Заголовки сообщений о защите от нежелательной почты в Microsoft 365

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

Во всех организациях Microsoft 365 служба Exchange Online Protection (EOP) проверяет все входящие сообщения на наличие спама, вредоносных программ и других угроз. Результаты таких проверок добавляются в поля указанных ниже заголовков сообщений.

  • X-Forefront-Antispam-Report: содержит сведения о сообщении и о том, как оно было обработано.

  • X-Microsoft-Antispam: предоставляет дополнительные сведения о массовой рассылке и фишинге.

  • Authentication-results: содержит сведения о результатах проверок подлинности SPF, DKIM и DMARC.

В данной статье описано содержание полей этих заголовков.

Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Просмотр заголовков сообщений Интернета в Outlook.

Совет

Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.

Поля заголовка сообщения X-Forefront-Antispam-Report

После получения сведений о заголовке сообщения найдите заголовок X-Forefront-Antispam-Report. В этом заголовке содержится несколько пар из полей с их значениями, разделенных точкой с запятой (;). Например:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

Отдельные поля и значения описаны в таблице ниже.

Примечание

Заголовок X-Forefront-Antispam-Report содержит множество различных полей и значений. Поля, не упомянутые в таблице, используются исключительно группой специалистов Майкрософт, ответственной за защиту от спама, для диагностики.

Поле Описание
ARC В протоколе ARC имеются следующие поля:
  • AAR: записывает содержимое заголовка Authentication-results из DMARC.
  • AMS: включает криптографические подписи сообщений.
  • AS: содержит криптографические подписи заголовков сообщений. В этом поле находится тег проверки цепочки, называемый "cv=", который содержит результат проверки цепочки в виде значений none, pass или fail.
CAT: Категория политики защиты, применяемая для сообщения:
  • BULK: массовая рассылка
  • DIMP: подмена домена
  • GIMP: олицетворение на основе аналитики почтовых ящиков
  • HPHSH или HPHISH: высокая вероятность фишинга
  • HSPM: высокая вероятность спама
  • MALW: вредоносная программа
  • PHSH: фишинг
  • SPM: спам
  • SPOOF: спуфинг
  • UIMP: подмена пользователей
  • AMP: защита от вредоносных программ
  • SAP: безопасные вложения
  • OSPM: исходящий спам

Входящее сообщение может помечаться несколькими формами защиты и несколькими сканерами обнаружения. Политики имеют разные приоритеты. Политика с наивысшим приоритетом применяется в первую очередь. См. статью Какая политика применяется, когда для электронной почты запускается несколько методов защиты и сканеров обнаружения.

CIP:[IP address] IP-адрес для подключения. Этот IP-адрес можно использовать в списке разрешенных или заблокированных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
CTRY Страна источника, определяемая по подключенному IP-адресу, который может отличаться от IP-адреса отправителя.
H:[helostring] Строка HELO или EHLO подключенного почтового сервера.
IPV:CAL Сообщение пропустило фильтр спама, так как исходный IP-адрес был указан в списке разрешенных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
IPV:NLI IP-адрес отсутствовал в списке репутации IP-адресов.
LANG Язык, на котором написано сообщение, как это указано в коде страны или региона (например, ru_RU для русского).
PTR:[ReverseDNS] Запись PTR (называемая также обратным поиском DNS) исходного IP-адреса.
SCL Вероятность нежелательной почты (SCL) сообщения. Чем больше значение, тем вероятнее, что сообщение окажется спамом. Дополнительные сведения см. в статье Вероятность нежелательной почты (SCL).
SFTY Сообщение определено как фишинговое и помечается с помощью одного из следующих значений:
  • 9.19. Олицетворение доменов. Отправляющий домен пытается представиться защищенным доменом. В сообщение будет добавлен совет по безопасности в отношении подмены домена (если эта возможность включена).
  • 9.20. Олицетворение пользователей. Отправляющий пользователь пытается олицетворить пользователя в организации получателя или защищенного пользователя, указанного в политике защиты от фишинга в Microsoft Defender для Office 365. В сообщение будет добавлен совет по безопасности в отношении олицетворения пользователя (если эта возможность включена).
SFV:BLK Сообщение заблокировано без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка заблокированных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком заблокированных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

SFV:NSPM Сообщение помечено фильтром спама как не являющееся спамом и отправлено указанным получателям.
SFV:SFE Сообщение пропущено без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка надежных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком надежных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

SFV:SKA Сообщение отправлено в папку "Входящие" без применения к нему фильтра спама, так как отправитель находится в списке разрешенных отправителей или домен — в списке разрешенных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKB Сообщение помечено как спам, так как его параметры соответствуют записи в списке заблокированных отправителей или в списке заблокированных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKI Как и в случае SFV:SKN, фильтрация спама к сообщению не применялась по иной причине (например, оно было отправлено внутри организации клиента).
SFV:SKN Сообщение помечено как не относящееся к спаму до обработки фильтром спама. Например, сообщение получило пометку SCL-1 или Не использовать фильтрацию спама по правилу потока почты.
SFV:SKQ Сообщение было извлечено из карантина и отправлено указанным получателям.
SFV:SKS Сообщение помечено как спам до обработки фильтром спама. Например, сообщение было помечено как относящееся к категориям от SCL-5 до SCL-9 по правилу потока почты.
SFV:SPM Сообщение помечено фильтром спама как спам.
SRV:BULK Сообщение идентифицировано как массовая рассылка в результате фильтрации спама и порогового значения уровня массовых жалоб (BCL). Если параметру MarkAsSpamBulkMail присвоено значение On (включен по умолчанию), сообщение массовой рассылки помечается как спам (SCL 6). Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.
X-CustomSpam: [ASFOption] Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Сведения о том, как узнать значение X-заголовка для каждого из параметров ASF, см. в статье Параметры расширенного фильтра спама (ASF).

Поля заголовка сообщения X-Microsoft-Antispam

В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

Поле Описание
BCL Количество жалоб на массовую рассылку (BCL) сообщения. Более высокий уровень BCL указывает, что массово рассылаемое сообщение часто вызовет жалобы (и поэтому скорее всего является спамом). Дополнительные сведения см. в статье Порог неприятия массовых рассылок (BCL).

Заголовок сообщения Authentication-results

Результаты проверки подлинности сообщений электронной почты для SPF, DKIM и DMARC записываются в заголовке входящих сообщений Authentication-results.

В приведенном ниже списке приведен текст, добавляемый в заголовок Authentication-results для каждого типа проверки подлинности сообщений электронной почты.

  • В SPF используется следующий синтаксис.

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Например:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • В DKIM используется следующий синтаксис.

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Например:

    dkim=pass (signature was verified) header.d=contoso.com
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • В DMARC используется следующий синтаксис.

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Например:

    dmarc=pass action=none header.from=contoso.com
    dmarc=bestguesspass action=none header.from=contoso.com
    dmarc=fail action=none header.from=contoso.com
    dmarc=fail action=oreject header.from=contoso.com
    

Поля заголовка сообщения Authentication-results

В этой таблице содержатся поля и возможные значения для каждого типа проверки подлинности сообщений электронной почты.

Поле Описание
action Указывает действие, выполняемое фильтром спама на основании результатов проверки DMARC. Например:
  • oreject или o.reject указывает на то, что было выполнено переопределение отклонения. В этом случае Microsoft 365 применяет это действие при получении сообщения, не прошедшего проверку DMARC, из доменов, в записях DMARC типа TXT которых задана политика отклонения (p=reject). Вместо удаления или отклонения такого сообщения служба Microsoft 365 помечает его как спам. Дополнительные сведения о том, почему Microsoft 365 имеет такую настройку, см. в разделе Как Microsoft 365 обрабатывает входящую почту, не прошедшую проверку DMARC.
  • pct.quarantine. Указывает на то, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и, согласно политике, должно быть отправлено в карантин, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.
  • pct.reject. Указывает на то, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и, согласно политике, должно быть отклонено, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.
  • permerror. Указывает на то, что во время проверки DMARC произошла постоянная ошибка, такая как обнаружение неправильно созданной записи DMARC TXT в DNS. Попытка отправить такое сообщение повторно вряд ли завершится другим результатом. Вместо этого может потребоваться обратиться к владельцу домена с просьбой устранить проблему.
  • temperror. Указывает на то, что во время проверки DMARC произошла временная ошибка. Можно обратиться к отправителю с просьбой отправить сообщение повторно немного позже, чтобы почта была обработана должным образом.
compauth Результат комплексной проверки подлинности. Используется в Microsoft 365 для сочетания различных типов проверки подлинности, например SPF, DKIM, DMARC или другой части сообщения, чтобы определить, прошло ли сообщение проверку подлинности. В качестве основы для оценки используется домен "От:".
dkim Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DKIM пройдена успешно.
  • fail (причина). Указывает, что не удалось проверить сообщение с помощью DKIM, а также причину этого. Например, если сообщение не подписано или подпись не проверена.
  • none. Указывает на то, что сообщение не подписано. Это может быть связано с тем, что для домена задана запись DKIM, которая не приводит к результату.
dmarc Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DMARC пройдена успешно.
  • fail. Указывает, что проверка сообщения с помощью DMARC не пройдена.
  • bestguesspass. Указывает, что для домена отсутствует запись DMARC TXT, однако если бы такая запись существовала, проверка DMARC была бы пройдена успешно.
  • none. Указывает, что для отправляющего домена в DNS отсутствует запись DMARC TXT.
header.d Определяет домен, указанный в подписи DKIM, если такая есть. Это домен, у которого запрашивается открытый ключ.
header.from Домен, указанный в адресе 5322.From в заголовке сообщения электронной почты ("адрес отправителя" или "отправитель P2"). Получатель видит адрес отправителя в почтовых клиентах.
reason Причина удачного или неудачного выполнения многофакторной проверки подлинности. Значением является 3-значный код. Например:
  • 000: сообщение не прошло явную проверку подлинности (compauth=fail). Например, сообщение получило ошибку DMARC с действием отправки на карантин или отклонения.
  • 001: сообщение не прошло неявную проверку подлинности (compauth=fail). Это означает, что отправляющий домен не содержал опубликованных записей проверки подлинности электронной почты, либо (при их наличии) к ним применялась менее строгая политика сбоя (SPF — несерьезный сбой или нейтральный результат, политика DMARC p=none).
  • 002: означает, что у организации есть политика для пары отправитель/домен, которая явным образом запрещает отправку подделанных электронных сообщений. Этот параметр вручную настроен администратором.
  • 010. Сообщению не удалось пройти проверку DMARC, оно было отклонено или отправлено в карантин, а домен отправителя является одним из одобренных вашей организацией доменов (это так называемый спуфинг внутри организации).
  • 1xx или 7xx. Сообщение прошло проверку подлинности (compauth=pass). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 2xx. Сообщение прошло нестрогую неявную проверку подлинности (compauth=softpass). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 3xx. Сообщение не подвергалось многофакторной проверке подлинности (compauth=none).
  • 4xx или 9xx. Сообщение обошло многофакторную проверку подлинности (compauth=none). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 6xx. Сообщению не удалось пройти неявную проверку подлинности, а домен отправителя является одним из разрешенных вашей организацией доменов (это так называемый спуфинг внутри организации).
smtp.mailfrom Домен адреса 5321.MailFrom (например, "адрес отправителя", "отправитель P1" или "отправитель конверта"). Это адрес электронной почты, который используется в отчетах о недоставке (сообщения NDR или сообщения о возврате).
spf Описывает результаты проверки сообщения с использованием инфраструктуры политики отправителей. Возможные значения:
  • pass (IP address) указывает, что проверка SPF для сообщения выполнена и она включает IP-адрес отправителя. Клиент авторизирован отправлять или ретранслировать сообщения электронной почты от имени домена отправителя.
  • fail (IP address): сообщение не прошло проверку SPF и указан IP-адрес отправителя. Это еще иногда называется серьезным сбоем.
  • softfail (reason): в записи SPF определено, что данному узлу не разрешена отправка, но он имеет промежуточный статус.
  • neutral: в записи SPF явно указано, что она не устанавливает, разрешена ли отправка с данного IP-адреса.
  • none: для домена не задана запись SPF или эта запись не предписывает результатов.
  • temperror: произошла временная ошибка. Например, ошибка DNS. В дальнейшем проверка может быть пройдена.
  • permerror: указывает на то, что произошла постоянная ошибка. Например, запись SPF для домена имеет неправильный формат.