Meddelandehuvuden för antiskräppost i Microsoft 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
I alla Microsoft 365-organisationer används Exchange Online Protection (EOP) för att söka igenom alla inkommande meddelanden för skräp post, skadlig kod och andra hot. Resultatet av dessa genomsökningar läggs till i följande huvud fält i meddelanden:
- X-Forefront-Antispam-rapport: Innehåller information om meddelandet och hur det behandlades.
- X-Microsoft-Antispam: Innehåller ytterligare information om bulk mail och phishing.
- Autentiseringsresultat: Innehåller information om SPF, DKIM och DMARC (e-autentisering).
Den här artikeln beskriver vad som är tillgängligt i dessa rubrikfält.
För information om hur man visar ett e-postmeddelandes meddelanderubrik i olika e-postklienter, se Visa e-postmeddelandehuvud i Outlook.
Tips
Du kan kopiera och klistra in innehållet i ett meddelandehuvud i Analysverktyg för meddelanderubrik. Det här verktyget hjälper till att tolka rubriker och lägga till dem i ett mer läsbart format.
X-Forefront-Antispam-Report meddelanderubrikfält
När du har information om meddelande rubriken hittar du i rubriken X-Forefront-Antispam-Report. Det finns flera fält- och värdepar i den här rubriken avgränsade med semikolon (;). Till exempel:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
De enskilda fälten och värdena beskrivs i följande tabell.
Obs!
X-Forefront-antispam-Report-huvudet innehåller många olika fält och värden. Fält som inte beskrivs i tabellen används uteslutande av Microsofts anti-spam-team för diagnostiska ändamål.
Fält | Beskrivning |
---|---|
ARC |
I ARC protokoll finns följande fält:
|
CAT: |
Den skyddsprincipkategori som tillämpas på meddelandet:
*Defender för Office 365 bara. Ett inkommande meddelande kan flaggas av flera former av skydd och flera identifieringsgenomsökningar. Principer tillämpas i prioritetsordning och principen med högst prioritet tillämpas först. Se Vilken policy gäller när flera skyddsmetoder och identifieringsgenomsökningar körs på din e-post för mer information. |
CIP:[IP address] |
Den anslutande IP-adressen. Du kan använda den här IP-adressen i listan över tillåtna IP-adresser eller IP-adresser som ska blockeras. Mer information finns i konfigurera anslutningsfilter. |
CTRY |
Källlandet/-regionen som bestäms av den anslutande IP-adressen, som kanske inte är samma som den ursprungliga sändande IP-adressen. |
DIR |
Meddelandets riktning:
|
H:[helostring] |
En anslutande e-mailservers HELO- eller OEHLO-sträng. |
IPV:CAL |
Meddelandet hoppade över skräppostfiltrering eftersom IP-adressen fanns i listan över tillåtna IP-adresser. Mer information finns i konfigurera anslutningsfilter. |
IPV:NLI |
IP-adressen hittades inte på någon LISTA över IP-rykte. |
LANG |
Det språk som meddelandet skrevs i enligt landskoden (till exempel ru_RU för ryska). |
PTR:[ReverseDNS] |
PTR-posten (även kallad omvänd DNS-sökning) för källans IP-adress. |
SCL |
Meddelandets SCL (Spam Confidence Level). Ett högre värde innebär att det är mer troligt att meddelandet är skräppost. Mer information finns i Konfidensnivå för skräppost (SCL). |
SFTY |
Meddelandet identifierades som nätfiske och markeras också med något av följande värden:
|
SFV:BLK |
Filtreringen hoppades över och meddelandet blockerades eftersom det skickades från en adress i en användares lista med spärrade avsändare. Mer information om hur administratörer kan hantera användarens lista med blockerade avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor. |
SFV:NSPM |
Skräppostfiltrering markerade meddelandet som nonspam och meddelandet skickades till de avsedda mottagarna. |
SFV:SFE |
Filtreringen hoppades över och meddelandet tilläts eftersom det skickades från en adress i en användares listan Betrodda avsändare. Mer information om hur administratörer kan hantera användarens lista med säkra avsändare finns i Konfigurera inställningar för skräppost i Exchange Online-postlådor. |
SFV:SKA |
Meddelandet hoppades över skräp post filtreringen och skickades till Inkorgen eftersom avsändaren fanns i listan med tillåtna avsändare eller listan över tillåtna domäner i en princip för skräp post skydd. Mer information finns i Konfigurera principer för skräppostskydd. |
SFV:SKB |
Meddelandet markeras som skräp post eftersom det matchade en avsändare i listan med spärrade avsändare eller listan över blockerade domäner i en princip för skräp post skydd. Mer information finns i Konfigurera principer för skräppostskydd. |
SFV:SKN |
Meddelandet markerades som nonspam före bearbetning av skräppostfiltrering. Exempelvis markerades meddelandet som SCL-1 eller kringgå skräp post filtrering de av en regel för e-postflöde. |
SFV:SKQ |
Meddelandet har släppts ur sin karantän och skickats till avsedda mottagare. |
SFV:SKS |
Meddelandet markerades som skräppost innan det bearbetades genom skräppostfiltrering. Meddelandet är till exempel markerat som SCL 5 till 9 i en regel för e-postflöde. |
SFV:SPM |
Meddelandet markerades som skräppost av skräppostfiltret. |
SRV:BULK |
Meddelandet identifierades som massutskick av skräppostfiltreringen och tröskeln för BCL (Bulk Complaint Level). När parametern MarkAsSpamBulkMail är On (den är aktiverat dom standard) markeras ett massutskick som skräppost (SCL 6). Mer information finns i Konfigurera principer för skräppostskydd. |
X-CustomSpam: [ASFOption] |
Meddelandet matchade ett avancerat alternativ för skräppostfiltrering (ASF). Om du vill visa värdet för X-header för respektive ASF-inställning läser du Inställningar för avancerat skräppostfilter (ASF). Obs! ASF lägger till X-CustomSpam: X-rubrikfält i meddelanden efter att meddelanden har bearbetats av Exchange-e-postflödesregler (kallas även transportregler), så du kan inte använda e-postflödesregler för att identifiera och agera på meddelanden som har filtrerats av ASF. |
X-Microsoft-Antispam meddelanderubrikfält
Följande tabell beskriver användbara fält i meddelanderubriken X-Microsoft-Antispam. Andra fält i den här rubriken används exklusivt av Microsofts anti-spam-team av diagnostiska skäl.
Fält | Beskrivning |
---|---|
BCL |
Meddelande BCL (Bulk Complaint Level). En högre BCL anger att ett Mass utskick innebär att det är mer troligt att vi skapar klagomål (och är därför förmodligen mer sannolikt att få skräp post). Mer information finns i Massklagomålsnivå (BCL) i EOP. |
Authentication-results meddelanderubrik
Resultatet av kontroller för e-postautentisering för SPF, DKIM och DMARC registreras (stämplas) i verifierings resultat meddelande rubriken i inkommande meddelanden. Huvudet Authentication-results definieras i RFC 7001.
I följande lista beskrivs den text som läggs till i verifierings resultat huvud för varje typ av verifiering av e-postkontroll:
SPF använder följande syntax:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Till exempel:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM använder följande syntax:
dkim=<pass|fail (reason)|none> header.d=<domain>
Till exempel:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC använder följande syntax:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Till exempel:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Autentisering-resultat meddelande rubrik fält
I följande tabell beskrivs fälten och möjliga värden för alla kontroller för e-postverifiering.
Fält | Beskrivning |
---|---|
action |
Anger att den åtgärd som utförs av skräppostfiltret baseras på resultaten av DMARC-kontrollen. Till exempel:
|
compauth |
Resultat av sammansatt autentisering. Används av Microsoft 365 för att kombinera flera typer av autentisering (SPF, DKIM och DMARC) eller någon annan del av meddelandet för att avgöra om meddelandet autentiseras eller inte. Använder Från:-domänen som grund för utvärderingen.
Obs! Trots ett compauth fel kan meddelandet fortfarande tillåtas om andra utvärderingar inte indikerar en misstänkt natur. |
dkim |
Beskriver resultaten av meddelandets DKIM-kontroll. Möjliga värden inkluderar:
|
dmarc |
Beskriver resultaten av DMARC-kontrollen av meddelandet. Möjliga värden inkluderar:
|
header.d |
Domän som identifierats i DKIM-signaturen om någon. Detta är den domän som tillfrågas om den publika nyckeln. |
header.from |
Domänen för 5322.From -adressen i e-postmeddelanderubriken. (även känd som Från-adressen eller P2-avsändaren). Mottagaren ser Från-adressen i e-postklienter. |
reason |
Orsaken till att den sammansatta autentiseringen gick igenom eller inte. Värdet är en tresiffrig kod. Till exempel:
|
smtp.mailfrom |
Domänen för 5321.MailFrom -adressen (kallas även för E-POST FRÅN-adress, P1-avsändare eller avsändare av kuvert). Den här e-postadressen används för rapporter som inte levereras (kallas även NDR eller studsmeddelanden). |
spf |
Beskriver resultaten av SPF-kontrollen av meddelandet. Möjliga värden inkluderar:
|