Meddelandehuvuden för antiskräppost i Microsoft 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

I alla Microsoft 365-organisationer används Exchange Online Protection (EOP) för att söka igenom alla inkommande meddelanden för skräp post, skadlig kod och andra hot. Resultatet av dessa genomsökningar läggs till i följande huvud fält i meddelanden:

  • X-Forefront-Antispam-rapport: Innehåller information om meddelandet och hur det behandlades.

  • X-Microsoft-Antispam: Innehåller ytterligare information om bulk mail och phishing.

  • Autentiseringsresultat: Innehåller information om SPF, DKIM och DMARC (e-autentisering).

Den här artikeln beskriver vad som är tillgängligt i dessa rubrikfält.

För information om hur man visar ett e-postmeddelandes meddelanderubrik i olika e-postklienter, se Visa e-postmeddelandehuvud i Outlook.

Tips

Du kan kopiera och klistra in innehållet i ett meddelandehuvud i Analysverktyg för meddelanderubrik. Det här verktyget hjälper till att tolka rubriker och lägga till dem i ett mer läsbart format.

X-Forefront-Antispam-Report meddelanderubrikfält

När du har information om meddelande rubriken hittar du i rubriken X-Forefront-Antispam-Report. Det kommer att finnas flera fält- och värdepar i denna rubrik separerade med semikolon (;). Till exempel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

De enskilda fälten och värdena beskrivs i följande tabell.

Anteckning

X-Forefront-antispam-Report-huvudet innehåller många olika fält och värden. Fält som inte beskrivs i tabellen används uteslutande av Microsofts anti-spam-team för diagnostiska ändamål.


Fält Beskrivning
ARC I ARC protokoll finns följande fält:
  • AAR: Sparar innehållet i verifierings resultat huvud från DMARC.
  • AMS: Inkluderar kryptografiska signaturer för meddelandet.
  • AS: Inkluderar kryptografiska signaturer för meddelanderubriker. Fältet innehåller en tagg av en kedjevalidering som heter "cv=", som inkluderar resultatet av kedjevalideringen som none, pass eller fail.
CAT: Kategori för den skyddspolicy som används för meddelandet:
  • BULK: Bulk
  • DIMP: Domän personifiering
  • GIMP: Postbaserad intelligensbaserad efterligning
  • HPHSH eller HPHISH : phishing med högt förtroende
  • HSPM: Spam med högt förtroende
  • MALW: Malware
  • PHSH: Phishing
  • SPM: Skräppost
  • SPOOF: Förfalskning
  • UIMP: Användar personifiering
  • AMP: Anti-malware
  • SAP: Säkra bifogade filer
  • OSPM: Utgående skräp post

Ett inkommande meddelande kan flaggas av flera olika typer av skydd och flera identifieringsgenomsökningar. Policyer har olika prioriteringar och den policy som har högst prioritet kommer att tillämpas först. Se Vilken policy gäller när flera skyddsmetoder och identifieringsgenomsökningar körs på din e-post för mer information.

CIP:[IP address] Den anslutande IP-adressen. Du kan använda den här IP-adressen i listan över tillåtna IP-adresser eller IP-adresser som ska blockeras. Mer information finns i konfigurera anslutningsfilter.
CTRY Källlandet, vilket bestäms av den anslutande IP-adressen, som kanske inte är samma som den ursprungliga IP-adressen.
H:[helostring] En anslutande e-mailservers HELO- eller OEHLO-sträng.
IPV:CAL Meddelandet hoppade över skräppostfiltrering eftersom källans IP-adress fanns i listan över tillåtna IP-adresser. Mer information finns i Konfigurera anslutningsfiltrering.
IPV:NLI IP-adressen hittades inte på någon IP-rykte-lista.
LANG Det språk på vilket meddelandet skrevs, specificerat av landskoden (till exempel ru_RU för ryska).
PTR:[ReverseDNS] PTR-posten (även kallad omvänd DNS-sökning) för källans IP-adress.
SCL Meddelandets SCL (Spam Confidence Level). Ett högre värde innebär att det är mer troligt att meddelandet är skräppost. Mer information finns i Konfidensnivå för skräppost (SCL).
SFTY Meddelandet identifierades som phishing och kommer att markeras med något av följande värden:
  • 9.19: Domänimitation. Den sändande domänen försöker imitera en skyddad domän. Säkerhetstipset för domänskydd läggs till i meddelandet (om det är aktiverat).
  • 9.20: Användarimitation. Den sändande användaren försöker imitera en användare i mottagarens organisation eller en skyddad användare som anges i en princip mot nätfiske i Microsoft Defender för Office 365. Säkerhetstipset för användarimitationen läggs till i meddelandet (om det är aktiverat).
SFV:BLK Filtreringen hoppades över och meddelandet blockerades eftersom det skickades från en adress i en användares lista med spärrade avsändare.

Mer information om hur administratörer kan hantera användarens lista med blockerade avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor.

SFV:NSPM Meddelandet har markerats som icke skräppost av skräppostfiltret och det har skickats till avsedda mottagare.
SFV:SFE Filtreringen hoppades över och meddelandet tilläts eftersom det skickades från en adress i en användares listan Betrodda avsändare.

Mer information om hur administratörer kan hantera användarens lista med säkra avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor.

SFV:SKA Meddelandet hoppade över skräppostfiltreringen och skickades till Inkorgen eftersom avsändaren fanns i listan med tillåtna avsändare eller tillåtna domäner i en princip för skräppostskydd. Mer information finns i Konfigurera principer för skräppostskydd.
SFV:SKB Meddelandet markerades som skräppost eftersom det matchade en avsändare i listan med spärrade avsändare eller spärrade domäner i en princip för skräppostskydd. Mer information finns i Konfigurera principer för skräppostskydd.
SFV:SKI I likhet med SFV: SKN hoppade skräp post filter av en annan anledning (till exempel en inomeuropeisk e-post i en klient organisation).
SFV:SKN Meddelandet markerades som icke-skräppost innan det bearbetades av skräppostfiltrering. Meddelandet har till exempel markerats som SCL -1 eller Kringgå skräppostfiltrering av en e-postflödesregel.
SFV:SKQ Meddelandet har släppts från karantänen och har skickats till de avsedda mottagarna.
SFV:SKS Meddelandet markerades som skräppost innan det bearbetades av skräppostfiltrering. Meddelandet har till exempel markerats som SCL 5 till 9 av en e-postflödesregel.
SFV:SPM Meddelandet markerades som skräppost av skräppostfiltret.
SRV:BULK Meddelandet identifierades som massutskick av skräppostfiltreringen och tröskeln för BCL (Bulk Complaint Level). När parametern MarkAsSpamBulkMail är On (den är aktiverat dom standard) markeras ett massutskick som skräppost (SCL 6). Mer information finns i Konfigurera principer för skräppostskydd.
X-CustomSpam: [ASFOption] Meddelandet matchade ett avancerat alternativ för skräppostfiltrering (ASF). Om du vill visa värdet för X-header för respektive ASF-inställning läser du Inställningar för avancerat skräppostfilter (ASF).

X-Microsoft-Antispam meddelanderubrikfält

Följande tabell beskriver användbara fält i meddelanderubriken X-Microsoft-Antispam. Andra fält i den här rubriken används exklusivt av Microsofts anti-spam-team av diagnostiska skäl.


Fält Beskrivning
BCL Meddelande BCL (Bulk Complaint Level). En högre BCL anger att ett Mass utskick innebär att det är mer troligt att vi skapar klagomål (och är därför förmodligen mer sannolikt att få skräp post). Se Klagomålsnivå på massutskick (BCL) för mer information.

Authentication-results meddelanderubrik

Resultatet av kontroller för e-postautentisering för SPF, DKIM och DMARC registreras (stämplas) i verifierings resultat meddelande rubriken i inkommande meddelanden.

I följande lista beskrivs den text som läggs till i verifierings resultat huvud för varje typ av verifiering av e-postkontroll:

  • SPF använder följande syntax:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Till exempel:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM använder följande syntax:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Till exempel:

    dkim=pass (signature was verified) header.d=contoso.com
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC använder följande syntax:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Till exempel:

    dmarc=pass action=none header.from=contoso.com
    dmarc=bestguesspass action=none header.from=contoso.com
    dmarc=fail action=none header.from=contoso.com
    dmarc=fail action=oreject header.from=contoso.com
    

Autentisering-resultat meddelande rubrik fält

I följande tabell beskrivs fälten och möjliga värden för alla kontroller för e-postverifiering.


Fält Beskrivning
action Anger den åtgärd som skräppostfiltret vidtar baserat på resultatet av DMARC-kontrollen. Till exempel:
  • oreject eller o.reject: står för override reject. I detta fall använder Microsoft 365 åtgärden när det tar emot ett meddelande som misslyckas med DMARC-kontrollen från en domän vars DMARC TXT-register har en policy av p=reject. I stället för att ta bort eller avvisa meddelandet markerar Microsoft 365 meddelandet som skräppost. Se Så hanterar Microsoft 365 inkommande e-postmeddelanden som inte går igenom DMARC för mer information om varför Microsoft 365 är konfigurerat på det viset.
  • pct.quarantine: anger att en procentsats på mindre än 100 % av meddelanden som inte går igenom DMARC kommer att levereras ändå. Det innebär att meddelandet inte gick igenom DMARC och att policyn ställdes in på karantän, men fältet PCT var inte inställt på 100 % och systemet bestämde sig slumpmässigt för att inte tillämpa DMARC-åtgärden enligt principen för den angivna domänen.
  • pct.reject: anger att en procentsats på mindre än 100 % av meddelanden som inte går igenom DMARC kommer att levereras ändå. Det innebär att meddelandet inte gick igenom DMARC och att policyn ställdes in på att avslå, men fältet PCT var inte inställt på 100 % och systemet bestämde sig slumpmässigt för att inte tillämpa DMARC-åtgärden enligt principen för den angivna domänen.
  • PermError: ett permanent fel uppstod när DMARC utvärderades, t. ex. ett felaktigt utformat DMARC register i DNS. Att försöka skicka meddelandet igen ger antagligen samma resultat. Försök istället att kontakta domänens ägare för att lösa problemet.
  • temperror: Ett tillfälligt fel uppstod under DMARC-utvärdering. Du kanske kan begära att avsändaren skickar meddelandet igen senare för att bearbeta e-postmeddelandet ordentligt.
compauth Sammansatt autentiseringsresultat. Används av Microsoft 365 för att kombinera flera typer av autentisering, till exempel SPF, DKIM, DMARC eller någon annan del av meddelandet för att avgöra om meddelandet är autentiserat eller inte. Använder Från:-domänen som grund för utvärderingen.
dkim Beskriver resultaten av DKIM-kontrollen för meddelandet. Möjliga värden är:
  • pass: anger att meddelandet gick igenom DKIM-kontrollen.
  • fail (orsak): anger att meddelandet inte gick igenom DKIM-kontrollen och varför. Om du till exempel inte har signerat meddelandet eller om signaturen inte har verifierats.
  • none: Detta indikerar att meddelandet inte var signerat. Det kan, men inte nödvändigtvis, tyda på att domänen har en DKIM-post eller att DKIM-posten inte utvärderats till ett resultat, endast att meddelandet inte signerats.
dmarc Beskriver resultaten av DMARC-kontrollen för meddelandet. Möjliga värden är:
  • pass: anger att meddelandet gick igenom DMARC-kontrollen.
  • fail: anger att meddelandet inte gick igenom DMARC-kontrollen.
  • bestguesspass: anger att det inte finns något DMARC TXT-register för domänen, men om ett sådant fanns skulle meddelandet ha gått igenom DMARC-kontrollen.
  • none: anger att det inte finns något DMARC TXT-register för den sändande domänen i DNS.
header.d Domän som identifierats i DKIM-signaturen om någon. Detta är den domän som tillfrågas om den publika nyckeln.
header.from Domänen för 5322.From-adressen i e-postmeddelandets huvud (kallas även Från-adress eller P2-avsändare). Mottagaren ser Från-adressen i e-postklienten.
reason Orsaken till att den sammansatta autentiseringen gick igenom eller inte. Värdet är en tresiffrig kod. Till exempel:
  • 000: Meddelandet godkändes inte i explicit autentisering (compauth=fail). Till exempel kan meddelandet ha tagit emot ett DMARC-fel med karantän eller avslag som åtgärd.
  • 001: Meddelandet godkändes inte i implicit autentisering (compauth=fail). Det innebär att avsändardomänen inte hade publicerade poster för e-postautentisering eller, om den hade det, hade en svagare felprincip (SPF SoftFail (lindrigt fel) eller neutral, DMARC-principen p=none).
  • 002: Organisationen har en princip för avsändare/domän-paret som är uttryckligen förhindrad att skicka förfalskad e-post. Inställningen görs manuellt av en administratör.
  • 010: betyder att meddelandet inte klarade DMARC, med åtgärden att avvisa eller placera i karantän och avsändardomänen är en av organisationens godkända domäner (det här är en del av förfalskning inom organisationen (”self-to-self” eller ”intra-org”)).
  • 1xx eller 7xx: meddelandet gick igenom autentiseringen (compauth=pass). De två sista siffrorna är interna koder som används av Microsoft 365.
  • 2xx: Meddelandet gick igenom implicit autentisering mjukt (compauth=softpass). De två sista siffrorna är interna koder som används av Microsoft 365.
  • 3xx: meddelandet kontrollerades inte för sammansatt autentisering (compauth=none).
  • 4xx eller 9xx: meddelande förbigick sammansatt autentisering (compauth=none). De två sista siffrorna är interna koder som används av Microsoft 365.
  • 6xx: Meddelandet inte klarade implicit e-postautentisering, och avsändardomänen är en av organisationens godkända domäner (det här är en del av förfalskning inom organisationen (”self-to-self” eller ”intra-org”)).
smtp.mailfrom Domänen för 5321.MailFrom-adressen (kallas även för E-POST FRÅN-adress, P1-avsändare eller avsändare av kuvert). Det är den e-postadress som används för rapporter om utebliven leverans (kallas även för NDR-rapporter eller bouncemeddelanden).
spf Beskriver resultaten av SPF-kontrollen för meddelandet. Möjliga värden är:
  • pass (IP address): SPF-kontrollen för meddelandet har skickats och inkluderar avsändarens IP-adress. Klienten har tillåtelse att skicka eller vidarebefordra e-post på avsändarens domän.
  • fail (IP address): SPF-kontrollen för meddelandet misslyckades och inkluderar avsändarens IP-adress. Det här kallas ibland för en hard fail.
  • softfail (reason): SPF-posten som anges som värddator som inte tillåts skicka, men är i över gången.
  • neutral: SPF-posten anger explicit att den inte kräver att IP-adressen har tillåtelse att skicka.
  • none: Domänen saknar en SPF-post eller så utvärderas SPF-posten inte som ett resultat.
  • temperror: Ett tillfälligt fel har inträffat. Till exempel ett DNS-fel. Samma kontroll kan senare lyckas.
  • permerror: Ett permanent fel har inträffat. Domänen har till exempel en dåligt formaterad SPF-post.