スパム対策メッセージ ヘッダーAnti-spam message headers

Exchange Online Protection では、受信電子メール メッセージをスキャンするときに、 X-Forefront-Antispam-Report ヘッダーをそれぞれのメッセージに挿入します。このヘッダー内のフィールドは、そのメッセージに関する情報やそれがどのように処理されたかに関する情報を管理者に提供できます。 X-Microsoft-Antispam ヘッダー内のフィールドは、バルク メールやフィッシングについての追加情報を提供します。これら 2 つのヘッダーのほかに、Exchange Online Protection も電子メール認証の結果を Authentication-results ヘッダーで処理する各メッセージに挿入します。When Exchange Online Protection scans an inbound email message it inserts the X-Forefront-Antispam-Report header into each message. The fields in this header can help provide administrators with information about the message and about how it was processed. The fields in the X-Microsoft-Antispam header provide additional information about bulk mail and phishing. In addition to these two headers, Exchange Online Protection also inserts email authentication results for each message it processes in the Authentication-results header.

ヒント

さまざまな電子メール クライアントで電子メール メッセージ ヘッダーを表示する方法については、「メッセージ ヘッダー アナライザー」を参照してください。メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。Exchange 管理センターで検疫内のメッセージを選択した場合は、 [メッセージ ヘッダーの表示] リンクを使ってメッセージ ヘッダー テキストをコピーしてツールに貼り付けることもできます。メッセージ ヘッダー アナライザー ツールに貼り付ければ、 [ヘッダーの分析] をクリックしてヘッダーに関する情報を取得できます。For information about how to view an email message header in various email clients, see Message Header Analyzer. You can copy and paste the contents of the message header into the Message Header Analyzer tool. When you select a message in the quarantine in the Exchange admin center, the View message header link also easily lets you copy and paste the message header text into the tool. Once in the Message Header Analyzer tool, click Analyze headers in order to retrieve information about the header.

X-Forefront-Antispam-Report メッセージ ヘッダー フィールドX-Forefront-Antispam-Report message header fields

メッセージ ヘッダー情報にアクセスしたら、 X-Forefront-Antispam-Report を検索して、次に示すフィールドを確認します。このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。After accessing the message header information, search for X-Forefront-Antispam-Report and then look for these fields. Other fields in this header are used exclusively by the Microsoft anti-spam team for diagnostic purposes.

ヘッダー フィールドHeader field
説明Description
CIP:[IP アドレス]CIP: [IP address]
接続 IP アドレス接続フィルターで IP 許可一覧と IP 禁止一覧を作成する際、この IP アドレスを指定することができます。詳細については、「接続フィルター ポリシーを構成する」を参照してください。 The connecting IP address. You may want to specify this IP address when creating an IP Allow list or an IP Block list in the connection filter. For more information, see Configure the connection filter policy.
CTRYCTRY
サービスに接続されたメッセージの発信国。これは、接続先 IP アドレスから特定されます。そのため、発信元の送信先 IP アドレスとは異なる可能性があります。The country from which the message connected to the service. This is determined by the connecting IP address, which may not be the same as the originating sending IP address.
LANGLANG
メッセージが作成された言語であり、国番号 (たとえば、ロシア語は ru_RU) で指定されます。The language in which the message was written, as specified by the country code (for example, ru_RU for Russian).
SCLSCL
メッセージの Spam Confidence Level (SCL) 値。これらの値の解釈方法については、「Spam Confidence Level」を参照してください。 The Spam Confidence Level (SCL) value of the message. For more information about interpreting these values, see Spam confidence levels.
PCLPCL
メッセージの Phishing Confidence Level (PCL) 値。PCL 値の詳細については、「PCL」を参照してください。 The Phishing Confidence Level (PCL) value of the message. See PCL for more information about PCL values.
SRV:BULKSRV:BULK
メッセージが一括電子メール メッセージとして識別されました。 [バルクメール メッセージをすべてブロックする] 詳細スパム フィルター オプションが有効になっている場合、このメッセージがスパムとしてマークされます。このオプションが有効になっていない場合は、残りのフィルター処理ルールでそのメッセージがスパンであると判断された場合にのみスパムとしてマークされます。 The message was identified as a bulk email message. If the Block all bulk email messages advanced spam filtering option is enabled, it will be marked as spam. If it is not enabled, it will only be marked as spam if the rest of the filtering rules determine that the message is spam.
SFV:SFESFV:SFE
メッセージが個人の差出人セーフ リスト上のアドレスから送信されているため、フィルター処理が省略され、メッセージはそのまま配信されました。Filtering was skipped and the message was let through because it was sent from an address on an individual's safe sender list.
SFV:BLKSFV:BLK
メッセージが個人の受信拒否リスト上のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。Filtering was skipped and the message was blocked because it was sent from an address on an individual's blocked sender list.
ヒント: エンド ユーザーが差出人セーフ リストと受信拒否リストを作成する方法については、「 ブロックまたは許可 (迷惑メール設定)」 (OWA) と「迷惑メール フィルターの概要」 (Outlook) を参照してください。Tip: For more information about how end users can create safe and blocked sender lists, see Block or allow (junk email settings) (OWA) and Overview of the Junk Email Filter (Outlook).
IPV:CALIPV:CAL
このメッセージの IP アドレスは接続フィルターの IP 許可一覧に指定されているため、スパム フィルターの通過を許可されました。The message was allowed through the spam filters because the IP address was specified in an IP Allow list in the connection filter.
IPV:NLIIPV:NLI
IP アドレスが IP 評価リストに掲載されていませんでした。The IP address was not listed on any IP reputation list.
SFV:SPMSFV:SPM
コンテンツ フィルターによって、メッセージがスパムとしてマークされました。The message was marked as spam by the content filter.
SFV:SKSSFV:SKS
コンテンツ フィルターによって処理される前に、メッセージがスパムとしてマークされました。これには、メッセージを自動的にスパムとしてマークし、他のすべてのフィルター処理を省略するトランスポート ルールに適合したメッセージが含まれます。The message was marked as spam prior to being processed by the content filter. This includes messages where the message matched a Transport rule to automatically mark it as spam and bypass all additional filtering.
SFV:SKASFV:SKA
メッセージは、スパム フィルター ポリシーの許可リスト ( 送信者の許可リストなど) と一致したため、フィルタリングをスキップして受信トレイに配信されました。The message skipped filtering and was delivered to the inbox because it matched an allow list in the spam filter policy, such as the Sender allow list.
SFV:SKBSFV:SKB
メッセージは、スパム フィルター ポリシーの拒否リスト ( 送信者の拒否リストなど) と一致したため、スパムとしてマークされました。The message was marked as spam because it matched a block list in the spam filter policy, such as the Sender block list.
SFV:SKNSFV:SKN
コンテンツ フィルターによって処理される前に、メッセージが非スパムとしてマークされました。これには、メッセージを自動的に非スパムとしてマークし、他のすべてのフィルター処理を省略するトランスポート ルールに適合したメッセージが含まれます。The message was marked as non-spam prior to being processed by the content filter. This includes messages where the message matched a transport rule to automatically mark it as non-spam and bypass all additional filtering.
SFV:SKISFV:SKI
SFV:SKN と同様に、メッセージはテナント内の組織内電子メールであるなどの別の理由でフィルター処理が省略されました。Similar to SFV:SKN, the message skipped filtering for another reason such as being intra-organizational email within a tenant.
SFV:SKQSFV:SKQ
メッセージは検疫から解放され、目的の受信者に送信されました。The message was released from the quarantine and was sent to the intended recipients.
SFV:NSPMSFV:NSPM
メッセージがスパムではないとしてマークされ、意図された受信者に送信されました。The message was marked as non-spam and was sent to the intended recipients.
H:[helostring]H: [helostring]
接続元のメール サーバーの HELO または EHLO 文字列。The HELO or EHLO string of the connecting mail server.
PTR:[ReverseDNS]PTR: [ReverseDNS]
逆引き DNS アドレスとも呼ばれる、送信元の IP アドレスの PTR レコード (またはポインター レコード)。The PTR record, or pointer record, of the sending IP address, also known as the reverse DNS address.
SFTYSFTY
メッセージは、フィッシング詐欺として識別され、も、次の値のいずれかでマークされます。The message was identified as phishing and will also be marked with one of the following values:
9.1 の既定値です。メッセージは、フィッシング詐欺の URL が含まれています、その他のフィッシング詐欺の内容が含まれている可能性があります。 または可能性がありますとマークされているフィッシング詐欺の設置型バージョンの Exchange Server などの別のメール フィルターにより Office 365 にメッセージを中継する前に。9.1 - Default value. The message contains a phishing URL, may contain other phishing content, or may have been marked as phishing by another mail filter such as an on-premises version of Exchange Server before relaying the message to Office 365.
9.11 - は、メッセージがスプーフィング対策の確認に失敗しました。 どこから送信側のドメイン: ヘッダーが同じに合わせて、または受信側のドメインと同じ組織の一部であります。9.11 - Message failed anti-spoofing checks where the sending domain in the From: header is the same as, or aligns with, or is part of the same organization as the receiving domain.
9.21 - スプーフィング対策のチェックと送信側ドメインからのメッセージが失敗しました: ヘッダーの認証は行いません。CompAuth との組み合わせで使用されている (認証の結果を参照してください)。9.21 - Message failed anti-spoofing checks and the sending domain in the From: header does not authenticate. Used in combination with CompAuth (see Authentication-Results).
9.22 - ユーザーがオーバーライドされた差出人セーフ リストを持っていることを除いて、9.21 と同じです。9.22 - Same as 9.21, except that the user has a safe sender that was overridden.
9.23 - 組織には、許可された送信者またはドメインがオーバーライドされることを除いて、9.22 と同じです。9.23 - Same as 9.22, except that the organization has an allowed sender or domain that was overridden.
9.24 - 9.23 と同じユーザーがルールを Exchange メール フローを持っていることを除いてが上書きされました。9.24 - Same as 9.23, except that the user has an Exchange mail flow rule that was overridden.
X-CustomSpam:[ASFOption]X-CustomSpam: [ASFOption]
メッセージには、高度なスパム フィルターのオプションが一致します。たとえば、 X CustomSpam: イメージをリモート ・ サイトへのリンク****のリモート ・ サイトへの画像リンクの ASF のオプションが一致したことを示します。X ヘッダー テキストはそれぞれ特定の ASF オプションの追加については、高度な迷惑メール フィルターのオプションを参照してください。The message matched an advanced spam filtering option. For example, X-CustomSpam: Image links to remote sites denotes that the Image links to remote sites ASF option was matched. To find out which X-header text is added for each specific ASF option, see Advanced spam filtering options.

X-Microsoft-Antispam メッセージ ヘッダー フィールドX-Microsoft-Antispam message header fields

次の表に、 X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。The following table describes useful fields in the X-Microsoft-Antispam message header. Other fields in this header are used exclusively by the Microsoft anti-spam team for diagnostic purposes.

ヘッダー フィールドHeader field
説明Description
BCLBCL
メッセージの Bulk Complaint Level (BCL)。詳細については、「バルク苦情レベルの値」を参照してください。 The Bulk Complaint Level (BCL) of the message. For more information, see Bulk Complaint Level values.
PCLPCL
メッセージの Phishing Confidence Level (PCL)。これは、そのメッセージがフィッシング メッセージかどうかを示します。 The Phishing Confidence Level (PCL) of the message, which indicates whether it's a phishing message.
この状態は、次のいずれかの数値として返されます。This status can be returned as one of the following numerical values:
0-3 は、メッセージの内容がフィッシングである可能性が低いことを示します。0-3 The message's content isn't likely to be phishing.
4-8 は、メッセージの内容がフィッシングである可能性が高いことを示します。4-8 The message's content is likely to be phishing.
-9990 (Exchange Online Protection のみ) は、メッセージの内容がフィッシングである可能性が低いことを示します。-9990 (Exchange Online Protection only) The message's content is likely to be phishing.
これらの値は、電子メール クライアントがメッセージに対して実行するアクションを決めるために使用されます。たとえば、Microsoft Office Outlook は PCL スタンプを使用して、疑わしいメッセージの内容をブロックします。フィッシングについてと、Outlook がフィッシング メッセージを処理する方法の詳細については、「 電子メール メッセージ内のリンクを有効または無効にする」を参照してください。 The values are used to determine what action your email client takes on messages. For example, Microsoft Office Outlook uses the PCL stamp to block the content of suspicious messages. For more information about phishing, and how Outlook processes phishing messages, see Turn on or off links in email messages.

Authentication-results メッセージ ヘッダーAuthentication-results message header

メール サーバーが電子メール メッセージを受信すると、SPF、DKIM、および DMARC に対するチェックの結果が Office 365 によって、 Authentication-results メッセージ ヘッダーに記録またはスタンプされます。The results of checks against SPF, DKIM, and DMARC are recorded, or stamped, by Office 365 in the Authentication-results message header when our mail servers receive an email message.

check stamp 構文と例check stamp syntax and examples

次に示す構文の例では、Office 365 がメール サーバーでの受信時に電子メールの認証チェックを受ける各メールのメッセージ ヘッダーに適用するテキスト "スタンプ" の一部を示しています。このスタンプは Authentication-Results ヘッダーに追加されます。The following syntax examples show a portion of the text "stamp" that Office 365 applies to the message header for each email that undergoes an email authentication check when it is received by our mail servers. The stamp is added to the Authentication-Results header.

構文:SPF check stampSyntax: SPF check stamp

SPF の場合は、次の構文を適用します。For SPF, the following syntax applies.

spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

例:SPF check stampExamples: SPF check stamp

spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

構文:DKIM check stampSyntax: DKIM check stamp

DKIM の場合は、次の構文を適用します。For DKIM, the following syntax applies.

dkim=<pass|fail (reason)|none> header.d=<domain>

例:DKIM check stampExamples: DKIM check stamp

dkim=pass (signature was verified) header.d=contoso.com
dkim=fail (body hash did not verify) header.d=contoso.com

構文:DMARC check stampSyntax: DMARC check stamp

DMARC の場合は、次の構文を適用します。For DMARC, the following syntax applies.

dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

例:DMARC check stampExamples: DMARC check stamp

dmarc=pass action=none header.from=contoso.com
dmarc=bestguesspass action=none header.from=contoso.com
dmarc=fail action=none header.from=contoso.com
dmarc=fail action=oreject header.from=contoso.com

Office 365 の電子メールの認証で使用される Authentication-results メッセージ ヘッダー フィールドAuthentication-results message header fields used by Office 365 email authentication

フィールドと各電子メールの認証チェックに使用できる値を次の表に示します。This table describes the fields and possible values for each email authentication check.

ヘッダー フィールドHeader field 説明Description
spfspf
メッセージの SPF チェックの結果についての説明。次の値を指定できます。 Describes the results of the SPF check for the message. Possible values include:
pass (IP アドレス) は、メッセージの SPF チェックにパスしたことを示します。送信者の IP アドレスが含まれます。送信の許可、または送信者のドメインに代わっての電子メールを中継する許可がクライアントに与えられます。 pass (IP address) indicates the SPF check for the message passed and includes the sender's IP address. The client is authorized to send or relay email on behalf of the sender's domain.
fail (IP アドレス) は、メッセージの SPF チェックに失敗したことを示します。送信者の IP アドレスが含まれます。Hard Fail ともいいます。 fail (IP address) indicates the SPF check for the message failed and includes the sender's IP address. This is sometimes called hard fail.
softfail (理由) は、SPF レコードがホストを、送信が認められたものではなく、切り替えとして指定したことを示します。softfail (reason) indicates that the SPF record has designated the host as not being allowed to send but is in transition.
neutral は、IP アドレスが許可されているかどうかをアサートしていないことを、 SPF レコードが明示的に宣言したことを示します。neutral indicates that the SPF record has explicitly stated that it is not asserting whether the IP address is authorized.
none は、ドメインに SPF レコードがないか、SPF レコードが結果に対して評価されないことを示します。none indicates that the domain does not have an SPF record or the SPF record does not evaluate to a result.
temperror は、DNS エラーなど、実際には一時的なものの可能性があるエラーが発生したことを示します。 管理者がなんらかのアクションを実行しなくても、後で再試行すれば成功する場合があります。 temperror indicates that an error has occurred that may be temporary in nature, for example, a DNS error. Trying again later might succeed without any administrator action.
permerror は、永続的なエラーが発生したことを示します。これは、ドメインに不正な形式の SPF レコードがある場合に発生します。 permerror indicates that a permanent error has occurred. This happens when, for example, the domain has a badly formatted SPF record.
smtp.mailfromsmtp.mailfrom
メッセージが送信された送信元のドメインを含みます。この電子メール メッセージに関するすべてのエラーは、ポスト マスターまたはドメインを担当するエンティティに送信されます。これは、メッセージ エンベロープの 5321.MailFrom アドレスまたはリバースパス アドレスとも呼ばれます。Contains the source domain from which the message was sent. Any errors about this email message will be sent to the postmaster or the entity responsible for the domain. This is sometimes called the 5321.MailFrom address or the reverse-path address on the message envelope.
dkimdkim
メッセージの DKIM チェックの結果についての説明。次の値を指定できます。 Describes the results of the DKIM check for the message. Possible values include:
pass は、メッセージの DKIM チェックにパスしたことを示します。pass indicates the DKIM check for the message passed.
fail (理由) メッセージの DKIM チェックに失敗したことと、その理由を示します。たとえば、メッセージが署名されていなかったり、署名を確認できない場合です。 fail (reason) indicates the DKIM check for the message failed and why. For example, if the message was not signed or the signature was not verified.
none メッセージが署名されていないことを示します。これは、ドメインに DKIM レコードがあるかどうかや、DKIM レコードが結果を評価しない (このメッセージが署名されていない点のみ) ことを示しますが、これらを示さない場合もあります。 none indicates that the message was not signed. This may or may not indicate that the domain has a DKIM record or the DKIM record does not evaluate to a result, only that this message was not signed.
header.dheader.d
DKIM 署名で識別されるドメイン (存在する場合)。 これは、公開キーを照会するドメインです。Domain identified in the DKIM signature if any. This is the domain that's queried for the public key.
dmarcdmarc
メッセージの DMARC チェックの結果についての説明。次の値を指定できます。 Describes the results of the DMARC check for the message. Possible values include:
pass は、メッセージの DMARC チェックにパスしたことを示します。pass indicates the DMARC check for the message passed.
fail は、メッセージの DMARC チェックに失敗したことを示します。fail indicates the DMARC check for the message failed.
bestguesspass は、ドメインの DMARC TXT レコードが存在しないことを示します。ただし、レコードが存在していた場合、メッセージの DMARC チェックはパスしていたことになります。これは、5321.MailFrom アドレスのドメインが、5322.From アドレスのドメインと一致するためです。 bestguesspass indicates that no DMARC TXT record for the domain exists, but if one had existed, the DMARC check for the message would have passed. This is because the domain in the 5321.MailFrom address matches the domain in the 5322.From address.
none は、DNS に送信側ドメインの DKIM TXT レコードが存在していないことを示します。none indicates that no DKIM TXT record exists for the sending domain in DNS.
actionaction
DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。例: Indicates the action taken by the spam filter based on the results of the DMARC check. For example:
permerror は、DMARC の評価時に永続的なエラーが発生したことを示します (DNS で正しくない形式の DMARC TXT レコードが見つかった場合など)。このメッセージを再送信しようとしても、結果が異なる可能性はほとんどありません。その代わりに、ドメインの所有者に問い合わせて問題を解決する必要があります。 permerror A permanent error occurred during DMARC evaluation, such as encountering an incorrectly formed DMARC TXT record in DNS. Attempting to resend this message isn't likely to end with a different result. Instead, you may need to contact the domain's owner in order to resolve the issue.
temperror は、DMARC の評価時に一時的なエラーが発生したことを示します。メールが正しく処理されるように、後でメッセージを再送信するように、送信者に要求することもできます。 temperror A temporary error occurred during DMARC evaluation. You may be able to request that the sender resend the message later in order to process the email properly.
oreject または o.reject 拒否の上書き (override reject) の略語。この場合、Office 365 は、ポリシーが p=reject に設定されている DMARC TXT レコードを持つドメインからの DMARC チェックに失敗したメッセージを受信したときに、このアクションを使用します。Office 365 はメッセージを削除または拒否する代わりに、スパムとしてメッセージにマークを付けます。このように Office 365 が構成されている理由の詳細については、「 Office 365 が DMARC に失敗した受信メールを処理する方法」を参照してください。 oreject or o.reject Stands for override reject. In this case Office 365 uses this action when it receives a message that fails the DMARC check from a domain whose DMARC TXT record has a policy of p=reject. Instead of deleting or rejecting the message, Office 365 marks the message as spam. For more information on why Office 365 is configured this way, see How Office 365 handles inbound email that fails DMARC.
pct.quarantine は、DMARC をパスできない、パーセンテージが 100% 未満のメッセージが配信されることを示します。これは、メッセージが DMARC に失敗してポリシーが検疫に設定されますが、pct フィールドは 100% に設定されず、システムは指定されたドメインのポリシーに従って、DMARC アクションを適用しないことをランダムに判断しているということです。 pct.quarantine Indicates that a percentage less than 100% of messages that do not pass DMARC will be delivered anyway. This means that the message failed DMARC and the policy was set to quarantine, but the pct field was not set to 100% and the system randomly determined not to apply the DMARC action, as per the specified domain's policy.
pct.reject DMARC をパスできない、パーセンテージが 100% 未満のメッセージが配信されることを示します。これは、メッセージが DMARC に失敗してポリシーが拒否に設定されますが、pct フィールドは 100% に設定されず、システムは指定されたドメインのポリシーに従って、DMARC アクションを適用しないことをランダムに判断しているということです。 pct.reject Indicates that a percentage less than 100% of messages that do not pass DMARC will be delivered anyway. This means that the message failed DMARC and the policy was set to reject, but the pct field was not set to 100% and the system randomly determined not to apply the DMARC action, as per the specified domain's policy.
header.fromheader.from
メール メッセージ ヘッダーの From アドレスのドメイン。5322.From アドレス ともいいます。The domain of the From address in the email message header. This is sometimes called the 5322.From address.
compauthcompauth
複合認証の結果です。認証 SPF、DKIM、DMARC、またはメッセージが認証済みかどうかを確認するメッセージの他の部分などの複数の種類を組み合わせるには、Office 365 で使用されます。From を使用して: 評価の基礎としてのドメインです。Composite authentication result. Used by Office 365 to combine multiple types of authentication such as SPF, DKIM, DMARC, or any other part of the message to determine whether or not the message is authenticated. Uses the From: domain as the basis of evaluation.
理由reason
理由複合認証は、合格または失敗します。理由の値は、3 桁の数字で構成されています。The reason the composite authentication passed or failed. The value for the reason is made up of three digits:
000 - メッセージに明示的に認証に失敗しました。たとえば、メッセージ検疫または拒否のアクションを伴う DMARC の失敗を受信しました。000 - The message explicitly failed authentication. For example, the message received a DMARC fail with an action of quarantine or reject.
001 - メッセージは認証では、暗黙的に失敗し、送信側のドメインは、認証ポリシーを公開できませんでした。ポリシーなどの DMARC の p = なし。001 - The message implicitly failed authentication, and the sending domain did not publish authentication policies. For example, a DMARC policy of p=none.
1 xx のメッセージには、認証が渡されます。次の 2 桁は、Office 365 で使用される内部のコードです。1xx - The message passed authentication. The second two digits are internal codes used by Office 365.
2 xx - メッセージ ソフト渡される認証します。次の 2 桁は、Office 365 で使用される内部のコードです。2xx - The message soft-passed authentication. The second two digits are internal codes used by Office 365.
3 xx - メッセージは、複合認証チェックされませんでした。3xx - The message was not checked for composite authentication.
4 xx - メッセージは、複合認証をバイパスします。次の 2 桁は、Office 365 で使用される内部のコードです。4xx - The message bypassed composite authentication. The second two digits are internal codes used by Office 365.