En-têtes de message anti-courrier indésirable dans Microsoft 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans toutes les organisations Microsoft 365, Exchange Online Protection (EOP) analyse tous les messages entrants à la recherche de courrier indésirable, de programmes malveillants et d’autres menaces. Les résultats de ces analyses sont ajoutés aux champs d’en-tête suivants dans les messages :

  • X-Forefront-Antispam-Report : contient des informations sur le message et sur la manière dont il a été traité.
  • X-Microsoft-Antispam : contient des informations supplémentaires sur le courrier en nombre et le hameçonnage.
  • Authentication-Results : contient des informations sur les résultats SPF, DKIM et DMARC (authentification de messagerie électronique).

Cet article décrit les fonctionnalités disponibles dans ces champs d’en-tête.

Pour plus d’informations sur le mode d’affichage de l’en-tête d’un e-mail dans divers clients de messagerie, consultez Afficher les en-têtes de messages Internet dans Outlook.

Conseil

Vous pouvez copier et coller le contenu de l'en-tête d’un message dans l'analyseur d'en-têtes de message. Cet outil aide à analyser les en-têtes et à les afficher dans un format plus lisible.

Champs d’en-tête de message X-Forefront-Antispam-Report

Une fois que vous avez les informations d’en-tête du message, recherchez l’en-tête de X-Forefront-Antispam-Report. Cet en-tête comporte plusieurs paires champ/valeur séparées par des points-virgules (;). Par exemple :

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Les champs et valeurs individuels sont décrits dans le tableau suivant.

Remarque

L’en-tête X-Forefront-Antispam-Report contient de nombreux champs et valeurs d’en-tête différents. Les champs qui ne sont pas décrits dans le tableau sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.

Champ Description
ARC Le protocole ARC contient les champs suivants :
  • AAR : enregistre le contenu de l'en-tête Authentication-Results à partir de DMARC.
  • AMS : inclut les signature de chiffrement du message.
  • AS : inclut les signature de chiffrement des en-têtes du message. Cet en-tête contient une balise de chaîne de validation appelée "cv=" incluant le résultat de la chaîne de validation en tant que aucun, succès ou échec.
CAT: Catégorie de stratégie de protection appliquée au message :
  • AMP : anti-programme malveillant
  • BULK : courrier en nombre
  • DIMP: emprunt d’identité de domaine*
  • FTBP: Filtre des pièces jointes courantes anti-programme malveillant
  • GIMP: emprunt d’identité d’intelligence de boîte aux lettres*
  • HPHSH ou HPHISH: hameçonnage à haut niveau de confiance
  • HSPM : courrier indésirable à probabilité élevée
  • INTOS: hameçonnage Intra-Organization
  • MALW : programme malveillant
  • OSPM :courrier indésirable sortant
  • PHSH : hameçonnage
  • SAP: Pièces jointes sécurisées*
  • SPM : courrier indésirable
  • SPOOF : erreur de dépassement de données
  • UIMP: emprunt d’identité d’utilisateur*

*Defender for Office 365 uniquement.

Un message entrant peut être marqué par plusieurs formes de protection et plusieurs analyses de détection. Les stratégies sont appliquées dans un ordre de priorité, et la stratégie avec la priorité la plus élevée est appliquée en premier. Pour plus d’informations, voir Quelle stratégie s’applique lorsque plusieurs méthodes de protection et analyses de détection s'exécutent dans votre courrier électronique.
CIP:[IP address] Adresse IP de connexion. Vous pouvez utiliser cette adresse IP dans la liste d'adresses IP autorisées ou dans la liste d’adresses IP bloquées. Pour plus d’informations, consultez Configuration du filtrage des connexions.
CTRY Pays/région source déterminé par l’adresse IP de connexion, qui peut ne pas être identique à l’adresse IP d’envoi d’origine.
DIR Directionnalité du message :
  • INB: message entrant.
  • OUT: message sortant.
  • INT: message interne.
H:[helostring] Chaîne HELO ou EHLO du serveur de courrier de connexion.
IPV:CAL Le message a ignoré le filtrage du courrier indésirable, car l’adresse IP source figure dans la liste d’adresses IP autorisées. Pour plus d’informations, consultez Configuration du filtrage des connexions.
IPV:NLI L’adresse IP n’a été trouvée dans aucune liste de réputation IP.
LANG Langue dans laquelle le message a été écrit tel que spécifié par le code du pays (par exemple, ru_RU pour le russe).
PTR:[ReverseDNS] L’enregistrement PTR (également connu sous le nom de recherche DNS inverse) de l’adresse IP source.
SCL Seuil de niveau (SCL) du message. Plus cette valeur est élevée, plus il est probable que le message est un courrier indésirable. Pour plus d’informations, consultez Seuil de probabilité de courrier indésirable (SCL).
SFTY Le message a été identifié comme hameçonnage et est également marqué avec l’une des valeurs suivantes :
  • 9.19 : Emprunt d’identité de domaine. Le domaine d’envoi tente d’emprunter l’identité d’un domaine protégé. L’astuce de sécurité pour l’emprunt d’identité de domaine est ajoutée au message (si l’option est activée).
  • 9.20 : Emprunt d’identité d’un utilisateur. L'utilisateur expéditeur tente d'usurper l'identité d'un utilisateur de l'organisation du destinataire ou d'un utilisateur protégé spécifié dans une stratégie anti-hameçonnage de Microsoft Defender pour office 365. Le conseil de sécurité concernant l'usurpation d'identité est ajouté au message (s'il est activé).
  • 9.25 : premier conseil de sécurité de contact. Cette valeur peut être une indication d’un message suspect ou d’hameçonnage. Pour plus d’informations, consultez Premier conseil de sécurité de contact.
SFV:BLK Le filtrage a été ignoré et le message a été bloqué, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs bloqués d’un utilisateur.

Pour plus d’informations sur la manière dont les administrateurs peuvent gérer la liste Expéditeurs bloqués d’un utilisateur, consultez Configurer les paramètres de courrier indésirable dans les boîtes aux lettres Exchange Online.
SFV:NSPM Le filtrage du courrier indésirable a marqué le message comme non-courrier indésirable et le message a été envoyé aux destinataires prévus.
SFV:SFE Le filtrage a été ignoré et le message a été autorisé, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs approuvés d’un utilisateur.

Pour plus d’informations sur la manière dont les administrateurs peuvent gérer la liste Expéditeurs approuvés d’un utilisateur, consultez Configurer les paramètres de courrier indésirable dans les boîtes aux lettres Exchange Online.
SFV:SKA Le message n’a pas subit de filtrage du courrier indésirable et a été dirigé vers la boîte de réception, car l’expéditeur fait partie de la liste des expéditeurs autorisés ou de celle des domaines autorisés dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
SFV:SKB Le message a été marqué comme courrier indésirable, car il correspondait à un expéditeur de la liste des expéditeurs bloqués ou de celle des domaines bloqués dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
SFV:SKN Le message a été marqué comme non-courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de -1 ou contournement le filtrage du courrier indésirable par une règle de flux de courrier.
SFV:SKQ Le message a été libéré de la quarantaine et envoyé aux destinataires appropriés.
SFV:SKS Le message a été marqué comme courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de 5 à 9 par une règle de flux de courrier.
SFV:SPM Le message a été marqué comme courrier indésirable par le filtrage du courrier indésirable.
SRV:BULK Le message a été identifié comme courrier en bloc par le filtrage du courrier indésirable et le seuil de niveau de réclamation en bloc (BCL). Lorsque le paramètre MarkAsSpamBulkMail est On (il est activé par défaut), un message électronique en bloc est marqué comme courrier indésirable (SCL 6). Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
X-CustomSpam: [ASFOption] Le message correspondait à une option avancée de filtrage de courrier indésirable (ASF). Pour afficher la valeur de l’en-tête X pour chaque paramètre ASF, consultez Paramètres de filtre de courrier indésirable avancé.

Remarque : ASF ajoute X-CustomSpam: des champs d’en-tête X aux messages une fois que les messages ont été traités par les règles de flux de messagerie Exchange (également appelées règles de transport). Vous ne pouvez donc pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages qui ont été filtrés par ASF.

Champs d’en-tête de message X-Microsoft-Antispam

Le tableau suivant décrit certains champs utiles de l’en-tête X-Microsoft-Antispam des messages. Les autres champs de cet en-tête sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.

Field Description
BCL Niveau de réclamation en bloc (BCL) du message. Un niveau BCL supérieur indique qu’un courrier en nombre est susceptible de générer des plaintes (et par conséquent plus susceptible d’être du courrier indésirable). Pour plus d’informations, consultez Niveau de plainte en bloc (BCL) dans EOP.

En-tête de message Authentication-results

Les résultats des vérifications d’authentification de la messagerie électronique pour SPF, DKIM et DMARC sont enregistrés (marqués) dans l’en-tête de message Authentication-Results dans les messages entrants. L’en-tête Authentication-results est défini dans RFC 7001.

La liste suivante décrit le texte ajouté à l’en-tête Authentication-Results pour chaque type de vérification de l’authentification par courrier électronique :

  • SPF utilise la syntaxe suivante :

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Par exemple :

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM utilise la syntaxe suivante :

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Par exemple :

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC utilise la syntaxe suivante :

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Par exemple :

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Champs d’en-tête de message Authentication-Results

Le tableau ci-dessous décrit les champs et les valeurs possibles pour chaque vérification d’authentification de messagerie électronique.

Champ Description
action Indique l’action effectuée par le filtre de courrier indésirable en fonction des résultats de la vérification DMARC. Par exemple :
  • pct.quarantine: indique qu’un pourcentage inférieur à 100 % des messages qui ne réussissent pas DMARC sont remis de toute façon. Ce résultat signifie que le message a échoué DMARC et que la stratégie DMARC a été définie sur p=quarantine. Toutefois, le champ pct n’a pas été défini sur 100 %, et le système a déterminé de façon aléatoire de ne pas appliquer l’action DMARC conformément à la stratégie DMARC du domaine spécifié.
  • pct.reject: indique qu’un pourcentage inférieur à 100 % des messages qui ne réussissent pas DMARC sont remis de toute façon. Ce résultat signifie que le message a échoué DMARC et que la stratégie DMARC a été définie sur p=reject. Toutefois, le champ pct n’a pas été défini sur 100 % et le système a déterminé de manière aléatoire de ne pas appliquer l’action DMARC conformément à la stratégie DMARC du domaine spécifié.
  • permerror: une erreur permanente s’est produite lors de l’évaluation DMARC, telle que la rencontre d’un enregistrement TXT DMARC incorrectement formé dans DNS. Toute tentative de renvoyer le message produira sans doute le même résultat. Au lieu de cela, vous devrez peut-être contacter le propriétaire du domaine pour résoudre le problème.
  • temperror: une erreur temporaire s’est produite lors de l’évaluation DMARC. Vous pourrez peut-être demander à l’expéditeur de renvoyer le message ultérieurement afin de traiter l’e-mail correctement.
compauth Résultat de l’authentification composite. Utilisé par Microsoft 365 pour combiner plusieurs types d’authentification (SPF, DKIM et DMARC) ou toute autre partie du message pour déterminer si le message est authentifié ou non. Utilise le domaine From: comme base d’évaluation. Remarque : En dépit d’un compauth échec, le message peut toujours être autorisé si d’autres évaluations n’indiquent pas une nature suspecte.
dkim Décrit les résultats de la vérification DKIM du message. Les valeurs admises sont les suivantes :
  • pass : indique que le message a satisfait à la vérification DKIM.
  • fail (raison) : indique que le message ne satisfait pas à la vérification DKIM et pourquoi. Par exemple, si le message n’a pas été signé ou si la signature n’a pas été vérifiée.
  • none : indique que le message n’a pas été signé. Ce résultat peut ou non indiquer que le domaine a un enregistrement DKIM ou que l’enregistrement DKIM n’est pas évalué à un résultat.
dmarc Décrit les résultats de la vérification DMARC pour le message. Les valeurs admises sont les suivantes :
  • pass : indique que le message a satisfait à la vérification de DMARC.
  • fail : indique que le message a échoué à la vérification DMARC.
  • bestguesspass : indique qu’il n’existe aucun enregistrement TXT DMARC pour le domaine. Si le domaine avait un enregistrement TXT DMARC, la case activée DMARC pour le message serait passée.
  • none : indique qu’il n’existe aucun enregistrement TXT DMARC pour le domaine expéditeur dans le système DNS.
header.d Domaine défini dans la signature DKIM, s’il y en a un. Il s'agit du domaine auquel la clé publique est demandée.
header.from Domaine de l’adresse 5322.From dans l’en-tête de l’e-mail (également appelée adresse de l’expéditeur ou P2). Le destinataire voit l’adresse de l’expéditeur dans les clients de courrier.
reason Raison pour laquelle l’authentification composite a réussi ou échoué. La valeur est un code à trois chiffres. Par exemple :
  • 000 : le message n’a pas été authentifié de façon explicite (compauth=fail). Par exemple, le message a reçu un échec DMARC et l’action de stratégie DMARC est p=quarantine ou p=reject.
  • 001 : le message n’a pas été authentifié de façon implicite (compauth=fail). Ce résultat signifie que le domaine d’envoi n’avait pas d’enregistrements d’authentification par e-mail publiés ou, le cas échéant, qu’il avait une stratégie d’échec plus faible (SPF ~all ou ?all, ou une stratégie DMARC de p=none).
  • 002 : l’organisation a une stratégie pour la paire expéditeur/domaine qui interdit explicitement l’envoi d’e-mails usurpés. Un administrateur configure manuellement ce paramètre.
  • 010 : Le message a échoué DMARC, l’action de stratégie DMARC est p=reject ou p=quarantine, et le domaine d’envoi est l’un des domaines acceptés de votre organization (usurpation d’identité ou intra-organisation).
  • 1xx ou 7xx : il s’agit de l’authentification réussie du message (compauth=pass). Les deux derniers chiffres sont des codes internes utilisés par Microsoft 365.
  • 2xx : il s’agit de l’authentification implicite avec transfert logiciel (compauth=softpass). Les deux derniers chiffres sont des codes internes utilisés par Microsoft 365.
  • 3xx : le message n’a pas été vérifié pour l’authentification composite (compauth=none).
  • 4xx ou 9xx : le message a contourné l’authentification composite(compauth=none). Les deux derniers chiffres sont des codes internes utilisés par Microsoft 365.
  • 6xx : Le message a échoué à l’authentification implicite de l’e-mail, et le domaine d’envoi est l’un des domaines acceptés de votre organization (usurpation d’identité ou d’identité intra-organisation).
smtp.mailfrom Domaine de l’adresse 5321.MailFrom (également appelée adresse MAIL FROM, expéditeur P1 ou expéditeur d’enveloppe). Cette adresse e-mail est utilisée pour les rapports de non-remise (également appelés NDR ou messages de rebond).
spf Décrit les résultats de la vérification SPF pour le message. Les valeurs admises sont les suivantes :
  • pass (IP address) : indique que le message a réussi la vérification SPF et fournit l’adresse IP de l’expéditeur. Le client est autorisé à envoyer ou à relayer le courrier électronique avec le domaine de l’expéditeur.
  • fail (IP address) : indique que le message a échoué à la vérification SPF et fournit l’adresse IP de l’expéditeur. Ce résultat est parfois appelé échec dur.
  • softfail (reason) : l’enregistrement SPF a désigné l’hôte comme n’étant pas autorisé à envoyer, mais est en transition.
  • neutral: l’enregistrement SPF indique explicitement qu’il n’indique pas si l’adresse IP est autorisée à envoyer.
  • none : le domaine ne possède pas d’enregistrement SPF ou l’enregistrement SPF ne correspond à aucun résultat.
  • temperror : une erreur temporaire s’est produite. Par exemple, une erreur DNS. Cette même vérification peut être effectuée ultérieurement.
  • permerror : une erreur permanente est survenue. Par exemple, un enregistrement SPF mal mis en forme dans le domaine.