Cabeçalhos de mensagens anti-spam no Office 365
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Em todas as organizações do Microsoft 365, o EOP (Proteção do Exchange Online) verifica todas as mensagens recebidas em busca de spam, malware e outras ameaças. Os resultados dessas verificações são adicionados aos seguintes campos de cabeçalho nas mensagens:
- X-Forefront-Antispam-Report: contém informações sobre a mensagem e como ela foi processada.
- X-Microsoft-Antispam: contém informações adicionais sobre email em massa e phishing.
- Authentication-results: contém informações sobre resultados de SPF, DKIM e DMARC (autenticação de email).
Este artigo descreve o que está disponível nesses campos de cabeçalho.
Para saber mais sobre como exibir um cabeçalho de mensagem de email em vários clientes de email, confira Exibir cabeçalhos de mensagens de Internet no Outlook.
Dica
Você pode copiar e colar o conteúdo de um cabeçalho da mensagem na ferramenta Analisador do cabeçalho da mensagem. Essa ferramenta ajuda a analisar os cabeçalhos, deixando-os em um formato mais legível.
Campos de cabeçalho da mensagem X-Forefront-Antispam-Report
Depois de obter as informações do cabeçalho da mensagem, localize o cabeçalho X-Forefront-Antispam-Report. Existem múltiplos pares de campos e valores neste cabeçalho separados por ponto e vírgula (;). Por exemplo:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Os campos e valores individuais são descritos na tabela a seguir.
Observação
O cabeçalho X-Forefront-Antispam-Report contém muitos campos e valores diferentes. Os campos que não estão descritos na tabela são usados exclusivamente pela equipe antispam da Microsoft para fins de diagnóstico.
Campo | Descrição |
---|---|
ARC |
O protocolo ARC tem os seguintes campos:
|
CAT: |
A categoria da política de proteção aplicada à mensagem:
*apenas Defender para Office 365. Uma mensagem de entrada pode ser sinalizada por várias formas de proteção e múltiplas análises de deteção. As políticas são aplicadas por ordem de precedência e a política com a prioridade mais alta é aplicada primeiro. Para obter mais informações, consulte Qual política se aplica quando vários métodos de proteção e verificações de detecção são executados em seus e-mails. |
CIP:[IP address] |
O endereço IP de conexão. Você pode usar esse endereço IP na Lista de permissões de IP ou na Lista de bloqueios de IP. Para obter mais informações, confira Configurar a filtragem da conexão. |
CTRY |
O país/região de origem, conforme determinado pelo endereço IP de ligação, que pode não ser o mesmo que o endereço IP de envio de origem. |
DIR |
A Direcionalidade da mensagem:
|
H:[helostring] |
A sequência HELO ou EHLO do servidor de emails de conexão. |
IPV:CAL |
A mensagem ignorou a filtragem de spam porque o endereço de IP de origem estava na Lista de permissões do IP. Para obter mais informações, confira Configurar a filtragem da conexão. |
IPV:NLI |
O endereço IP não foi encontrado em nenhuma lista de reputação de IP. |
LANG |
O idioma em que a mensagem foi escrita conforme especificado pelo código de país (por exemplo, ru_RU para russo). |
PTR:[ReverseDNS] |
O registro PTR do endereço IP de envio, também conhecido como o endereço de DNS reverso. |
SCL |
O nível de confiança do spam (SCL) da mensagem. Um valor mais alto indica que é mais provável que a mensagem seja spam. Para obter mais informações, confira Nível de confiança de Spam (SCL). |
SFTY |
A mensagem foi identificada como phishing e também está marcada com um dos seguintes valores:
|
SFV:BLK |
A filtragem foi ignorada e a mensagem foi bloqueada, pois foi enviada de um endereço da lista de remetentes bloqueados de um usuário. Para saber mais sobre como os administradores podem gerenciar a lista de remetentes bloqueados de um usuário, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online. |
SFV:NSPM |
A filtragem de spam marcou a mensagem como nonspam e a mensagem foi enviada para os destinatários pretendidos. |
SFV:SFE |
A filtragem foi ignorada e a mensagem foi permitida porque foi enviada de um endereço na lista de remetentes Confiáveis de um Usuário. Para obter mais informações sobre como os administradores podem gerenciar a lista de remetentes confiáveis de um usuário, confira Definir as configurações de lixo eletrônico nas caixas de correio do Exchange Online. |
SFV:SKA |
A mensagem ignorou a filtragem de spam e foi entregue na caixa de entrada, pois o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos em uma política antispam. Para saber mais, confira Configurar políticas antispam. |
SFV:SKB |
A mensagem foi marcada como spam, pois correspondeu a um remetente da lista de remetentes bloqueados ou da lista de domínios bloqueados em uma política antispam. Para saber mais, confira Configurar políticas antispam. |
SFV:SKN |
A mensagem foi marcada como nonspam antes do processamento por filtragem de spam. Por exemplo, a mensagem foi marcada como SCL -1 ou Ignorar filtragem de spam por uma regra de fluxo de email. |
SFV:SKQ |
A mensagem foi liberada da quarentena e enviada aos destinatários pretendidos. |
SFV:SKS |
A mensagem foi marcada como spam antes de ser processada pela filtragem de spam. Por exemplo, a mensagem foi marcada como SCL 5 a 9 por uma regra de fluxo de email. |
SFV:SPM |
A mensagem foi marcada como spam pela filtragem de spam. |
SRV:BULK |
A mensagem foi identificada como e-mail em massa pela filtragem de spam e pelo limite do nível de reclamação em massa (BCL). Quando o parâmetro MarkAsSpamBulkMail estiver On (está ativado por padrão), uma mensagem de e-mail em massa é marcada como spam (CL 6). Para saber mais, confira Configurar políticas anti-spam. |
X-CustomSpam: [ASFOption] |
A mensagem correspondeu a uma configuração de Filtro de spam avançado (ASF). Para ver o valor do cabeçalho X de cada configuração ASF, confira configurações do Filtro de Spam Avançado (ASF). Nota: o ASF adiciona X-CustomSpam: campos de cabeçalho X a mensagens depois de as mensagens terem sido processadas pelas regras de fluxo de correio do Exchange (também conhecidas como regras de transporte), pelo que não pode utilizar regras de fluxo de correio para identificar e agir sobre mensagens que foram filtradas pelo ASF. |
Campos de cabeçalho da mensagem X-Microsoft-Antispam
A tabela a seguir descreve campos úteis no cabeçalho da mensagem X-Microsoft-Antispam. Outros campos neste cabeçalho são usados exclusivamente pela equipe anti-spam da Microsoft para fins de diagnóstico.
Campo | Descrição |
---|---|
BCL |
O nível de reclamação em massa (BCL) da mensagem. Um BCL mais alto indica que uma mensagem de email em massa tem mais chances de gerar reclamações (e, portanto, mais chances que seja spam). Para obter mais informações, veja Nível de reclamação em massa (BCL) na EOP. |
Cabeçalho da mensagem Authentication-results
Os resultados das verificações de autenticação de email para SPF, DKIM e DMARC são registrados (carimbados) no cabeçalho da mensagem Authentication-results nas mensagens de entrada. O cabeçalho Authentication-results é definido em RFC 7001.
A lista a seguir descreve o texto adicionado ao cabeçalho Authentication-Results para cada tipo de verificação de autenticação de email:
O SPF usa a seguinte sintaxe:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Por exemplo:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
O DKIM usa a seguinte sintaxe:
dkim=<pass|fail (reason)|none> header.d=<domain>
Por exemplo:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
O DMARC usa a seguinte sintaxe:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Por exemplo:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Campos do cabeçalho de mensagem Authentication-results
A tabela a seguir descreve os campos e valores possíveis para cada verificação de autenticação de email.
Campo | Descrição |
---|---|
action |
Indica a ação executada pelo filtro de spam com base nos resultados da verificação do DMARC. Por exemplo:
|
compauth |
Resultado da autenticação composta. Utilizado pelo Microsoft 365 para combinar vários tipos de autenticação (SPF, DKIM e DMARC) ou qualquer outra parte da mensagem para determinar se a mensagem está ou não autenticada. Usa o domínio De: como base de avaliação.
Nota: apesar de uma compauth falha, a mensagem poderá continuar a ser permitida se outras avaliações não indicarem uma natureza suspeita. |
dkim |
Descreve os resultados da verificação do DKIM para a mensagem. Os valores possíveis incluem:
|
dmarc |
Descreve os resultados da verificação do DMARC para a mensagem. Os valores possíveis incluem:
|
header.d |
Domínio identificado na assinatura DKIM, se houver. Este é o domínio consultado para a chave pública. |
header.from |
O domínio do 5322.From endereço no cabeçalho da mensagem de e-ail (também conhecido como endereço De ou remetente P2). O destinatário vê o endereço De nos clientes de email. |
reason |
O motivo pelo qual a autenticação composta foi aprovada ou falhou. O valor é um código de três dígitos. Por exemplo:
|
smtp.mailfrom |
O domínio do 5321.MailFrom endereço (também conhecido como endereço ENVIAR DE, remetente P1 ou remetente do envelope). Este endereço de e-mail é utilizado para relatórios de entrega sem fins lucrativos (também conhecidos como NDRs ou mensagens de devolução). |
spf |
Descreve os resultados da verificação do SPF para a mensagem. Os valores possíveis incluem:
|