Antispam-Nachrichtenkopfzeilen in Microsoft 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In allen Microsoft 365-Organisationen überprüft Exchange Online Protection (EOP) alle eingehenden Nachrichten auf Spam, Malware und andere Bedrohungen. Die Ergebnisse dieser Scans werden den folgenden Kopfzeilenfeldern in Nachrichten hinzugefügt:
- X-Forefront-Antispam-Report: enthält Informationen zur Nachricht und ihrer Verarbeitung.
- X-Microsoft-Antispam: liefert zusätzliche Informationen über Massensendungen und Phishing.
- Authentifizierungsergebnisse: enthält Informationen zu den Ergebnissen von SPF, DKIM und DMARC (E-Mail-Authentifizierung).
In diesem Artikel wird beschrieben, was in diesen Kopfzeilenfeldern verfügbar ist.
Informationen dazu, wie Sie einen E-Mail-Nachrichtenkopf in verschiedenen E-Mail-Clients anzeigen, finden Sie unter Anzeigen von Internet Nachrichtenkopfzeilen in Outlook.
Tipp
Sie können den Inhalt einer Nachrichtenkopfzeile kopieren und in das Tool Nachrichtenkopfanalyse einfügen. Mit diesem Tool können Sie Kopfzeilen analysieren und in ein besser lesbares Format umwandeln.
Felder der Nachrichtenkopfzeile X-Forefront-Antispam-Report
Wenn Sie die Nachrichtenheader-Informationen haben, suchen Sie nach dem X-Forefront-Antispam-Report-Header. Dieser Header enthält mehrere Feld- und Wertpaare, die durch Semikolons (;). Zum Beispiel:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Die einzelnen Felder und Werte werden in der folgenden Tabelle beschrieben.
Hinweis
Die X-Forefront-Antispam-Report-Kopfzeile enthält viele verschiedene Kopfzeilenfelder und Werte. Felder, die nicht in der Tabelle beschrieben werden, werden ausschließlich vom Microsoft-Antispamteam zu Diagnosezwecken verwendet.
Feld | Beschreibung |
---|---|
ARC |
Das ARC -Protokoll weist die folgenden Felder auf:
|
CAT: |
Die Kategorie der Schutzrichtlinie, die auf die Nachricht angewendet wird:
*Nur Defender for Office 365. Eine eingehende Nachricht kann durch mehrere Formen des Schutzes und mehrere Erkennungsscans gekennzeichnet werden. Richtlinien werden in der Reihenfolge der Rangfolge angewendet, und die Richtlinie mit der höchsten Priorität wird zuerst angewendet. Weitere Informationen finden Sie unter Welche Richtlinie gilt, wenn mehrere Schutzmethoden und Erkennungsscans für Ihre E-Mails ausgeführt werden? |
CIP:[IP address] |
Die IP-Verbindungsadresse. Sie können diese IP-Adresse in der Liste der zugelassenen IP-Adressen oder in der IP-Sperrliste verwenden. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter. |
CTRY |
Das Quellland/die Quellregion, das/die durch die VERBINDUNGS-IP-Adresse bestimmt wird, die möglicherweise nicht mit der ursprünglich gesendeten IP-Adresse identisch ist. |
DIR |
Die Directionality der Nachricht:
|
H:[helostring] |
Die HELO- oder EHLO-Zeichenfolge des verbindenden E-Mail-Servers. |
IPV:CAL |
Die Nachricht wurde von der Spamfilterung übersprungen, da sich die IP-Quelladresse in der Liste der zugelassenen IP-Adressen befand. Weitere Informationen finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter. |
IPV:NLI |
Die IP-Adresse wurde in keiner IP-Zuverlässigkeitsliste gefunden. |
LANG |
Die Sprache, in der die Nachricht geschrieben wurde, wie durch den Ländercode angegeben (z. B. ru_RU für Russisch). |
PTR:[ReverseDNS] |
Der PTR-Eintrag (auch bekannt als Reverse-DNS-Lookup) der Quell-IP-Adresse. |
SCL |
Die SCL-Bewertung (Spam Confidence Level) der Nachricht. Ein höherer Wert gibt an, dass die Nachricht mit größerer Wahrscheinlichkeit Spam ist. Weitere Informationen finden Sie unter SCL-Bewertungen (Spam Confidence Level). |
SFTY |
Die Nachricht wurde als Phishing identifiziert und ist auch mit einem der folgenden Werte gekennzeichnet:
|
SFV:BLK |
Die Filterung wurde übersprungen, und die Nachricht wurde blockiert, da sie von einem Absender stammt, der sich in der Liste mit blockierten Absendern des Benutzers befindet. Weitere Informationen dazu, wie Administratoren die Liste blockierter Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer. |
SFV:NSPM |
Die Spamfilterung markierte die Nachricht als nichtspam, und die Nachricht wurde an die vorgesehenen Empfänger gesendet. |
SFV:SFE |
Die Filterung wurde übersprungen und die Nachricht wurde zugelassen, da sie von einer Adresse stammt, die sich in der Liste der sicheren Absender des Benutzers befindet. Weitere Informationen dazu, wie Administratoren die Liste sicherer Absender eines Benutzers verwalten können, finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer. |
SFV:SKA |
Die Nachricht wurde von der Spamfilterung übersprungen und an den Posteingang übermittelt, da sich der Absender in der Liste der zulässigen Absender oder in der Liste der zulässigen Domänen in einer Antispamrichtlinie befand. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien. |
SFV:SKB |
Die Nachricht wurde als Spam gekennzeichnet, da sie einem Sender in der Liste der blockierten Absender oder in der Liste der blockierten Domänen in einer Antispamrichtlinie entsprach. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien. |
SFV:SKN |
Die Nachricht wurde vor der Verarbeitung durch Spamfilterung als nichtspam gekennzeichnet. Die Nachricht wurde durch eine Nachrichtenflussregel z. B. als SCL-1 oder Spamfilter umgehen markiert. |
SFV:SKQ |
Die Nachricht wurde aus der Quarantäne freigegeben und an die vorgesehenen Empfänger gesendet. |
SFV:SKS |
Die Nachricht wurde vor der Verarbeitung durch Spamfilterung als Spam gekennzeichnet. Die Nachricht wurde beispielsweise durch eine Nachrichtenflussregel als SCL-5 bis 9 markiert. |
SFV:SPM |
Die Nachricht wurde vom Spamfilter als Spam markiert. |
SRV:BULK |
Die Nachricht wurde von der Spamfilterung und durch den BCL-Schwellenwert (Bulk Complaint Level) als Massen-E-Mail erkannt. Wenn der MarkAsSpamBulkMail -Parameter On (standardmäßig aktiviert) ist, wird eine Massen-E-Mail-Nachricht als Spam (SCL 6) markiert. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien. |
X-CustomSpam: [ASFOption] |
Die Nachricht stimmte mit einer erweiterten Einstellung für Spamfilter (AFL) überein. Informationen zum Anzeigen des X-Header-Werts für jede ASF-Einstellung finden Sie unter Erweiterte Einstellungen für Spamfilter (ASF). Hinweis: ASF fügt X-CustomSpam: Nachrichten X-Header-Felder hinzu, nachdem die Nachrichten von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verarbeitet wurden, sodass Sie nachrichtenflussregeln nicht verwenden können, um Nachrichten zu identifizieren und darauf zu reagieren, die von ASF gefiltert wurden. |
Felder der Nachrichtenkopfzeile X-Microsoft-Antispam
In der folgenden Tabelle werden nützliche Felder im X-Microsoft-Antispam-Nachrichtenheader beschrieben. Andere Felder in diesem Header werden ausschließlich vom Antispamteam von Microsoft zu Diagnosezwecken verwendet.
Feld | Beschreibung |
---|---|
BCL |
Das Massenbeschwerdeniveau (Bulk Complaint Level, BCL) der Nachricht. Ein höheres BCL-Niveau zeigt an, dass eine als Massensendung gesendete E-Mail mit größerer Wahrscheinlichkeit zu Beschwerden führen wird (und daher eher als Spam einzustufen ist). Weitere Informationen finden Sie unter Massenbeschwerdegrad (BCL) in EOP. |
Nachrichtenkopfzeile „Authentication-results“
Die Ergebnisse der E-Mail-Authentifizierungsüberprüfung für SPF, DKIM und DMARC werden in eingehende Nachrichten in der Nachrichtenkopfzeile Authentifizierungsergebnisse aufgezeichnet. Der Header Authentication-results ist in RFC 7001 definiert.
Die folgende Liste beschreibt den Text, der der Kopfzeile Authentifizierungsergebnisse für jede Art der E-Mail-Authentifizierungsprüfung hinzugefügt wird:
SPF verwendet die folgende Syntax:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Zum Beispiel:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM verwendet die folgende Syntax:
dkim=<pass|fail (reason)|none> header.d=<domain>
Zum Beispiel:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC verwendet die folgende Syntax:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Zum Beispiel:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Nachrichtenkopfzeilenfelder “Authentifizierungsergebnisse”
In der folgenden Tabelle werden die Felder und die möglichen Werte für jede E-Mail-Authentifizierungsprüfung beschrieben.
Feld | Beschreibung |
---|---|
action |
Gibt die Aktion an, die vom Spamfilter basierend auf den Ergebnissen der DMARC-Prüfung ausgeführt wird. Zum Beispiel:
|
compauth |
Ergebnis der zusammengesetzten Authentifizierung. Wird von Microsoft 365 verwendet, um mehrere Authentifizierungstypen (SPF, DKIM und DMARC) oder einen anderen Teil der Nachricht zu kombinieren, um zu bestimmen, ob die Nachricht authentifiziert ist. Verwendet die "From:"-Domäne als Grundlage für die Prüfung.
Hinweis: Trotz eines Fehlers compauth ist die Meldung möglicherweise weiterhin zulässig, wenn andere Bewertungen nicht auf verdächtige Art hinweisen. |
dkim |
Beschreibt die Ergebnisse der DKIM-Prüfung für die Nachricht. Mögliche Werte sind:
|
dmarc |
Beschreibt die Ergebnisse der DMARC-Prüfung für die Nachricht. Mögliche Werte sind:
|
header.d |
Die in der DKIM-Signatur identifizierte Domäne, sofern vorhanden. Dies ist die Domäne, die für den öffentlichen Schlüssel abgefragt wird. |
header.from |
Die Domäne der 5322.From -Adresse im Kopf der E-Mail-Nachricht (auch als Absenderadresse oder P2-Absender bezeichnet). Der Empfänger sieht die Absenderadresse in E-Mail-Clients. |
reason |
Der Grund, warum die zusammengesetzte Authentifizierung erfolgreich war oder fehlgeschlagen ist. Der Wert ist ein dreistelliger Code. Zum Beispiel:
|
smtp.mailfrom |
Die Domäne der 5321.MailFrom -Adresse (auch als MAIL FROM-Adresse, P1-Absender oder Umschlagabsender bezeichnet). Diese E-Mail-Adresse wird für Unzustellbarkeitsberichte (auch als NDRs oder Unzustellbarkeitsnachrichten bezeichnet) verwendet. |
spf |
Beschreibt die Ergebnisse der SPF-Prüfung für die Nachricht. Mögliche Werte sind:
|