通过

Microsoft 365 中的反垃圾邮件标题

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在所有 Microsoft 365 组织中,Exchange Online Protection (EOP) 会扫描所有传入邮件中的垃圾邮件、恶意软件和其他威胁。 这些扫描的结果将添加到消息中的以下标头字段中:

  • X-Forefront-Antispam-Report:包含有关消息及其处理方式的信息。
  • X-Microsoft-Antispam:包含有关批量邮件和网络钓鱼的其他信息。
  • Authentication-results:包含有关电子邮件身份验证结果的信息,包括发件人策略框架 (SPF) 、域密钥标识邮件 (DKIM) ,以及基于域的邮件身份验证、报告和符合性 (DMARC) 。

本文介绍了这些标头字段中的可用功能。

要了解如何查看各种电子邮件客户端中的电子邮件头,请参阅 Outlook 中查看 Internet 邮件头

提示

你可以将邮件头的内容复制并粘贴到邮件头分析器工具中。 此工具可帮助分析标头,并将其放入更可靠的格式中。

X-Forefront-Antispam-Report 邮件标头字段

获得邮件头信息后,找到 X-Forefront-Antispam-Report 标头。 此标头中有多个字段和值对,用分号 (;) 分隔。 例如:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

下表介绍了各个字段和值。

注意

X-Forefront-Antispam-Report 标头包含许多不同的字段和值。 表中未描述的字段专供 Microsoft 反垃圾邮件团队用于进行诊断。

字段 描述
ARC Authenticated Received Chain (ARC) 协议具有以下字段:
  • AAR:记录 DMARC 中 Authentication-results 标头的内容。
  • AMS:包括邮件的加密签名。
  • AS:包括邮件头的加密签名。 此字段包含名为 "cv=" 的链验证的标记,其中包括值为 nonepassfail 的链验证结果。
CAT: 应用于消息的保护策略类别:
  • AMP:反恶意软件
  • BIMP:品牌模拟*
  • BULK:大量邮件
  • DIMP:域模拟*
  • FTBP:反恶意软件 常见附件筛选器
  • GIMP邮箱智能 模拟*
  • HPHSHHPHISH:高可信度钓鱼
  • HSPM:高可信度垃圾邮件
  • INTOS:Intra-Organization 钓鱼
  • MALW:恶意软件
  • OSPM:出站垃圾邮件
  • PHSH:网络钓鱼
  • SAP:安全附件*
  • SPM:垃圾邮件
  • SPOOF:欺骗
  • UIMP:用户模拟*

*仅限Defender for Office 365。

入站消息可能由多种形式的保护和多个检测扫描进行标记。 策略按优先级顺序应用,首先应用优先级最高的策略。 有关详细信息,请参阅在电子邮件上运行多种保护方法和多次检测扫描时应用什么策略
CIP:[IP address] 连接 IP 地址。 可以在 IP 允许列表或 IP 阻止列表中使用此 IP 地址。 有关详细信息,请参阅配置连接筛选
CTRY 由连接 IP 地址确定的源国家/地区,这可能与原始发送 IP 地址不同。
DIR 消息的方向性:
  • INB:入站消息。
  • OUT:出站消息。
  • INT:内部消息。
H:[helostring] 连接电子邮件服务器的 HELO 或 EHLO 字符串。
IPV:CAL 邮件跳过了垃圾邮件筛选,因为源 IP 地址在 IP 允许列表中。 有关详细信息,请参阅配置连接筛选
IPV:NLI 未在任何 IP 信誉列表中找到 IP 地址。
LANG 例如,按国家/地区代码 (指定的语言编写消息,ru_RU俄语) 。
PTR:[ReverseDNS] 源 IP 地址的 PTR 记录(亦称为反向 DNS 查找)。
SCL 邮件的垃圾邮件可信度 (SCL)。 值越高,邮件是垃圾邮件的可能性就越大。 有关详细信息,请参阅垃圾邮件可信度 (SCL)
SFTY 邮件被标识为网络钓鱼,还使用以下值之一进行了标记:
  • 9.19:域模拟。 发送域正在尝试模拟受保护的域。 将向邮件添加域模拟安全提示(如果已启用)。
  • 9.20:用户模拟。 发送用户试图模拟收件人组织中的用户,或 Microsoft Defender for Office 365 中的反钓鱼策略中指定的受保护用户。 将向邮件添加用户模拟安全提示(如果已启用)。
  • 9.25:首个联系人安全提示。 此值可能指示可疑或网络钓鱼消息。 有关详细信息,请参阅首个联系人安全提示
SFV:BLK 邮件跳过了筛选,但被阻止,因为邮件是从用户的“阻止的发件人”列表中的地址发送的。

若要详细了解管理员如何管理用户的“阻止的发件人”列表,请参阅配置 Exchange Online 邮箱上的垃圾邮件设置
SFV:NSPM 垃圾邮件筛选会将邮件标记为非垃圾邮件,并且邮件已发送给目标收件人。
SFV:SFE 邮件跳过了筛选,且被允许,因为邮件是从用户的“安全发件人”列表中的地址发送的。

若要详细了解管理员如何管理用户的“安全发件人”列表,请参阅配置 Exchange Online 邮箱上的垃圾邮件设置
SFV:SKA 邮件跳过了垃圾邮件筛选,并被发送到收件箱,因为发件人在反垃圾邮件策略中“允许的发件人”列表或“允许的域”列表中。 有关详细信息,请参阅配置反垃圾邮件策略
SFV:SKB 邮件被标记为垃圾邮件,因为邮件与反垃圾邮件策略中“阻止的发件人”列表或“阻止的域”列表中的发件人匹配。 有关详细信息,请参阅配置反垃圾邮件策略
SFV:SKN 在垃圾邮件筛选处理之前,邮件被标记为非垃圾邮件。 例如,邮件被邮件流规则标记为 SCL-1 或“绕过垃圾邮件筛选”。
SFV:SKQ 邮件从隔离区释放,并发送给目标收件人。
SFV:SKS 邮件在通过垃圾邮件筛选进行处理之前被标记为垃圾邮件。 例如,邮件被邮件流规则标记为 SCL 5 到 9。
SFV:SPM 邮件被垃圾邮件筛选标记为垃圾邮件。
SRV:BULK 邮件被垃圾邮件筛选和批量投诉级别 (BCL) 阈值标识为大量电子邮件。 如果 MarkAsSpamBulkMail 参数为 On(默认为开),则将有大量电子邮件标记为垃圾邮件 (SCL 6)。 有关详细信息,请参阅配置反垃圾邮件策略
X-CustomSpam: [ASFOption] 邮件与高级垃圾邮件筛选 (ASF) 设置匹配。 若要查看每个 ASF 设置的 X 标头值,请参阅高级垃圾邮件筛选 (ASF) 设置

注意:ASF 在 Exchange 邮件流规则处理邮件向邮件添加 X-CustomSpam: X 标头字段, (也称为) 传输规则,因此不能使用邮件流规则来标识和处理 ASF 筛选的邮件。

X-Microsoft-Antispam 邮件标头字段

下表描述了“X-Microsoft-Antispam”邮件头中的有用字段。 此标头中的其他字段专供 Microsoft 反垃圾邮件团队用于进行诊断。

字段 描述
BCL 邮件的批量投诉级别 (BCL)。 BCL 越高,大量邮件产生投诉的可能性就越大(因此更有可能是垃圾邮件)。 有关详细信息,请参阅 EOP 中的批量投诉级别 (BCL)

“Authentication-results”邮件头

对 SPF、DKIM 和 DMARC 的电子邮件身份验证检查的结果记录(标记)在入站邮件的 Authentication-results 邮件头中。 RFC 7001 中定义了 Authentication-results 标头。

下表描述了每种电子邮件身份验证检查类型添加到 Authentication-Results 标头中的文本:

  • SPF 使用以下语法:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    例如:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM 使用以下语法:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    例如:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC 使用以下语法:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    例如:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Authentication-results 邮件头字段

下表描述了每个电子邮件身份验证检查的字段和可能的值。

字段 描述
action 指示垃圾邮件筛选器基于 DMARC 检查结果执行的操作。 例如:
  • pct.quarantine:指示仍然传递不到 100% 未通过 DMARC 的消息的百分比。 此结果意味着消息 DMARC 失败,并且 DMARC 策略设置为 p=quarantine。 但是,“百分比”字段未设置为 100%,系统随机确定不按指定域的 DMARC 策略应用 DMARC 操作。
  • pct.reject:指示仍然传递不到 100% 未通过 DMARC 的消息的百分比。 此结果意味着消息 DMARC 失败,并且 DMARC 策略设置为 p=reject。 但是,“百分比”字段未设置为 100%,系统随机确定不按指定域的 DMARC 策略应用 DMARC 操作。
  • permerror:在 DMARC 评估期间发生永久性错误,例如在 DNS 中遇到格式不正确的 DMARC TXT 记录。 尝试重新发送此邮件不太可能产生不同的结果。 相反,可能需要联系域的所有者才能解决此问题。
  • temperror:DMARC 评估期间发生临时错误。 你可以请求发件人稍后重新发送邮件,以便正确处理电子邮件。
compauth 复合身份验证结果。 由 Microsoft 365 用于将多种类型的身份验证 (SPF、DKIM 和 DMARC) 或消息的任何其他部分组合在一起,以确定消息是否已进行身份验证。 使用“From: domain”作为评估的基础。 注意:尽管 compauth 失败,但如果其他评估未指明可疑性质,仍可能允许该消息。
dkim 说明邮件的 DKIM 检查结果。 可能的值包括:
  • pass:表示通过了邮件的 DKIM 检查。
  • fail (reason):表示未通过了邮件的 DKIM 检查并给出原因。 例如,如果消息未签名或签名未验证。
  • none:指示消息未签名。 此结果可能指示域具有 DKIM 记录,也可能不指示 DKIM 记录的计算结果。
dmarc 说明邮件的 DMARC 检查结果。 可能的值包括:
  • pass:表示通过了邮件的 DMARC 检查。
  • fail:表示未通过邮件的 DMARC 检查。
  • bestguesspass:指示不存在域的 DMARC TXT 记录。 如果域具有 DMARC TXT 记录,则消息的 DMARC 检查将会通过。
  • none:表示没有 DMARC TXT 记录用于 DNS 中的发送域。
header.d DKIM 签名中标识的域(如有)。 这指的是 针对公钥查询的域。
header.from 电子邮件头中 5322.From 地址(亦称为“发件人地址”或“P2 发件人”)的域。 收件人在电子邮件客户端中看到发件人地址。
reason 复合身份验证通过或失败的原因。 该值是一个三位数的代码。 例如:
  • 000:邮件未通过显式身份验证 (compauth=fail)。 例如,收到 DMARC 的消息失败,并且 DMARC 策略操作为 p=quarantinep=reject
  • 001:邮件未通过隐式身份验证 (compauth=fail)。 此结果意味着发送域未发布电子邮件身份验证记录,或者如果发布,则它们具有较弱的故障策略 (SPF ~all?all,或 DMARC 策略 p=none) 。
  • 002:组织为发件人/域对设置了明确禁止发送欺骗电子邮件的策略。 管理员手动配置此设置。
  • 010:消息失败 DMARC,DMARC 策略操作为 p=rejectp=quarantine,并且发送域是组织接受的域之一, (自给自用或组织内部欺骗) 。
  • 1xx7xx:邮件通过了身份验证 (compauth=pass)。 最后两位数是 Microsoft 365 使用的内部代码。 值 130 指示消息已通过身份验证,并且 ARC 结果用于替代 DMARC 失败。
  • 2xx:邮件“软”通过隐式身份验证 (compauth=softpass)。 最后两位数是 Microsoft 365 使用的内部代码。
  • 3xx:未检查消息 () 复合身份验证 compauth=none
  • 4xx9xx:邮件规避了复合身份验证 (compauth=none)。 最后两位数是 Microsoft 365 使用的内部代码。
  • 6xx:邮件未通过隐式电子邮件身份验证,并且发送域是组织接受的域之一, (自我到自我或组织内部欺骗) 。
smtp.mailfrom 5321.MailFrom 地址(亦称为“MAIL FROM 地址”、“P1 发件人”或“信封发件人”)的域。 此电子邮件地址用于未送达报告 (也称为) 退回邮件或退回邮件。
spf 说明邮件的 SPF 检查结果。 可能的值包括:
  • pass (IP address):通过了邮件的 SPF 检查,且包含发件人的 IP 地址。 已授权客户端代表发件人的域发送或中继电子邮件。
  • fail (IP address):未通过邮件的 SPF 检查,且包含发件人的 IP 地址。 此结果有时称为 硬失败
  • softfail (reason):SPF 记录已将主机指定为不允许发送,但正处于转换状态。
  • neutral:SPF 记录明确指出,它不会断言 IP 地址是否有权发送。
  • none:域没有 SPF 记录或者 SPF 记录未计算得到结果。
  • temperror:发生暂时性错误。 例如,DNS 错误。 相同的检查稍后可能会成功。
  • permerror:发生永久性错误。 例如,域的 SPF 记录格式不正确。