Anti-spam meldingshoder (2023)

  • Artikkel
  • Gjelder:
    Exchange Online-beskyttelse, ✅Microsoft Defender for Office 365 plan 1 og plan 2, ✅Microsoft 365 Defender

Tips

Visste du at du kan prøve funksjonene i Microsoft 365 Defender for Office 365 Plan 2 gratis?Bruk 90-dagers prøveversjon av Defender for Office 365 påPrøvesenter for Microsoft 365 Defender-portal. Lær om hvem som kan registrere seg og prøvevilkårher.

I alle Microsoft 365-organisasjoner skanner Exchange Online Protection (EOP) alle innkommende meldinger for spam, skadelig programvare og andre trusler. Resultatene av disse skanningene legges til i følgende overskriftsfelt i meldinger:

  • X-Forefront-Antispam-Rapport: Inneholder informasjon om meldingen og om hvordan den ble behandlet.
  • X-Microsoft-Antispam: Inneholder tilleggsinformasjon om bulkpost og phishing.
  • Autentiseringsresultater: Inneholder informasjon om SPF-, DKIM- og DMARC-resultater (e-postautentisering).

Denne artikkelen beskriver hva som er tilgjengelig i disse overskriftsfeltene.

See Also
Feilsøk DNS Event ID 4013 - Windows Server

For informasjon om hvordan du viser en e-postmeldingshode i ulike e-postklienter, seSe meldingshoder på Internett i Outlook.

Tips

Du kan kopiere og lime inn innholdet i en meldingshode iMeldingshodeanalysatorverktøy. Dette verktøyet hjelper til med å analysere overskrifter og sette dem i et mer lesbart format.

X-Forefront-Antispam-Report meldingshodefelt

Etter at du har informasjon om meldingshodet, finner duX-Forefront-Antispam-RapportOverskrift. Det er flere felt- og verdipar i denne overskriften atskilt med semikolon (;). For eksempel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;CAT:NONE;SFTY:;...

De enkelte feltene og verdiene er beskrevet i tabellen nedenfor.

Merk

DeX-Forefront-Antispam-Rapportheader inneholder mange forskjellige felt og verdier. Felt som ikke er beskrevet i tabellen, brukes utelukkende av Microsofts anti-spam-team for diagnostiske formål.

FeltBeskrivelse
BUEDeBUEprotokollen har følgende felt:
  • AAR: Registrerer innholdet iAutentiseringsresultaterheader fra DMARC.
  • AMS: Inkluderer kryptografiske signaturer av meldingen.
  • SOM: Inkluderer kryptografiske signaturer til meldingshodene. Dette feltet inneholder en kode for en kjedevalidering kalt"cv=", som inkluderer resultatet av kjedevalideringen somingen,sende, ellermislykkes.
KATT:Kategorien for beskyttelsespolitikk, brukt på meldingen:
  • BULK: Bulk
  • DIMP: Domeneetterligning
  • GIMP:Etterligning basert på postkasseintelligens
  • HPHSHellerHPHISH: Nettfisking med høy tillit
  • HSPM: Spam med høy konfidens
  • MALW: Skadevare
  • PHSH: Phishing
  • SPM: Spam
  • SPOOF: Spoofing
  • UIMP: Brukeretterligning
  • AMP: Anti-malware
  • SEVJE: Trygge vedlegg
  • FTBP: Anti-malware filtypepolicy
  • OSPM: Utgående spam
  • INN I: Intra-Org phish-handling

En innkommende melding kan bli flagget av flere former for beskyttelse og flere gjenkjenningsskanninger. Retningslinjer har ulike prioriteringer, og politikken med høyest prioritet brukes først. For mer informasjon, seHvilken policy gjelder når flere beskyttelsesmetoder og gjenkjenningsskanninger kjører på e-posten din.
CIP:[IP-adresse]IP-adressen som kobles til. Du kan bruke denne IP-adressen i IP-tillatelseslisten eller IP-blokkeringslisten. For mer informasjon, seKonfigurer tilkoblingsfiltrering.
CTRYKildelandet/-regionen som bestemmes av den tilkoblede IP-adressen, som kanskje ikke er den samme som den opprinnelige avsender-IP-adressen.
DIRRetningsgraden til meldingen:
  • INB: Innkommende melding.
  • UTE: Utgående melding.
  • INT: Intern melding.
H:[helostring]HELO- eller EHLO-strengen til den tilkoblede e-postserveren.
IPV:CALMeldingen hoppet over spamfiltrering fordi kildens IP-adresse var i IP-tillatelseslisten. For mer informasjon, seKonfigurer tilkoblingsfiltrering.
IPV: NLIIP-adressen ble ikke funnet på noen IP-omdømmeliste.
LANGSpråket som meldingen ble skrevet på som spesifisert av landskoden (for eksempel ru_RU for russisk).
PTR:[ReverseDNS]PTR-posten (også kjent som omvendt DNS-oppslag) til kildens IP-adresse.
SCLSpam-konfidensnivået (SCL) for meldingen. En høyere verdi indikerer at meldingen er mer sannsynlig å være spam. For mer informasjon, seSpam-konfidensnivå (SCL).
SFTYMeldingen ble identifisert som phishing og er også merket med en av følgende verdier:
  • 9.19: Domeneimitasjon. Avsenderdomenet prøver åutgi seg for et beskyttet domene. Sikkerhetstipset for etterligning av domene legges til i meldingen (hvis det er aktivert).
  • 9.20: Brukeretterligning. Avsenderbrukeren prøver å etterligne en bruker i mottakerens organisasjon, elleren beskyttet bruker som er spesifisert i en anti-phishing-policyi Microsoft Defender for Office 365. Sikkerhetstipset for brukeretterligning legges til i meldingen (hvis den er aktivert).
  • 9.25: Første kontakt sikkerhetstips. Denne verdienkanskjevære en indikasjon på en mistenkelig melding eller phishing-melding. For mer informasjon, seFørste kontakt sikkerhetstips.
SFV:BLKFiltrering ble hoppet over, og meldingen ble blokkert fordi den ble sendt fra en adresse i en brukers liste over blokkerte avsendere.

For mer informasjon om hvordan administratorer kan administrere en brukers liste over blokkerte avsendere, seKonfigurer innstillinger for søppelpost på Exchange Online-postbokser.

SFV:NSPMSpamfiltrering markerte meldingen som ikke-søppelpost, og meldingen ble sendt til de tiltenkte mottakerne.
SFV:SFEFiltrering ble hoppet over og meldingen ble tillatt fordi den ble sendt fra en adresse i en brukers liste over sikre avsendere.

For mer informasjon om hvordan administratorer kan administrere en brukers liste over sikre avsendere, seKonfigurer innstillinger for søppelpost på Exchange Online-postbokser.

SFV: SKAMeldingen hoppet over søppelpostfiltrering og ble levert til innboksen fordi avsenderen var i listen over tillatte avsendere eller tillatte domener i en anti-spam-policy. For mer informasjon, seKonfigurer retningslinjer for anti-spam.
SFV:SKBMeldingen ble merket som søppelpost fordi den samsvarte med en avsender i listen over blokkerte avsendere eller blokkerte domener i en anti-spam-policy. For mer informasjon, seKonfigurer retningslinjer for anti-spam.
SFV: SKNMeldingen ble merket som ikke-søppelpost før den ble behandlet med søppelpostfiltrering. For eksempel ble meldingen merket som SCL -1 ellerOmgå spamfiltreringav en postflytregel.
SFV:SKQMeldingen ble frigjort fra karantenen og ble sendt til de tiltenkte mottakerne.
SFV:SKSMeldingen ble merket som søppelpost før den ble behandlet med søppelpostfiltrering. For eksempel ble meldingen merket som SCL 5 til 9 av en postflytregel.
SFV:SPMMeldingen ble merket som søppelpost av søppelpostfiltrering.
SRV:BULKMeldingen ble identifisert som bulk-e-post ved filtrering av søppelpost og terskelen for masseklagenivå (BCL). NårMarkAsSpamBulkMailparameter er(den er på som standard), er en e-postmelding merket som spam (SCL 6). For mer informasjon, seKonfigurer retningslinjer for anti-spam.
X-CustomSpam: [ASFOption]Meldingen samsvarte med en innstilling for avansert spamfilter (ASF). For å se X-header-verdien for hver ASF-innstilling, seInnstillinger for avansert spamfilter (ASF)..

Merk: ASF legger tilX-CustomSpam:X-overskriftsfelt til meldingerettermeldingene ble behandlet av Exchange-postflytregler (også kjent som transportregler), så du kan ikke bruke postflytregler til å identifisere og handle på meldinger som ble filtrert av ASF.

X-Microsoft-Antispam meldingshodefelt

Tabellen nedenfor beskriver nyttige felt iX-Microsoft-Antispammeldingshode. Andre felt i denne overskriften brukes utelukkende av Microsofts anti-spam-team til diagnostiske formål.

FeltBeskrivelse
BCLMasseklagenivået (BCL) for meldingen. En høyere BCL indikerer at en e-postmelding er mer sannsynlig å generere klager (og er derfor mer sannsynlig å være spam). For mer informasjon, seMasseklagenivå (BCL).

Meldingshode for autentiseringsresultater

Resultatene av e-postautentiseringssjekker for SPF, DKIM og DMARC registreres (stemples) iAutentiseringsresultatermeldingshode i innkommende meldinger.

Følgende liste beskriver teksten som er lagt tilAutentisering-resultateroverskrift for hver type e-postautentiseringskontroll:

  • SPF bruker følgende syntaks:

    spf= smtp.mailfrom=

    For eksempel:

    spf=pass (avsender IP er 192.168.0.1) smtp.mailfrom=contoso.comspf=fail (avsender IP er 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM bruker følgende syntaks:

    dkim= header.d=

    For eksempel:

    dkim=pass (signatur ble bekreftet) header.d=contoso.comdkim=fail (body hash ble ikke bekreftet) header.d=contoso.com

  • DMARC bruker følgende syntaks:

    dmarc= action= header.from=

    For eksempel:

    dmarc=pass handling=ingen header.from=contoso.comdmarc=bestguesspass action=ingen header.from=contoso.comdmarc=feil handling=ingen header.from=contoso.comdmarc=feil handling=avvis header.from=contoso.com

Meldingshodefelt for autentiseringsresultater

Tabellen nedenfor beskriver feltene og mulige verdier for hver e-postautentiseringssjekk.

FeltBeskrivelse
handlingIndikerer handlingen utført av spamfilteret basert på resultatene av DMARC-sjekken. For eksempel:
  • eller kaste utellero.avvise: Står for overstyringsavvisning. I dette tilfellet bruker Microsoft 365 denne handlingen når den mottar en melding som mislykkes i DMARC-kontrollen fra et domene hvis DMARC TXT-post har en policy påp=avvise. I stedet for å slette eller avvise meldingen, merker Microsoft 365 meldingen som spam. For mer informasjon om hvorfor Microsoft 365 er konfigurert på denne måten, seHvordan Microsoft 365 håndterer innkommende e-post som mislykkes med DMARC.
  • pct.karantene: Indikerer at en prosentandel mindre enn 100 % av meldingene som ikke består DMARC blir levert uansett. Dette resultatet betyr at meldingen mislyktes DMARC og DMARC-policyen ble satt tilp=karantene. Men pct-feltet var ikke satt til 100 %, og systemet bestemte seg tilfeldig for ikke å bruke DMARC-handlingen i henhold til det angitte domenets DMARC-policy.
  • pct.reject: Indikerer at en prosentandel mindre enn 100 % av meldingene som ikke består DMARC blir levert uansett. Dette resultatet betyr at meldingen mislyktes DMARC og DMARC-policyen ble satt tilp=avvise. Men pct-feltet var ikke satt til 100 %, og systemet bestemte seg tilfeldig for ikke å bruke DMARC-handlingen i henhold til det angitte domenets DMARC-policy.
  • permerror: Det oppstod en permanent feil under DMARC-evaluering, for eksempel at det oppsto en feil utformet DMARC TXT-post i DNS. Forsøk på å sende denne meldingen på nytt vil sannsynligvis ikke ende med et annet resultat. I stedet må du kanskje kontakte domenets eier for å løse problemet.
  • temperament: Det oppstod en midlertidig feil under DMARC-evaluering. Du kan kanskje be avsenderen sende meldingen på nytt senere for å behandle e-posten på riktig måte.
compauthSammensatt autentiseringsresultat. Brukes av Microsoft 365 for å kombinere flere typer autentisering (SPF, DKIM og DMARC), eller en hvilken som helst annen del av meldingen for å avgjøre om meldingen er autentisert eller ikke. Bruker Fra:-domenet som grunnlag for evaluering.
dkimBeskriver resultatene av DKIM-sjekken for meldingen. Mulige verdier inkluderer:
  • sende: Indikerer DKIM-sjekken for meldingen som er bestått.
  • mislykkes (grunn): Indikerer at DKIM-sjekken for meldingen mislyktes og hvorfor. For eksempel hvis meldingen ikke ble signert eller signaturen ikke ble bekreftet.
  • ingen: Indikerer at meldingen ikke ble signert. Dette resultatet kan eller ikke indikerer at domenet har en DKIM-post eller at DKIM-posten ikke evalueres til et resultat.
dmarcBeskriver resultatene av DMARC-sjekken for meldingen. Mulige verdier inkluderer:
  • sende: Indikerer DMARC-sjekken for meldingen som er bestått.
  • mislykkes: Indikerer at DMARC-kontrollen for meldingen mislyktes.
  • beste gjettepass: Indikerer at det ikke finnes noen DMARC TXT-post for domenet. Hvis domenet hadde en DMARC TXT-post, ville DMARC-sjekken for meldingen ha bestått.
  • ingen: Indikerer at det ikke finnes noen DMARC TXT-post for avsenderdomenet i DNS.
header.dDomene identifisert i DKIM-signaturen hvis noen. Dette er domenet som søkes etter den offentlige nøkkelen.
header.fraDomenet til5322.Fraadresse i e-postmeldingen (også kjent som Fra-adressen eller P2-avsenderen). Mottakeren ser Fra-adressen i e-postklienter.
grunnen tilÅrsaken til at den sammensatte autentiseringen bestod eller mislyktes. Verdien er en tresifret kode. For eksempel:
  • 000: Meldingen mislyktes eksplisitt autentisering (compauth=feil). For eksempel, meldingen mottok en DMARC-feil og DMARC-policyhandlingen erp=karanteneellerp=avvise.
  • 001: Meldingen mislyktes implisitt autentisering (compauth=feil). Dette resultatet betyr at avsenderdomenet ikke hadde e-postautentiseringsposter publisert, eller hvis de gjorde det, hadde de en svakere feilpolicy (SPF~alleeller?alle, eller en DMARC-policy forp=ingen).
  • 002: Organisasjonen har en policy for avsender/domene-paret som er eksplisitt forbudt å sende falsk e-post. En administrator konfigurerer denne innstillingen manuelt.
  • 010: Meldingen mislyktes DMARC, DMARC-policyhandlingen erp=avviseellerp=karantene, og avsenderdomenet er et av organisasjonens aksepterte domener (selv-til-selv- eller intra-org-forfalskning).
  • 1xxeller7xx: Meldingen bestod autentisering (compauth=pass). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 2xx: Meldingen soft-passed implisitt autentisering (compauth=softpass). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 3xx: Meldingen ble ikke sjekket for sammensatt autentisering (compauth=ingen).
  • 4xxeller9xx: Meldingen omgikk sammensatt autentisering (compauth=ingen). De to siste sifrene er interne koder som brukes av Microsoft 365.
  • 6xx: Meldingen mislyktes med implisitt e-postautentisering, og avsenderdomenet er et av organisasjonens aksepterte domener (selv-til-selv- eller intra-org-forfalskning).
smtp.mailfraDomenet til5321.MailFraadresse (også kjent som MAIL FROM-adresse, P1-avsender eller konvoluttavsender). Denne e-postadressen brukes til rapporter om manglende levering (også kjent som NDR-er eller returmeldinger).
spfBeskriver resultatene av SPF-sjekken for meldingen. Mulige verdier inkluderer:
  • pass (IP-adresse): SPF-sjekken for meldingen som er bestått og inkluderer avsenderens IP-adresse. Klienten er autorisert til å sende eller videresende e-post på vegne av avsenderens domene.
  • mislykkes (IP-adresse): SPF-sjekken for meldingen mislyktes og inkluderer avsenderens IP-adresse. Dette resultatet kalles noen gangerhardt mislykkes.
  • softfail (grunn): SPF-posten utpekte verten som ikke tillatt å sende, men er i overgang.
  • nøytral: SPF-posten sier eksplisitt at den ikke hevder om IP-adressen er autorisert til å sende.
  • ingen: Domenet har ikke en SPF-post eller SPF-posten evalueres ikke til et resultat.
  • temperament: Det har oppstått en midlertidig feil. For eksempel en DNS-feil. Den samme sjekken senere kan lykkes.
  • permerror: Det har oppstått en permanent feil. For eksempel har domenet en dårlig formatert SPF-post.
Top Articles
Latest Posts
Article information

Author: Barbera Armstrong

Last Updated: 17/09/2023

Views: 6045

Rating: 4.9 / 5 (79 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Barbera Armstrong

Birthday: 1992-09-12

Address: Suite 993 99852 Daugherty Causeway, Ritchiehaven, VT 49630

Phone: +5026838435397

Job: National Engineer

Hobby: Listening to music, Board games, Photography, Ice skating, LARPing, Kite flying, Rugby

Introduction: My name is Barbera Armstrong, I am a lovely, delightful, cooperative, funny, enchanting, vivacious, tender person who loves writing and wants to share my knowledge and understanding with you.