Antispam-Nachrichtenkopfzeilen in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In allen Microsoft 365-Organisationen überprüft Exchange Online Protection (EOP) alle eingehenden Nachrichten auf Spam, Malware und andere Bedrohungen. Die Ergebnisse dieser Scans werden den folgenden Kopfzeilenfeldern in Nachrichten hinzugefügt:

  • X-Forefront-Antispam-Report: enthält Informationen zur Nachricht und ihrer Verarbeitung.

  • X-Microsoft-Antispam: liefert zusätzliche Informationen über Massensendungen und Phishing.

  • Authentifizierungsergebnisse: enthält Informationen zu den Ergebnissen von SPF, DKIM und DMARC (E-Mail-Authentifizierung).

In diesem Artikel wird beschrieben, was in diesen Kopfzeilenfeldern verfügbar ist.

Informationen dazu, wie Sie einen E-Mail-Nachrichtenkopf in verschiedenen E-Mail-Clients anzeigen, finden Sie unter Anzeigen von Internet Nachrichtenkopfzeilen in Outlook.

Tipp

Sie können den Inhalt einer Nachrichtenkopfzeile kopieren und in das Tool Nachrichtenkopfanalyse einfügen. Mit diesem Tool können Sie Kopfzeilen analysieren und in ein besser lesbares Format umwandeln.

Felder der Nachrichtenkopfzeile X-Forefront-Antispam-Report

Wenn Sie die Nachrichtenheader-Informationen haben, suchen Sie nach dem X-Forefront-Antispam-Report-Header. In dieser Kopfzeile sind mehrere Felder und Wertepaare vorhanden, die durch Semikolons (;) getrennt sind. Zum Beispiel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

Die einzelnen Felder und Werte werden in der folgenden Tabelle beschrieben.

Hinweis

Die X-Forefront-Antispam-Report-Kopfzeile enthält viele verschiedene Kopfzeilenfelder und Werte. Felder, die nicht in der Tabelle beschrieben werden, werden ausschließlich vom Microsoft-Antispamteam zu Diagnosezwecken verwendet.

Feld Beschreibung
ARC Das ARC-Protokoll weist die folgenden Felder auf:
  • AAR: Zeichnet den Inhalt der Authentifizierungsergebnis-Kopfzeile aus DMARC auf.
  • AMS: Enthält kryptographische Signaturen der Nachrichten.
  • AS: Enthält kryptographische Signaturen der Nachrichtenkopfzeilen. Dieses Feld enthält ein Tag einer Kettenüberprüfung mit der Bezeichnung "cv=", das das Ergebnis der Kettenüberprüfung in Form von kein, bestanden oder fehlgeschlagen enthält.
CAT: Die Kategorie der Schutzrichtlinie, die auf die Nachricht angewendet wurde:
  • BULK: Massensendung
  • DIMP:Domänenidentitätswechsel
  • GIMP: Mailbox Intelligence-basierter Identitätswechsel
  • HPHSH oder HPHISH: Hohe Phishingwahrscheinlichkeit
  • HSPM: Hohe Spamwahrscheinlichkeit
  • MALW: Schadsoftware
  • PHSH: Phishing
  • SPM: Spam
  • SPOOF: Spoofing
  • UIMP: Benutzeridentitätswechsel
  • AMP: Antischadsoftware
  • SAP: Sichere Anlagen
  • FTBP: Anti-Malware-Dateityprichtlinie
  • OSPM: Ausgehende Spamnachricht

Eine eingehende Nachricht kann durch mehrere Schutzformen und mehrere Erkennungsscans gekennzeichnet werden. Richtlinien haben unterschiedliche Prioritäten, und die Richtlinie mit der höchsten Priorität wird zuerst angewendet. Weitere Informationen finden Sie unter Welche Richtlinie gilt, wenn mehrere Schutzmethoden und Erkennungsscans für Ihre E-Mails ausgeführt werden?

CIP:[IP address] Die IP-Verbindungsadresse. Sie können diese IP-Adresse in der Liste der zugelassenen IP-Adressen oder in der IP-Sperrliste verwenden. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter.
CTRY Das anhand der Verbindungs-IP-Adresse ermittelte Quellland. Die IP-Adresse muss nicht notwendigerweise mit der ursprünglichen Sende-IP-Adresse übereinstimmen.
H:[helostring] Die HELO- oder EHLO-Zeichenfolge des verbindenden E-Mail-Servers.
IPV:CAL Die Nachricht wurde von der Spamfilterung übersprungen, da sich die IP-Quelladresse in der Liste der zugelassenen IP-Adressen befand. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter.
IPV:NLI Die IP-Adresse wurde in keiner IP-Zuverlässigkeitsliste gefunden.
LANG Die Sprache, in der die Nachricht verfasst wurde, wie im Ländercode angegeben (z. B. ru_RU für Russisch).
PTR:[ReverseDNS] Der PTR-Eintrag (auch bekannt als Reverse-DNS-Lookup) der Quell-IP-Adresse.
SCL Die SCL-Bewertung (Spam Confidence Level) der Nachricht. Ein höherer Wert gibt an, dass die Nachricht mit größerer Wahrscheinlichkeit Spam ist. Weitere Informationen finden Sie unter SCL-Bewertungen (Spam Confidence Level).
SFTY Die Nachricht wurde als Phishing-E-Mail erkannt und wird außerdem mit einem der folgenden Werte gekennzeichnet:
  • 9.19:Domänenidentitätswechsel. Die sendende Domäne versucht, die Identität einer geschützten Domäne anzunehmen. Der Sicherheitstipp für Domänenidentitätswechsel wird der Nachricht (sofern aktiviert) hinzugefügt.
  • 9.20: Benutzeridentitätswechsel. Der sendende Benutzer versucht, sich als Benutzer in der Organisation des Empfängers oder als ein geschützter Benutzer auszugeben, der in einer Anti-Phishing-Richtlinie in Microsoft Defender für Office 365 angegeben ist. Der Sicherheitstipp für Benutzeridentitätswechsel wird der Nachricht (sofern aktiviert) hinzugefügt.
  • 9.25: Sicherheitstipp für den ersten Kontakt. Dieser Wert könnte ein Hinweis auf eine verdächtige oder Phishing-Nachricht sein. Weitere Informationen finden Sie unter Sicherheitstipps für den ersten Kontakt.
SFV:BLK Die Filterung wurde übersprungen, und die Nachricht wurde blockiert, da sie von einem Absender stammt, der sich in der Liste mit blockierten Absendern des Benutzers befindet.

Weitere Informationen dazu, wie Administratoren die Liste blockierter Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer.

SFV:NSPM Die Nachricht wurde von der Spamfilterung als "Kein Spam" markiert und an die beabsichtigten Empfänger gesendet.
SFV:SFE Die Filterung wurde übersprungen und die Nachricht wurde zugelassen, da sie von einer Adresse stammt, die sich in der Liste der sicheren Absender des Benutzers befindet.

Weitere Informationen dazu, wie Administratoren die Liste sicherer Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer.

SFV:SKA Die Nachricht wurde von der Spamfilterung übersprungen und an den Posteingang übermittelt, da sich der Absender in der Liste der zulässigen Absender oder in der Liste der zulässigen Domänen in einer Antispamrichtlinie befand. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
SFV:SKB Die Nachricht wurde als Spam gekennzeichnet, da sie einem Sender in der Liste der blockierten Absender oder in der Liste der blockierten Domänen in einer Antispamrichtlinie entsprach. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
SFV:SKI Ähnlich wie SFV:SKN wurde die Nachricht von der Spamfilterung aus einem anderen Grund übersprungen (z. B. eine unternehmensinterne E-Mail innerhalb eines Mandanten).
SFV:SKN Die Nachricht wurde vor der Verarbeitung durch die Spamfilterung als "Nicht-Spam" markiert. Die Nachricht wurde beispielsweise durch eine Nachrichtenflussregel als SCL-1 oder Spamfilter umgehen markiert.
SFV:SKQ Die Nachricht wurde aus der Quarantäne freigegeben und an die vorgesehenen Empfänger gesendet.
SFV:SKS Die Nachricht wurde vor der Verarbeitung durch die Spamfilterung als Spam markiert. Die Nachricht wurde beispielsweise durch eine Nachrichtenflussregel als SCL-5 bis 9 markiert.
SFV:SPM Die Nachricht wurde vom Spamfilter als Spam markiert.
SRV:BULK Die Nachricht wurde von der Spamfilterung und durch den BCL-Schwellenwert (Bulk Complaint Level) als Massen-E-Mail erkannt. Wenn der MarkAsSpamBulkMail -Parameter On (standardmäßig aktiviert) ist, wird eine Massen-E-Mail-Nachricht als Spam (SCL 6) markiert. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.
X-CustomSpam: [ASFOption] Die Nachricht stimmte mit einer erweiterten Einstellung für Spamfilter (AFL) überein. Informationen zum Anzeigen des X-Header-Werts für jede ASF-Einstellung finden Sie unter Erweiterte Einstellungen für Spamfilter (ASF).

Felder der Nachrichtenkopfzeile X-Microsoft-Antispam

In der folgenden Tabelle werden die hilfreiche Felder der Nachrichtenkopfzeile X-Microsoft-Antispam beschrieben: Andere Felder in dieser Kopfzeile werden ausschließlich vom Microsoft-Antispamteam zu Diagnosezwecken verwendet.

Feld Beschreibung
BCL Das Massenbeschwerdeniveau (Bulk Complaint Level, BCL) der Nachricht. Ein höheres BCL-Niveau zeigt an, dass eine als Massensendung gesendete E-Mail mit größerer Wahrscheinlichkeit zu Beschwerden führen wird (und daher eher als Spam einzustufen ist). Weitere Informationen finden Sie unter BCL-Werte (Bulk Complaint Level).

Nachrichtenkopfzeile „Authentication-results“

Die Ergebnisse der E-Mail-Authentifizierungsüberprüfung für SPF, DKIM und DMARC werden in eingehende Nachrichten in der Nachrichtenkopfzeile Authentifizierungsergebnisse aufgezeichnet.

Die folgende Liste beschreibt den Text, der der Kopfzeile Authentifizierungsergebnisse für jede Art der E-Mail-Authentifizierungsprüfung hinzugefügt wird:

  • SPF verwendet die folgende Syntax:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Zum Beispiel:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM verwendet die folgende Syntax:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Zum Beispiel:

    dkim=pass (signature was verified) header.d=contoso.com
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC verwendet die folgende Syntax:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Zum Beispiel:

    dmarc=pass action=none header.from=contoso.com
    dmarc=bestguesspass action=none header.from=contoso.com
    dmarc=fail action=none header.from=contoso.com
    dmarc=fail action=oreject header.from=contoso.com
    

Nachrichtenkopfzeilenfelder “Authentifizierungsergebnisse”

In der folgenden Tabelle werden die Felder und die möglichen Werte für jede E-Mail-Authentifizierungsprüfung beschrieben.

Feld Beschreibung
action Gibt die Aktion an, die vom Spamfilter basierend auf den Ergebnissen der DMARC-Prüfung ausgeführt wird. Beispiel:
  • oreject oder o.reject: Dies bedeutet „override reject“. Microsoft 365 wendet diese Aktion an, wenn es Nachrichten empfängt, die die DMARC-Prüfung nicht bestehen und die von Domänen stammen, für deren DMARC-TXT-Eintrag die Richtlinie „p=reject“ festgelegt ist. Anstatt die Nachricht abzulehnen oder zu löschen, kennzeichnet Microsoft 365 die Nachricht als Spam. Weitere Informationen darüber, warum Microsoft 365 auf diese Weise konfiguriert ist, finden Sie unter So behandelt Microsoft 365 eingehende E-Mail-Nachrichten, die DMARC-Prüfungen nicht bestehen.
  • pct.quarantine gibt an, dass ein Prozentsatz von weniger als 100 % der Nachrichten, die die DMARC-Prüfung nicht bestehen, trotzdem übermittelt wird. Dies bedeutet, dass die Nachricht die DMARC-Prüfung nicht bestanden hat und die Richtlinie auf "Quarantäne" festgelegt wurde. Dass PCT-Feld wurde jedoch nicht auf 100 % festgelegt, und das System hat gemäß der Richtlinie der angegebenen Domäne zufällig bestimmt, dass die DMARC-Aktion nicht angewendet werden soll.
  • pct.reject gibt an, dass ein Prozentsatz von weniger als 100 % der Nachrichten, die die DMARC-Prüfung nicht bestehen, trotzdem übermittelt wird. Dies bedeutet, dass die Nachricht die DMARC-Prüfung nicht bestanden hat und die Richtlinie auf "Ablehnen" festgelegt wurde. Dass PCT-Feld wurde jedoch nicht auf 100% festgelegt, und das System hat gemäß der Richtlinie der angegebenen Domäne zufällig bestimmt, dass die DMARC-Aktion nicht angewendet werden soll.
  • permerror Bei der DMARC-Prüfung ist ein dauerhafter Fehler aufgetreten, wie z. B. ein falsch formatierter DMARC-TXT-Eintrag in DNS. Der Versuch, die Nachricht erneut zu senden, wird höchstwahrscheinlich kein anderes Ergebnis liefern. Stattdessen müssen Sie sich möglicherweise an den Domänenbesitzer wenden, um das Problem zu beheben.
  • temperror Bei der DMARC-Prüfung ist ein temporärer Fehler aufgetreten. Sie können den Absender der Nachricht möglicherweise bitten, die Nachricht später noch einmal erneut zu senden, damit sie dann ordnungsgemäß verarbeitet werden kann.
compauth Zusammengesetztes Authentifizierungsergebnis. Wird von Microsoft 365 verwendet, um mehrere Authentifizierungstypen wie SPF, DKIM, DMARC oder einen anderen Teil der Nachricht zu kombinieren, um zu bestimmen, ob die Nachricht authentifiziert ist oder nicht. Verwendet die From:-Domäne als Grundlage für die Auswertung.
dkim Beschreibt die Ergebnisse der DKIM-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass: Gibt an, dass die Nachricht die DKIM-Prüfung bestanden hat.
  • fail (Ursache) gibt an, dass die Nachricht die DKIM-Prüfung nicht bestanden hat und warum. Wenn die Nachricht beispielsweise nicht signiert war oder die Signatur nicht überprüft werden konnte.
  • none gibt an, dass die Nachricht nicht signiert wurde. Dies kann darauf hindeuten, dass die Domäne über einen DKIM-Eintrag verfügt oder dass der DKIM-Eintrag nicht als Ergebnis ausgewertet wird, sondern nur, dass diese Nachricht nicht signiert wurde.
dmarc Beschreibt die Ergebnisse der DMARC-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass: Gibt an, dass die Nachricht die DMARC-Prüfung bestanden hat.
  • fail: Gibt an, dass die Nachricht die DMARC-Prüfung nicht bestanden hat.
  • bestguesspass: Gibt an, dass kein DMARC-TXT-Eintrag für die Domäne vorhanden ist. Wenn jedoch ein Eintrag vorhanden gewesen wäre, hätte die Nachricht die DMARC-Prüfung bestanden.
  • none gibt an, dass kein DMARC TXT-Eintrag für die sendende Domäne in DNS vorhanden ist.
header.d Die in der DKIM-Signatur identifizierte Domäne, sofern vorhanden. Dies ist die Domäne, die für den öffentlichen Schlüssel abgefragt wird.
header.from Die Domäne der 5322.From-Adresse im Kopf der E-Mail-Nachricht (auch als Absenderadresse oder P2-Absender bezeichnet). Der Empfänger sieht die Absenderadresse in E-Mail-Clients.
reason Der Grund, warum die zusammengesetzte Authentifizierung erfolgreich war oder fehlgeschlagen ist. Bei dem Wert handelt es sich um einen dreistelligen Code. Zum Beispiel:
  • 000: Die explizite Authentifizierung der Nachricht ist fehlgeschlagen (compauth=fail). Die Nachricht hat beispielsweise eine DMARC-Prüfung nicht bestanden (mit der Aktion "Quarantäne" oder "Ablehnen").
  • 001 Die implizite Authentifizierung der Nachricht ist fehlgeschlagen (compauth=fail). Das bedeutet, dass die sendende Domäne keinen E-Mail-Authentifizierungsdatensätze veröffentlicht hat, oder wenn sie sie veröffentlicht hat, sie eine schwächere Fehlerrichtlinie hatten (SPF Soft Fail oder neutral, DMARC-Richtlinie von p=none).
  • 002: Die Organisation verfügt über eine Richtlinie für das Absender/Domänepaar, für die das Senden von gefälschten E-Mails explizit untersagt ist. Diese Einstellung wird manuell vom Administrator festgelegt.
  • 010 gibt an, dass DMARC für die Nachricht mit einer Aktion der Ablehnung oder Quarantäne fehlgeschlagen ist und die sendende Domäne eine der in der Organisation zulässigen Domänen ist (Dies ist Teil von Self-to-Self Spoofing oder organisationsinternem Spoofing).
  • 1xx oder 7xx: Die Authentifizierung der Nachricht war erfolgreich (compauth=pass). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes.
  • 2xx: Die Nachricht wurde mit dem Ergebnis „soft-pass“ implizit authentifiziert (compauth=softpass). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes.
  • 3xx: Die Nachricht wurde nicht auf die zusammengesetzte Authentifizierung überprüft. (compauth=none)
  • 4xx oder 9xx: Die zusammengesetzte Authentifizierung wurde für die Nachricht umgangen (compauth=none). Die letzten beiden Ziffern sind von Microsoft 365 verwendete, interne Codes.
  • 6xx: Die implizite E-Mail-Authentifizierung für die Nachricht ist fehlgeschlagen und die sendende Domäne ist eine der in der Organisation zulässigen Domänen (Dies ist Teil von Self-to-Self-Spoofing oder organisationsinternem Spoofing).
smtp.mailfrom Die Domäne der 5321.MailFrom-Adresse (auch als MAIL FROM-Adresse, P1-Absender oder Umschlagabsender bezeichnet). Dies ist die E-Mail-Adresse, die für Unzustellbarkeitsberichte (auch als NDRs oder Unzustellbarkeitsnachricht bezeichnet) verwendet wird.
spf Beschreibt die Ergebnisse der SPF-Prüfung für die Nachricht. Mögliche Werte sind:
  • pass (IP address): Die SPF-Überprüfung für die Nachricht wurde bestanden, und enthält die IP-Adresse des Absenders. Der Client kann E-Mails im Auftrag der Absenderdomäne senden oder weiterleiten.
  • fail (IP address): Die SPF-Überprüfung für die Nachricht ist fehlgeschlagen, und enthält die IP-Adresse des Absenders. Dies wird häufig als Schwerer Fehler bezeichnet.
  • softfail (reason): Der SPF-Eintrag hat bestimmt, dass der Host nicht die Erlaubnis zum Senden hat, sich jedoch im Übergang befindet.
  • neutral: Der SPF-Eintrag gibt explizit an, dass nicht bestätigt wird, dass die IP-Adresse zum Versenden autorisiert ist.
  • none: Die Domäne verfügt nicht über einen SPF-Eintrag oder der SPF-Eintrag führt zu keinem Ergebnis.
  • temperror: Es ist ein vorübergehender Fehler aufgetreten. Dabei kann es sich beispielsweise um einen DNS-Fehler handeln. Dieselbe Überprüfung ist zu einem späteren Zeitpunkt möglicherweise erfolgreich.
  • permerror: Ein dauerhafter Fehler ist aufgetreten. Die Domäne weist beispielsweise einen falsch formatierten SPF-Eintrag auf.