTR:[ReverseDNS] PTR-posten (også kendt som det omvendte DNS-opslag) for kildens IP-adresse.
SCL Niveauet for spamsikkerhed (SCL) for meddelelsen. En højere værdi angiver, at der er større sandsynlighed for, at meddelelsen er spam. Du kan få flere oplysninger under Niveau for spamsikkerhed (SCL).
SFTY Meddelelsen blev identificeret som phishing og er også markeret med en af følgende værdier:
  • 9.19: Repræsentation af domæne. Det afsendende domæne forsøger at repræsentere et beskyttet domæne. Sikkerhedstip til repræsentation af domæner føjes til meddelelsen (hvis det er aktiveret).
  • 9.20: Bruger repræsentation. Den bruger, der sender, forsøger at repræsentere en bruger i modtagerens organisation eller en beskyttet bruger, der er angivet i en politik til bekæmpelse af phishing i Microsoft Defender for Office 365. Sikkerhedstip til brugerpræsentation føjes til meddelelsen (hvis det er aktiveret).
  • 9.25: Første kontakt sikkerhedstip. Denne værdi kan være en indikation af en mistænkelig eller phishing-meddelelse. Du kan få flere oplysninger under Første kontaktsikkerhedstip.
SFV:BLK Filtrering blev sprunget over, og meddelelsen blev blokeret, fordi den blev sendt fra en adresse på en brugers liste over blokerede afsendere.

Du kan få flere oplysninger om, hvordan administratorer kan administrere en brugers liste over afsendere af uønsket mail, under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.
SFV:NSPM Filtrering af spam markerede meddelelsen som nonspam, og meddelelsen blev sendt til de ønskede modtagere.
SFV:SFE Filtrering blev sprunget over, og meddelelsen blev tilladt, fordi den blev sendt fra en adresse på en brugers liste over afsendere, der er tillid til.

Du kan få flere oplysninger om, hvordan administratorer kan administrere en brugers liste over afsendere, der er tillid til, under Konfigurer indstillinger for uønsket mail på Exchange Online postkasser.
SFV:SKA Meddelelsen sprang over filtrering af spam og blev leveret til indbakken, fordi afsenderen var på listen over tilladte afsendere eller listen over tilladte domæner i en politik mod spam. Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam.
SFV:SKB Meddelelsen blev markeret som spam, fordi den svarede til en afsender på listen over blokerede afsendere eller listen over blokerede domæner i en politik mod spam. Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam.
SFV:SKN Meddelelsen blev markeret som nonspam før behandling af spamfiltrering. Meddelelsen blev f.eks. markeret som SCL -1 eller Omgå spamfiltrering efter en regel for mailflow.
SFV:SKQ Meddelelsen blev frigivet fra karantænen og blev sendt til de ønskede modtagere.
SFV:SKS Meddelelsen blev markeret som spam før behandling af spamfiltrering. Meddelelsen blev f.eks. markeret som SCL 5 til 9 af en regel for mailflow.
SFV:SPM Meddelelsen blev markeret som spam ved filtrering af spam.
SRV:BULK Meddelelsen blev identificeret som massemail ved filtrering af spam og grænseværdien for masseklageniveau (BCL). Når parameteren MarkAsSpamBulkMail er On (den er aktiveret som standard), markeres en massemailmeddelelse som spam (SCL 6). Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam.
X-CustomSpam: [ASFOption] Meddelelsen matchede en indstilling for avanceret spamfilter (ASF). Hvis du vil se X-headerværdien for hver ASF-indstilling, skal du se Indstillinger for avanceret spamfilter (ASF).

Bemærk! ASF føjer X-CustomSpam: X-headerfelter til meddelelser, når meddelelserne er blevet behandlet af Exchange-regler for mailflow (også kaldet transportregler), så du kan ikke bruge regler for mailflow til at identificere og reagere på meddelelser, der er filtreret af ASF.

X-Microsoft-Antispam-meddelelsesheaderfelter

I følgende tabel beskrives nyttige felter i meddelelsesheaderen X-Microsoft-Antispam . Andre felter i denne header bruges udelukkende af Microsofts anti-spam-team til diagnosticeringsformål.

Feltet Beskrivelse
BCL Meddelelsens bulkklageniveau (BCL). En højere BCL angiver, at der er større sandsynlighed for, at en massemailmeddelelse genererer klager (og er derfor mere tilbøjelige til at være spam). Du kan få flere oplysninger under Samlet klageniveau (BCL) i EOP.

Brevhoved med godkendelsesresultater

Resultaterne af e-mailgodkendelseskontroller for SPF, DKIM og DMARC registreres (stemples) i headeren med godkendelsesresultater i indgående meddelelser. Headeren Med godkendelsesresultater er defineret i RFC 7001.

På følgende liste beskrives den tekst, der føjes til headeren Godkendelsesresultater for hver type godkendelseskontrol af mail:

  • SPF bruger følgende syntaks:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Det kan f.eks. være:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM bruger følgende syntaks:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Det kan f.eks. være:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC bruger følgende syntaks:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Det kan f.eks. være:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Brevhovedfelter for godkendelsesresultater

I følgende tabel beskrives felterne og de mulige værdier for hver mailgodkendelseskontrol.

Feltet Beskrivelse
action Angiver den handling, der udføres af spamfilteret baseret på resultaterne af DMARC-kontrollen. Det kan f.eks. være:
  • pct.quarantine: Angiver, at en procentdel, der er mindre end 100 % af meddelelser, der ikke består DMARC, leveres alligevel. Dette resultat betyder, at meddelelsen mislykkedes DMARC og DMARC-politikken blev indstillet til p=quarantine. Men feltet pct blev ikke indstillet til 100 %, og systemet bestemte tilfældigt ikke at anvende DMARC-handlingen i henhold til det angivne domænes DMARC-politik.
  • pct.reject: Angiver, at en procentdel, der er mindre end 100 % af meddelelser, der ikke består DMARC, leveres alligevel. Dette resultat betyder, at meddelelsen mislykkedes DMARC og DMARC-politikken blev indstillet til p=reject. Men feltet pct blev ikke indstillet til 100 %, og systemet blev tilfældigt bestemt til ikke at anvende DMARC-handlingen for det angivne domænes DMARC-politik.
  • permerror: Der opstod en permanent fejl under DMARC-evalueringen, f.eks. hvis der opstod en forkert udformet DMARC TXT-post i DNS. Det er ikke sandsynligt, at forsøget på at sende denne meddelelse igen vil ende med et andet resultat. I stedet skal du muligvis kontakte domænets ejer for at løse problemet.
  • temperror: Der opstod en midlertidig fejl under DMARC-evalueringen. Du kan muligvis anmode afsenderen om at sende meddelelsen igen senere for at behandle mailen korrekt.
compauth Resultat af sammensat godkendelse. Bruges af Microsoft 365 til at kombinere flere godkendelsestyper (SPF, DKIM og DMARC) eller andre dele af meddelelsen for at bestemme, om meddelelsen er godkendt eller ej. Bruger domænet From: som grundlag for evaluering. Bemærk! På trods af en compauth fejl kan meddelelsen stadig være tilladt, hvis andre vurderinger ikke angiver en mistænkelig karakter.
dkim Beskriver resultaterne af DKIM-kontrollen af meddelelsen. Mulige værdier omfatter:
  • pass: Angiver DKIM-kontrollen for den overførte meddelelse.
  • fail (årsag): Angiver DKIM-kontrollen for meddelelsen mislykkedes og hvorfor. Hvis meddelelsen f.eks. ikke blev signeret, eller signaturen ikke blev bekræftet.
  • none: Angiver, at meddelelsen ikke blev signeret. Dette resultat indikerer måske eller måske ikke, at domænet har en DKIM-post, eller at DKIM-posten ikke evalueres til et resultat.
dmarc Beskriver resultaterne af DMARC-kontrollen af meddelelsen. Mulige værdier omfatter:
  • pass: Angiver DMARC-kontrollen for den sendte meddelelse.
  • fail: Angiver, at DMARC-kontrollen for meddelelsen mislykkedes.
  • bestguesspass: Angiver, at der ikke findes nogen DMARC TXT-post for domænet. Hvis domænet havde en DMARC TXT-post, ville DMARC-kontrollen for meddelelsen være bestået.
  • none: Angiver, at der ikke findes nogen DMARC TXT-post for det afsendende domæne i DNS.
header.d Domæne identificeret i DKIM-signaturen, hvis der er nogen. Dette er det domæne, der forespørges efter den offentlige nøgle.
header.from Domænet for adressen 5322.From i mailheaderen (også kendt som Fra-adressen eller P2-afsenderen). Modtageren får vist Fra-adressen i mailklienter.
reason Årsagen til, at den sammensatte godkendelse blev bestået eller mislykkedes. Værdien er en trecifret kode. Det kan f.eks. være:
  • 000: Meddelelsen kunne ikke godkende eksplicit (compauth=fail). Meddelelsen modtog f.eks. en DMARC-fejl, og DMARC-politikhandlingen er p=quarantine eller p=reject.
  • 001: Meddelelsen mislykkedes implicit godkendelse (compauth=fail). Dette resultat betyder, at det afsendende domæne ikke har publiceret mailgodkendelsesposter, eller hvis de gjorde det, havde de en svagere fejlpolitik (SPF ~all eller ?alleller en DMARC-politik for p=none).
  • 002: Organisationen har en politik for afsenderen/domæneparret, der udtrykkeligt er forbudt at sende forfalsket mail. En administrator konfigurerer denne indstilling manuelt.
  • 010: Meddelelsen mislykkedes DMARC, DMARC-politikhandlingen er p=reject eller p=quarantine, og det afsendende domæne er et af organisationens accepterede domæner (selv til sig selv eller intern organisationspoofing).
  • 1xx eller 7xx: Den sendte godkendelse (compauth=pass). De sidste to cifre er interne koder, der bruges af Microsoft 365.
  • 2xx: Meddelelsens bløde overførte implicitte godkendelse (compauth=softpass). De sidste to cifre er interne koder, der bruges af Microsoft 365.
  • 3xx: Meddelelsen blev ikke kontrolleret for sammensat godkendelse (compauth=none).
  • 4xx eller 9xx: Meddelelsen ignorerede den sammensatte godkendelse (compauth=none). De sidste to cifre er interne koder, der bruges af Microsoft 365.
  • 6xx: Meddelelsen mislykkedes implicit mailgodkendelse, og det afsendende domæne er et af organisationens accepterede domæner (selv til sig selv eller intra-org-spoofing).
smtp.mailfrom Domænet for 5321.MailFrom adressen (også kendt som MAIL FROM-adressen, P1-afsender eller konvolut afsender). Denne mailadresse bruges til rapporter om manglende levering (også kendt som NDR'er eller meddelelser om manglende levering).
spf Beskriver resultaterne af SPF-kontrollen af meddelelsen. Mulige værdier omfatter:
  • pass (IP address): SPF-kontrollen for den sendte meddelelse indeholder afsenderens IP-adresse. Klienten er godkendt til at sende eller videresende mail på vegne af afsenderens domæne.
  • fail (IP address): SPF-kontrollen af meddelelsen mislykkedes og indeholder afsenderens IP-adresse. Dette resultat kaldes nogle gange hard fail.
  • softfail (reason): Den SPF-post, der har angivet værten som ikke har tilladelse til at sende, men er i overgang.
  • neutral: SPF-posten angiver eksplicit, at den ikke hævder, om IP-adressen er godkendt til at sende.
  • none: Domænet har ikke en SPF-post, eller SPF-posten evalueres ikke til et resultat.
  • temperror: Der opstod en midlertidig fejl. Det kan f.eks. være en DNS-fejl. Den samme kontrol kan blive fuldført senere.
  • permerror: Der opstod en permanent fejl. Domænet har f.eks. en forkert formateret SPF-post.