Microsoft 365 のスパム対策メッセージ ヘッダー
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
すべての Microsoft 365 組織では、Exchange Online Protection (EOP) がすべての受信メッセージをスキャンして、スパム、マルウェア、およびその他の脅威を検出します。 これらのスキャンの結果は、メッセージの次のヘッダー フィールドに追加されます。
- X-Forefront-Antispam-Report: メッセージに関する情報とメッセージの処理方法が含まれます。
- X-Microsoft-Antispam: バルク メールやフィッシングに関する追加情報が含まれます。
- Authentication-results: SPF、DKIM、および DMARC (メール認証) の結果に関する情報が含まれます。
この記事では、これらのヘッダー フィールドで使用できる機能について説明します。
さまざまなメール クライアントでメール メッセージ ヘッダーを表示する方法については、「Outlook のインターネット メッセージ ヘッダーの表示」を参照してください。
ヒント
メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。 このツールは、ヘッダーを解析し、より読みやすい形式にします。
X-Forefront-Antispam-Report メッセージ ヘッダー フィールド
メッセージ ーヘッダーの情報を取得したら、X-Forefront-Antispam-Report ヘッダーを見つけます。 このヘッダーには、複数のフィールドと値のペアがセミコロン (;)で区切られています。 例:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
次の表に個々のフィールドと値の説明を示します。
注:
X-Forefront-Antispam-Report ヘッダーには、多くのさまざまなフィールドと値が含まれています。 表に記載されていないフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。
フィールド | 説明 |
---|---|
ARC |
ARC プロトコルには次のフィールドがあります。
|
CAT: |
メッセージに適用される保護ポリシーのカテゴリ:
*Defender for Office 365のみ。 受信メッセージには、複数の形式の保護スキャンと複数の検出スキャンによってフラグが設定される場合があります。 ポリシーは優先順位の順に適用され、優先順位が最も高いポリシーが最初に適用されます。 詳細については、「複数の保護方法および検出スキャンがメールで実行される場合に適用されるポリシー」を参照してください。 |
CIP:[IP address] |
接続 IP アドレス。 この IP アドレスは、IP 許可一覧または IP 禁止一覧で使用できます。 詳細については、「接続フィルターを構成する」を参照してください。 |
CTRY |
接続 IP アドレスによって決定される送信元の国/地域。送信元の送信 IP アドレスと同じではない可能性があります。 |
DIR |
メッセージの方向:
|
H:[helostring] |
接続メール サーバーの HELO または EHLO 文字列。 |
IPV:CAL |
送信元 IP アドレスが IP 許可一覧にあるため、メッセージのスパム フィルタリングが省略されました。 詳細については、「接続フィルターを構成する」を参照してください。 |
IPV:NLI |
IP アドレスはどの IP 評判リストにも見つかりませんでした。 |
LANG |
国コードで指定されたとおりにメッセージが書き込まれた言語 (たとえば、ロシア語の場合はru_RU)。 |
PTR:[ReverseDNS] |
逆引き DNS 参照とも呼ばれる、送信元の IP アドレスの PTR レコード。 |
SCL |
メッセージの SCL (Spam Confidence Level) です。 値が高いほど、メッセージがスパムである可能性が高くなります。 詳細については、「Spam Confidence Level (SCL)」を参照してください。 |
SFTY |
メッセージはフィッシングとして識別され、次のいずれかの値でマークされています。
|
SFV:BLK |
メッセージがユーザーの受信拒否リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。 管理者がユーザーの受信拒否リストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。 |
SFV:NSPM |
スパム フィルター処理によってメッセージがスパム以外としてマークされ、メッセージが目的の受信者に送信されました。 |
SFV:SFE |
メッセージがユーザーの差出人セーフ リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージは許可されました。 管理者がユーザーの信頼できる差出人のリストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。 |
SFV:SKA |
送信者がスパム対策ポリシーの許可された送信者リストまたは許可されたドメイン リストに含まれるため、メッセージはスパム フィルタリングが省略され、受信トレイに配信されました。 詳細については、「スパム対策ポリシーの構成」を参照してください。 |
SFV:SKB |
メッセージは、スパム対策ポリシーの受信拒否リストまたはブロックされているドメイン リスト内の送信者と一致したため、スパムとしてマークされました。 詳細については、「スパム対策ポリシーの構成」を参照してください。 |
SFV:SKN |
スパム フィルター処理によって処理する前に、メッセージが非スパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって、SCL-1 としてマークされた場合、スパム フィルタリングをバイパスする場合などです。 |
SFV:SKQ |
メッセージは検疫から解放され、目的の受信者に送信されました。 |
SFV:SKS |
メッセージは、スパム フィルター処理によって処理する前にスパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって SCL 5 から 9 としてマークされた場合などです。 |
SFV:SPM |
スパム フィルタリングによって、メッセージがスパムとしてマークされました。 |
SRV:BULK |
メッセージは、スパムフィルタリングおよび Bulk Complaint Level (BCL) のしきい値により、バルク メールとして識別されました。
MarkAsSpamBulkMail パラメーターが On の場合 (既定はオン)、バルク メール メッセージは迷惑メール (SCL 6) としてマークされます。 詳細については、「スパム対策ポリシーの構成」を参照してください。 |
X-CustomSpam: [ASFOption] |
メッセージは高度なスパム フィルター (ASF) の設定と一致しました。 各 ASF 設定の X ヘッダーの値を確認するには、「高度なスパム フィルター (ASF) の設定」を参照してください。 注: ASF は、メッセージが Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) によって処理された後に、 X-CustomSpam: X ヘッダー フィールドをメッセージに追加するため、メール フロー ルールを使用して ASF によってフィルター処理されたメッセージを識別して処理することはできません。 |
X-Microsoft-Antispam メッセージ ヘッダー フィールド
次の表に、X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。 このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。
フィールド | 説明 |
---|---|
BCL |
メッセージの Bulk Complaint Level (BCL)。 BCL が高いほど、バルク メール メッセージが好ましくない内容である可能性が高い (したがって、スパムである可能性が高い) ことを示します。 詳細については、 EOP での一括苦情レベル (BCL) に関するページを参照してください。 |
Authentication-results メッセージ ヘッダー
SPF、DKIM、および DMARC のメール認証チェックの結果は、受信メッセージの Authentication-results メッセージ ヘッダーに記録されます。 認証結果ヘッダーは RFC 7001 で定義されています。
次の一覧では、メール認証チェックの種類ごとに、Authentication-Results ヘッダーに追加されるテキストについて説明します。
SPF は以下の構文を使用します。
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
例:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM は以下の構文を使用します。
dkim=<pass|fail (reason)|none> header.d=<domain>
例:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC は以下の構文を使用します。
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
例:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Authentication-results メッセージ ヘッダー フィールド
フィールドと各電子メールの認証チェックに使用される値を次の表に示します。
フィールド | 説明 |
---|---|
action |
DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。 例:
|
compauth |
複合認証の結果。 Microsoft 365 によって、複数の種類の認証 (SPF、DKIM、DMARC) またはメッセージの他の部分を組み合わせて、メッセージが認証されているかどうかを判断するために使用されます。 評価の基準として、差出人: ドメインを使用します。
注: compauth エラーにもかかわらず、他の評価が疑わしい性質を示していない場合、メッセージは引き続き許可される可能性があります。 |
dkim |
メッセージの DKIM チェックの結果についての説明。 次の値を指定できます。
|
dmarc |
メッセージの DMARC チェックの結果についての説明。 次の値を指定できます。
|
header.d |
DKIM 署名で識別されるドメイン (存在する場合)。 これは、公開キーを照会するドメインです。 |
header.from |
メール メッセージ ヘッダーの 5322.From アドレスのドメイン (From アドレスまたは P2 送信者とも呼ばれます)。 受信者には、メール クライアントの From アドレスが表示されます。 |
reason |
複合認証にパスした、または失敗した理由。 値は 3 桁のコードです。 以下に例を示します。
|
smtp.mailfrom |
5321.MailFrom アドレスのドメイン (MAIL FROM アドレス、P1 送信者、またはエンベロープの差出人とも呼ばれます)。 このメール アドレスは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) に使用されます。 |
spf |
メッセージの SPF チェックの結果についての説明。 次の値を指定できます。
|