Microsoft 365 のスパム対策メッセージ ヘッダー
ヒント
Office 365 プラン 2 のMicrosoft 365 Defenderの機能を無料で試すことができることをご存じですか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の使用条件については、 こちらをご覧ください。
適用対象
すべての Microsoft 365 組織では、Exchange Online Protection (EOP) がすべての受信メッセージをスキャンして、スパム、マルウェア、およびその他の脅威を検出します。 これらのスキャンの結果は、メッセージの次のヘッダー フィールドに追加されます。
X-Forefront-Antispam-Report: メッセージに関する情報とメッセージの処理方法が含まれます。
X-Microsoft-Antispam: バルク メールやフィッシングに関する追加情報が含まれます。
Authentication-results: SPF、DKIM、および DMARC (メール認証) の結果に関する情報が含まれます。
この記事では、これらのヘッダー フィールドで使用できる機能について説明します。
さまざまなメール クライアントでメール メッセージ ヘッダーを表示する方法については、「Outlook のインターネット メッセージ ヘッダーの表示」を参照してください。
ヒント
メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。 このツールは、ヘッダーを解析し、より読みやすい形式にします。
X-Forefront-Antispam-Report メッセージ ヘッダー フィールド
メッセージ ーヘッダーの情報を取得したら、X-Forefront-Antispam-Report ヘッダーを見つけます。 このヘッダーには、セミコロン (;) で区切られた複数のフィールドと値のペアがあります。 例:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...
次の表に個々のフィールドと値の説明を示します。
注意
X-Forefront-Antispam-Report ヘッダーには、多くのさまざまなフィールドと値が含まれています。 表に記載されていないフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。
フィールド | 説明 |
---|---|
ARC |
ARC プロトコルには次のフィールドがあります。
|
CAT: |
メッセージに適用される保護ポリシーです。
受信メッセージには、複数の種類の保護と複数の検出スキャンによりフラグが付けられる場合があります。 ポリシーの優先度はそれぞれ異なり、優先度が最も高いポリシーが最初に適用されます。 詳細については、「複数の保護方法および検出スキャンがメールで実行される場合に適用されるポリシー」を参照してください。 |
CIP:[IP address] |
接続 IP アドレス。 この IP アドレスは、IP 許可一覧または IP 禁止一覧で使用できます。 詳細については、「接続フィルターを構成する」を参照してください。 |
CTRY |
接続 IP アドレスから特定される発信国ですが、発信元の送信 IP アドレスとは異なる可能性があります。 |
H:[helostring] |
接続メール サーバーの HELO または EHLO 文字列。 |
IPV:CAL |
送信元 IP アドレスが IP 許可一覧にあるため、メッセージのスパム フィルタリングが省略されました。詳細については、「接続フィルターを構成する」を参照してください。 |
IPV:NLI |
IP アドレスが IP 評価リストに掲載されていませんでした。 |
LANG |
メッセージが作成された言語であり、国番号 (たとえば、ロシア語は ru_RU) で指定されます。 |
PTR:[ReverseDNS] |
逆引き DNS 参照とも呼ばれる、送信元の IP アドレスの PTR レコード。 |
SCL |
メッセージの SCL (Spam Confidence Level) です。 値が高いほど、メッセージがスパムである可能性が高くなります。 詳細については、「Spam Confidence Level (SCL)」を参照してください。 |
SFTY |
メッセージはフィッシングとして識別され、次のいずれかの値が付けられます。
|
SFV:BLK |
メッセージがユーザーの受信拒否リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。 管理者がユーザーの受信拒否リストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。 |
SFV:NSPM |
スパム フィルタリングによって、メッセージがスパムではないとしてマークされ、メッセージは意図された受信者に送信されました。 |
SFV:SFE |
メッセージがユーザーの差出人セーフ リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージは許可されました。 管理者がユーザーの信頼できる差出人のリストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。 |
SFV:SKA |
送信者がスパム対策ポリシーの許可された送信者リストまたは許可されたドメイン リストに含まれるため、メッセージはスパム フィルタリングが省略され、受信トレイに配信されました。詳細については、「スパム対策ポリシーの構成」を参照してください。 |
SFV:SKB |
メッセージは、スパム対策ポリシーの受信拒否リストまたはブロックされているドメイン リスト内の送信者と一致したため、スパムとしてマークされました。詳細については、「スパム対策ポリシーの構成」を参照してください。 |
SFV:SKI |
SFV:SKN と同様に、メッセージは別の理由 (例: テナント内の組織内メールなど) でスパム フィルタリングが省略されました。 |
SFV:SKN |
メッセージは、スパム フィルタリングによって処理される前にスパムではないとしてマークされました。たとえば、メッセージは、メール フロー ルールによって SCL -1 または スパム フィルタリングのバイパス としてマークされました。 |
SFV:SKQ |
メッセージは検疫から解放され、目的の受信者に送信されました。 |
SFV:SKS |
メッセージは、スパム フィルタリングによって処理される前にスパムとしてマークされました。たとえば、メッセージは、メール フロー ルールによって SCL 5 から 9 としてマークされました。 |
SFV:SPM |
スパム フィルタリングによって、メッセージがスパムとしてマークされました。 |
SRV:BULK |
メッセージは、スパムフィルタリングおよび Bulk Complaint Level (BCL) のしきい値により、バルク メールとして識別されました。 MarkAsSpamBulkMail パラメーターが On の場合 (既定はオン)、バルク メール メッセージは迷惑メール (SCL 6) としてマークされます。 詳細については、「スパム対策ポリシーの構成」を参照してください。 |
X-CustomSpam: [ASFOption] |
メッセージは高度なスパム フィルター (ASF) の設定と一致しました。 各 ASF 設定の X ヘッダーの値を確認するには、「高度なスパム フィルター (ASF) の設定」を参照してください。 |
X-Microsoft-Antispam メッセージ ヘッダー フィールド
次の表に、X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。
フィールド | 説明 |
---|---|
BCL |
メッセージの Bulk Complaint Level (BCL)。 BCL が高いほど、バルク メール メッセージが好ましくない内容である可能性が高い (したがって、スパムである可能性が高い) ことを示します。 詳細については、「Bulk Complaint Level (BCL)」を参照してください。 |
Authentication-results メッセージ ヘッダー
SPF、DKIM、および DMARC のメール認証チェックの結果は、受信メッセージの Authentication-results メッセージ ヘッダーに記録されます。
次の一覧では、メール認証チェックの種類ごとに、Authentication-Results ヘッダーに追加されるテキストについて説明します。
SPF は以下の構文を使用します。
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
例:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM は以下の構文を使用します。
dkim=<pass|fail (reason)|none> header.d=<domain>
例:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC は以下の構文を使用します。
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
例:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Authentication-results メッセージ ヘッダー フィールド
フィールドと各電子メールの認証チェックに使用される値を次の表に示します。
フィールド | 説明 |
---|---|
action |
DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。例:
|
compauth |
複合認証の結果。Microsoft 365 が、SPF、DKIM、DMARC などのさまざまな種類の認証を組み合わせて、メッセージが認証されているかどうかを判断するために使用されます。評価の基準として、差出人: ドメインを使用します。 |
dkim |
メッセージの DKIM チェックの結果についての説明。次の値を指定できます。
|
dmarc |
メッセージの DMARC チェックの結果についての説明。次の値を指定できます。
|
header.d |
DKIM 署名で識別されるドメイン (存在する場合)。 これは、公開キーを照会するドメインです。 |
header.from |
メール メッセージ ヘッダーの 5322.From アドレスのドメイン (From アドレスまたは P2 送信者とも呼ばれます)。 受信者には、メール クライアントの From アドレスが表示されます。 |
reason |
複合認証にパスした、または失敗した理由。 値は 3 桁のコードです。 以下に例を示します。
|
smtp.mailfrom |
5321.MailFrom アドレスのドメイン (MAIL FROM アドレス、P1 送信者、またはエンベロープの差出人とも呼ばれます)。 これは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) に使用されるメール アドレスです。 |
spf |
メッセージの SPF チェックの結果についての説明。 次の値を指定できます。
|