反垃圾邮件标记
Exchange Server中的反垃圾邮件标记在邮件通过筛选来自 Internet 的入站邮件的反垃圾邮件功能时,将诊断元数据或标记(如特定于发件人的信息、谜题验证结果和内容筛选结果)应用于这些邮件。 若要查看邮件上反垃圾邮件筛选的结果和诊断与垃圾邮件有关的问题,您可以使用反垃圾邮件标记。 Exchange Server 2010 中的反垃圾邮件功能和标记基本上不变。 有四个主要的 Exchange 反垃圾邮件标记:
网络钓鱼可能性等级 (PCL) 标记
发件人 ID 标记
垃圾邮件可信度 (SCL) 标记
反垃圾邮件报告标记
反垃圾邮件标记会添加到邮件中作为邮件标头的 X 标头字段。 可以使用 Outlook 查看邮件上的反垃圾邮件标记。 有关详细信息,请参阅在 Outlook 中查看反垃圾邮件标记。
网络钓鱼可能性等级标记
PCL 标记指示根据其内容邮件是网络钓鱼邮件的可能性。 内容筛选器代理在处理邮件时应用的 PCL 标记。 有关内容筛选的详细信息,请参阅内容筛选。
下表描述了 PCL 值。
| PCL 值 | Verdict | 说明 |
|---|---|---|
| 1 至 3 | Neutral |
邮件的内容可能不是网络钓鱼。 |
| 4 至 8 | Suspicious |
邮件的内容可能是网络钓鱼。 |
PCL 值显示在 X-MS-Exchange-Organization-PCL: X-header 中,PCL 判决在反垃圾邮件报告标记中显示为 PCL:PhishingLevel <Verdict>。 Outlook 使用 PCL 标记来阻止可疑邮件的内容。
发件人 ID 标记
发件人 ID 标记基于发件人策略框架 (SPF),该框架授权在电子邮件中使用域。 发件人 ID 代理确定邮件的发件人 ID 状态。 下表描述了这些状态值。
| 状态 | 说明 |
|---|---|
Pass |
IP 地址和假设负责地址 (PRA) 都通过了发件人 ID 验证检查。 |
Neutral |
发布的发件人 ID 数据明显不具有决定性。 |
SoftFail |
PRA 的 IP 地址可能在禁止的集合内。 |
Fail |
IP 地址不允许使用。 在传入邮件中未找到任何 PRA,或发件人域不存在。 |
None |
发件人的 DNS 中没有任何已发布的 SPF 数据。 |
TempError |
出现临时 DNS 失败,例如 DNS 服务器不可用。 |
PermError |
DNS 记录无效,例如,记录格式错误。 |
发件人 ID 标记显示在 X-MS-Exchange-Organization-SenderIdResult: X-header 中,并在反垃圾邮件报告标记中显示为 SenderIDStatus <Status>。 SPF 结果显示在 Received-SPF 标头中。
有关详细信息,请参阅下列主题:
垃圾邮件可信度标记
注意
2016 年 11 月,Microsoft 停止为 Exchange 和 Outlook 中的 SmartScreen 筛选器生成垃圾邮件定义更新。 现有的 SmartScreen 垃圾邮件定义已保留,但其有效性可能会随着时间的推移而降低。 有关详细信息,请参阅“停止为 Outlook 和 Exchange 中的 SmartScreen 提供支持”。
SCL 标记根据其内容显示邮件的分级。 内容筛选器代理使用 Microsoft SmartScreen 技术评估邮件内容,并为每个邮件分配 SCL 分级。 下表描述了 SCL 值。
| SCL 值 | 说明 |
|---|---|
| 0 到 9 | 0 表示该邮件是垃圾邮件的可能性极低。 9 表示该邮件是垃圾邮件的可能性极高。 |
| -1 | 该邮件绕过反垃圾邮件扫描(例如,邮件来自内部发件人)。 |
SCL 值出现在 X-MS-Exchange-Organization-SCL: X 标头中。
Exchange 和 Outlook 根据 SCL 值执行的操作取决于您的 SCL 阈值设置。 有关详细信息,请参阅 Exchange 垃圾邮件置信度级别 (SCL) 阈值。
反垃圾邮件报告标记
反垃圾邮件报告标记是已应用于邮件的反垃圾邮件筛选结果的摘要。 内容筛选器代理将此标记以 X-MS-Exchange-Organization-Antispam-Report: X 标头的形式应用于邮件。 反垃圾邮件报告使用下面的语法:
X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>
下表描述了可以出现在反垃圾邮件报告标记中的反垃圾邮件筛选器信息。 请注意,反垃圾邮件报告标记只包含来自已应用于该邮件的反垃圾邮件筛选器中的结果和结论。 因此,反垃圾邮件报告标记通常不包含所有可能的标记和值。
| 标记 | 说明 |
|---|---|
| DV | DAT 版本 (DV) 标记指示扫描邮件时所使用的垃圾邮件定义文件的版本。 |
| SA | 签名操作 (SA) 标记指示由于在邮件中找到签名而恢复或删除此邮件。 |
| SV | 签名 DAT 版本 (SV) 标记指示扫描邮件时所使用的签名文件的版本。 |
| CW | 自定义权值 (CW) 标记指示邮件包含未批准的字词或短语,以及这些未批准的字词或短语的 SCL 值或权值已应用于 SCL 的最终得分:
有关如何向内容筛选代理添加已批准和未批准的字词或短语的详细信息,请参阅 内容筛选过程。 |
| PP | 预先解决的问题 (PP) 标记指示:如果发件人的邮件中包含一个已解决计算的有效邮戳(基于 Outlook 电子邮件邮戳验证功能),则此发件人不太可能是恶意发件人。 在这种情况下,内容筛选器代理将降低 SCL 分级。 如果启用了电子邮戳验证功能,并且以下任一条件为真时,内容筛选器代理将不会更改 SCL 分级:
有关邮戳验证功能的详细信息,请参阅 内容筛选。 |
| TIME:TimeBasedFeatures | 指示发送邮件的时间和接收邮件的时间之间有一个明显的时间延迟。 使用 TIME 标记可确定邮件的最终 SCL 分级。 |
| OrigIP | 指示源邮件服务器的 IP 地址。 |
| MIME:MIMECompliance | 指示电子邮件与 MIME 不兼容。 |
| P100:PhishingBlock | 指示邮件包含一个在网络钓鱼定义文件中出现的 URL。 |
| IPOnAllowList | 指示发件人的 IP 地址位于 IP 允许列表中。 有关 IP 允许列表的详细信息,请参阅 IP 允许列表。 |
| MessageSecurityAntispamBypass | 指示没有对邮件内容进行筛选,并且已授予发件人绕过反垃圾邮件筛选器的权限。 |
| SenderBypassed | 指示内容筛选器代理不会对来自此发件人的邮件进行任何内容筛选。 有关详细信息,请参阅 内容筛选过程。 |
| AllRecipientsBypassed | 指示邮件中列出的所有收件人都符合下列条件之一:
|