Microsoft 365 的反垃圾郵件標頭
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在所有 Microsoft 365 組織中,Exchange Online Protection (EOP) 會掃描所有內送郵件是否有垃圾郵件、惡意程式碼及其他威脅。 這些掃描的結果會新增至郵件中的下列標頭欄位:
- X-Forefront-Antispam-Report:包含訊息及其處理方式的相關資訊。
- X-Microsoft-Antispam:包含大宗郵件和網路釣魚的相關額外資訊。
- Authentication-results:包含 SPF、DKIM 和 DMARC (電子郵件驗證) 結果的相關資訊。
本文將說明這些標頭欄位提供的項目。
如需如何在各種電子郵件用戶端中檢視電子郵件標頭的詳細資訊,請參閱 在 Outlook 中查看網際網路郵件標題。
提示
您可以複製訊息標題的內容並貼到訊息標題分析器 工具中。 這項工具可協助您剖析標頭,並以易讀取的格式來呈現。
X-Forefront-Antispam-Report 郵件標頭欄位
當您擁有訊息標題資訊之後,請找出 X-Forefront-反垃圾郵件報告 標題。 此標頭中有多個字段和值組,並以分號分隔 (;) 。 例如:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
下表說明個別欄位和值。
注意事項
X-Forefront-Antispam-Report 標頭包含許多不同的欄位和值。 未在表格中描述的欄位專供 Microsoft 反垃圾郵件小組用於診斷目的。
欄位 | 描述 |
---|---|
ARC |
ARC 通訊協定含有下列欄位:
|
CAT: |
套用至訊息的保護原則類別:
*僅限 適用於 Office 365 的 Defender。 輸入訊息可能會由多種形式的保護和多個偵測掃描標示。 原則會依優先順序套用,並優先套用優先順序最高的原則。 如需詳細資訊,請參閱在您的電子郵件上執行多種保護方法和偵測掃描時適用的原則。 |
CIP:[IP address] |
連接的 IP 位址。 您可以在 IP 允許清單或 IP 封鎖清單中使用這個 IP 位址。 如需詳細資訊,請參閱設定連線篩選。 |
CTRY |
線上 IP 位址所決定的來源國家/地區,可能與原始傳送的 IP 位址不同。 |
DIR |
訊息的方向:
|
H:[helostring] |
連線電子郵件伺服器的 HELO 或 EHLO 字串。 |
IPV:CAL |
郵件跳過垃圾郵件篩選,因為來源 IP 位址位於 IP 允許清單中。 如需詳細資訊,請參閱設定連線篩選。 |
IPV:NLI |
在任何IP信譽清單上都找不到IP位址。 |
LANG |
訊息所撰寫的語言,如國家/地區代碼 (所指定,例如,ru_RU俄文) 。 |
PTR:[ReverseDNS] |
來源 IP 位址的 PTR 記錄 (又稱為反向 DNS 查閱)。 |
SCL |
郵件的垃圾郵件信賴等級 (SCL)。 此值越高,表示郵件越有可能是垃圾郵件。 如需詳細資訊,請參閱垃圾郵件信賴等級 (SCL)。 |
SFTY |
訊息已識別為網路釣魚,而且也會標示下列其中一個值:
|
SFV:BLK |
已略過篩選,但封鎖郵件,因為該郵件是從使用者的封鎖寄件者清單上的地址傳送。 如需系統管理員如何管理使用者的封鎖寄件者清單的詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定。 |
SFV:NSPM |
垃圾郵件篩選會將郵件標示為非垃圾郵件,並將郵件傳送給預定的收件者。 |
SFV:SFE |
已略過篩選,但允許郵件,因為該郵件是從使用者的安全寄件者清單上的地址傳送。 如需系統管理員如何管理使用者的安全寄件者清單的詳細資訊,請參閱設定 Exchange Online 信箱的垃圾郵件設定。 |
SFV:SKA |
郵件跳過垃圾郵件篩選,並已傳送到收件匣,因為寄件者位於反垃圾郵件原則中允許的寄件者清單或允許的網域清單。 如需詳細資訊,請參閱設定反垃圾郵件原則。 |
SFV:SKB |
郵件被標示為垃圾郵件,因為該郵件符合反垃圾郵件原則中封鎖的寄件者清單或封鎖的網域清單中的寄件者。 如需詳細資訊,請參閱設定反垃圾郵件原則。 |
SFV:SKN |
在垃圾郵件篩選處理之前,郵件已標示為非垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL-1 或略過垃圾郵件篩選。 |
SFV:SKQ |
郵件已從隔離區釋出,並傳送給預定的收件者。 |
SFV:SKS |
在垃圾郵件篩選處理之前,郵件已標示為垃圾郵件。 例如,郵件已由郵件流程規則標示為 SCL 5 到 9。 |
SFV:SPM |
垃圾郵件篩選已將此郵件標記為垃圾郵件。 |
SRV:BULK |
垃圾郵件篩選和大量抱怨層級 (BCL) 閾值將郵件視為大宗郵件。 當 MarkAsSpamBulkMail 參數為 On (非預設值),大量電子郵件會被標示為垃圾郵件 (SCL 6)。 如需詳細資訊,請參閱設定反垃圾郵件原則。 |
X-CustomSpam: [ASFOption] |
郵件符合進階垃圾郵件篩選 (ASF) 設定。 若要查看每個 ASF 設定的 X 標頭值,請參閱進階垃圾郵件篩選 (ASF) 設定。 注意:ASF X-CustomSpam: 會在 Exchange 郵件流程規則處理郵件 之後 ,將 X 標頭欄位新增至郵件 (也稱為傳輸規則) ,因此您無法使用郵件流程規則來識別 ASF 篩選的郵件並採取行動。 |
X-Microsoft-Antispam 郵件標頭欄位
下表說明在 X-Microsoft-Antispam 郵件標頭中的實用欄位。 此標頭的其他欄位專供 Microsoft 反垃圾郵件小組進行診斷之用。
欄位 | 描述 |
---|---|
BCL |
郵件的大量抱怨層級 (BCL)。 BCL 高,表示大量郵件訊息更容易引發抱怨 (因此更可能是垃圾郵件)。 如需詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級。 |
Authentication-results 郵件標頭
SPF、DKIM 和 DMARC 的電子郵件驗證檢查結果會記錄 (加戳記) 在輸入郵件的 Authentication-results 郵件標頭中。 Authentication-results 標頭定義於 RFC 7001 中。
下列清單說明針對每個類型電子郵件驗證檢查新增至 Authentication-Results 標頭的文字:
SPF 使用下列語法:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
例如:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM 使用下列語法:
dkim=<pass|fail (reason)|none> header.d=<domain>
例如:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC 使用下列語法:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
例如:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Authentication-results 郵件標頭欄位
下表描述每個電子郵件驗證檢查的欄位和可能的值。
欄位 | 描述 |
---|---|
action |
表示垃圾郵件篩選器根據 DMARC 檢查結果所採取的動作作。 例如:
|
compauth |
複合驗證結果。 由 Microsoft 365 用來結合多種類型的驗證 (SPF、DKIM 和 DMARC) ,或訊息的任何其他部分,以判斷訊息是否已驗證。 使用 From: 網域作為評估基礎。
注意:儘管 compauth 發生失敗,但如果其他評量未指出可疑性質,仍可能允許訊息。 |
dkim |
描述郵件的 DKIM 檢查結果。 可能的值包括:
|
dmarc |
描述郵件的 DMARC 檢查結果。 可能的值包括:
|
header.d |
如果有的話,表示在 DKIM 簽章中識別出網域。 這是查詢公開金鑰的網域。 |
header.from |
電子郵件標頭中 5322.From 位址的網域 (又稱為「寄件者地址」或 P2 寄件者)。 收件者會看到電子郵件用戶端中的「寄件者地址」。 |
reason |
複合驗證通過或失敗的原因。 此值為三位數的程序代碼。 例如:
|
smtp.mailfrom |
5321.MailFrom 位址的網域 (又稱為「郵件寄件者地址」、P1 寄件者或信封寄件者)。 此電子郵件地址用於非傳遞報告, (也稱為 NDR 或退回的郵件) 。 |
spf |
描述郵件的 SPF 檢查結果。 可能的值包括:
|