En-têtes de message anti-courrier indésirable dans Microsoft 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans toutes les organisations Microsoft 365, Exchange Online Protection (EOP) analyse tous les messages entrants à la recherche de courrier indésirable, de programmes malveillants et d’autres menaces. Les résultats de ces analyses sont ajoutés aux champs d’en-tête suivants dans les messages :
- X-Forefront-Antispam-Report : contient des informations sur le message et sur la manière dont il a été traité.
- X-Microsoft-Antispam : contient des informations supplémentaires sur le courrier en nombre et le hameçonnage.
- Authentication-Results : contient des informations sur les résultats SPF, DKIM et DMARC (authentification de messagerie électronique).
Cet article décrit les fonctionnalités disponibles dans ces champs d’en-tête.
Pour plus d’informations sur le mode d’affichage de l’en-tête d’un e-mail dans divers clients de messagerie, consultez Afficher les en-têtes de messages Internet dans Outlook.
Conseil
Vous pouvez copier et coller le contenu de l'en-tête d’un message dans l'analyseur d'en-têtes de message. Cet outil aide à analyser les en-têtes et à les afficher dans un format plus lisible.
Champs d’en-tête de message X-Forefront-Antispam-Report
Une fois que vous avez les informations d’en-tête du message, recherchez l’en-tête de X-Forefront-Antispam-Report. Cet en-tête comporte plusieurs paires champ/valeur séparées par des points-virgules (;). Par exemple :
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Les champs et valeurs individuels sont décrits dans le tableau suivant.
Remarque
L’en-tête X-Forefront-Antispam-Report contient de nombreux champs et valeurs d’en-tête différents. Les champs qui ne sont pas décrits dans le tableau sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.
Champ | Description |
---|---|
ARC |
Le protocole ARC contient les champs suivants :
|
CAT: |
Catégorie de stratégie de protection appliquée au message :
*Defender for Office 365 uniquement. Un message entrant peut être marqué par plusieurs formes de protection et plusieurs analyses de détection. Les stratégies sont appliquées dans un ordre de priorité, et la stratégie avec la priorité la plus élevée est appliquée en premier. Pour plus d’informations, voir Quelle stratégie s’applique lorsque plusieurs méthodes de protection et analyses de détection s'exécutent dans votre courrier électronique. |
CIP:[IP address] |
Adresse IP de connexion. Vous pouvez utiliser cette adresse IP dans la liste d'adresses IP autorisées ou dans la liste d’adresses IP bloquées. Pour plus d’informations, consultez Configuration du filtrage des connexions. |
CTRY |
Pays/région source déterminé par l’adresse IP de connexion, qui peut ne pas être identique à l’adresse IP d’envoi d’origine. |
DIR |
Directionnalité du message :
|
H:[helostring] |
Chaîne HELO ou EHLO du serveur de courrier de connexion. |
IPV:CAL |
Le message a ignoré le filtrage du courrier indésirable, car l’adresse IP source figure dans la liste d’adresses IP autorisées. Pour plus d’informations, consultez Configuration du filtrage des connexions. |
IPV:NLI |
L’adresse IP n’a été trouvée dans aucune liste de réputation IP. |
LANG |
Langue dans laquelle le message a été écrit tel que spécifié par le code du pays (par exemple, ru_RU pour le russe). |
PTR:[ReverseDNS] |
L’enregistrement PTR (également connu sous le nom de recherche DNS inverse) de l’adresse IP source. |
SCL |
Seuil de niveau (SCL) du message. Plus cette valeur est élevée, plus il est probable que le message est un courrier indésirable. Pour plus d’informations, consultez Seuil de probabilité de courrier indésirable (SCL). |
SFTY |
Le message a été identifié comme hameçonnage et est également marqué avec l’une des valeurs suivantes :
|
SFV:BLK |
Le filtrage a été ignoré et le message a été bloqué, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs bloqués d’un utilisateur. Pour plus d’informations sur la manière dont les administrateurs peuvent gérer la liste Expéditeurs bloqués d’un utilisateur, consultez Configurer les paramètres de courrier indésirable dans les boîtes aux lettres Exchange Online. |
SFV:NSPM |
Le filtrage du courrier indésirable a marqué le message comme non-courrier indésirable et le message a été envoyé aux destinataires prévus. |
SFV:SFE |
Le filtrage a été ignoré et le message a été autorisé, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs approuvés d’un utilisateur. Pour plus d’informations sur la manière dont les administrateurs peuvent gérer la liste Expéditeurs approuvés d’un utilisateur, consultez Configurer les paramètres de courrier indésirable dans les boîtes aux lettres Exchange Online. |
SFV:SKA |
Le message n’a pas subit de filtrage du courrier indésirable et a été dirigé vers la boîte de réception, car l’expéditeur fait partie de la liste des expéditeurs autorisés ou de celle des domaines autorisés dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable. |
SFV:SKB |
Le message a été marqué comme courrier indésirable, car il correspondait à un expéditeur de la liste des expéditeurs bloqués ou de celle des domaines bloqués dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable. |
SFV:SKN |
Le message a été marqué comme non-courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de -1 ou contournement le filtrage du courrier indésirable par une règle de flux de courrier. |
SFV:SKQ |
Le message a été libéré de la quarantaine et envoyé aux destinataires appropriés. |
SFV:SKS |
Le message a été marqué comme courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de 5 à 9 par une règle de flux de courrier. |
SFV:SPM |
Le message a été marqué comme courrier indésirable par le filtrage du courrier indésirable. |
SRV:BULK |
Le message a été identifié comme courrier en bloc par le filtrage du courrier indésirable et le seuil de niveau de réclamation en bloc (BCL). Lorsque le paramètre MarkAsSpamBulkMail est On (il est activé par défaut), un message électronique en bloc est marqué comme courrier indésirable (SCL 6). Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable. |
X-CustomSpam: [ASFOption] |
Le message correspondait à une option avancée de filtrage de courrier indésirable (ASF). Pour afficher la valeur de l’en-tête X pour chaque paramètre ASF, consultez Paramètres de filtre de courrier indésirable avancé. Remarque : ASF ajoute X-CustomSpam: des champs d’en-tête X aux messages une fois que les messages ont été traités par les règles de flux de messagerie Exchange (également appelées règles de transport). Vous ne pouvez donc pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages qui ont été filtrés par ASF. |
Champs d’en-tête de message X-Microsoft-Antispam
Le tableau suivant décrit certains champs utiles de l’en-tête X-Microsoft-Antispam des messages. Les autres champs de cet en-tête sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.
Field | Description |
---|---|
BCL |
Niveau de réclamation en bloc (BCL) du message. Un niveau BCL supérieur indique qu’un courrier en nombre est susceptible de générer des plaintes (et par conséquent plus susceptible d’être du courrier indésirable). Pour plus d’informations, consultez Niveau de plainte en bloc (BCL) dans EOP. |
En-tête de message Authentication-results
Les résultats des vérifications d’authentification de la messagerie électronique pour SPF, DKIM et DMARC sont enregistrés (marqués) dans l’en-tête de message Authentication-Results dans les messages entrants. L’en-tête Authentication-results est défini dans RFC 7001.
La liste suivante décrit le texte ajouté à l’en-tête Authentication-Results pour chaque type de vérification de l’authentification par courrier électronique :
SPF utilise la syntaxe suivante :
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Par exemple :
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM utilise la syntaxe suivante :
dkim=<pass|fail (reason)|none> header.d=<domain>
Par exemple :
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC utilise la syntaxe suivante :
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Par exemple :
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Champs d’en-tête de message Authentication-Results
Le tableau ci-dessous décrit les champs et les valeurs possibles pour chaque vérification d’authentification de messagerie électronique.
Champ | Description |
---|---|
action |
Indique l’action effectuée par le filtre de courrier indésirable en fonction des résultats de la vérification DMARC. Par exemple :
|
compauth |
Résultat de l’authentification composite. Utilisé par Microsoft 365 pour combiner plusieurs types d’authentification (SPF, DKIM et DMARC) ou toute autre partie du message pour déterminer si le message est authentifié ou non. Utilise le domaine From: comme base d’évaluation.
Remarque : En dépit d’un compauth échec, le message peut toujours être autorisé si d’autres évaluations n’indiquent pas une nature suspecte. |
dkim |
Décrit les résultats de la vérification DKIM du message. Les valeurs admises sont les suivantes :
|
dmarc |
Décrit les résultats de la vérification DMARC pour le message. Les valeurs admises sont les suivantes :
|
header.d |
Domaine défini dans la signature DKIM, s’il y en a un. Il s'agit du domaine auquel la clé publique est demandée. |
header.from |
Domaine de l’adresse 5322.From dans l’en-tête de l’e-mail (également appelée adresse de l’expéditeur ou P2). Le destinataire voit l’adresse de l’expéditeur dans les clients de courrier. |
reason |
Raison pour laquelle l’authentification composite a réussi ou échoué. La valeur est un code à trois chiffres. Par exemple :
|
smtp.mailfrom |
Domaine de l’adresse 5321.MailFrom (également appelée adresse MAIL FROM, expéditeur P1 ou expéditeur d’enveloppe). Cette adresse e-mail est utilisée pour les rapports de non-remise (également appelés NDR ou messages de rebond). |
spf |
Décrit les résultats de la vérification SPF pour le message. Les valeurs admises sont les suivantes :
|