כותרות הודעות למניעת הודעות זבל ב- Microsoft 365

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

בכל ארגוני Microsoft 365, Exchange Online Protection (EOP) סורק את כל ההודעות הנכנסות לאיתור הודעות זבל, תוכנות זדוניות ואיומים אחרים. התוצאות של סריקות אלה מתווספות לשדות הכותרת העליונה הבאים בהודעות:

  • X-Forefront-Antispam-Report: מכיל מידע אודות ההודעה ואופן עיבודה.
  • X-Microsoft-Antispam: מכיל מידע נוסף אודות דואר בצובר ודיוג.
  • תוצאות אימות: מכיל מידע אודות SPF, DKIM ו- DMARC (אימות דואר אלקטרוני) תוצאות.

מאמר זה מתאר מה זמין בשדות כותרת אלה.

לקבלת מידע אודות אופן התצוגה של כותרת הודעת דואר אלקטרוני לקוחות דואר אלקטרוני שונים, ראה הצגת כותרות הודעות אינטרנט ב- Outlook.

עצה

באפשרותך להעתיק ולהדביק את התוכן של כותרת הודעה בכלי מנתח כותרות ההודעות . כלי זה עוזר לנתח כותרות ולמקם אותן בתבנית קריאה יותר.

שדות כותרת הודעה של X-Forefront-Antispam-Report

לאחר שתכלול את פרטי כותרת ההודעה, חפש את הכותרת X-Forefront-Antispam-Report . קיימים זוגות מרובים של שדות וערכים בכותרת זו, כשהם מופרדים באמצעות תווי נקודה-פסיק (;). לדוגמה:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

השדות והערכים הבודדים מתוארים בטבלה הבאה.

הערה

הכותרת X-Forefront-Antispam-Report מכילה שדות וערכים שונים. שדות שאינם מתוארים בטבלה משמשים באופן בלעדי את צוות האנטי-דואר זבל של Microsoft למטרות אבחון.

שדה תיאור
ARC הפרוטוקול ARC כולל את השדות הבאים:
  • AAR: מתעד את התוכן של כותרת תוצאות האימות מ- DMARC.
  • AMS: כולל חתימות הצפנה של ההודעה.
  • AS: כולל חתימות הצפנה של כותרות ההודעה. שדה זה מכיל תג של אימות שרשרת "cv="שנקרא , הכולל את התוצאה של אימות השרשרת כ'ללא', 'מעבר' או 'נכשל'.
CAT: קטגוריית מדיניות ההגנה שחלה על ההודעה:
  • AMP: נגד תוכנות זדוניות
  • BULK:בצובר
  • DIMP: התחזות לתחום*
  • FTBP: מסנן קבצים מצורפים נפוצים למניעת תוכנות זדוניות
  • GIMP: התחזות בינת תיבת דואר*
  • HPHSH או HPHISH: דיוג ברמת מהימנות גבוהה
  • HSPM: דואר זבל במהימנות גבוהה
  • INTOS: Intra-Organization דיוג
  • MALW:תוכנות זדוניות
  • OSPM: דואר זבל יוצא
  • PHSH:דיוג
  • SAP: קבצים מצורפים בטוחים*
  • SPM:דואר זבל
  • SPOOF: התחזות
  • UIMP: התחזות משתמש*

*Defender עבור Office 365 בלבד.

הודעה נכנסת עשויה להיות מסומנת בדגל על-ידי צורות הגנה מרובות וסריקה מרובה של זיהוי. פריטי מדיניות מוחלים לפי סדר קדימות, והמדיניות עם העדיפות הגבוהה ביותר מוחלת תחילה. לקבלת מידע נוסף, ראה איזו מדיניות חלה כאשר שיטות הגנה וסריקה מרובה של זיהוי פועלות בדואר האלקטרוני שלך.
CIP:[IP address] כתובת ה- IP המחברת. באפשרותך להשתמש בכתובת IP זו ברשימת היתרי ה- IP או ברשימת החסימת של ה- IP. לקבלת מידע נוסף, ראה קביעת תצורה של סינון חיבורים.
CTRY המדינה/אזור המשמשים כמקור כפי שנקבעו על-ידי כתובת ה- IP המחברת, שעשויה להיות לא זהה לכתובת ה- IP השולחת המקורית.
DIR כיוון ההודעה:
  • INB: הודעה נכנסת.
  • OUT: הודעה יוצאת.
  • INT: הודעה פנימית.
H:[helostring] המחרוזת HELO או EHLO של שרת הדואר האלקטרוני המחבר.
IPV:CAL ההודעה דילגה על סינון הודעות זבל מאחר שכתובת ה- IP של המקור היתה ברשימת היתרי ה- IP. לקבלת מידע נוסף, ראה קביעת תצורה של סינון חיבורים.
IPV:NLI כתובת ה- IP לא נמצאה ברשימת מוניטין של IP.
LANG השפה שבה נכתבה ההודעה כפי שצוינה על-ידי קידומת המדינה (לדוגמה, ru_RU עבור רוסית).
PTR:[ReverseDNS] רשומת ה- PTR (המכונה גם בדיקת מידע לאחור של DNS) של כתובת ה- IP המשמשת כמקור.
SCL רמת הביטחון של דואר הזבל (SCL) של ההודעה. ערך גבוה יותר מציין שההודעה עשויה להיות דואר זבל. לקבלת מידע נוסף, ראה רמת מהימנות של דואר זבל (SCL).
SFTY ההודעה זוהתה כהיוג והיא מסומנת גם באחד מהערכים הבאים:
  • 9.19: התחזות תחום. התחום השולח מנסה להתחזות לתחום מוגן. עצת הבטיחות עבור התחזות לתחום נוספת להודעה (אם היא זמינה).
  • 9.20: התחזות משתמש. המשתמש השולח מנסה להתחזות למשתמש בארגון של הנמען, או משתמש מוגן שצוין במדיניות למניעת דיוג Microsoft Defender עבור Office 365. עצת הבטיחות עבור התחזות משתמש נוספת להודעה (אם היא זמינה).
  • 9.25: עצה ראשונה לבטיחות הקשר. ערך זה עשוי להיות סימן להודעת דיוג או חשודה. לקבלת מידע נוסף, ראה עצת בטיחות ראשונה ליצירת קשר.
SFV:BLK המערכת דילגה על הסינון וההודעה נחסמה מכיוון שהיא נשלחה מכתובת ברשימת השולחים החסומים של המשתמש.

לקבלת מידע נוסף אודות האופן שבו מנהלי מערכת יכולים לנהל את רשימת השולחים החסומים של המשתמש, ראה קביעת תצורה של הגדרות דואר זבל בתיבות Exchange Online דואר.
SFV:NSPM סינון הודעות זבל סימן את ההודעה כהודעה שאינה הודעת זבל וההודעה נשלחה לנמענים המיועדים.
SFV:SFE המערכת דילגה על הסינון וההודעה הותרה מכיוון שהיא נשלחה מכתובת ברשימת השולחים הבטוחים של המשתמש.

לקבלת מידע נוסף אודות האופן שבו מנהלי מערכת יכולים לנהל את רשימת השולחים הבטוחים של המשתמש, ראה קביעת תצורה של הגדרות דואר זבל בתיבות Exchange Online אלה.
SFV:SKA ההודעה דילגה על סינון הודעות זבל ונמסרה לתיבת הדואר הנכנס מכיוון שהשולח היה ברשימת השולחים המותרים או ברשימת התחומים המותרים במדיניות למניעת דואר זבל. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דואר זבל.
SFV:SKB ההודעה סומנה כדואר זבל מאחר שהיא התאמה לשולח ברשימת השולחים החסומים או ברשימת התחומים החסומים במדיניות למניעת דואר זבל. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דואר זבל.
SFV:SKN ההודעה סומנה כהודעה שאינה מופיעה לפני העיבוד על-ידי סינון דואר זבל. לדוגמה, ההודעה סומנה כ- SCL -1 או עקוף סינון דואר זבל לפי כלל זרימת דואר.
SFV:SKQ ההודעה שוחררה מהסגר ונשלחה לנמענים המיועדים.
SFV:SKS ההודעה סומנה כדואר זבל לפני העיבוד על-ידי סינון דואר זבל. לדוגמה, ההודעה סומנה כ- SCL 5 עד 9 באמצעות כלל זרימת דואר.
SFV:SPM ההודעה סומנה כדואר זבל על-ידי סינון דואר זבל.
SRV:BULK ההודעה זוהתה כדואר אלקטרוני בצובר על-ידי סינון דואר זבל וסף רמת התלונה בצובר (BCL). כאשר הפרמטר MarkAsSpamBulkMailOn (מופעל כברירת מחדל), הודעת דואר אלקטרוני בצובר מסומנת כדואר זבל (SCL 6). לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות למניעת דואר זבל.
X-CustomSpam: [ASFOption] ההודעה התאיתה להגדרה Advanced Spam Filter (ASF). כדי לראות את ערך X-header עבור כל הגדרה של ASF, ראה הגדרות מתקדמות של מסנן דואר זבל (ASF).

הערה: ASF X-CustomSpam: מוסיף שדות X-header להודעות לאחר עיבוד ההודעות על-ידי כללי זרימת דואר של Exchange (נקראים גם כללי תעבורה), כך שלא ניתן להשתמש בכללי זרימת דואר כדי לזהות הודעות שמסנן על-ידי ASF ולהשתמש בהן.

שדות כותרת הודעה של X-Microsoft-Antispam

הטבלה הבאה מתארת שדות שימושיים בכותרת ההודעה X-Microsoft-Antispam . שדות אחרים בכותרת זו משמשים באופן בלעדי את צוות האנטי-דואר זבל של Microsoft למטרות אבחון.

שדה תיאור
BCL רמת התלונה בצובר (BCL) של ההודעה. A higher BCL indicates a bulk mail message is more likely generate complaints (and is therefore is more like be spam). לקבלת מידע נוסף, ראה רמת תלונה בצובר (BCL) ב- EOP.

כותרת הודעה של תוצאות אימות

התוצאות של בדיקת אימות דואר אלקטרוני עבור SPF, DKIM ו- DMARC מתועדות (מוטבעות) בכותרת ההודעה של תוצאות האימות בהודעות נכנסות. הכותרת תוצאות אימות מוגדרת ב- RFC 7001.

הרשימה הבאה מתארת את הטקסט שנוסף לכותרת Authentication-Results עבור כל סוג של בדיקת אימות דואר אלקטרוני:

  • SPF משתמש בתחביר הבא:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    לדוגמה:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • הפונקציה DKIM משתמשת בתחביר הבא:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    לדוגמה:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • הפונקציה DMARC משתמשת בתחביר הבא:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    לדוגמה:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

שדות כותרת הודעה של תוצאות אימות

הטבלה הבאה מתארת את השדות ואת הערכים האפשריים עבור כל בדיקת אימות דואר אלקטרוני.

שדה תיאור
action ציון הפעולה שבוצעה על-ידי מסנן דואר הזבל בהתבסס על התוצאות של בדיקת DMARC. לדוגמה:
  • pct.quarantine: מציין שאחוז קטן מ- 100% מההודעות שאינן מעבירות את DMARC נמסרות בכל זאת. תוצאה זו פירושה שההודעה נכשלה ב- DMARC ומדיניות DMARC הוגדרה כ- p=quarantine. אך שדה ה- pct לא הוגדר כ- 100%, והמערכת קבעה באופן אקראי שלא להחיל את הפעולה DMARC לפי מדיניות DMARC של התחום שצוין.
  • pct.reject: מציין שאחוז קטן מ- 100% מההודעות שאינן מעבירות את DMARC נמסרות בכל זאת. תוצאה זו פירושה שההודעה נכשלה ב- DMARC ומדיניות DMARC הוגדרה כ- p=reject. אך שדה ה- pct לא הוגדר כ- 100% והמערכת קבעה באופן אקראי שלא להחיל את הפעולה DMARC לפי מדיניות DMARC של התחום שצוין.
  • permerror: אירעה שגיאה קבועה במהלך הערכת DMARC, כגון נתקלת ברשומת TXT DMARC במבנה שגוי ב- DNS. ניסיון לשלוח מחדש הודעה זו אינו עלול להסתיים בתוצאה אחרת. במקום זאת, ייתכן שיהיה עליך ליצור קשר עם הבעלים של התחום כדי לפתור את הבעיה.
  • temperror: אירעה שגיאה זמנית במהלך הערכת DMARC. ייתכן שתוכל לבקש מהשולח לשלוח מחדש את ההודעה מאוחר יותר כדי לעבד את הדואר האלקטרוני כראוי.
compauth תוצאת אימות מורכב. משמש את Microsoft 365 לשילוב סוגים מרובים של אימות (SPF, DKIM ו- DMARC), או כל חלק אחר של ההודעה כדי לקבוע אם ההודעה מאומתת או לא. שימוש בתחום From: כבסיס להערכה. הערה: למרות כשל compauth , ייתכן שההודעה עדיין תהיה מותרת אם הערכות אחרות אינן מציינות אופי חשוד.
dkim מתאר את התוצאות של בדיקת DKIM עבור ההודעה. ערכים אפשריים כוללים:
  • pass: מציין את בדיקת DKIM עבור ההודעה שהועברה.
  • כשל (סיבה): מציין שבדיקת DKIM עבור ההודעה נכשלה ומדוע. לדוגמה, אם ההודעה לא נחתמה או שהחתימה לא אומתה.
  • ללא: מציין שההודעה לא נחתמה. תוצאה זו עשויה להצביע או לא להצביע על כך שלתחום יש רשומת DKIM או הרשומה DKIM אינה מוערכת כתוצאה.
dmarc מתאר את התוצאות של בדיקת DMARC עבור ההודעה. ערכים אפשריים כוללים:
  • pass: מציין את בדיקת DMARC עבור ההודעה שהועברה.
  • כשל: מציין שבדיקת DMARC עבור ההודעה נכשלה.
  • bestguesspass: מציין שלא קיימת רשומת TXT של DMARC עבור התחום. אם לתחום היתה רשומת TXT של DMARC, בדיקת DMARC עבור ההודעה היתה חלפה.
  • none: מציין שלא קיימת רשומת TXT של DMARC עבור התחום השולח ב- DNS.
header.d תחום המזוהה בחתימה של DKIM אם יש. זהו התחום שעבורו התבצעה שאילתה על המפתח הציבורי.
header.from התחום של הכתובת בכותרת 5322.From העליונה של הודעת הדואר האלקטרוני (המכונה גם כתובת 'מ' או שולח P2). הנמען רואה את כתובת 'מ' לקוחות דואר אלקטרוני.
reason הסיבה לכך שהאימות המורכב עבר או נכשל. הערך הוא קוד בן שלוש ספרות. לדוגמה:
  • 000: ההודעה נכשלה באימות מפורש (compauth=fail). לדוגמה, ההודעה קיבלה כשל DMARC והפעולה של מדיניות DMARC היא או p=quarantinep=reject.
  • 001: האימות המפורש () של ההודעה נכשלcompauth=fail. תוצאה זו פירושה שלתחום השולח לא פורסמו רשומות אימות דואר אלקטרוני, או אם כן, היתה להם מדיניות כשל חלשה יותר (SPF ~all?allאו , או מדיניות DMARC של p=none).
  • 002: לארגון יש מדיניות עבור זוג השולחים/תחומים שמונעת באופן מפורש לשלוח דואר אלקטרוני התחזותי. מנהל מערכת קובע הגדרה זו באופן ידני.
  • 010: ההודעה נכשלה ב- DMARC, פעולת המדיניות DMARC p=rejectp=quarantineהיא או , והתחום השולח הוא אחד התחומים המקובלים של הארגון שלך (התחזות עצמית או אינטרא-ארגונית).
  • 1xx או 7xx: ההודעה עברה אימות (compauth=pass). שתי הספרות האחרונות הן קודים פנימיים המשמשים את Microsoft 365.
  • 2xx: ההודעה עברה זמנית אימות משתמע (compauth=softpass). שתי הספרות האחרונות הן קודים פנימיים המשמשים את Microsoft 365.
  • 3xx: ההודעה לא בדק אם יש אימות מורכב (compauth=none).
  • 4xx או 9xx: ההודעה עברה אימות מורכב (compauth=none). שתי הספרות האחרונות הן קודים פנימיים המשמשים את Microsoft 365.
  • 6xx: ההודעה נכשלה באימות דואר אלקטרוני משתמע, והתחום השולח הוא אחד התחומים המקובלים של הארגון שלך (התחזות עצמית לעצמי או אינטרא-ארגונית).
smtp.mailfrom התחום של הכתובת 5321.MailFrom (המכונה גם כתובת MAIL FROM, שולח P1 או שולח מעטפה). כתובת דואר אלקטרוני זו משמשת עבור דוחות אי-מסירה (נקראים גם הודעות אי-מסירה או הודעות החזרה).
spf מתאר את התוצאות של בדיקת ה- SPF עבור ההודעה. ערכים אפשריים כוללים:
  • pass (IP address): בדיקת ה- SPF עבור ההודעה שהועברה וכוללת את כתובת ה- IP של השולח. הלקוח מורשה לשלוח או להעביר דואר אלקטרוני בשם התחום של השולח.
  • fail (IP address): בדיקת ה- SPF עבור ההודעה נכשלה וכוללת את כתובת ה- IP של השולח. תוצאה זו נקראת לעתים כשל קשיח.
  • softfail (reason): רשומת ה- SPF ציין שהמארח אינו מורשה לשלוח, אך היא נמצאת במעבר.
  • neutral: רשומת ה- SPF מציינת במפורש שהיא אינה קובעת אם כתובת ה- IP מורשית לשלוח.
  • none: התחום אינו כולל רשומת SPF או מרשומת ה- SPF אינה מוערכת כתוצאה.
  • temperror: אירעה שגיאה זמנית. לדוגמה, שגיאת DNS. אותה בדיקה מאוחר יותר עשויה להצליח.
  • permerror: אירעה שגיאה קבועה. לדוגמה, לתחום יש רשומת SPF בתבנית שגויה.