Levélszemét elleni üzenetfejlécek a Microsoft 365-ben

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Az összes Microsoft 365-szervezetben a Exchange Online Védelmi szolgáltatás (EOP) az összes bejövő üzenetet levélszemétre, kártevőkre és egyéb fenyegetésekre keres. A vizsgálatok eredményei az üzenetek következő fejlécmezőihez lesznek hozzáadva:

• X-Forefront-Antispam-Report: Információkat tartalmaz az üzenetről és a feldolgozás módjáról.
• X-Microsoft-Antispam: További információt tartalmaz a tömeges levelezésről és az adathalászatról.
• Hitelesítési eredmények: Információkat tartalmaz az SPF, a DKIM és a DMARC (e-mail-hitelesítés) eredményeiről.

Ez a cikk az ezekben a fejlécmezőkben elérhető lehetőségeket ismerteti.

Az e-mail-fejlécek különböző levelezőprogramokban való megtekintéséről további információt az Internetes üzenetfejlécek megtekintése az Outlookban című témakörben talál.

Tipp

Az üzenetfejléc tartalmát az Üzenetfejléc-elemző eszközbe másolhatja és beillesztheti. Ez az eszköz segít elemezni a fejléceket, és olvashatóbb formátumba helyezni őket.

X-Forefront-Antispam-Report üzenetfejlécmezők

Miután megkapta az üzenetfejléc adatait, keresse meg az X-Forefront-Antispam-Report fejlécet. Ebben a fejlécben több mező- és értékpár is van pontosvesszővel elválasztva (;). Például:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Az egyes mezőket és értékeket az alábbi táblázat ismerteti.

Megjegyzés:

Az X-Forefront-Antispam-Report fejléc számos különböző mezőt és értéket tartalmaz. A táblázatban nem ismertetett mezőket kizárólag a Microsoft levélszemét-ellenes csapata használja diagnosztikai célokra.

Mező	Leírás
ARC	A ARC protokoll a következő mezőket tartalmazza: AAR: A DMARC Authentication-results fejlécének tartalmát rögzíti. AMS: Az üzenet titkosítási aláírását tartalmazza. AS: Az üzenetfejlécek titkosítási aláírását tartalmazza. Ez a mező egy nevű "cv="láncérvényesítési címkét tartalmaz, amely a láncérvényesítés eredményét nem, sikeres vagy sikertelen állapotúként tartalmazza.
CAT:	Az üzenetre alkalmazott védelmi szabályzat kategóriája: AMP: Kártevőirtó BULK:Tömeges DIMP: Tartomány megszemélyesítése* FTBP: Kártevőirtó gyakori mellékletek szűrője GIMP: Postaládaintelligencia-megszemélyesítés* HPHSH vagy HPHISH: Megbízható adathalászat HSPM: Nagy megbízhatóságú levélszemét INTOS: Intra-Organization adathalászat MALW:Malware OSPM: Kimenő levélszemét PHSH:Adathalászat SAP: Biztonságos mellékletek* SPM:Spam SPOOF:Svindli UIMP: Felhasználó megszemélyesítése* *csak Office 365-höz készült Defender. A bejövő üzeneteket több védelmi és több észlelési vizsgálat is megjelölheti. A szabályzatok prioritási sorrendben vannak alkalmazva, és először a legmagasabb prioritású házirendet alkalmazza a rendszer. További információ: Milyen szabályzat vonatkozik, ha több védelmi módszer és észlelési vizsgálat fut az e-mailben.
CIP:[IP address]	A csatlakozó IP-cím. Ezt az IP-címet használhatja az IP-címek engedélyezési listájában vagy az IP-címblokkok listájában. További információ: Kapcsolatszűrés konfigurálása.
CTRY	A csatlakozó IP-cím által meghatározott forrásország/régió, amely nem feltétlenül egyezik meg a küldő IP-címmel.
DIR	Az üzenet iránya: INB: Bejövő üzenet. OUT: Kimenő üzenet. INT: Belső üzenet.
H:[helostring]	A csatlakozó e-mail-kiszolgáló HELO- vagy EHLO-sztringje.
IPV:CAL	Az üzenet kihagyta a levélszemétszűrést, mert a forrás IP-címe szerepel az IP-címek engedélyezési listájában. További információ: Kapcsolatszűrés konfigurálása.
IPV:NLI	Az IP-cím nem található egyik IP-hírnévlistában sem.
LANG	Az a nyelv, amelyben az üzenet meg lett írva az országkódban megadottak szerint (például az orosz ru_RU).
PTR:[ReverseDNS]	A forrás IP-cím PTR rekordja (más néven fordított DNS-keresés).
SCL	Az üzenet levélszemét-megbízhatósági szintje (SCL). A magasabb érték azt jelzi, hogy az üzenet nagyobb valószínűséggel levélszemét. További információ: Levélszemét megbízhatósági szintje (SCL).
SFTY	Az üzenet adathalászként lett azonosítva, és az alábbi értékek egyikével is megjelölve van: 9.19: Tartomány megszemélyesítése. A küldő tartomány védett tartományt próbál megszemélyesíteni. A tartományi megszemélyesítés biztonsági tippje hozzá lesz adva az üzenethez (ha engedélyezve van). 9.20: Felhasználói megszemélyesítés. A küldő felhasználó megpróbál megszemélyesíteni egy felhasználót a címzett szervezetében, vagy egy védett felhasználót, amely az Office 365-höz készült Microsoft Defender adathalászat elleni szabályzatában van megadva. A felhasználói megszemélyesítés biztonsági tippje hozzá lesz adva az üzenethez (ha engedélyezve van). 9.25: Első érintésbiztonsági tipp. Ez az érték gyanús vagy adathalász üzenetre utalhat . További információ: Első kapcsolatfelvétel biztonsági tippje.
SFV:BLK	A szűrés ki lett hagyva, és az üzenet le lett tiltva, mert egy felhasználó Letiltott feladók listájában lévő címről lett elküldve. További információ arról, hogy a rendszergazdák hogyan kezelhetik a felhasználók Letiltott feladók listáját: Levélszemét-beállítások konfigurálása Exchange Online postaládákban.
SFV:NSPM	A levélszemétszűrés nemspamként jelölte meg az üzenetet, és az üzenetet a címzetteknek küldték el.
SFV:SFE	A szűrés ki lett hagyva, és az üzenet engedélyezve lett, mert egy felhasználó Megbízható feladók listájában lévő címről lett elküldve. További információ arról, hogy a rendszergazdák hogyan kezelhetik a felhasználók Megbízható feladók listáját: Levélszemét-beállítások konfigurálása Exchange Online postaládákban.
SFV:SKA	Az üzenet kihagyta a levélszemétszűrést, és a Beérkezett üzenetek mappába lett kézbesítve, mert a feladó szerepel az engedélyezett feladók listáján vagy az engedélyezett tartományok listáján egy levélszemét-ellenes házirendben. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
SFV:SKB	Az üzenet levélszemétként lett megjelölve, mert megfelelt egy feladónak a letiltott feladók listájában vagy a letiltott tartományok listájában egy levélszemét-ellenes házirendben. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
SFV:SKN	Az üzenet a levélszemétszűrés feldolgozása előtt nem láthatóként lett megjelölve. Az üzenet például SCL -1 vagy Levélszemétszűrés mellőzése e-mail-forgalmi szabály szerint volt megjelölve.
SFV:SKQ	Az üzenet felszabadult a karanténból, és a címzetteknek lett elküldve.
SFV:SKS	Az üzenet levélszemétként lett megjelölve, mielőtt levélszemétszűrés útján feldolgozta. Az üzenetet például egy levélforgalmi szabály 5–9. SCL-ként jelölte meg.
SFV:SPM	Az üzenet levélszemétszűréssel lett megjelölve.
SRV:BULK	Az üzenet tömeges e-mailként lett azonosítva a levélszemétszűrés és a tömeges panaszszint (BCL) küszöbértéke alapján. Ha a MarkAsSpamBulkMail paraméter On (alapértelmezés szerint be van kapcsolva), a tömeges e-mailek levélszemétként (SCL 6) lesznek megjelölve. További információ: Levélszemét-ellenes szabályzatok konfigurálása.
X-CustomSpam: [ASFOption]	Az üzenet megfelelt egy Speciális levélszemétszűrő (ASF) beállításnak. Az egyes ASF-beállítások X-fejlécértékének megtekintéséhez lásd: Speciális levélszemétszűrő (ASF) beállításai. Megjegyzés: Az ASF X-fejlécmezőket X-CustomSpam: ad hozzá az üzenetekhez , miután az exchangees levélforgalmi szabályok (más néven átviteli szabályok) feldolgozták az üzeneteket, így nem használhat levélforgalmi szabályokat az ASF által szűrt üzenetek azonosítására és feldolgozására.

X-Microsoft-Antispam üzenetfejlécmezők

Az alábbi táblázat az X-Microsoft-Antispam üzenetfejléc hasznos mezőit ismerteti. A fejléc többi mezőjét kizárólag a Microsoft levélszemét-ellenes csapata használja diagnosztikai célokra.

Mező	Leírás
BCL	Az üzenet tömeges panaszszintje (BCL). A magasabb szintű BCL azt jelzi, hogy egy tömeges e-mail-üzenet nagyobb valószínűséggel hoz létre panaszokat (és ezért nagyobb valószínűséggel levélszemét). További információ: Tömeges panaszszint (BCL) az EOP-ban.

Hitelesítési eredmények üzenetfejléce

Az SPF, A DKIM és a DMARC e-mail-hitelesítési ellenőrzéseinek eredményei a bejövő üzenetek hitelesítési eredmények üzenetfejlécében lesznek rögzítve (lebélyegezve). A Hitelesítési eredmények fejléc az RFC 7001-ben van definiálva.

Az alábbi lista az egyes e-mail-hitelesítés-ellenőrzések hitelesítésének hitelesítési eredményei fejlécéhez hozzáadott szöveget ismerteti:

• Az SPF a következő szintaxist használja:

  spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
  

  Például:

  spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
  
  spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
  

• A DKIM a következő szintaxist használja:

  dkim=<pass|fail (reason)|none> header.d=<domain>
  

  Például:

  dkim=pass (signature was verified) header.d=contoso.com
  
  dkim=fail (body hash did not verify) header.d=contoso.com
  

• A DMARC a következő szintaxist használja:

  dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
  

  Például:

  dmarc=pass action=none header.from=contoso.com
  
  dmarc=bestguesspass action=none header.from=contoso.com
  
  dmarc=fail action=none header.from=contoso.com
  
  dmarc=fail action=oreject header.from=contoso.com
  

Hitelesítési eredmények üzenetfejlécmezői

Az alábbi táblázat az egyes e-mail-hitelesítési ellenőrzések mezőit és lehetséges értékeit ismerteti.

Mező	Leírás
action	A levélszemétszűrő által a DMARC-ellenőrzés eredményei alapján végrehajtott műveletet jelzi. Például: pct.quarantine: Azt jelzi, hogy a DMARC-t nem átadó üzenetek 100%-nál kisebb százaléka mindenképpen kézbesítve lesz. Ez az eredmény azt jelenti, hogy az üzenet sikertelen volt, és a DMARC-szabályzat értéke p=quarantine. A pct mező azonban nem lett 100%-ra állítva, és a rendszer véletlenszerűen úgy döntött, hogy nem alkalmazza a DMARC-műveletet a megadott tartomány DMARC-szabályzata alapján. pct.reject: Azt jelzi, hogy a DMARC-t nem átadó üzenetek 100%-nál kisebb százaléka mindenképpen kézbesítve lesz. Ez az eredmény azt jelenti, hogy az üzenet sikertelen volt, és a DMARC-szabályzat értéke p=reject. A pct mező azonban nem lett 100%-ra állítva, és a rendszer véletlenszerűen úgy döntött, hogy nem alkalmazza a DMARC-műveletet a megadott tartomány DMARC-szabályzata alapján. permerror: Állandó hiba történt a DMARC kiértékelése során, például helytelenül formázott DMARC TXT rekordba ütközött a DNS-ben. Az üzenet újraküldésének megkísérlése valószínűleg nem fog más eredménnyel végződni. Ehelyett előfordulhat, hogy a probléma megoldásához kapcsolatba kell lépnie a tartomány tulajdonosával. temperror: Ideiglenes hiba történt a DMARC kiértékelése során. Előfordulhat, hogy később kérheti a feladótól, hogy küldje el újra az üzenetet az e-mail megfelelő feldolgozása érdekében.
compauth	Összetett hitelesítési eredmény. A Microsoft 365 több hitelesítési típus (SPF, DKIM és DMARC) vagy az üzenet bármely más részének kombinálására használja annak megállapításához, hogy az üzenet hitelesítve van-e. A kiértékelés alapjaként a From: tartományt használja. Megjegyzés: A hiba ellenére compauth az üzenet továbbra is engedélyezhető, ha más értékelések nem jeleznek gyanús természetet.
dkim	Az üzenet DKIM-ellenőrzésének eredményeit ismerteti. A lehetséges értékek a következők: pass: Azt jelzi, hogy a DKIM ellenőrzi az átadott üzenetet. fail (reason): Azt jelzi, hogy az üzenet DKIM-ellenőrzése sikertelen volt, és hogy miért. Ha például az üzenet nem volt aláírva, vagy az aláírás nem lett hitelesítve. none: Azt jelzi, hogy az üzenet nincs aláírva. Ez az eredmény jelezheti vagy nem jelzi, hogy a tartomány DKIM-rekorddal rendelkezik, vagy a DKIM rekord nem értékeli ki az eredményt.
dmarc	Az üzenet DMARC-ellenőrzésének eredményeit ismerteti. A lehetséges értékek a következők: pass: Az átadott üzenet DMARC-ellenőrzését jelzi. fail: Azt jelzi, hogy az üzenet DMARC-ellenőrzése sikertelen volt. bestguesspass: Azt jelzi, hogy a tartományhoz nem létezik DMARC TXT rekord. Ha a tartomány rendelkezik DMARC TXT rekorddal, az üzenet DMARC-ellenőrzése sikeres lett volna. none: Azt jelzi, hogy nem létezik DMARC TXT rekord a küldő tartományhoz a DNS-ben.
header.d	A DKIM-aláírásban azonosított tartomány, ha van ilyen. Ez a nyilvános kulcs lekérdezett tartománya.
header.from	Az e-mail-üzenet fejlécében található cím tartománya 5322.From (más néven feladói cím vagy P2 feladó). A címzett a Feladó címet látja az e-mail-ügyfelekben.
reason	Az összetett hitelesítés sikeres vagy sikertelen volt. Az érték egy háromjegyű kód. Például: 000: Az üzenet nem tudott explicit hitelesítést végrehajtani (compauth=fail). Például az üzenet sikertelen DMARC-et kapott, és a DMARC-szabályzatművelet p=quarantine vagy p=reject. 001: Az üzenet implicit hitelesítése meghiúsult (compauth=fail). Ez az eredmény azt jelenti, hogy a küldő tartomány nem tett közzé e-mail-hitelesítési rekordokat, vagy ha igen, gyengébb hibaszabályzattal (SPF ~all vagy ?all, vagy DMARC-szabályzattal p=none) rendelkezett. 002: A szervezetnek van egy szabályzata a feladó/tartomány párra vonatkozóan, amely kifejezetten tiltja a hamisított e-mailek küldését. Ezt a beállítást egy rendszergazda manuálisan konfigurálja. 010: Az üzenet sikertelen volt, a DMARC-házirendművelet p=reject vagy p=quarantine, és a küldő tartomány a szervezet egyik elfogadott tartománya (önkiszolgáló vagy szervezeten belüli hamisítás). 1xx vagy 7xx: Az üzenet hitelesítést átadott (compauth=pass). Az utolsó két számjegy a Microsoft 365 által használt belső kódok. 2xx: A helyreállíthatóan átadott implicit hitelesítés (compauth=softpass) üzenet. Az utolsó két számjegy a Microsoft 365 által használt belső kódok. 3xx: Az üzenet nem ellenőrizte az összetett hitelesítést (compauth=none). 4xx vagy 9xx: Az üzenet megkerülte az összetett hitelesítést (compauth=none). Az utolsó két számjegy a Microsoft 365 által használt belső kódok. 6xx: Az üzenet nem tudott implicit e-mail-hitelesítést végrehajtani, és a küldő tartomány a szervezet egyik elfogadott tartománya (önkiszolgáló vagy szervezeten belüli hamisítás).
smtp.mailfrom	A cím tartománya 5321.MailFrom (más néven MAIL FROM cím, P1 feladó vagy borítékküldő). Ez az e-mail-cím nem kézbesítési jelentésekhez (más néven NDR-ekhez vagy visszapattanó üzenetekhez) használatos.
spf	Az üzenet SPF-ellenőrzésének eredményeit ismerteti. A lehetséges értékek a következők: pass (IP address): Az SPF ellenőrzi az átadott üzenetet, és tartalmazza a feladó IP-címét. Az ügyfél jogosult e-maileket küldeni vagy továbbítani a feladó tartománya nevében. fail (IP address): Az üzenet SPF-ellenőrzése sikertelen volt, és tartalmazza a feladó IP-címét. Ezt az eredményt néha sikertelennek nevezik. softfail (reason): Az SPF rekord úgy jelölte meg a gazdagépet, hogy az nem küldhető el, de átmeneti állapotban van. neutral: Az SPF rekord kifejezetten kimondja, hogy nem állítja, hogy az IP-cím jogosult-e küldésre. none: A tartomány nem rendelkezik SPF rekorddal, vagy az SPF rekord nem értékeli ki az eredményt. temperror: Ideiglenes hiba történt. Például EGY DNS-hiba. Ugyanez az ellenőrzés később sikeres lehet. permerror: Állandó hiba történt. A tartomány például rosszul formázott SPF rekorddal rendelkezik.