Encabezados de mensajes de correo no deseado en Microsoft 365
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En todas las organizaciones de Microsoft 365, Exchange Online Protection (EOP) analiza todos los mensajes entrantes para detectar spam, malware y otras amenazas. Los resultados de estos análisis se agregan a los siguientes campos de encabezado de los mensajes:
- X-Forefront-antispam-Report: contiene información sobre el mensaje y cómo se ha procesado.
- X-Microsoft-antispam: contiene información adicional sobre el correo masivo y el phishing.
- Authentication-results: contiene información sobre los resultados de SPF, DKIM y DMARC (autenticación de correo electrónico).
Este artículo describe lo que está disponible en estos campos de encabezado.
Para obtener información sobre cómo ver el encabezado del mensaje de un correo electrónico en distintos clientes de correo electrónico, vea Analizador de encabezados de mensaje
Sugerencia
Puede copiar y pegar el contenido del encabezado del mensaje en la herramienta Analizador de encabezados de mensaje. Esta herramienta le ayuda a analizar los encabezados y los convierte en un formato más legible.
Campos del encabezado del mensaje X-Forefront-Antispam-Report
Cuando tenga la información del encabezado del mensaje, busque el encabezado X-Forefront-Antispam-Report. Hay varios pares de campo y valor en este encabezado separados por punto y coma (;). Por ejemplo:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Los campos y valores individuales se describen en la siguiente tabla.
Nota:
El encabezado X-Forefront-Antispam-Report contiene muchos campos y valores de encabezado distintos. Los campos que no se describen en la tabla los usa exclusivamente el equipo de protección contra correo no deseado de Microsoft con fines de diagnóstico.
Campo | Description |
---|---|
ARC |
El protocolo ARC tiene los campos siguientes:
|
CAT: |
Categoría de directiva de protección que se aplica al mensaje:
*solo Defender para Office 365. Un mensaje entrante puede marcarse mediante varias formas de protección y varios exámenes de detección. Las directivas se aplican en orden de prioridad y la directiva con la prioridad más alta se aplica primero. Para obtener más información, consulte Qué directiva se aplica cuando se ejecutan varios métodos de protección y exámenes de detección en el correo electrónico. |
CIP:[IP address] |
La dirección IP de conexión. Puede usar esta dirección IP en la Lista de direcciones IP permitidas o en la Lista de direcciones IP bloqueadas. Para obtener más información, consulte Configurar filtrado de la conexión. |
CTRY |
País o región de origen determinado por la dirección IP de conexión, que podría no ser la misma que la dirección IP de envío de origen. |
DIR |
Direccionalidad del mensaje:
|
H:[helostring] |
Cadenas HELO o EHLO del servidor de correo de conexión. |
IPV:CAL |
El mensaje fue omitido del filtrado de correo no deseado porque la dirección IP de origen aparecía en la Lista de direcciones IP permitidas. Para obtener más información, consulte Configurar filtrado de la conexión. |
IPV:NLI |
La dirección IP no se encontró en ninguna lista de reputación de IP. |
LANG |
Idioma en el que se escribió el mensaje según lo especificado por el código de país (por ejemplo, ru_RU para ruso). |
PTR:[ReverseDNS] |
El registro PTR (también conocido como la búsqueda inversa de DNS) de la dirección IP de la fuente. |
SCL |
Nivel de confianza de correo electrónico no deseado (SCL) del mensaje. Un valor superior indica que el mensaje tiene más posibilidades de ser correo no deseado. Para obtener más información, consulte Nivel de confianza del correo no deseado (SCL). |
SFTY |
El mensaje se identificó como phishing y también se marca con uno de los siguientes valores:
|
SFV:BLK |
Se omitió el filtrado y se bloqueó el mensaje porque se envió desde una dirección de la lista de remitentes bloqueados de un usuario. Para más información sobre cómo los administradores pueden administrar la lista de Remitentes bloqueados de un usuario, consulte Configurar las opciones de correo electrónico no deseado en buzones de Exchange Online. |
SFV:NSPM |
El filtrado de correo no deseado marcó el mensaje como nonspam y el mensaje se envió a los destinatarios previstos. |
SFV:SFE |
Se omitió el filtrado y el mensaje se permitió porque se envió desde una dirección de la lista de remitentes seguros de un usuario. Para más información sobre cómo los administradores pueden administrar la lista de Remitentes seguros de un usuario, consulte Configurar las opciones de correo electrónico no deseado en buzones de Exchange Online. |
SFV:SKA |
El mensaje fue omitido del filtrado de correo electrónico no deseado y se entregó en la Bandeja de entrada porque el remitente estaba en una lista de remitentes permitidos o una lista de dominios permitidos de una directiva contra correo no deseado. Para más información, consulte Configurar directivas contra correo electrónico no deseado. |
SFV:SKB |
El mensaje se marcó como correo no deseado porque coincidía con un remitente de una lista de remitentes bloqueados o una lista de dominios bloqueados de una directiva contra correo no deseado. Para más información, consulte Configurar directivas contra correo electrónico no deseado. |
SFV:SKN |
El mensaje se marcó como nonspam antes de procesarlo mediante el filtrado de correo no deseado. Por ejemplo, el mensaje se marcó como SCL -1 u Omitir el filtrado de correo no deseado por una regla de flujo de correo. |
SFV:SKQ |
El mensaje fue publicado desde la cuarentena y se ha enviado a los destinatarios. |
SFV:SKS |
El mensaje se marcó como correo no deseado antes de procesarlo mediante el filtrado de correo no deseado. Por ejemplo, el mensaje se marcó como SCL de 5 a 9 por una regla de flujo de correo. |
SFV:SPM |
El mensaje se marcó como correo no deseado por el filtro de correo no deseado. |
SRV:BULK |
El mensaje se identificó como correo electrónico masivo por el filtrado de correo no deseado y el umbral de nivel de queja de correo masivo (BCL). Cuando el parámetro MarkAsSpamBulkMail está On (está activado de forma predeterminada), un mensaje de correo masivo se marca como correo no deseado (SCL 6). Para obtener más información, consulte Configurar directivas contra correo electrónico no deseado. |
X-CustomSpam: [ASFOption] |
El mensaje coincide con una opción de Filtro de correo no deseado avanzado (ASF). Para ver el valor del encabezado X para cada opción de ASF, consulte Configuración del Filtro de correo no deseado avanzado (ASF). Nota: ASF agrega X-CustomSpam: campos de encabezado X a los mensajes después de que las reglas de flujo de correo de Exchange procesaran los mensajes (también conocidas como reglas de transporte), por lo que no puede usar reglas de flujo de correo para identificar y actuar en los mensajes filtrados por ASF. |
Campos de encabezado de mensaje de X-Microsoft-Antispam
En la tabla siguiente se describen los campos más útiles del encabezado de mensaje X-Microsoft-Antispam. El resto de los campos de este encabezado los usa exclusivamente el equipo de Microsoft contra el correo no deseado con fines de diagnóstico.
Campo | Description |
---|---|
BCL |
Nivel de queja de correo masivo (BCL) del mensaje. Un BCL superior indica que es más probable que un mensaje de correo masivo generen quejas (y, por lo tanto, es más probable que sea correo no deseado). Para obtener más información, vea Nivel de quejas masivas (BCL) en EOP. |
Encabezado de mensaje Authentication-results
Los resultados de las comprobaciones de autenticación de correo electrónico para SPF, DKIM y DMARC se registran (marcan) en el encabezado de mensaje Authentication-results en mensajes entrantes. El encabezado Authentication-results se define en RFC 7001.
La siguiente lista describe el texto que se agrega al encabezado Authentication-Results para cada tipo de comprobación de autenticación de correo electrónico:
SPF usa la siguiente sintaxis:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Por ejemplo:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM usa la siguiente sintaxis:
dkim=<pass|fail (reason)|none> header.d=<domain>
Por ejemplo:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC usa la siguiente sintaxis:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Por ejemplo:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Campos del encabezado del mensaje Authentication-results
En la siguiente tabla se describen los campos y los valores posibles para todas las comprobaciones de autenticación de correo electrónico.
Campo | Descripción |
---|---|
action |
Indica la acción efectuada por el filtro de correo no deseado en función de los resultados de la comprobación de DMARC. Por ejemplo:
|
compauth |
Resultado de la autenticación compuesta. Lo usa Microsoft 365 para combinar varios tipos de autenticación (SPF, DKIM y DMARC) o cualquier otra parte del mensaje para determinar si el mensaje se autentica o no. Usa el dominio De: como base de la evaluación.
Nota: A pesar de un compauth error, es posible que el mensaje todavía se permita si otras evaluaciones no indican una naturaleza sospechosa. |
dkim |
Describe los resultados de la comprobación de DKIM del mensaje. Los valores posibles son:
|
dmarc |
Describe los resultados de la comprobación de DMARC del mensaje. Los valores posibles son:
|
header.d |
Dominio identificado en la firma de DKIM, en caso de haber alguna. Se trata del dominio consultado para obtener la clave pública. |
header.from |
El dominio de la dirección 5322.From del encabezado del mensaje de correo electrónico (también denominada dirección De o remitente P2). El destinatario ve la dirección De del remitente en los clientes de correo electrónico. |
reason |
El motivo por el que se ha producido un error en la autenticación compuesta. El valor es un código de tres dígitos. Por ejemplo:
|
smtp.mailfrom |
El dominio de la dirección 5321.MailFrom (también conocida como dirección MAIL FROM, remitente P1 o remitente del sobre). Esta dirección de correo electrónico se usa para informes de no entrega (también conocidos como NDR o mensajes de devolución). |
spf |
Describe los resultados de la comprobación de SPF del mensaje. Los valores posibles son:
|