Berichtkoppen tegen ongewenste e-mail in Microsoft 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In alle Microsoft 365-organisaties scant Exchange Online Protection (EOP) alle inkomende berichten op spam, malware en andere bedreigingen. De resultaten van deze scans worden toegevoegd aan de volgende koptekstvelden in berichten:

  • X-Forefront-spam-rapport: bevat informatie over het bericht en hoe dit is verwerkt.
  • X-Microsoft-Antispam: bevat extra informatie over bulkmail en phishing.
  • Authentication-results: bevat informatie over SPF-, DKIM-en DMARC-resultaten (e-mailverificatie).

In dit artikel wordt beschreven wat er beschikbaar is in deze koptekstvelden.

Zie Internetberichtkoppen weergeven in Outlook voor meer informatie over het weergeven van een e-mailberichtkop in verschillende e-mailclients.

Tip

U kunt de inhoud van een berichtkop kopiëren en plakken in het hulpmiddel Message Header Analyzer. Met dit hulpprogramma kunt u headers parseren en deze een leesbare indeling geven.

Berichtkopvelden van de vorm X-Forefront-Antispam-Report

Nadat u de informatie in de kop van het bericht hebt, zoekt u de koptekst van het X-Forefront-Antispam-Report. Deze koptekst bevat meerdere veld- en waardeparen, gescheiden door puntkomma's (;). Bijvoorbeeld:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

De afzonderlijke velden en waarden worden beschreven in de volgende tabel.

Opmerking

De koptekst X-Forefront-Antispam-Report bevat vele verschillende velden en -waarden. Velden die niet worden beschreven in de tabel worden uitsluitend door het Microsoft-antispamteam voor diagnostische doeleinden gebruikt.

Veld Beschrijving
ARC Het ARC-protocol heeft de volgende velden:
  • AAR: hierin wordt de inhoud van de kop Authentication-results van DMARC vastgelegd.
  • AMS: bevat cryptografische handtekeningen van het bericht.
  • AS: bevat cryptografische handtekeningen van de berichtkoppen. Deze koptekst bevat een tag voor een ketenvalidatie met de naam "cv=", die het resultaat van de ketenvalidatie bevat als none, pass of fail.
CAT: De categorie van het beveiligingsbeleid dat wordt toegepast op het bericht:
  • AMP: anti-malware
  • BULK: bulk
  • DIMP: Domeinimitatie*
  • FTBP: Algemene bijlagefilter voor antimalware
  • GIMP: Imitatie van postvakintelligentie*
  • HPHSH of HPHISH: hoogstwaarschijnlijk phishing
  • HSPM: hoogstwaarschijnlijk spam
  • INTOS: Intra-Organization phishing
  • MALW: malware
  • OSPM: uitgaande spam
  • PHSH: phishing
  • SAP: Veilige bijlagen*
  • SPM: spam
  • SPOOF: spoofing
  • UIMP: Gebruikersimitatie*

*alleen Defender voor Office 365.

Een binnenkomend bericht kan worden gemarkeerd door meerdere vormen van beveiliging en meerdere detectiescans. Beleidsregels worden toegepast in een volgorde van prioriteit en het beleid met de hoogste prioriteit wordt eerst toegepast. Zie Welke beleidsregel wordt toegepast wanneer meerdere beveiligingswijzen en detectiescans op uw e-mail worden uitgevoerd? voor meer informatie.
CIP:[IP address] Het IP-verbindingsadres. U kunt dit IP-adres gebruiken in de IP-acceptatielijst of IP-blokkeringslijst. Zie Verbindingsfiltering configureren voor meer informatie.
CTRY Het bronland/de bronregio zoals bepaald door het IP-adres van de verbinding, dat mogelijk niet hetzelfde is als het oorspronkelijke verzendende IP-adres.
DIR De richtingsinstelling van het bericht:
  • INB: Binnenkomend bericht.
  • OUT: uitgaand bericht.
  • INT: Intern bericht.
H:[helostring] De HELO- of EHLO-tekenreeks van de verbindende e-mailserver.
IPV:CAL Het bericht is door het spamfilter overgeslagen omdat het bron-IP-adres in de IP-acceptatielijst vermeld staat. Zie Verbindingsfiltering configureren voor meer informatie.
IPV:NLI Het IP-adres is niet gevonden in een IP-reputatielijst.
LANG De taal waarin het bericht is geschreven, zoals opgegeven door de landcode (bijvoorbeeld ru_RU voor Russisch).
PTR:[ReverseDNS] De PTR-record (ook wel het omgekeerde DNS-adres genoemd) van het bron-IP-adres.
SCL De spamwaarschijnlijkheidswaarde (SCL) van het bericht. Hoe hoger de waarde, hoe groter de kans dat het bericht spam is. Zie Spamwaarschijnlijkheidswaarde (SCL) voor meer informatie.
SFTY Het bericht is geïdentificeerd als phishing en is ook gemarkeerd met een van de volgende waarden:
  • 9.19: domeinimitatie. Het verzendende domein probeert een beschermd domein na te bootsen. De beveiligingstip voor domeinimitatie wordt toegevoegd aan het bericht (als dit is ingeschakeld).
  • 9.20: gebruikersimitatie. De verzendende gebruiker probeert zich voor te doen als een gebruiker in de organisatie van de ontvanger of als een beveiligde gebruiker die vermeld staat in een antiphishingbeleid in Microsoft Defender voor Office 365. De beveiligingstip voor gebruikersimitatie wordt toegevoegd aan het bericht (als dit is ingeschakeld).
  • 9.25: Veiligheidstip bij eerste contact. Deze waarde is eventueel een indicatie voor een verdacht of phishingbericht. Zie Veiligheidstip bij eerste contact voor meer informatie.
SFV:BLK Filteren is overgeslagen en het bericht is geblokkeerd, omdat het is verzonden vanaf een adres in de lijst met geblokkeerde afzenders van een gebruiker.

Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online-postvakken voor meer informatie over de manier waarop beheerders de lijst met geblokkeerde afzenders van een gebruiker kunnen beheren.
SFV:NSPM Spamfilters hebben het bericht gemarkeerd als niet-spam en het bericht is verzonden naar de beoogde geadresseerden.
SFV:SFE Filteren is overgeslagen en het bericht is toegestaan, omdat het is verzonden vanaf een adres in de lijst met veilige afzenders van een gebruiker.

Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online-postvakken voor meer informatie over de manier waarop beheerders de lijst met veilige afzenders van een gebruiker kunnen beheren.
SFV:SKA Het bericht is door het spamfilter overgeslagen en is bezorgd in het Postvak IN, omdat de afzender voorkomt in de lijst met toegestane afzenders of de lijst met toegestane domeinen in een antispambeleidsregel. Zie Antispambeleid configureren voor meer informatie.
SFV:SKB Het bericht is gemarkeerd als spam, omdat de afzender overeenkomt met een afzender in de lijst met geblokkeerde afzenders of de lijst met geblokkeerde domeinen in een antispambeleidsregel. Zie Antispambeleid configureren voor meer informatie.
SFV:SKN Het bericht is gemarkeerd als niet-spam voordat het werd verwerkt door spamfilters. Het bericht is bijvoorbeeld gemarkeerd als SCL-1 of spamfilter niet toepassen door een regel voor de e-mailstroom.
SFV:SKQ Het bericht is vrijgegeven uit quarantaine en is verzonden naar de beoogde geadresseerden.
SFV:SKS Het bericht is gemarkeerd als spam voordat het werd verwerkt door spamfilters. Het bericht is bijvoorbeeld gemarkeerd als SCL 5 tot en met 9 door een regel voor de e-mailstroom.
SFV:SPM Het bericht is gemarkeerd als spam door het spamfilter.
SRV:BULK Het bericht is geïdentificeerd als bulk-e-mail door het spamfilter en de drempelwaarde van het bulkklachtniveau (BCL). Als parameter MarkAsSpamBulkMailOn is (standaard ingeschakeld), wordt een bulk-e-mailbericht gemarkeerd als spam (SCL 6). Zie Antispambeleid configureren voor meer informatie.
X-CustomSpam: [ASFOption] Het bericht komt overeen met een instelling voor Geavanceerd spamfilter (ASF). Zie Instellingen voor geavanceerd spamfilter (ASF) als u de waarde van de X-header voor elke ASF-instelling wilt zien.

Opmerking: ASF voegt X-headervelden toe X-CustomSpam: aan berichten nadat de berichten zijn verwerkt door Exchange-e-mailstroomregels (ook wel transportregels genoemd), zodat u geen e-mailstroomregels kunt gebruiken om berichten te identificeren en erop te reageren die zijn gefilterd op ASF.

Berichtkopvelden van de vorm X-Microsoft-Antispam

In de volgende tabel worden nuttige velden in de berichtkop X-Microsoft-Antispam beschreven. Andere velden in deze kop worden uitsluitend door het Microsoft-antispamteam voor diagnostische doeleinden gebruikt.

Veld Beschrijving
BCL Het bulkklachtniveau (BCL) van het bericht. Een hogere BCL duidt op een bulk-e-mailbericht en levert vermoedelijk meer klachten op (en is dus vermoedelijk spam). Zie Bulkklachtniveau (BCL) in EOP voor meer informatie.

Berichtkop Authentication-results

De resultaten van e-mailverificatie worden gecontroleerd op SPF, DKIM en DMARC, en worden vastgelegd in de berichtkop Authentication-results in binnenkomende berichten. De header Verificatieresultaten is gedefinieerd in RFC 7001.

In de volgende lijst vindt u een beschrijving van de tekst die wordt toegevoegd aan de koptekst Authentication-results voor elk type e-mailverificatie:

  • SPF gebruikt de volgende syntaxis:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Bijvoorbeeld:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM gebruikt de volgende syntaxis:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Bijvoorbeeld:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC gebruikt de volgende syntaxis:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Bijvoorbeeld:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Velden berichtkop Authentication-results

In de volgende tabel worden de velden en mogelijke waarden voor elke e-mailverificatie beschreven.

Veld Beschrijving
action Hiermee wordt aangegeven welke actie door het spamfilter is uitgevoerd op basis van de resultaten van de DMARC-controle. Bijvoorbeeld:
  • pct.quarantine: Geeft aan dat een percentage van minder dan 100% van de berichten die niet door DMARC komen toch worden bezorgd. Dit resultaat betekent dat het bericht DMARC heeft mislukt en dat het DMARC-beleid is ingesteld op p=quarantine. Maar het pct-veld is niet ingesteld op 100%, en het systeem heeft willekeurig vastgesteld dat de DMARC-actie niet wordt toegepast volgens het DMARC-beleid van het opgegeven domein.
  • pct.reject: Geeft aan dat een percentage van minder dan 100% van de berichten die niet door DMARC komen toch worden bezorgd. Dit resultaat betekent dat het bericht DMARC heeft mislukt en dat het DMARC-beleid is ingesteld op p=reject. Maar het pct-veld is niet ingesteld op 100% en het systeem heeft willekeurig vastgesteld dat de DMARC-actie niet wordt toegepast volgens het DMARC-beleid van het opgegeven domein.
  • permerror: er is een permanente fout opgetreden tijdens de DMARC-evaluatie, zoals het aantreffen van een onjuist gevormde DMARC TXT-record in DNS. Het opnieuw verzenden van dit bericht, leidt hoogstwaarschijnlijk tot hetzelfde resultaat. In plaats daarvan moet u mogelijk contact opnemen met de eigenaar van het domein om het probleem op te lossen.
  • temperror: er is een tijdelijke fout opgetreden tijdens de DMARC-evaluatie. Mogelijk kunt u de afzender vragen het bericht later opnieuw te verzenden om het e-mailbericht correct te verwerken.
compauth Resultaat van samengestelde verificatie. Wordt gebruikt door Microsoft 365 om meerdere typen verificatie (SPF, DKIM en DMARC) of een ander deel van het bericht te combineren om te bepalen of het bericht al dan niet is geverifieerd. Hierbij wordt het domein Van: gebruikt als basis voor de evaluatie. Opmerking: Ondanks een compauth fout is het bericht mogelijk nog steeds toegestaan als andere evaluaties geen verdacht karakter aangeven.
dkim Beschrijft de resultaten van de DKIM-controle van het bericht. Mogelijke waarden zijn:
  • pass: hiermee wordt aangegeven dat de DKIM-controle van het bericht is geslaagd.
  • fail (reden): hiermee wordt aangegeven dat de DKIM-controle van het bericht is mislukt en de reden waarom. Bijvoorbeeld als het bericht niet is ondertekend of de handtekening niet is geverifieerd.
  • none: geeft aan dat het bericht niet is ondertekend. Dit resultaat kan er al dan niet op duiden dat het domein een DKIM-record heeft of dat de DKIM-record geen resultaat oplevert.
dmarc Beschrijft de resultaten van de DMARC-controle van het bericht. Mogelijke waarden zijn:
  • pass: hiermee wordt aangegeven dat de DMARC-controle van het bericht is geslaagd.
  • fail: hiermee wordt aangegeven dat de DMARC-controle van het bericht is mislukt.
  • bestguesspass: geeft aan dat er geen DMARC TXT-record bestaat voor het domein. Als het domein een DMARC TXT-record had, zou de DMARC-controle op het bericht zijn geslaagd.
  • none: hiermee wordt aangegeven dat er geen DMARC TXT-record aanwezig is voor het verzendende domein in DNS.
header.d Domein dat is geïdentificeerd in de DKIM-handtekening, voor zover aanwezig. Dit is het domein waarop een query wordt uitgevoerd voor de openbare sleutel.
header.from Het domein van het 5322.From-adres de berichtkop van het e-mailbericht (ook wel Van-adres of P2-afzender genoemd). Geadresseerden zien het Van-adres in e-mailclients.
reason De reden waarom de samengestelde verificatie is geslaagd of mislukt. De waarde is een code van drie cijfers. Bijvoorbeeld:
  • 000: het bericht heeft de verificatie expliciet niet doorstaan (compauth=fail). Het bericht heeft bijvoorbeeld een DMARC-fout ontvangen en de DMARC-beleidsactie is p=quarantine of p=reject.
  • 001: het bericht heeft impliciete verificatie niet doorstaan (compauth=fail). Dit resultaat betekent dat voor het verzendende domein geen e-mailverificatierecords zijn gepubliceerd, of dat er een zwakker foutbeleid is (SPF ~all of ?all, of een DMARC-beleid van p=none).
  • 002: de organisatie heeft een beleid voor het afzender/domein-paar dat expliciet is uitgesloten van het verzenden van vervalste e-mail. Een beheerder configureert deze instelling handmatig.
  • 010: Het bericht dmARC is mislukt, de DMARC-beleidsactie is p=reject of p=quarantineen het verzendende domein is een van de geaccepteerde domeinen van uw organisatie (zelf-naar-zelf of spoofing binnen de organisatie).
  • 1xx of 7xx: het bericht heeft de verificatie doorstaan (compauth=pass). De twee laatste cijfers zijn interne codes die voor Microsoft 365 worden gebruikt.
  • 2xx: het bericht heeft de verificatie doorstaan met resultaat 'soft-pass' (compauth=softpass). De twee laatste cijfers zijn interne codes die voor Microsoft 365 worden gebruikt.
  • 3xx: Het bericht is niet gecontroleerd op samengestelde verificatie (compauth=none).
  • 4xx of 9xx: het bericht heeft samengestelde verificatie omzeild (compauth=none). De twee laatste cijfers zijn interne codes die voor Microsoft 365 worden gebruikt.
  • 6xx: Het bericht mislukte impliciete e-mailverificatie en het verzendende domein is een van de geaccepteerde domeinen van uw organisatie (zelf-naar-zelf of spoofing binnen de organisatie).
smtp.mailfrom Het domein van het 5321.MailFrom-adres (ook wel MAIL FROM-adres, P1-afzender of envelopafzender genoemd). Dit e-mailadres wordt gebruikt voor rapporten over niet-bezorging (ook wel NDR's of niet-bezorgde berichten genoemd).
spf Beschrijft de resultaten van de SPF-controle van het bericht. Mogelijke waarden zijn:
  • pass (IP address): de SPF-check van het bericht is geslaagd, en het bevat het IP-adres van de afzender. De client wordt geautoriseerd e-mail te verzenden of door te sturen namens het domein van de afzender.
  • fail (IP address): de SPF-check van het bericht is mislukt, en het bevat het IP-adres van de afzender. Dit resultaat wordt ook wel hard fail genoemd.
  • softfail (reason): door het SPF-record is bepaald dat de host niet mag verzenden, maar dat deze zich in een overgangsfase bevindt.
  • neutral: De SPF-record geeft expliciet aan dat niet wordt gecontroleerd of het IP-adres is geautoriseerd om te verzenden.
  • none: het domein geen SPF-record heeft of het SPF-record leidt niet tot een resultaat.
  • temperror: er is een tijdelijke fout opgetreden. Bijvoorbeeld een DNS-fout. Dezelfde controle kan mogelijk later wel worden uitgevoerd.
  • permerror: er is een permanente fout opgetreden. Het domein heeft bijvoorbeeld een foutief ingedeeld SPF-record.