Поделиться через

Заголовки сообщений защиты от нежелательной почты в облачных организациях

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Во всех организациях с облачными почтовыми ящиками Microsoft 365 проверяет все входящие сообщения на наличие спама, вредоносных программ и других угроз. Результаты таких проверок добавляются в поля указанных ниже заголовков сообщений.

  • X-Forefront-Antispam-Report: содержит сведения о сообщении и о том, как оно было обработано.
  • X-Microsoft-Antispam: предоставляет дополнительные сведения о массовой рассылке и фишинге.
  • Authentication-results: содержит сведения о результатах проверки подлинности электронной почты, включая платформу политики отправителей (SPF), доменные ключи идентифицированной почты (DKIM) и проверку подлинности сообщений на основе домена, отчеты и соответствие (DMARC).

В данной статье описано содержание полей этих заголовков.

Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Просмотр заголовков сообщений Интернета в Outlook.

Совет

Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки в более удобочитаемый формат.

Поля заголовка сообщения X-Forefront-Antispam-Report

После получения сведений о заголовке сообщения найдите заголовок X-Forefront-Antispam-Report. В этом заголовке есть несколько пар полей и значений, разделенных точкой с запятой (;). Например:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Отдельные поля и значения описаны в таблице ниже.

Примечание.

Заголовок X-Forefront-Antispam-Report содержит множество различных полей и значений. Поля, не упомянутые в таблице, используются исключительно группой специалистов Майкрософт, ответственной за защиту от спама, для диагностики.

Поле Описание
ARC В протоколе Authenticated Received Chain (ARC) имеются следующие поля:
  • AAR: записывает содержимое заголовка Authentication-results из DMARC.
  • AMS: включает криптографические подписи сообщений.
  • AS: содержит криптографические подписи заголовков сообщений. В этом заголовке находится тег проверки цепочки "cv=", содержащий результат проверки цепочки в виде значений none, pass или fail.
CAT: Категория политики угроз, применяемая к сообщению:
  • AMP: защита от вредоносных программ
  • BIMP: олицетворение торговой марки*
  • BULK: массовая рассылка
  • DIMP: олицетворение домена*
  • FTBP: фильтр распространенных вложений для защиты от вредоносных программ
  • GIMP: олицетворение аналитики почтовых ящиков*
  • HPHSH или HPHISH: высокая вероятность фишинга
  • HSPM: высокая вероятность спама
  • INTOS: Intra-Organization фишинг
  • MALW: вредоносная программа
  • OSPM: исходящий спам
  • PHSH: фишинг
  • SAP: безопасные вложения*
  • SPM: спам
  • SPOOF: спуфинг
  • UIMP: олицетворение пользователя*

*Только defender для Office 365.

Несколько форм защиты и несколько проверок обнаружения могут помечать входящее сообщение. Политики применяются в порядке приоритета, и политика с наивысшим приоритетом применяется в первую очередь. См. статью Какая политика применяется, когда для электронной почты запускается несколько методов защиты и сканеров обнаружения.
CIP:[IP address] IP-адрес для подключения. Этот IP-адрес можно использовать в списке разрешенных или заблокированных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
CTRY Исходная страна или регион, определяемые соединительным IP-адресом, который может не совпадать с отправляющимСЯ IP-адресом.
DIR Направление сообщения:
  • INB: входящее сообщение.
  • OUT: исходящее сообщение.
  • INT: внутреннее сообщение.
H:[helostring] Строка HELO или EHLO подключенного почтового сервера.
IPV:CAL Сообщение пропустило фильтрацию спама, так как исходный IP-адрес был указан в списке разрешенных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
IPV:NLI IP-адрес не найден ни в одном списке репутации IP-адресов.
LANG Язык, на который было написано сообщение, как указано в коде страны (например, ru_RU для русского языка).
PTR:[ReverseDNS] Запись PTR (называемая также обратным поиском DNS) исходного IP-адреса.
SCL Вероятность нежелательной почты (SCL) сообщения. Чем больше значение, тем вероятнее, что сообщение окажется спамом. Дополнительные сведения см. в статье Вероятность нежелательной почты (SCL).
SFTY Сообщение было определено как фишинговое и помечается одним из следующих значений:
  • 9.19. Олицетворение доменов. Отправляющий домен пытается представиться защищенным доменом. Совет по безопасности для олицетворения домена добавляется в сообщение (если олицетворение домена включено).
  • 9.20. Олицетворение пользователей. Отправляющий пользователь пытается олицетворять пользователя в организации получателя или защищенного пользователя, указанного в политике защиты от фишинга в Microsoft Defender для Office 365. Совет по безопасности для олицетворения пользователя добавляется в сообщение (если олицетворение пользователя включено).
  • 9.25. Совет по безопасности при первом контакте. Это значение может быть признаком подозрительного или фишинга сообщения. Дополнительные сведения см. в разделе Совет по безопасности при первом контакте.
SFV:BLK Сообщение заблокировано без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка заблокированных отправителей.

Дополнительные сведения о том, как администраторы могут управлять списком заблокированных отправителей пользователя, см. в разделе Настройка параметров нежелательной почты в облачных почтовых ящиках.
SFV:NSPM Фильтрация нежелательной почты помечает сообщение как nonspam, и сообщение было отправлено предполагаемым получателям.
SFV:SFE Сообщение пропущено без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка надежных отправителей.

Дополнительные сведения о том, как администраторы могут управлять списком надежных отправителей пользователя, см. в статье Настройка параметров нежелательной почты в облачных почтовых ящиках.
SFV:SKA Сообщение отправлено в папку "Входящие" без применения к нему фильтра спама, так как отправитель находится в списке разрешенных отправителей или домен — в списке разрешенных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKB Сообщение помечено как спам, так как его параметры соответствуют записи в списке заблокированных отправителей или в списке заблокированных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKN Перед обработкой с помощью фильтрации нежелательной почты сообщение было помечено как nonspam. Например, сообщение получило пометку SCL-1 или Не использовать фильтрацию спама по правилу потока почты.
SFV:SKQ Сообщение было извлечено из карантина и отправлено указанным получателям.
SFV:SKS Перед обработкой сообщение было помечено как спам с помощью фильтрации нежелательной почты. Например, сообщение было помечено правилом потока почты как относящееся к категориям от SCL-5 до SCL-9.
SFV:SPM Сообщение помечено фильтром спама как спам.
SRV:BULK Сообщение идентифицировано как массовая рассылка в результате фильтрации спама и порогового значения уровня массовых жалоб (BCL). Если параметру MarkAsSpamBulkMail присвоено значение On (включен по умолчанию), сообщение массовой рассылки помечается как спам (SCL 6). Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.
X-CustomSpam: [ASFOption] Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Чтобы просмотреть значение X-заголовка для каждого параметра ASF, см. раздел Параметры расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты.

Примечание. ASF добавляет X-CustomSpam: поля X-заголовка к сообщениям после обработки сообщений правилами потока обработки почты Exchange (также называемыми правилами транспорта). Вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных по ASF, и действия с сообщениями.

Поля заголовка сообщения X-Microsoft-Antispam

В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

Поле Описание
BCL Количество жалоб на массовую рассылку (BCL) сообщения. Более высокий уровень BCL указывает, что массово рассылаемое сообщение часто вызовет жалобы (и поэтому скорее всего является спамом). Дополнительные сведения см. в статье Порог неприятия массовых рассылок (BCL).

Заголовок сообщения Authentication-results

Результаты проверки подлинности сообщений электронной почты для SPF, DKIM и DMARC записываются в заголовке входящих сообщений Authentication-results. Заголовок Authentication-results определен в RFC 7001.

В следующем списке описывается текст, добавленный в заголовок Authentication-Results для каждого типа проверки подлинности электронной почты проверка:

  • В SPF используется следующий синтаксис.

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Например:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • В DKIM используется следующий синтаксис.

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Например:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • В DMARC используется следующий синтаксис.

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Например:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Поля заголовка сообщения Authentication-results

В этой таблице содержатся поля и возможные значения для каждого типа проверки подлинности сообщений электронной почты.

Поле Описание
action Указывает действие, выполняемое фильтром спама на основании результатов проверки с помощью DMARC. Например:
  • pct.quarantine: указывает, что процент менее 100 % сообщений, которые не проходят DMARC, доставляются в любом случае. Этот результат означает, что сообщение завершилось ошибкой DMARC, а для политики DMARC было задано значение p=quarantine. Но для поля рст не задано значение 100 %, и система случайным образом определила, что действие DMARC не применяется в соответствии с политикой DMARC указанного домена.
  • pct.reject: указывает, что процент менее 100 % сообщений, которые не проходят DMARC, доставляются в любом случае. Этот результат означает, что сообщение завершилось ошибкой DMARC, а для политики DMARC было задано значение p=reject. Но для поля pct не задано значение 100 %, и система случайным образом определила, что действие DMARC не применяется в соответствии с политикой DMARC указанного домена.
  • permerror: во время оценки DMARC произошла постоянная ошибка, например при обнаружении неправильно сформированной записи DMARC TXT в DNS. Повторная отправка этого сообщения вряд ли приведет к другому результату. Вместо этого может потребоваться связаться с владельцем домена, чтобы устранить проблему.
  • temperror: во время вычисления DMARC произошла временная ошибка. Если отправитель отправляет сообщение позже, оно может быть обработано должным образом.
compauth Результат многофакторной проверки подлинности. Microsoft 365 объединяет несколько типов проверки подлинности (SPF, DKIM и DMARC) и другие части сообщения, чтобы определить, проходит ли сообщение проверку подлинности. В качестве основы для оценки используется домен "От:". Примечание. Несмотря на сбой compauth , сообщение по-прежнему может быть разрешено, если другие оценки не указывают на подозрительный характер.
dkim Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DKIM пройдена успешно.
  • fail (причина). Указывает, что не удалось проверить сообщение с помощью DKIM, а также причину этого. Например, если сообщение не было подписано или подпись не проверена.
  • none: указывает, что сообщение не было подписано. Этот результат может указывать на то, что домен имеет запись DKIM или запись DKIM не вычисляет результат.
dmarc Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DMARC пройдена успешно.
  • fail. Указывает, что проверка сообщения с помощью DMARC не пройдена.
  • bestguesspass. Указывает, что для домена не существует записи DMARC TXT. Если домен содержит запись DMARC TXT, то проверка DMARC для сообщения будет передаваться.
  • none. Указывает, что для отправляющего домена в DNS отсутствует запись DMARC TXT.
header.d Домен, определенный в подписи DKIM, если он есть. Этот домен запрашивается для открытого ключа.
header.from Домен адреса From в заголовке сообщения электронной почты (также известного 5322.From как адрес или отправитель P2). Получатель видит адрес отправителя в почтовых клиентах.
reason Причина успешной или неудачной комплексной проверки подлинности. Значение представляет собой трехзначный код. Дополнительные сведения см. в разделе Коды причин составной проверки подлинности .
smtp.mailfrom Домен адреса MAIL FROM (также известный 5321.MailFrom как адрес, отправитель P1 или отправитель конверта). Этот адрес электронной почты используется для отчетов о недоставке (также известных как NDR или сообщения о отказе).
spf Описывает результаты проверка SPF для сообщения (включен ли источник сообщения в запись SPF для домена). Возможные значения:
  • pass (IP address): источник сообщения включен в запись SPF для домена. Источник авторизован на отправку или ретрансляцию электронной почты для домена.
  • fail (IP address): также называется жестким сбоем. Источник сообщения не включается в запись SPF для домена, и домен указывает целевой почтовой системе отклонить сообщение (-all).
  • softfail (reason): также называется мягким сбоем. Источник сообщения не включается в запись SPF для домена, и домен указывает целевой почтовой системе принять и пометить сообщение (~all).
  • neutral: источник сообщения не включается в запись SPF для домена, и домен не предлагает назначение определенной инструкции для сообщения (?all).
  • none: для домена не задана запись SPF или эта запись не предписывает результатов.
  • temperror: произошла временная ошибка. Например, ошибка DNS. В дальнейшем проверка может быть пройдена.
  • permerror: произошла постоянная ошибка. Например, запись SPF для домена имеет неправильный формат.

Составные коды причины проверки подлинности

В следующей таблице описаны трехзначные reason коды, используемые с compauth результатами.

Совет

Дополнительные сведения о результатах проверки подлинности электронной почты и способах устранения ошибок см. в руководстве по операциям безопасности для проверки подлинности электронной почты в Microsoft 365.

Код причины Описание
000 Сообщение не удалось выполнить явную проверку подлинности (compauth=fail). Сообщение получило ошибку DMARC и действие политики DMARC имеет значение p=quarantine или p=reject.
001 Сообщение завершилось ошибкой неявной проверки подлинности (compauth=fail). В домене отправки не были опубликованы записи проверки подлинности по электронной почте. В противном случае у него была более слабая политика сбоя (SPF ~all или ?all, или политика DMARC ).p=none
002 В организации есть политика для пары отправителей и доменов, которая явно запрещена отправлять поддельные сообщения электронной почты. Администратор вручную настраивает этот параметр.
010 Сообщение завершилось сбоем DMARC, действие политики DMARC равно p=reject или p=quarantine, а отправляющий домен является одним из принятых доменов вашей организации (само-себе или внутри организации спуфингом).
1xx Сообщение прошло явную или неявную проверку подлинности (compauth=pass).
  100 Передано SPF или передано DKIM, а домены в адресах MAIL FROM и From выровнены.
  101 Сообщение было DKIM подписано доменом, используемым в адресе From.
  102 Домены адреса MAIL FROM и From были выровнены, а SPF передан.
  103 Домен from address соответствует записи DNS PTR (обратный поиск), связанной с исходным IP-адресом.
  104 Запись DNS PTR (обратный поиск), связанная с исходным IP-адресом, выравнивается с доменом From address.
  108 Сбой DKIM из-за изменения текста сообщения, связанного с предыдущими законными прыжками. Например, текст сообщения был изменен в локальной среде электронной почты организации.
  109 Хотя домен отправителя не имеет записи DMARC, сообщение в любом случае пройдет.
  111 Несмотря на временную ошибку DMARC или постоянную ошибку, домен SPF или DKIM соответствует домену from address.
  112 Время ожидания DNS не позволило получить запись DMARC.
  115 Сообщение было отправлено из организации Microsoft 365, где домен from address настроен как обслуживаемый домен.
  116 Запись MX для домена from address выравнивается с записью PTR (обратный поиск) подключающегося IP-адреса.
  130 Результат arc в результате того, что надежный уплотнитель ARC переопределил сбой DMARC.
2xx Неявная проверка подлинности сообщения (compauth=softpass).
  201 Запись PTR для домена from address соответствует подсети записи PTR для подключающегося IP-адреса.
  202 Домен From address соответствует домену записи PTR для подключающегося IP-адреса.
3xx Сообщение не было проверено на наличие составной проверки подлинности (compauth=none).
4xx Сообщение обошло составную проверку подлинности (compauth=none).
501 DMARC не применялся. Сообщение является допустимым отчетом о недоставке (также известное как сообщение о недоставке или отказе), а контакт между отправителем и получателем устанавливается ранее.
502 DMARC не применялся. Сообщение является допустимым NDR для сообщения, отправленного из этой организации.
6xx Сообщение завершилось ошибкой неявной проверки подлинности электронной почты (compauth=fail).
  601 Отправляющий домен является принятым доменом в вашей организации (самообслуживание или подделывание внутри организации).
7xx Сообщение прошло неявную проверку подлинности (compauth=pass).
  701-704 DMARC не применялся, так как эта организация имеет историю получения допустимых сообщений из инфраструктуры отправки.
9xx Сообщение обошло составную проверку подлинности (compauth=none).
  905 DMARC не применялся из-за сложной маршрутизации. Например, интернет-сообщения направляются через локальную среду Exchange или службу сторонних поставщиков до достижения Microsoft 365.
  • Last updated on