Метки нежелательной почты

Антиспам-марки в Exchange Server применяют диагностические метаданные или штампы, такие как сведения, определенные для отправляющих, результаты проверки головоломки и результаты фильтрации контента, к сообщениям, которые проходят через функции antispam, фильтрующие входящие сообщения из Интернета. С помощью таких меток можно просмотреть результаты фильтрации сообщения для защиты от нежелательной почты, а также диагностировать неполадок, связанных со спамом. Функции защиты от нежелательной почты и метки, по сути, ничем не отличаются от тех, которые используются в Exchange Server 2010. Существует четыре основных Exchange для антиспама:

  • метка уровня вероятности фишинга (PCL);

  • метка кода отправителя;

  • метка уровня вероятности нежелательной почты (SCL);

  • метка отчета о защите от нежелательной почты.

Метки для защиты от нежелательной почты добавляются в сообщения в виде полей X-заголовка в заголовке сообщения. Вы можете просматривать штампы антиспама в сообщении с помощью Outlook. Дополнительные сведения см. в статье View antispam stamps in Outlook.

Метка уровня вероятности фишинга

Метка PCL указывает на вероятность того, что сообщение является фишинговым (на основе его содержимого). Метка PCL применяется при обработке сообщения агентом фильтрации содержимого. Дополнительные сведения о фильтрации содержимого см. в статье Фильтрация содержимого.

Значения PCL описаны в таблице ниже.

Значение PCL Verdict Description
1-3 Neutral Маловероятно, что содержимое этого сообщения связано с фишингом.
4-8 Suspicious Вероятно, что содержимое этого сообщения связано с фишингом.

Значение PCL отображается в X-MS-Exchange-Organization-PCL: X-header, а вердикт PCL отображается в штампе отчета antispam как PCL:PhishingLevel <Verdict>. В Outlook метка PCL используется для блокирования содержимого подозрительных сообщений.

Метка кода отправителя

Метка кода отправителя присваивается инфраструктурой политики отправителей (SPF), которая определяет использование доменов в сообщениях электронной почты. Агент код отправителя определяет статус кода отправителя для сообщения. Значения этого статуса описаны в таблице ниже.

Состояние Описание
Pass IP-адрес и предполагаемый адрес (PRA) прошли проверку идентификации отправителей.
Neutral Опубликованные данные кода отправителя являются явно неокончательными.
SoftFail IP-адрес для PRA может находиться в неразрешенном наборе.
Fail IP-адрес запрещен; адрес PRA не найден во входящей почте или отправляющий домен не существует.
None В DNS отправителя отсутствуют опубликованные данные SPF.
TempError Временный сбой DNS, например, недоступный сервер DNS.
PermError Недействительная запись DNS, например ошибка в формате записи.

Почтовый индекс отправитель отображается в X-MS-Exchange-Organization-SenderIdResult: X-header, а также в штампе отчета antispam SenderIDStatus <Status>как . Результат SPF отображается в заголовке Received-SPF.

Дополнительные сведения приведены в следующих разделах:

Метка уровня вероятности нежелательной почты

Примечание

В ноябре 2016 г. корпорация Майкрософт прекратила выпуск обновлений определения нежелательной почты для фильтров SmartScreen в Exchange и Outlook. Существующие определения нежелательной почты SmartScreen были оставлены на месте, но их эффективность со временем, скорее всего, будет ухудшаться. Дополнительные сведения см. в статье Прекращение поддержки SmartScreen в Outlook и Exchange.

Метка PCL показывает оценку сообщения на основании его содержимого. Для оценки содержимого сообщения и назначения каждому сообщению рейтинга уровня вероятности нежелательной почты агент фильтра содержимого использует технологию Майкрософт SmartScreen. Значения SCL описаны в таблице ниже.

Значение SCL Description
0–9 0 означает очень низкий уровень вероятности того, что сообщение является спамом.
9 означает очень высокий уровень вероятности того, что сообщение является спамом.
-1 Сообщение пропущено во время сканирования для защиты от нежелательной почты (например, сообщение было от внутреннего отправителя).

Значение SCL отображается в X-заголовке X-MS-Exchange-Organization-SCL:.

Действия, которые Exchange и Outlook на основе значения SCL, зависят от параметров порогового значения SCL. Дополнительные сведения см. в Exchange пороговых значений уровня доверия к нежелательной почте (SCL).

метка отчета о защите от нежелательной почты.

Метка отчета о защите от нежелательной почты представляет собой итоговый отчет по результатам применения фильтра нежелательной почты к сообщению. Агент фильтрации содержимого применяет эту метку к сообщению в X-заголовке X-MS-Exchange-Organization-Antispam-Report:. В отчете о защите от нежелательной почты используется следующий синтаксис:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>

В таблице ниже представлена информация фильтра нежелательной почты, которая может отображаться в метке отчета о защите от нежелательной почте. Обратите внимание, что в метке отчета о защите от нежелательной почты представлены только результаты и выводы фильтров нежелательной почты, примененных к нему. Поэтому в этой метке обычно отсутствуют все возможные метки и значения.

Метка Description
DV Марка версии DAT (DV) показывает версию файла описания нежелательной почты, использованного при проверке сообщения.
SA Марка действий по отношению к подписи (SA) показывает, что сообщение было либо восстановлено, либо удалено на основании подписи, присутствующей в сообщении.
SV Марка версии подписи DAT (SV) показывает версию файла подписи, использованного при проверке сообщения.
CW Метка пользовательского веса (CW) показывает, что сообщение содержит неразрешенное слово или фразу, а также что значение SCL, или "вес", этого неразрешенного слова или фразы использовано при вычислении итоговой оценки SCL.
• Неодобренные фразы или блок-фразы имеют максимальный вес и изменяют значение SCL на 9.
• Утвержденные слова или фразы, или разрешить фразы, имеют минимальный вес и изменить оценку SCL на 0.
Дополнительные сведения о добавлении утвержденных и неодобренных слов или фраз в агент фильтрации контента см. в материалах процедур фильтрации контента.
PP Метка предварительно решенной задачи (PP) показывает, что если сообщение отправителя содержит правильную, разрешенную компьютерную почтовую марку (основанную на функциях проверки почтовых марок Outlook), отправитель вряд ли является злоумышленником. В этом случае агент фильтра содержимого снижает оценку SCL.
Агент фильтрации содержимого не изменяет уровень SCL, если включена функция проверки почтовых марок и при этом выполняются следующие условия.
• Входящие сообщения не содержат вычислительный заголовок почтовых знаков.
• Заглавный знак вычислений не является допустимым.
Дополнительные сведения о функции проверки почтовых марок см. в статье Фильтрация содержимого.
TIME:TimeBasedFeatures Показывает, что с момента отправки сообщения и до момента его доставки прошло значительное количество времени. Метка TIME используется для определения конечной оценки SCL для сообщения.
OrigIP Указывает IP-адрес исходного сервера обмена сообщениями.
MIME:MIMECompliance Показывает, что сообщение электронной почты не соответствует стандарту MIME.
P100:PhishingBlock Показывает, что сообщение содержит URL-адрес, указанный в файле определения фишинга.
IPOnAllowList Показывает, что IP-адрес отправителя не включен в список разрешенных IP-адресов. Дополнительные сведения о списке разрешенных IP-адресов см. в разделе Список разрешений IP-адресов.
MessageSecurityAntispamBypass Показывает, что содержимое сообщения не проходило через фильтры и что отправитель получил разрешение не проходить фильтры нежелательной почты.
SenderBypassed Показывает, что агент фильтрации содержимого не выполняет фильтрацию содержимого сообщений, получаемых от этого отправителя. Дополнительные сведения см. в материалах процедур фильтрации контента.
AllRecipientsBypassed Показывает, что одно из следующих условий выполняется для всех получателей, указанных в сообщении:
• Параметр AntispamBypassedEnabled в почтовом ящике получателя задан для $true. Дополнительные сведения см. в статье Использование командной консоли Exchange для настройки почтового ящика на обход фильтрации для защиты от нежелательной почты.
• Отправитель сообщения находится в списке отправителей Сейф получателя. Дополнительные сведения о списке надежных отправителей см. в разделе Использование командной консоли Exchange для настройки коллекции списков надежных отправителей почтового ящика.
• Агент фильтра контента не обрабатывает фильтрацию контента для сообщений, отосланных этому получателю. Дополнительные сведения об исключениях для получателей см. в статье Использование командной консоли Exchange для настройки исключений для получателей и отправителей для функции фильтрации содержимого.