Meldingshoder for søppelpost i Microsoft 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I alle Microsoft 365-organisasjoner skanner Exchange Online Protection (EOP) alle innkommende meldinger etter søppelpost, skadelig programvare og andre trusler. Resultatene av disse skanningene legges til i følgende topptekstfelt i meldinger:

  • X-Forefront-Antispam-Report: Inneholder informasjon om meldingen og om hvordan den ble behandlet.
  • X-Microsoft-Antispam: Inneholder tilleggsinformasjon om masseutsendelse av e-post og phishing.
  • Godkjenningsresultater: Inneholder informasjon om resultater for SPF, DKIM og DMARC (e-postgodkjenning).

Denne artikkelen beskriver hva som er tilgjengelig i disse topptekstfeltene.

Hvis du vil ha informasjon om hvordan du viser et e-postmeldingshode i ulike e-postklienter, kan du se Vis meldingshoder på Internett i Outlook.

Tips

Du kan kopiere og lime inn innholdet i et meldingshode i verktøyet For meldingshodeanalyse . Dette verktøyet bidrar til å analysere topptekster og legge dem i et mer lesbart format.

Meldingshodefelt for X-Forefront-Antispam-Report

Når du har meldingshodeinformasjonen, finner du toppteksten X-Forefront-Antispam-Report . Det finnes flere felt- og verdipar i denne overskriften atskilt med semikolon (;). Eksempel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

De individuelle feltene og verdiene er beskrevet i tabellen nedenfor.

Obs!

Toppteksten X-Forefront-Antispam-Report inneholder mange forskjellige felt og verdier. Felt som ikke er beskrevet i tabellen, brukes utelukkende av Microsofts søppelpostteam til diagnoseformål.

Felt Beskrivelse
ARC Protokollen ARC har følgende felt:
  • AAR: Registrerer innholdet i toppteksten for godkjenningsresultater fra DMARC.
  • AMS: Inkluderer kryptografiske signaturer av meldingen.
  • AS: Inkluderer kryptografiske signaturer for meldingshodene. Dette feltet inneholder en kode for en kjedevalidering kalt "cv=", som inkluderer resultatet av kjedevalideringen som ingen, bestått eller mislykket.
CAT: Kategorien for beskyttelsespolicyen som brukes på meldingen:
  • AMP: Anti-malware
  • BULK:Bulk
  • DIMP: Domenerepresentasjon*
  • FTBP: Filter for vanlige vedlegg for skadelig programvare
  • GIMP: Etterligning av postboksintelligens*
  • HPHSH eller HPHISH: Phishing med høy visshet
  • HSPM: Søppelpost med høy visshet
  • INTOS: Intra-Organization phishing
  • MALW:Malware
  • OSPM: Utgående søppelpost
  • PHSH:Phishing
  • SAP: Klarerte vedlegg*
  • SPM:Spam
  • SPOOF:Etterligning
  • UIMP: Brukerrepresentasjon*

*bare Defender for Office 365.

En innkommende melding kan flagges av flere former for beskyttelse og skanning av flere gjenkjenninger. Policyer brukes i en prioritetsrekkefølge, og policyen med høyest prioritet brukes først. Hvis du vil ha mer informasjon, kan du se Hvilken policy som gjelder når flere beskyttelsesmetoder og gjenkjenningsskanninger kjører på e-posten din.
CIP:[IP address] IP-adressen som kobles til. Du kan bruke denne IP-adressen i ip-tillatelseslisten eller IP-blokkeringslisten. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkoblingsfiltrering.
CTRY Kildelandet/-området som bestemmes av IP-adressen for tilkoblingen, som kanskje ikke er den samme som den opprinnelige IP-adressen som sendes.
DIR Meldingsretningen:
  • INB: Inngående melding.
  • OUT: Utgående melding.
  • INT: Intern melding.
H:[helostring] HELO- eller EHLO-strengen for den koblede e-postserveren.
IPV:CAL Meldingen hoppet over søppelpostfiltrering fordi kilde-IP-adressen var i listen over tillatte IP-adresser. Hvis du vil ha mer informasjon, kan du se Konfigurere tilkoblingsfiltrering.
IPV:NLI Ip-adressen ble ikke funnet på noen IP-omdømmeliste.
LANG Språket som meldingen ble skrevet i, som angitt av landskoden (for eksempel ru_RU for russisk).
PTR:[ReverseDNS] PTR-posten (også kjent som det omvendte DNS-oppslaget) for kilde-IP-adressen.
SCL Søppelpost-konfidensnivået (SCL) for meldingen. En høyere verdi indikerer at det er mer sannsynlig at meldingen er søppelpost. Hvis du vil ha mer informasjon, kan du se SCL (Spam Confidence Level).
SFTY Meldingen ble identifisert som phishing og er også merket med én av følgende verdier:
  • 9.19: Domenerepresentasjon. Avsenderdomenet prøver å representere et beskyttet domene. Sikkerhetstipset for domenerepresentasjon legges til i meldingen (hvis den er aktivert).
  • 9.20: Brukerrepresentasjon. Avsenderen prøver å representere en bruker i mottakerens organisasjon, eller en beskyttet bruker som er angitt i en policy for anti-phishing i Microsoft Defender for Office 365. Sikkerhetstipset for brukerrepresentasjon legges til i meldingen (hvis den er aktivert).
  • 09.25: Sikkerhetstips for første kontakt. Denne verdien kan være en indikasjon på en mistenkelig eller phishing-melding. Hvis du vil ha mer informasjon, kan du se Sikkerhetstips for første kontakt.
SFV:BLK Filtrering ble hoppet over, og meldingen ble blokkert fordi den ble sendt fra en adresse i en brukers liste over blokkerte avsendere.

Hvis du vil ha mer informasjon om hvordan administratorer kan administrere en brukers liste over blokkerte avsendere, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.
SFV:NSPM Søppelpostfiltrering merket meldingen som ikke-pam, og meldingen ble sendt til de tiltenkte mottakerne.
SFV:SFE Filtrering ble hoppet over, og meldingen ble tillatt fordi den ble sendt fra en adresse i en brukers liste over klarerte avsendere.

Hvis du vil ha mer informasjon om hvordan administratorer kan administrere en brukers liste over klarerte avsendere, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser.
SFV:SKA Meldingen hoppet over filtrering av søppelpost og ble levert til innboksen fordi avsenderen var i listen over tillatte avsendere eller en liste over tillatte domener i en policy for søppelpost. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost.
SFV:SKB Meldingen ble merket som søppelpost fordi den samsvarte med en avsender i listen over blokkerte avsendere eller blokkerte domener i en policy for søppelpost. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost.
SFV:SKN Meldingen ble merket som ikke-pam før behandling av søppelpostfiltrering. Meldingen ble for eksempel merket som SCL -1 eller Omgå filtrering av søppelpost etter en e-postflytregel.
SFV:SKQ Meldingen ble frigitt fra karantene og ble sendt til de tiltenkte mottakerne.
SFV:SKS Meldingen ble merket som søppelpost før behandling av søppelpostfiltrering. Meldingen ble for eksempel merket som SCL 5 til 9 av en e-postflytregel.
SFV:SPM Meldingen ble merket som søppelpost ved filtrering av søppelpost.
SRV:BULK Meldingen ble identifisert som masse-e-post ved filtrering av søppelpost og terskelen for masseklagenivå (BCL). Når parameteren MarkAsSpamBulkMail er On (den er aktivert som standard), merkes en masse-e-postmelding som søppelpost (SCL 6). Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for søppelpost.
X-CustomSpam: [ASFOption] Meldingen samsvarte med innstillingen Avansert søppelpostfilter (ASF). Hvis du vil se X-topptekstverdien for hver ASF-innstilling, kan du se innstillingene for Avansert søppelpostfilter (ASF).

Obs! ASF legger til X-CustomSpam: X-overskriftsfelt i meldinger etter at meldingene ble behandlet av regler for Exchange-e-postflyt (også kalt transportregler), slik at du ikke kan bruke regler for e-postflyt til å identifisere og behandle meldinger som ble filtrert etter ASF.

Meldingshodefelt for X-Microsoft-Antispam-melding

Tabellen nedenfor beskriver nyttige felt i meldingshodet X-Microsoft-Antispam . Andre felt i denne overskriften brukes utelukkende av Microsofts søppelpostteam til diagnoseformål.

Felt Beskrivelse
BCL Masseklagenivået (BCL) for meldingen. En høyere BCL indikerer at en masseutsendelse av e-postmeldinger er mer sannsynlig å generere klager (og er derfor mer sannsynlig å være søppelpost). Hvis du vil ha mer informasjon, kan du se Masseklagenivå (BCL) i EOP.

Meldingshode for godkjenningsresultater

Resultatene av e-postgodkjenningskontroller for SPF, DKIM og DMARC registreres (stemplet) i meldingshodet for godkjenningsresultater i innkommende meldinger. Overskriften for godkjenningsresultater er definert i RFC 7001.

Listen nedenfor beskriver teksten som er lagt til i overskriften Godkjenningsresultater for hver type e-postgodkjenningskontroll:

  • SPF bruker følgende syntaks:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Eksempel:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM bruker følgende syntaks:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Eksempel:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC bruker følgende syntaks:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Eksempel:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Meldingshodefelt for godkjenningsresultater

Tabellen nedenfor beskriver feltene og mulige verdier for hver kontroll av e-postgodkjenning.

Felt Beskrivelse
action Angir handlingen som utføres av søppelpostfilteret basert på resultatene av DMARC-kontrollen. Eksempel:
  • pct.quarantine: Angir at en prosentdel som er mindre enn 100 % av meldinger som ikke sender DMARC, leveres likevel. Dette resultatet betyr at meldingen mislyktes DMARC og DMARC-policyen ble satt til p=quarantine. Pct-feltet var imidlertid ikke satt til 100 %, og systemet bestemte seg tilfeldig for ikke å bruke DMARC-handlingen i henhold til DMARC-policyen for det angitte domenet.
  • pct.reject: Angir at en prosentdel som er mindre enn 100 % av meldinger som ikke sender DMARC, leveres likevel. Dette resultatet betyr at meldingen mislyktes DMARC og DMARC-policyen ble satt til p=reject. Pct-feltet ble imidlertid ikke satt til 100 % og systemet bestemte seg tilfeldig for ikke å bruke DMARC-handlingen i henhold til DMARC-policyen for det angitte domenet.
  • permerror: Det oppstod en permanent feil under DMARC-evaluering, for eksempel en feil utformet DMARC TXT-post i DNS. Forsøk på å sende denne meldingen på nytt vil sannsynligvis ikke ende med et annet resultat. I stedet må du kanskje kontakte eieren av domenet for å løse problemet.
  • temperror: Det oppstod en midlertidig feil under DMARC-evalueringen. Du kan kanskje be om at avsenderen sender meldingen på nytt senere for å behandle e-postmeldingen på riktig måte.
compauth Resultat for sammensatt godkjenning. Brukes av Microsoft 365 til å kombinere flere typer godkjenning (SPF, DKIM og DMARC) eller andre deler av meldingen for å avgjøre om meldingen er godkjent eller ikke. Bruker Fra:-domenet som grunnlag for evalueringen. Merk: Til tross for en compauth feil, kan meldingen fortsatt være tillatt hvis andre vurderinger ikke indikerer en mistenkelig natur.
dkim Beskriver resultatene av DKIM-kontrollen for meldingen. Mulige verdier inkluderer:
  • pass: Angir DKIM-kontrollen for meldingen som ble sendt.
  • fail (reason): Angir at DKIM-kontrollen for meldingen mislyktes, og hvorfor. Hvis meldingen for eksempel ikke var signert eller signaturen ikke ble bekreftet.
  • ingen: Angir at meldingen ikke var signert. Dette resultatet angir kanskje ikke at domenet har en DKIM-post, eller at DKIM-posten ikke evalueres til et resultat.
dmarc Beskriver resultatene av DMARC-kontrollen for meldingen. Mulige verdier inkluderer:
  • pass: Angir DMARC-kontrollen for meldingen som ble sendt.
  • mislykkes: Angir at DMARC-kontrollen for meldingen mislyktes.
  • bestguesspass: Angir at det ikke finnes noen DMARC TXT-post for domenet. Hvis domenet hadde en DMARC TXT-post, ville DMARC-kontrollen for meldingen ha passert.
  • ingen: Angir at det ikke finnes noen DMARC TXT-post for avsenderdomenet i DNS.
header.d Domene identifisert i DKIM-signaturen hvis aktuelt. Dette er domenet som spørres etter fellesnøkkelen.
header.from Domenet til 5322.From adressen i meldingshodet for e-postmeldingen (også kalt Fra-adressen eller P2-avsenderen). Mottakeren ser Fra-adressen i e-postklienter.
reason Årsaken til at den sammensatte godkjenningen ble sendt eller mislyktes. Verdien er en tresifret kode. Eksempel:
  • 000: Meldingen mislyktes eksplisitt godkjenning (compauth=fail). Meldingen mottok for eksempel en DMARC-feil, og DMARC-policyhandlingen er p=quarantine eller p=reject.
  • 001: Meldingen mislyktes implisitt godkjenning (compauth=fail). Dette resultatet betyr at avsenderdomenet ikke har publiserte poster for e-postgodkjenning, eller hvis de gjorde det, hadde de en svakere feilpolicy (SPF ~all eller ?all, eller en DMARC-policy for p=none).
  • 002: Organisasjonen har en policy for avsender-/domeneparet som eksplisitt ikke kan sende falsk e-post. En administrator konfigurerer denne innstillingen manuelt.
  • 010: Meldingen mislyktes DMARC, DMARC-policyhandlingen er p=reject eller p=quarantine, og avsenderdomenet er et av organisasjonens godtatte domener (selv-til-selv- eller intra-org-forfalskning).
  • 1xx eller 7xx: Meldingen ble sendt godkjenning (compauth=pass). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 2xx: Meldingen mykt sendt implisitt godkjenning (compauth=softpass). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 3xx: Meldingen ble ikke kontrollert for sammensatt godkjenning (compauth=none).
  • 4xx eller 9xx: Meldingen omgikk sammensatt godkjenning (compauth=none). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 6xx: Meldingen mislyktes implisitt e-postgodkjenning, og avsenderdomenet er et av organisasjonens godtatte domener (selv-til-selv- eller intra-org-forfalskning).
smtp.mailfrom Domenet til 5321.MailFrom adressen (også kjent som MAIL FROM-adresse, P1-avsender eller konvoluttavsender). Denne e-postadressen brukes for rapporter om manglende levering (også kjent som NDR-er eller returmeldinger).
spf Beskriver resultatene av SPF-kontrollen for meldingen. Mulige verdier inkluderer:
  • pass (IP address): SPF-kontrollen for meldingen som ble sendt, og inkluderer avsenderens IP-adresse. Klienten har tillatelse til å sende eller videresende e-post på vegne av avsenderens domene.
  • fail (IP address): SPF-kontrollen for meldingen mislyktes og inneholder avsenderens IP-adresse. Dette resultatet kalles noen ganger hardt mislykket.
  • softfail (reason): SPF-posten angir at verten ikke har tillatelse til å sende, men er i overgang.
  • neutral: SPF-posten sier eksplisitt at den ikke hevder om IP-adressen er autorisert til å sende.
  • none: Domenet har ikke en SPF-post, eller SPF-posten evalueres ikke til et resultat.
  • temperror: Det har oppstått en midlertidig feil. For eksempel en DNS-feil. Den samme kontrollen senere kan lykkes.
  • permerror: Det har oppstått en permanent feil. Domenet har for eksempel en dårlig formatert SPF-post.