Meddelandehuvuden för antiskräppost i Microsoft 365
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
I alla Microsoft 365-organisationer används Exchange Online Protection (EOP) för att söka igenom alla inkommande meddelanden för skräp post, skadlig kod och andra hot. Resultatet av dessa genomsökningar läggs till i följande huvud fält i meddelanden:
X-Forefront-Antispam-rapport: Innehåller information om meddelandet och hur det behandlades.
X-Microsoft-Antispam: Innehåller ytterligare information om bulk mail och phishing.
Autentiseringsresultat: Innehåller information om SPF, DKIM och DMARC (e-autentisering).
Den här artikeln beskriver vad som är tillgängligt i dessa rubrikfält.
För information om hur man visar ett e-postmeddelandes meddelanderubrik i olika e-postklienter, se Visa e-postmeddelandehuvud i Outlook.
Tips
Du kan kopiera och klistra in innehållet i ett meddelandehuvud i Analysverktyg för meddelanderubrik. Det här verktyget hjälper till att tolka rubriker och lägga till dem i ett mer läsbart format.
X-Forefront-Antispam-Report meddelanderubrikfält
När du har information om meddelande rubriken hittar du i rubriken X-Forefront-Antispam-Report. Det kommer att finnas flera fält- och värdepar i denna rubrik separerade med semikolon (;). Till exempel:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...
De enskilda fälten och värdena beskrivs i följande tabell.
Anteckning
X-Forefront-antispam-Report-huvudet innehåller många olika fält och värden. Fält som inte beskrivs i tabellen används uteslutande av Microsofts anti-spam-team för diagnostiska ändamål.
| Fält | Beskrivning |
|---|---|
ARC |
I ARC protokoll finns följande fält:
|
CAT: |
Kategori för den skyddspolicy som används för meddelandet:
Ett inkommande meddelande kan flaggas av flera olika typer av skydd och flera identifieringsgenomsökningar. Policyer har olika prioriteringar och den policy som har högst prioritet kommer att tillämpas först. Se Vilken policy gäller när flera skyddsmetoder och identifieringsgenomsökningar körs på din e-post för mer information. |
CIP:[IP address] |
Den anslutande IP-adressen. Du kan använda den här IP-adressen i listan över tillåtna IP-adresser eller IP-adresser som ska blockeras. Mer information finns i konfigurera anslutningsfilter. |
CTRY |
Källlandet, vilket bestäms av den anslutande IP-adressen, som kanske inte är samma som den ursprungliga IP-adressen. |
H:[helostring] |
En anslutande e-mailservers HELO- eller OEHLO-sträng. |
IPV:CAL |
Meddelandet hoppade över skräppostfiltrering eftersom källans IP-adress fanns i listan över tillåtna IP-adresser. Mer information finns i Konfigurera anslutningsfiltrering. |
IPV:NLI |
IP-adressen hittades inte på någon IP-rykte-lista. |
LANG |
Det språk på vilket meddelandet skrevs, specificerat av landskoden (till exempel ru_RU för ryska). |
PTR:[ReverseDNS] |
PTR-posten (även kallad omvänd DNS-sökning) för källans IP-adress. |
SCL |
Meddelandets SCL (Spam Confidence Level). Ett högre värde innebär att det är mer troligt att meddelandet är skräppost. Mer information finns i Konfidensnivå för skräppost (SCL). |
SFTY |
Meddelandet identifierades som phishing och kommer att markeras med något av följande värden:
|
SFV:BLK |
Filtreringen hoppades över och meddelandet blockerades eftersom det skickades från en adress i en användares lista med spärrade avsändare. Mer information om hur administratörer kan hantera användarens lista med blockerade avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor. |
SFV:NSPM |
Meddelandet har markerats som icke skräppost av skräppostfiltret och det har skickats till avsedda mottagare. |
SFV:SFE |
Filtreringen hoppades över och meddelandet tilläts eftersom det skickades från en adress i en användares listan Betrodda avsändare. Mer information om hur administratörer kan hantera användarens lista med säkra avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor. |
SFV:SKA |
Meddelandet hoppade över skräppostfiltreringen och skickades till Inkorgen eftersom avsändaren fanns i listan med tillåtna avsändare eller tillåtna domäner i en princip för skräppostskydd. Mer information finns i Konfigurera principer för skräppostskydd. |
SFV:SKB |
Meddelandet markerades som skräppost eftersom det matchade en avsändare i listan med spärrade avsändare eller spärrade domäner i en princip för skräppostskydd. Mer information finns i Konfigurera principer för skräppostskydd. |
SFV:SKI |
I likhet med SFV: SKN hoppade skräp post filter av en annan anledning (till exempel en inomeuropeisk e-post i en klient organisation). |
SFV:SKN |
Meddelandet markerades som icke-skräppost innan det bearbetades av skräppostfiltrering. Meddelandet har till exempel markerats som SCL -1 eller Kringgå skräppostfiltrering av en e-postflödesregel. |
SFV:SKQ |
Meddelandet har släppts från karantänen och har skickats till de avsedda mottagarna. |
SFV:SKS |
Meddelandet markerades som skräppost innan det bearbetades av skräppostfiltrering. Meddelandet har till exempel markerats som SCL 5 till 9 av en e-postflödesregel. |
SFV:SPM |
Meddelandet markerades som skräppost av skräppostfiltret. |
SRV:BULK |
Meddelandet identifierades som massutskick av skräppostfiltreringen och tröskeln för BCL (Bulk Complaint Level). När parametern MarkAsSpamBulkMail är On (den är aktiverat dom standard) markeras ett massutskick som skräppost (SCL 6). Mer information finns i Konfigurera principer för skräppostskydd. |
X-CustomSpam: [ASFOption] |
Meddelandet matchade ett avancerat alternativ för skräppostfiltrering (ASF). Om du vill visa värdet för X-header för respektive ASF-inställning läser du Inställningar för avancerat skräppostfilter (ASF). |
X-Microsoft-Antispam meddelanderubrikfält
Följande tabell beskriver användbara fält i meddelanderubriken X-Microsoft-Antispam. Andra fält i den här rubriken används exklusivt av Microsofts anti-spam-team av diagnostiska skäl.
| Fält | Beskrivning |
|---|---|
BCL |
Meddelande BCL (Bulk Complaint Level). En högre BCL anger att ett Mass utskick innebär att det är mer troligt att vi skapar klagomål (och är därför förmodligen mer sannolikt att få skräp post). Se Klagomålsnivå på massutskick (BCL) för mer information. |
Authentication-results meddelanderubrik
Resultatet av kontroller för e-postautentisering för SPF, DKIM och DMARC registreras (stämplas) i verifierings resultat meddelande rubriken i inkommande meddelanden.
I följande lista beskrivs den text som läggs till i verifierings resultat huvud för varje typ av verifiering av e-postkontroll:
SPF använder följande syntax:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>Till exempel:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.comDKIM använder följande syntax:
dkim=<pass|fail (reason)|none> header.d=<domain>Till exempel:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.comDMARC använder följande syntax:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>Till exempel:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Autentisering-resultat meddelande rubrik fält
I följande tabell beskrivs fälten och möjliga värden för alla kontroller för e-postverifiering.
| Fält | Beskrivning |
|---|---|
action |
Anger den åtgärd som skräppostfiltret vidtar baserat på resultatet av DMARC-kontrollen. Till exempel:
|
compauth |
Sammansatt autentiseringsresultat. Används av Microsoft 365 för att kombinera flera typer av autentisering, till exempel SPF, DKIM, DMARC eller någon annan del av meddelandet för att avgöra om meddelandet är autentiserat eller inte. Använder Från:-domänen som grund för utvärderingen. |
dkim |
Beskriver resultaten av DKIM-kontrollen för meddelandet. Möjliga värden är:
|
dmarc |
Beskriver resultaten av DMARC-kontrollen för meddelandet. Möjliga värden är:
|
header.d |
Domän som identifierats i DKIM-signaturen om någon. Detta är den domän som tillfrågas om den publika nyckeln. |
header.from |
Domänen för 5322.From-adressen i e-postmeddelandets huvud (kallas även Från-adress eller P2-avsändare). Mottagaren ser Från-adressen i e-postklienten. |
reason |
Orsaken till att den sammansatta autentiseringen gick igenom eller inte. Värdet är en tresiffrig kod. Till exempel:
|
smtp.mailfrom |
Domänen för 5321.MailFrom-adressen (kallas även för E-POST FRÅN-adress, P1-avsändare eller avsändare av kuvert). Det är den e-postadress som används för rapporter om utebliven leverans (kallas även för NDR-rapporter eller bouncemeddelanden). |
spf |
Beskriver resultaten av SPF-kontrollen för meddelandet. Möjliga värden är:
|