Nagłówki wiadomości antyspamowych w usłudze Microsoft 365

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

We wszystkich organizacjach platformy Microsoft 365 Exchange Online Protection (EOP) skanuje wszystkie przychodzące wiadomości pod kątem spamu, złośliwego oprogramowania i innych zagrożeń. Wyniki tych skanów są dodawane do następujących pól nagłówka w komunikatach:

• X-Forefront-Antispam-Report: zawiera informacje o komunikacie i sposobie jego przetwarzania.
• X-Microsoft-Antispam: zawiera dodatkowe informacje na temat poczty zbiorczej i wyłudzania informacji.
• Wyniki uwierzytelniania: zawiera informacje o wynikach SPF, DKIM i DMARC (uwierzytelnianie za pośrednictwem poczty e-mail).

W tym artykule opisano, co jest dostępne w tych polach nagłówka.

Aby uzyskać informacje o sposobie wyświetlania nagłówka wiadomości e-mail w różnych klientach poczty e-mail, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.

Porada

Zawartość nagłówka komunikatu można skopiować i wkleić do narzędzia Analizator nagłówka wiadomości . To narzędzie pomaga przeanalizować nagłówki i umieścić je w bardziej czytelnym formacie.

Pola nagłówka komunikatu X-Forefront-Antispam-Report

Po wyświetleniu informacji nagłówka komunikatu znajdź nagłówek X-Forefront-Antispam-Report . W tym nagłówku istnieje wiele par pól i wartości rozdzielonych średnikami (;). Przykład:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Poszczególne pola i wartości są opisane w poniższej tabeli.

Uwaga

Nagłówek X-Forefront-Antispam-Report zawiera wiele różnych pól i wartości. Pola, które nie są opisane w tabeli, są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole	Opis
ARC	Protokół ARC zawiera następujące pola: AAR: rejestruje zawartość nagłówka Authentication-results z DMARC. AMS: zawiera sygnatury kryptograficzne komunikatu. AS: zawiera sygnatury kryptograficzne nagłówków wiadomości. To pole zawiera tag weryfikacji łańcucha o nazwie "cv=", który zawiera wynik weryfikacji łańcucha jako brak, przekazywanie lub niepowodzenie.
CAT:	Kategoria zasad ochrony zastosowana do komunikatu: AMP: Ochrona przed złośliwym oprogramowaniem BULK:Zbiorczego DIMP: Personifikacja domeny* FTBP: Filtr typowych załączników chroniących przed złośliwym oprogramowaniem GIMP: Personifikacja analizy skrzynki pocztowej* HPHSH lub HPHISH: Wyłudzanie informacji o wysokim poziomie ufności HSPM: Spam o wysokim poziomie ufności INTOS: wyłudzanie informacji Intra-Organization MALW:Złośliwego oprogramowania OSPM: Spam wychodzący PHSH:Phishing SAP: Bezpieczne załączniki* SPM:Spam SPOOF:Fałszowanie UIMP: Personifikacja użytkownika* *tylko Ochrona usługi Office 365 w usłudze Defender. Komunikat przychodzący może być oflagowany przez wiele form ochrony i wiele skanów wykrywania. Zasady są stosowane w kolejności pierwszeństwa, a zasady o najwyższym priorytecie są stosowane jako pierwsze. Aby uzyskać więcej informacji, zobacz Jakie zasady mają zastosowanie w przypadku uruchamiania wielu metod ochrony i skanowania wykrywania w wiadomości e-mail.
CIP:[IP address]	Łączący się adres IP. Tego adresu IP można użyć na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
CTRY	Kraj/region źródłowy określony przez łączący się adres IP, który może nie być taki sam jak źródłowy adres IP wysyłający.
DIR	Kierunek komunikatu: INB: Komunikat przychodzący. OUT: Komunikat wychodzący. INT: Komunikat wewnętrzny.
H:[helostring]	Ciąg HELO lub EHLO łączącego się serwera poczty e-mail.
IPV:CAL	Komunikat pominął filtrowanie spamu, ponieważ źródłowy adres IP znajduje się na liście dozwolonych adresów IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania połączeń.
IPV:NLI	Nie odnaleziono adresu IP na żadnej liście reputacji adresów IP.
LANG	Język, w jakim wiadomość została napisana zgodnie z kodem kraju (na przykład ru_RU dla języka rosyjskiego).
PTR:[ReverseDNS]	Rekord PTR (znany również jako odwrotne wyszukiwanie DNS) źródłowego adresu IP.
SCL	Poziom ufności spamu (SCL) wiadomości. Wyższa wartość wskazuje, że wiadomość jest bardziej prawdopodobna jako spam. Aby uzyskać więcej informacji, zobacz Poziom ufności spamu (SCL).
SFTY	Wiadomość została zidentyfikowana jako wyłudzająca informacje i jest również oznaczona jedną z następujących wartości: 9.19: Personifikacja domeny. Domena wysyłająca próbuje personifikować chronioną domenę. Wskazówka dotycząca bezpieczeństwa personifikacji domeny jest dodawana do komunikatu (jeśli jest włączona). 9.20: Personifikacja użytkownika. Wysyłający użytkownik próbuje personifikować użytkownika w organizacji odbiorcy lub chronionego użytkownika określonego w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender. Wskazówka dotycząca bezpieczeństwa dotycząca personifikacji użytkowników jest dodawana do komunikatu (jeśli jest włączona). 9.25: Pierwsza porada bezpieczeństwa kontaktu. Ta wartość może wskazywać na podejrzaną lub wyłudzającą informacje. Aby uzyskać więcej informacji, zobacz Porada dotycząca bezpieczeństwa pierwszego kontaktu.
SFV:BLK	Filtrowanie zostało pominięte, a komunikat został zablokowany, ponieważ został wysłany z adresu na liście zablokowanych nadawców użytkownika. Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą zablokowanych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.
SFV:NSPM	Filtrowanie spamu oznaczało wiadomość jako nonspam, a wiadomość została wysłana do zamierzonych adresatów.
SFV:SFE	Filtrowanie zostało pominięte, a komunikat był dozwolony, ponieważ został wysłany z adresu na liście bezpiecznych nadawców użytkownika. Aby uzyskać więcej informacji o tym, jak administratorzy mogą zarządzać listą bezpiecznych nadawców użytkownika, zobacz Konfigurowanie ustawień wiadomości-śmieci w Exchange Online skrzynkach pocztowych.
SFV:SKA	Wiadomość pominąła filtrowanie spamu i została dostarczona do skrzynki odbiorczej, ponieważ nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKB	Wiadomość została oznaczona jako spam, ponieważ pasowała do nadawcy na liście zablokowanych nadawców lub zablokowanych domen w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
SFV:SKN	Wiadomość została oznaczona jako nonspam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL -1 lub Pomiń filtrowanie spamu według reguły przepływu poczty.
SFV:SKQ	Wiadomość została zwolniona z kwarantanny i została wysłana do zamierzonych adresatów.
SFV:SKS	Wiadomość została oznaczona jako spam przed przetworzeniem przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako SCL od 5 do 9 przez regułę przepływu poczty.
SFV:SPM	Wiadomość została oznaczona jako spam przez filtrowanie spamu.
SRV:BULK	Wiadomość została zidentyfikowana jako zbiorcza wiadomość e-mail przez filtrowanie spamu i próg poziomu skarg zbiorczych (BCL). Gdy parametr MarkAsSpamBulkMail jest On (domyślnie włączony), zbiorcza wiadomość e-mail jest oznaczona jako spam (SCL 6). Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.
X-CustomSpam: [ASFOption]	Wiadomość była zgodna z ustawieniem zaawansowanego filtru spamu (ASF). Aby wyświetlić wartość nagłówka X dla każdego ustawienia asf, zobacz Ustawienia zaawansowanego filtru spamu (ASF). Uwaga: usługa ASF dodaje X-CustomSpam: pola nagłówka X do wiadomości po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na wiadomościach filtrowanych przez usługę ASF.

Pola nagłówka komunikatu X-Microsoft-Antispam

W poniższej tabeli opisano przydatne pola w nagłówku komunikatu X-Microsoft-Antispam . Inne pola w tym nagłówku są używane wyłącznie przez zespół ds. ochrony przed spamem firmy Microsoft do celów diagnostycznych.

Pole	Opis
BCL	Poziom skargi zbiorczej (BCL) komunikatu. Wyższa lista BCL wskazuje, że wiadomość e-mail zbiorcza jest bardziej skłonna do generowania skarg (i dlatego jest bardziej prawdopodobna jako spam). Aby uzyskać więcej informacji, zobacz Poziom skarg zbiorczych (BCL) w EOP.

Nagłówek komunikatu authentication-results

Wyniki kontroli uwierzytelniania poczty e-mail dla SPF, DKIM i DMARC są rejestrowane (ostemplowane) w nagłówku komunikatu Authentication-results w komunikatach przychodzących. Nagłówek Authentication-results jest zdefiniowany w dokumencie RFC 7001.

Na poniższej liście opisano tekst dodany do nagłówka Authentication-Results dla każdego typu sprawdzania uwierzytelniania poczty e-mail :

• SPF używa następującej składni:

  spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
  

  Przykład:

  spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
  
  spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
  

• Usługa DKIM używa następującej składni:

  dkim=<pass|fail (reason)|none> header.d=<domain>
  

  Przykład:

  dkim=pass (signature was verified) header.d=contoso.com
  
  dkim=fail (body hash did not verify) header.d=contoso.com
  

• Usługa DMARC używa następującej składni:

  dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
  

  Przykład:

  dmarc=pass action=none header.from=contoso.com
  
  dmarc=bestguesspass action=none header.from=contoso.com
  
  dmarc=fail action=none header.from=contoso.com
  
  dmarc=fail action=oreject header.from=contoso.com
  

Pola nagłówka komunikatu authentication-results

W poniższej tabeli opisano pola i możliwe wartości dla każdego sprawdzania uwierzytelniania poczty e-mail.

Pole	Opis
action	Wskazuje akcję podjętą przez filtr spamu na podstawie wyników sprawdzania DMARC. Przykład: pct.quarantine: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=quarantine. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny. pct.reject: wskazuje, że procent mniej niż 100% komunikatów, które nie przechodzą DMARC są dostarczane tak. Ten wynik oznacza, że komunikat nie powiodł się DMARC, a zasady DMARC zostały ustawione na p=reject. Jednak pole pct nie zostało ustawione na 100%, a system losowo postanowił nie stosować akcji DMARC zgodnie z zasadami DMARC określonej domeny. permerror: Wystąpił trwały błąd podczas oceny DMARC, taki jak napotkanie niepoprawnie utworzonego rekordu TXT DMARC w systemie DNS. Próba ponownego przesłania tej wiadomości prawdopodobnie nie zakończy się innym wynikiem. Zamiast tego może być konieczne skontaktowanie się z właścicielem domeny w celu rozwiązania problemu. temperror: Wystąpił tymczasowy błąd podczas oceny DMARC. Możesz zażądać, aby nadawca ponownie wysłał wiadomość później, aby prawidłowo przetworzyć wiadomość e-mail.
compauth	Wynik uwierzytelniania złożonego. Używany przez platformę Microsoft 365 do łączenia wielu typów uwierzytelniania (SPF, DKIM i DMARC) lub dowolnej innej części komunikatu w celu ustalenia, czy komunikat jest uwierzytelniony. Używa domeny From: jako podstawy oceny. Uwaga: mimo compauth niepowodzenia komunikat może nadal być dozwolony, jeśli inne oceny nie wskazują podejrzanego charakteru.
dkim	Opisuje wyniki sprawdzania DKIM dla komunikatu. Możliwe wartości obejmują: pass: wskazuje sprawdzanie DKIM dla przekazanego komunikatu. fail (reason): wskazuje sprawdzanie DKIM dla komunikatu nie powiodło się i dlaczego. Jeśli na przykład wiadomość nie została podpisana lub podpis nie został zweryfikowany. brak: wskazuje, że wiadomość nie została podpisana. Ten wynik może lub nie może wskazywać, że domena ma rekord DKIM lub rekord DKIM nie daje wyniku.
dmarc	Opisuje wyniki sprawdzania DMARC dla komunikatu. Możliwe wartości obejmują: pass: wskazuje sprawdzanie DMARC dla przekazanego komunikatu. niepowodzenie: wskazuje, że sprawdzanie DMARC dla komunikatu nie powiodło się. bestguesspass: wskazuje, że dla domeny nie istnieje żaden rekord TXT DMARC. Gdyby domena miała rekord DMARC TXT, sprawdzanie DMARC dla komunikatu zostałoby zakończone. brak: wskazuje, że dla domeny wysyłającej w systemie DNS nie istnieje żaden rekord TXT DMARC.
header.d	Domena zidentyfikowana w sygnaturze DKIM, jeśli istnieje. Jest to domena, która jest pytana o klucz publiczny.
header.from	Domena 5322.From adresu w nagłówku wiadomości e-mail (znana również jako nadawca z adresu lub P2). Adresat widzi adres Od w klientach poczty e-mail.
reason	Przyczyna przekazania lub niepowodzenia uwierzytelniania złożonego. Wartość to trzycyfrowy kod. Przykład: 000: Komunikat nie może jawnie uwierzytelnić (compauth=fail). Na przykład komunikat otrzymał błąd DMARC, a akcja zasad DMARC to p=quarantine lub p=reject. 001: Niejawne uwierzytelnianie (compauth=fail) nie powiodło się. Ten wynik oznacza, że domena wysyłająca nie ma opublikowanych rekordów uwierzytelniania poczty e-mail lub jeśli tak się stało, miała słabsze zasady błędów (SPF ~all lub ?all, lub zasady DMARC ).p=none 002: Organizacja ma zasady dla pary nadawca/domena, które jawnie nie mogą wysyłać sfałszowanych wiadomości e-mail. Administrator ręcznie konfiguruje to ustawienie. 010: Komunikat nie powiodł się DMARC, akcja zasad DMARC to p=reject lub p=quarantine, a domena wysyłająca jest jedną z akceptowanych domen organizacji (samoobsługowe lub intra-org spoofing). 1xx lub 7xx: komunikat przeszedł uwierzytelnianie (compauth=pass). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365. 2xx: niejawne uwierzytelnianie przekazywane przez komunikat (compauth=softpass). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365. 3xx: Komunikat nie został sprawdzony pod kątem uwierzytelniania złożonego (compauth=none). 4xx lub 9xx: komunikat pominął uwierzytelnianie złożone (compauth=none). Ostatnie dwie cyfry to kody wewnętrzne używane przez platformę Microsoft 365. 6xx: Niejawne uwierzytelnianie wiadomości e-mail nie powiodło się, a domena wysyłająca jest jedną z akceptowanych domen organizacji (samoobsługowe lub wewnątrz organizacji).
smtp.mailfrom	Domena adresu (znana 5321.MailFrom również jako adres MAIL FROM, nadawca P1 lub nadawca koperty). Ten adres e-mail jest używany w przypadku raportów o braku dostarczania (znanych również jako serwery NDR lub komunikaty odrzuceń).
spf	Opisuje wyniki sprawdzania SPF dla komunikatu. Możliwe wartości obejmują: pass (IP address): Sprawdzanie SPF dla przekazanej wiadomości i zawiera adres IP nadawcy. Klient ma uprawnienia do wysyłania lub przekazywania wiadomości e-mail w imieniu domeny nadawcy. fail (IP address): Sprawdzanie SPF komunikatu nie powiodło się i zawiera adres IP nadawcy. Ten wynik jest czasami nazywany twardym niepowodzeniem. softfail (reason): Rekord SPF wyznaczył hosta jako niedozwolony do wysyłania, ale jest w stanie przejściowym. neutral: Rekord SPF jawnie stwierdza, że nie potwierdza, czy adres IP jest autoryzowany do wysyłania. none: Domena nie ma rekordu SPF lub rekord SPF nie daje wyniku. temperror: Wystąpił tymczasowy błąd. Na przykład błąd DNS. To samo sprawdzenie później może zakończyć się pomyślnie. permerror: Wystąpił trwały błąd. Na przykład domena ma nieprawidłowo sformatowany rekord SPF.