Dela via


Meddelandehuvuden för antiskräppost i Microsoft 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I alla Microsoft 365-organisationer används Exchange Online Protection (EOP) för att söka igenom alla inkommande meddelanden för skräp post, skadlig kod och andra hot. Resultatet av dessa genomsökningar läggs till i följande huvud fält i meddelanden:

  • X-Forefront-Antispam-rapport: Innehåller information om meddelandet och hur det behandlades.
  • X-Microsoft-Antispam: Innehåller ytterligare information om bulk mail och phishing.
  • Autentiseringsresultat: Innehåller information om SPF, DKIM och DMARC (e-autentisering).

Den här artikeln beskriver vad som är tillgängligt i dessa rubrikfält.

För information om hur man visar ett e-postmeddelandes meddelanderubrik i olika e-postklienter, se Visa e-postmeddelandehuvud i Outlook.

Tips

Du kan kopiera och klistra in innehållet i ett meddelandehuvud i Analysverktyg för meddelanderubrik. Det här verktyget hjälper till att tolka rubriker och lägga till dem i ett mer läsbart format.

X-Forefront-Antispam-Report meddelanderubrikfält

När du har information om meddelande rubriken hittar du i rubriken X-Forefront-Antispam-Report. Det finns flera fält- och värdepar i den här rubriken avgränsade med semikolon (;). Till exempel:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

De enskilda fälten och värdena beskrivs i följande tabell.

Obs!

X-Forefront-antispam-Report-huvudet innehåller många olika fält och värden. Fält som inte beskrivs i tabellen används uteslutande av Microsofts anti-spam-team för diagnostiska ändamål.

Fält Beskrivning
ARC I ARC protokoll finns följande fält:
  • AAR: Sparar innehållet i verifierings resultat huvud från DMARC.
  • AMS: Inkluderar kryptografiska signaturer för meddelandet.
  • AS: Inkluderar kryptografiska signaturer för meddelande rubrikerna. Detta fält innehåller en tagg av en kedjevalidering som heter "cv=", som inkluderar resultatet av kedjevalideringen som ingen, godkänd eller misslyckad.
CAT: Den skyddsprincipkategori som tillämpas på meddelandet:
  • AMP: Anti-malware
  • BIMP: Varumärkesimitation*
  • BULK: Bulk
  • DIMP: Domänimitation*
  • FTBP: Filter för vanliga bifogade filer mot skadlig kod
  • GIMP: Personifiering av postlådeinformation*
  • HPHSH eller HPHISH: phishing med högt förtroende
  • HSPM: Spam med högt förtroende
  • INTOS: Intra-Organization nätfiske
  • MALW: Malware
  • OSPM: Utgående skräp post
  • PHSH: Phishing
  • SAP: Säkra bifogade filer*
  • SPM: Skräppost
  • SPOOF: Förfalskning
  • UIMP: Personifiering av användare*

*Defender för Office 365 bara.

Ett inkommande meddelande kan flaggas av flera former av skydd och flera identifieringsgenomsökningar. Principer tillämpas i prioritetsordning och principen med högst prioritet tillämpas först. Se Vilken policy gäller när flera skyddsmetoder och identifieringsgenomsökningar körs på din e-post för mer information.
CIP:[IP address] Den anslutande IP-adressen. Du kan använda den här IP-adressen i listan över tillåtna IP-adresser eller IP-adresser som ska blockeras. Mer information finns i konfigurera anslutningsfilter.
CTRY Källlandet/-regionen som bestäms av den anslutande IP-adressen, som kanske inte är samma som den ursprungliga sändande IP-adressen.
DIR Meddelandets riktning:
  • INB: Inkommande meddelande.
  • OUT: Utgående meddelande.
  • INT: Internt meddelande.
H:[helostring] En anslutande e-mailservers HELO- eller OEHLO-sträng.
IPV:CAL Meddelandet hoppade över skräppostfiltrering eftersom IP-adressen fanns i listan över tillåtna IP-adresser. Mer information finns i konfigurera anslutningsfilter.
IPV:NLI IP-adressen hittades inte på någon LISTA över IP-rykte.
LANG Det språk som meddelandet skrevs i enligt landskoden (till exempel ru_RU för ryska).
PTR:[ReverseDNS] PTR-posten (även kallad omvänd DNS-sökning) för källans IP-adress.
SCL Meddelandets SCL (Spam Confidence Level). Ett högre värde innebär att det är mer troligt att meddelandet är skräppost. Mer information finns i Konfidensnivå för skräppost (SCL).
SFTY Meddelandet identifierades som nätfiske och markeras också med något av följande värden:
  • 9.19: Domänimitation. Den sändande domänen försöker imitera en skyddad domän. Säkerhetstipset för domänskydd läggs till i meddelandet (om det är aktiverat).
  • 9.20: Användarimitation. Den sändande användaren försöker imitera en användare i mottagarens organisation eller en skyddad användare som anges i en princip mot nätfiske i Microsoft Defender för Office 365. Säkerhetstipset för användarimitationen läggs till i meddelandet (om det är aktiverat).
  • 9.25: Säkerhetstips för första kontakten. Det här värdet kan vara en indikation på ett misstänkt meddelande eller nätfiskemeddelande. Mer information finns i Säkerhetstips för första kontakten.
SFV:BLK Filtreringen hoppades över och meddelandet blockerades eftersom det skickades från en adress i en användares lista med spärrade avsändare.

Mer information om hur administratörer kan hantera användarens lista med blockerade avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor.

SFV:NSPM Skräppostfiltrering markerade meddelandet som nonspam och meddelandet skickades till de avsedda mottagarna.
SFV:SFE Filtreringen hoppades över och meddelandet tilläts eftersom det skickades från en adress i en användares listan Betrodda avsändare.

Mer information om hur administratörer kan hantera användarens lista med säkra avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor.

SFV:SKA Meddelandet hoppades över skräp post filtreringen och skickades till Inkorgen eftersom avsändaren fanns i listan med tillåtna avsändare eller listan över tillåtna domäner i en princip för skräp post skydd. Mer information finns i Konfigurera principer för skräppostskydd.
SFV:SKB Meddelandet markeras som skräp post eftersom det matchade en avsändare i listan med spärrade avsändare eller listan över blockerade domäner i en princip för skräp post skydd. Mer information finns i Konfigurera principer för skräppostskydd.
SFV:SKN Meddelandet markerades som nonspam före bearbetning av skräppostfiltrering. Exempelvis markerades meddelandet som SCL-1 eller kringgå skräp post filtrering de av en regel för e-postflöde.
SFV:SKQ Meddelandet har släppts ur sin karantän och skickats till avsedda mottagare.
SFV:SKS Meddelandet markerades som skräppost innan det bearbetades genom skräppostfiltrering. Meddelandet är till exempel markerat som SCL 5 till 9 i en regel för e-postflöde.
SFV:SPM Meddelandet markerades som skräppost av skräppostfiltret.
SRV:BULK Meddelandet identifierades som massutskick av skräppostfiltreringen och tröskeln för BCL (Bulk Complaint Level). När parametern MarkAsSpamBulkMail är On (den är aktiverat dom standard) markeras ett massutskick som skräppost (SCL 6). Mer information finns i Konfigurera principer för skräppostskydd.
X-CustomSpam: [ASFOption] Meddelandet matchade ett avancerat alternativ för skräppostfiltrering (ASF). Om du vill visa värdet för X-header för respektive ASF-inställning läser du Inställningar för avancerat skräppostfilter (ASF).

Obs! ASF lägger till X-CustomSpam: X-rubrikfält i meddelanden efter att meddelanden har bearbetats av Exchange-e-postflödesregler (kallas även transportregler), så du kan inte använda e-postflödesregler för att identifiera och agera på meddelanden som har filtrerats av ASF.

X-Microsoft-Antispam meddelanderubrikfält

Följande tabell beskriver användbara fält i meddelanderubriken X-Microsoft-Antispam. Andra fält i den här rubriken används exklusivt av Microsofts anti-spam-team av diagnostiska skäl.

Fält Beskrivning
BCL Meddelande BCL (Bulk Complaint Level). En högre BCL anger att ett Mass utskick innebär att det är mer troligt att vi skapar klagomål (och är därför förmodligen mer sannolikt att få skräp post). Mer information finns i Massklagomålsnivå (BCL) i EOP.

Authentication-results meddelanderubrik

Resultatet av kontroller för e-postautentisering för SPF, DKIM och DMARC registreras (stämplas) i verifierings resultat meddelande rubriken i inkommande meddelanden. Huvudet Authentication-results definieras i RFC 7001.

I följande lista beskrivs den text som läggs till i verifierings resultat huvud för varje typ av verifiering av e-postkontroll:

  • SPF använder följande syntax:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Till exempel:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM använder följande syntax:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Till exempel:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC använder följande syntax:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Till exempel:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Autentisering-resultat meddelande rubrik fält

I följande tabell beskrivs fälten och möjliga värden för alla kontroller för e-postverifiering.

Fält Beskrivning
action Anger att den åtgärd som utförs av skräppostfiltret baseras på resultaten av DMARC-kontrollen. Till exempel:
  • pct.quarantine: Anger att en procentandel som är mindre än 100 % av meddelandena som inte klarar DMARC levereras ändå. Det här resultatet innebär att meddelandet misslyckades DMARC och DMARC-principen har angetts till p=quarantine. Men pct-fältet var inte inställt på 100 %, och systemet bestämde sig slumpmässigt för att inte tillämpa DMARC-åtgärden enligt den angivna domänens DMARC-princip.
  • pct.reject: Anger att en procentandel som är mindre än 100 % av meddelandena som inte klarar DMARC levereras ändå. Det här resultatet innebär att meddelandet misslyckades DMARC och DMARC-principen har angetts till p=reject. Men pct-fältet var inte inställt på 100 % och systemet bestämde sig slumpmässigt för att inte tillämpa DMARC-åtgärden enligt den angivna domänens DMARC-princip.
  • permerror: Ett permanent fel uppstod under DMARC-utvärderingen, till exempel att en felaktigt utformad DMARC TXT-post påträffades i DNS. Att försöka skicka meddelandet igen ger antagligen samma resultat. I stället kan du behöva kontakta domänens ägare för att lösa problemet.
  • temperror: Ett tillfälligt fel uppstod under DMARC-utvärderingen. Du kanske kan begära att avsändaren skickar meddelandet igen senare för att bearbeta e-postmeddelandet korrekt.
compauth Resultat av sammansatt autentisering. Används av Microsoft 365 för att kombinera flera typer av autentisering (SPF, DKIM och DMARC) eller någon annan del av meddelandet för att avgöra om meddelandet autentiseras eller inte. Använder Från:-domänen som grund för utvärderingen. Obs! Trots ett compauth fel kan meddelandet fortfarande tillåtas om andra utvärderingar inte indikerar en misstänkt natur.
dkim Beskriver resultaten av meddelandets DKIM-kontroll. Möjliga värden inkluderar:
  • pass: anger att meddelandet gick igenom DKIM-kontrollen.
  • fail (orsak): anger att meddelandet inte gick igenom DKIM-kontrollen och varför. Om meddelandet till exempel inte var signerat eller om signaturen inte verifierades.
  • none: Anger att meddelandet inte var signerat. Det här resultatet kan tyda på att domänen har en DKIM-post eller att DKIM-posten inte utvärderas till ett resultat.
dmarc Beskriver resultaten av DMARC-kontrollen av meddelandet. Möjliga värden inkluderar:
  • pass: anger att meddelandet gick igenom DMARC-kontrollen.
  • fail: anger att meddelandet inte gick igenom DMARC-kontrollen.
  • bestguesspass: Anger att det inte finns någon DMARC TXT-post för domänen. Om domänen hade en DMARC TXT-post skulle DMARC-kontrollen för meddelandet ha skickats.
  • none: anger att det inte finns något DMARC TXT-register för den sändande domänen i DNS.
header.d Domän som identifierats i DKIM-signaturen om någon. Detta är den domän som tillfrågas om den publika nyckeln.
header.from Domänen för 5322.From-adressen i e-postmeddelanderubriken. (även känd som Från-adressen eller P2-avsändaren). Mottagaren ser Från-adressen i e-postklienter.
reason Orsaken till att den sammansatta autentiseringen gick igenom eller inte. Värdet är en tresiffrig kod. Till exempel:
  • 000: meddelandet misslyckades explicit autentisering (compauth=fail). Meddelandet tog till exempel emot ett DMARC-fel och DMARC-principåtgärden är p=quarantine eller p=reject.
  • 001: Meddelandet misslyckades implicit autentisering (compauth=fail). Det här resultatet innebär att den sändande domänen inte hade posterna för e-postautentisering publicerade, eller om de gjorde det hade de en svagare felprincip (SPF ~all eller ?all, eller en DMARC-princip för p=none).
  • 002: Organisationen har en princip för avsändare/domän par som uttryckligen förbjuds från att skicka falska e-postmeddelanden. En administratör konfigurerar den här inställningen manuellt.
  • 010: Meddelandet misslyckades DMARC, DMARC-principåtgärden är p=reject eller p=quarantine, och den sändande domänen är en av organisationens godkända domäner (själv-till-själv- eller intra-org-förfalskning).
  • 1xx eller 7xx: meddelandet gick igenom autentiseringen (compauth=pass). De två sista siffrorna är interna koder som används av Microsoft 365. Värdet 130 anger att meddelandet godkändes av autentiseringen och ARC-resultatet användes för att åsidosätta ett DMARC-fel.
  • 2xx: Meddelandet gick igenom implicit autentisering mjukt (compauth=softpass). De två sista siffrorna är interna koder som används av Microsoft 365.
  • 3xx: Meddelandet kontrollerades inte för sammansatt autentisering (compauth=none).
  • 4xx eller 9xx: meddelande förbigick sammansatt autentisering (compauth=none). De två sista siffrorna är interna koder som används av Microsoft 365.
  • 6xx: Meddelandet misslyckades med implicit e-postautentisering, och den sändande domänen är en av organisationens godkända domäner (förfalskning via själv eller intra-org).
smtp.mailfrom Domänen för 5321.MailFrom-adressen (kallas även för E-POST FRÅN-adress, P1-avsändare eller avsändare av kuvert). Den här e-postadressen används för rapporter som inte levereras (kallas även NDR eller studsmeddelanden).
spf Beskriver resultaten av SPF-kontrollen av meddelandet. Möjliga värden inkluderar:
  • pass (IP address): SPF-kontrollen för meddelandet har skickats och inkluderar avsändarens IP-adress. Klienten har tillåtelse att skicka eller vidarebefordra e-post på avsändarens domän.
  • fail (IP address): SPF-kontrollen för meddelandet misslyckades och inkluderar avsändarens IP-adress. Det här resultatet kallas ibland för hårt fel.
  • softfail (reason): SPF-posten som anges som värddator som inte tillåts skicka, men är i över gången.
  • neutral: SPF-posten anger uttryckligen att den inte kontrollerar om IP-adressen har behörighet att skicka.
  • none: Domänen saknar en SPF-post eller så utvärderas SPF-posten inte som ett resultat.
  • temperror: Ett tillfälligt fel har inträffat. Till exempel ett DNS-fel. Samma kontroll kan senare lyckas.
  • permerror: Ett permanent fel har inträffat. Domänen har till exempel en dåligt formaterad SPF-post.