Заголовки сообщений о защите от нежелательной почты в Microsoft 365
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Во всех организациях Microsoft 365 служба Exchange Online Protection (EOP) проверяет все входящие сообщения на наличие спама, вредоносных программ и других угроз. Результаты таких проверок добавляются в поля указанных ниже заголовков сообщений.
- X-Forefront-Antispam-Report: содержит сведения о сообщении и о том, как оно было обработано.
- X-Microsoft-Antispam: предоставляет дополнительные сведения о массовой рассылке и фишинге.
- Authentication-results: содержит сведения о результатах проверок подлинности SPF, DKIM и DMARC.
В данной статье описано содержание полей этих заголовков.
Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Просмотр заголовков сообщений Интернета в Outlook.
Совет
Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.
Поля заголовка сообщения X-Forefront-Antispam-Report
После получения сведений о заголовке сообщения найдите заголовок X-Forefront-Antispam-Report. В этом заголовке есть несколько пар полей и значений, разделенных точкой с запятой (;). Например:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Отдельные поля и значения описаны в таблице ниже.
Примечание.
Заголовок X-Forefront-Antispam-Report содержит множество различных полей и значений. Поля, не упомянутые в таблице, используются исключительно группой специалистов Майкрософт, ответственной за защиту от спама, для диагностики.
Поле | Описание |
---|---|
ARC |
В протоколе ARC имеются следующие поля:
|
CAT: |
Категория политики защиты, применяемая к сообщению:
*только Defender для Office 365. Входящее сообщение может быть помечено несколькими формами защиты и несколькими проверками обнаружения. Политики применяются в порядке приоритета, и политика с наивысшим приоритетом применяется в первую очередь. См. статью Какая политика применяется, когда для электронной почты запускается несколько методов защиты и сканеров обнаружения. |
CIP:[IP address] |
IP-адрес для подключения. Этот IP-адрес можно использовать в списке разрешенных или заблокированных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений. |
CTRY |
Исходная страна или регион, определяемые соединительным IP-адресом, который может не совпадать с отправляющимСЯ IP-адресом. |
DIR |
Направление сообщения:
|
H:[helostring] |
Строка HELO или EHLO подключенного почтового сервера. |
IPV:CAL |
Сообщение пропустило фильтрацию спама, так как исходный IP-адрес был указан в списке разрешенных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений. |
IPV:NLI |
IP-адрес не найден ни в одном списке репутации IP-адресов. |
LANG |
Язык, на который было написано сообщение, как указано в коде страны (например, ru_RU для русского языка). |
PTR:[ReverseDNS] |
Запись PTR (называемая также обратным поиском DNS) исходного IP-адреса. |
SCL |
Вероятность нежелательной почты (SCL) сообщения. Чем больше значение, тем вероятнее, что сообщение окажется спамом. Дополнительные сведения см. в статье Вероятность нежелательной почты (SCL). |
SFTY |
Сообщение было определено как фишинговое и помечается одним из следующих значений:
|
SFV:BLK |
Сообщение заблокировано без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка заблокированных отправителей. Дополнительные сведения о том, как администраторы могут управлять пользовательским списком заблокированных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online. |
SFV:NSPM |
Фильтрация нежелательной почты помечает сообщение как nonspam, и сообщение было отправлено предполагаемым получателям. |
SFV:SFE |
Сообщение пропущено без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка надежных отправителей. Дополнительные сведения о том, как администраторы могут управлять пользовательским списком надежных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online. |
SFV:SKA |
Сообщение отправлено в папку "Входящие" без применения к нему фильтра спама, так как отправитель находится в списке разрешенных отправителей или домен — в списке разрешенных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама. |
SFV:SKB |
Сообщение помечено как спам, так как его параметры соответствуют записи в списке заблокированных отправителей или в списке заблокированных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама. |
SFV:SKN |
Перед обработкой с помощью фильтрации нежелательной почты сообщение было помечено как nonspam. Например, сообщение получило пометку SCL-1 или Не использовать фильтрацию спама по правилу потока почты. |
SFV:SKQ |
Сообщение было извлечено из карантина и отправлено указанным получателям. |
SFV:SKS |
Перед обработкой сообщение было помечено как спам с помощью фильтрации нежелательной почты. Например, сообщение было помечено правилом потока почты как относящееся к категориям от SCL-5 до SCL-9. |
SFV:SPM |
Сообщение помечено фильтром спама как спам. |
SRV:BULK |
Сообщение идентифицировано как массовая рассылка в результате фильтрации спама и порогового значения уровня массовых жалоб (BCL). Если параметру MarkAsSpamBulkMail присвоено значение On (включен по умолчанию), сообщение массовой рассылки помечается как спам (SCL 6). Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты. |
X-CustomSpam: [ASFOption] |
Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Сведения о том, как узнать значение X-заголовка для каждого из параметров ASF, см. в статье Параметры расширенного фильтра спама (ASF). Примечание. ASF добавляет X-CustomSpam: поля X-заголовка к сообщениям после обработки сообщений правилами потока обработки почты Exchange (также известными как правила транспорта), поэтому вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных ASF, и действия с сообщениями, которые были отфильтрованы ASF. |
Поля заголовка сообщения X-Microsoft-Antispam
В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.
Поле | Описание |
---|---|
BCL |
Количество жалоб на массовую рассылку (BCL) сообщения. Более высокий уровень BCL указывает, что массово рассылаемое сообщение часто вызовет жалобы (и поэтому скорее всего является спамом). Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL) в EOP. |
Заголовок сообщения Authentication-results
Результаты проверки подлинности сообщений электронной почты для SPF, DKIM и DMARC записываются в заголовке входящих сообщений Authentication-results. Заголовок Authentication-results определен в RFC 7001.
В приведенном ниже списке приведен текст, добавляемый в заголовок Authentication-results для каждого типа проверки подлинности сообщений электронной почты.
В SPF используется следующий синтаксис.
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Например:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
В DKIM используется следующий синтаксис.
dkim=<pass|fail (reason)|none> header.d=<domain>
Например:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
В DMARC используется следующий синтаксис.
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Например:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Поля заголовка сообщения Authentication-results
В этой таблице содержатся поля и возможные значения для каждого типа проверки подлинности сообщений электронной почты.
Поле | Описание |
---|---|
action |
Указывает действие, выполняемое фильтром спама на основании результатов проверки с помощью DMARC. Например:
|
compauth |
Результат многофакторной проверки подлинности. Используется Microsoft 365 для объединения нескольких типов проверки подлинности (SPF, DKIM и DMARC) или любой другой части сообщения для определения проверки подлинности сообщения. В качестве основы для оценки используется домен "От:".
Примечание. Несмотря на сбой compauth , сообщение по-прежнему может быть разрешено, если другие оценки не указывают на подозрительный характер. |
dkim |
Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:
|
dmarc |
Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:
|
header.d |
Определяет домен, указанный в подписи DKIM, если такая есть. Это домен, у которого запрашивается открытый ключ. |
header.from |
Домен, указанный в адресе 5322.From в заголовке сообщения ("адрес отправителя" или "отправитель P2"). Получатель видит адрес отправителя в почтовых клиентах. |
reason |
Причина удачного или неудачного выполнения многофакторной проверки подлинности. Значение представляет собой трехзначный код. Например:
|
smtp.mailfrom |
Домен адреса 5321.MailFrom (например, "адрес отправителя", "отправитель P1" или "отправитель конверта"). Этот адрес электронной почты используется для отчетов о недоставке (также известных как NDR или сообщения о отказе). |
spf |
Описывает результаты проверки сообщения с использованием инфраструктуры политики отправителей. Возможные значения:
|