Intestazioni dei messaggi della protezione da posta indesiderata in Microsoft 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

In tutte le organizzazioni Microsoft 365, Exchange Online Protection (EOP) analizza tutti i messaggi in arrivo per identificare posta indesiderata, malware e altre minacce. I risultati di queste analisi vengono aggiunti a questi campi di intestazione nei messaggi:

  • X-Forefront-Antispam-Report: contiene informazioni sul messaggio e sul modo in cui è stato elaborato.
  • X-Microsoft-Antispam: fornisce informazioni aggiuntive sulla posta inviata in massa e il phishing.
  • Authentication-results: contiene informazioni sui risultati delle autenticazioni della posta elettronica SPF, DKIM e DMARC.

Questo articolo descrive le caratteristiche disponibili in questi campi di intestazione.

Per informazioni sulla visualizzazione dell'intestazione di un messaggio di posta elettronica in diversi client di posta elettronica, vedere Visualizzare le intestazioni dei messaggi Internet in Outlook.

Consiglio

È possibile copiare e incollare il contenuto dell’intestazione di un messaggio nello strumento Analizzatore intestazione messaggio. Questo strumento consente di analizzare le intestazioni e di inserirle in un formato più leggibile.

Campi di intestazione del messaggio X-Forefront-Antispam-Report

Dopo aver trovato le informazioni sull’intestazione del messaggio, trovare l’intestazione X-Forefront-Antispam-Report. In questa intestazione sono presenti più coppie di campi e valori separati da punti e virgola (;). Ad esempio:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

I campi e i valori sono descritti nel dettaglio nella tabella seguente.

Nota

L’intestazione X-Forefront-Antispam-Report contiene molti campi e valori. L'utilizzo dei campi non descritti nella tabella è riservato al team di protezione dalla posta indesiderata di Microsoft per finalità diagnostiche.

Campo Descrizione
ARC I campi del protocollo ARC sono i seguenti:
  • AAR: registra il contenuto dell'intestazione Authentication-results da DMARC.
  • AMS: contiene le firme crittografiche delle intestazioni dei messaggi.
  • AS: contiene le firme crittografiche delle intestazioni dei messaggi. Questo campo contiene il tag di convalida della catena denominata "cv=" e include il risultato della convalida della catena, ad esempio nessuna, superata, o non riuscita.
CAT: Categoria di criteri di protezione applicati al messaggio:
  • AMP: antimalware
  • BIMP: Rappresentazione del marchio*
  • BULK: invio in blocco
  • DIMP: Rappresentazione del dominio*
  • FTBP: filtro allegati comuni antimalware
  • GIMP: Rappresentazione dell'intelligence per le cassette postali*
  • HPHSH o HPHISH: phishing con alta confidenza
  • HSPM: posta indesiderata con alta confidenza
  • INTOS: Intra-Organization phishing
  • MALW:malware
  • OSPM: posta indesiderata in uscita
  • PHSH: phishing
  • SAP: allegati sicuri*
  • SPM: posta indesiderata
  • SPOOF: spoofing
  • UIMP: Rappresentazione utente*

*Defender per Office 365 solo.

Un messaggio in ingresso potrebbe essere contrassegnato da più forme di protezione e analisi di rilevamento multiple. I criteri vengono applicati in un ordine di precedenza e i criteri con la priorità più alta vengono applicati per primi. Per altre informazioni, vedere Criteri applicabili ai messaggi di posta elettronica quando vengono usati più metodi di protezione e analisi di rilevamento.
CIP:[IP address] L'indirizzo IP che si connette. È possibile usare questo indirizzo IP nell'elenco Consenti indirizzi IP o nell'elenco Blocca indirizzi IP. Per ulteriori informazioni, vedere Configurare il filtraggio delle connessioni.
CTRY Paese/area geografica di origine determinato dall'indirizzo IP di connessione, che potrebbe non essere lo stesso dell'indirizzo IP di invio di origine.
DIR Direzionalità del messaggio:
  • INB: messaggio in ingresso.
  • OUT: messaggio in uscita.
  • INT: messaggio interno.
H:[helostring] Stringa HELO o EHLO del server di posta elettronica connesso.
IPV:CAL Il messaggio è stato ignorato dal filtro della posta indesiderata perché l'indirizzo IP di origine era riportato nell'elenco Consenti indirizzi IP. Per ulteriori informazioni, vedere Configurare il filtraggio delle connessioni.
IPV:NLI L'indirizzo IP non è stato trovato in alcun elenco di reputazione IP.
LANG Lingua in cui è stato scritto il messaggio come specificato dal codice del paese , ad esempio ru_RU per il russo.
PTR:[ReverseDNS] Il record PTR (noto anche come ricerca DNS inversa) dell'indirizzo IP di origine.
SCL Il livello di probabilità di posta indesiderata (SCL) del messaggio. Più alto è il valore, maggiore è la probabilità che si tratti di un messaggio di posta indesiderata. Per ulteriori informazioni, vedere Livello di probabilità di posta indesiderata (SCL).
SFTY Il messaggio è stato identificato come phishing ed è anche contrassegnato con uno dei valori seguenti:
  • 9.19: imitazione del dominio. Il dominio di invio sta tentando di sostituirsi a un dominio protetto. Il suggerimento di sicurezza per l'imitazione dei domini viene aggiunto al messaggio (se abilitato).
  • 9.20: imitazione dell'utente. Il mittente sta provando a imitare un utente nell'organizzazione del destinatario o un utente protetto specificato in un criterio anti-phishing in Microsoft Defender per Office 365. Il suggerimento di sicurezza per l'imitazione degli utenti viene aggiunto al messaggio (se abilitato).
  • 9.25: Suggerimento di sicurezza per il primo contatto. Questo valore potrebbe essere un'indicazione di un messaggio sospetto o di phishing. Per altre informazioni, vedere Primo contatto suggerimento per la sicurezza.
SFV:BLK Il filtro è stato ignorato e il messaggio è stato bloccato, perché è stato inviato da un utente presente nell'elenco Mittenti bloccati di un utente.

Per altre informazioni sul modo in cui gli amministratori possono gestire l'elenco dei mittenti bloccati di un utente, vedere Configurare le impostazioni della posta indesiderata nelle cassette postali di Exchange Online.

SFV:NSPM Il filtro della posta indesiderata ha contrassegnato il messaggio come nonspam e il messaggio è stato inviato ai destinatari previsti.
SFV:SFE Il filtro è stato ignorato e il messaggio è stato lasciato passare, perché è stato inviato da un utente presente nell'elenco Mittenti attendibili di un utente.

Per altre informazioni sul modo in cui gli amministratori possono gestire l'elenco dei mittenti attendibili di un utente, vedere Configurare le impostazioni di posta indesiderata nelle cassette postali di Exchange Online.

SFV:SKA Il messaggio è stato ignorato dal filtro della posta indesiderata ed è stato recapitato alla posta in arivo, perché il mittente era presente in un elenco di mittenti consentiti o di domini consentiti di un criterio di protezione dalla posta indesiderata. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata.
SFV:SKB Il messaggio è stato contrassegnato come posta indesiderata perché corrisponde a un mittente presente in un elenco di mittenti o domini bloccati in un criterio di protezione dalla posta indesiderata. Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata.
SFV:SKN Il messaggio è stato contrassegnato come nonspam prima dell'elaborazione tramite filtro della posta indesiderata. Ad esempio, il messaggio è stato contrassegnato come SCL -1 o Ignora filtro posta indesiderata da una regola del flusso di posta.
SFV:SKQ Il messaggio è stato rilasciato dalla quarantena ed è stato inviato al destinatario.
SFV:SKS Il messaggio è stato contrassegnato come posta indesiderata prima dell'elaborazione tramite filtro della posta indesiderata. Ad esempio, il messaggio è stato contrassegnato come SCL 5-9 da una regola del flusso di posta.
SFV:SPM Il messaggio è stato contrassegnato come posta indesiderata dal filtro della posta indesiderata.
SRV:BULK Il messaggio è stato identificato come posta elettronica in blocco dal filtro posta indesiderata e dalla soglia del livello di reclamo in blocco. Se il parametro MarkAsSpamBulkMail è On, ed è attivato per impostazione predefinita, un messaggio di posta elettronica in blocco viene contrassegnato come posta indesiderata (SCL 6). Per altre informazioni, vedere Configurare i criteri di protezione dalla posta indesiderata.
X-CustomSpam: [ASFOption] Il messaggio corrisponde a un'impostazione di filtro avanzato della posta indesiderata (ASF). Per vedere il valore X-header per ogni impostazione ASF, consultare le Impostazioni di filtro avanzato della posta indesiderata (ASF).

Nota: ASF aggiunge X-CustomSpam: campi X-header ai messaggi dopo che i messaggi sono stati elaborati dalle regole del flusso di posta di Exchange (note anche come regole di trasporto), quindi non è possibile usare le regole del flusso di posta per identificare e agire sui messaggi filtrati in base a ASF.

Campi di intestazione del messaggio X-Microsoft-Antispam

Nella tabella seguente vengono descritti i campi utili nell'intestazione del messaggio X-Microsoft-Antispam. L'utilizzo degli altri campi dell'intestazione è riservato al team di protezione dalla posta indesiderata di Microsoft per scopi di diagnostica.

Campo Descrizione
BCL Il Livello di reclamo in blocco (BCL) del messaggio. Più il BCL è elevato, maggiore è la probabilità che un messaggio di posta elettronica in blocco generi reclami, ed è quindi più probabile che si tratti di posta indesiderata. Per altre informazioni, vedere Livello di reclamo in blocco (BCL) in EOP.

Intestazione del messaggio Authentication-results

I risultati dei controlli dell'autenticazione della posta elettronica per SPF, DKIM e DMARC sono registrati (stampati) nell'intestazione Authentication-results dei messaggi in ingresso. L'intestazione Authentication-results è definita in RFC 7001.

L'elenco che segue descrive il testo che viene aggiunto all'intestazione Authentication-Results per ogni tipo di controllo dell'autenticazione:

  • SPF utilizza la sintassi seguente:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Ad esempio:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • DKIM utilizza la sintassi seguente:

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Ad esempio:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • DMARC utilizza la sintassi seguente:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Ad esempio:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Campi dell'intestazione del messaggio Authentication-results

Nella tabella seguente vengono descritti i campi e i valori possibili per il controllo di autenticazione di ogni messaggio di posta elettronica.

Campo Descrizione
action Indica l'azione eseguita dal filtro posta indesiderata in base ai risultati del controllo DMARC. Ad esempio:
  • pct.quarantine: indica che una percentuale inferiore al 100% dei messaggi che non superano DMARC viene recapitata comunque. Questo risultato significa che il messaggio non è riuscito DMARC e il criterio DMARC è stato impostato su p=quarantine. Tuttavia, il campo pct non è stato impostato su 100% e il sistema ha determinato in modo casuale di non applicare l'azione DMARC in base ai criteri DMARC del dominio specificato.
  • pct.reject: indica che una percentuale inferiore al 100% dei messaggi che non superano DMARC viene recapitata comunque. Questo risultato significa che il messaggio non è riuscito DMARC e il criterio DMARC è stato impostato su p=reject. Tuttavia, il campo pct non è stato impostato su 100% e il sistema ha determinato in modo casuale di non applicare l'azione DMARC per i criteri DMARC del dominio specificato.
  • permerror: si è verificato un errore permanente durante la valutazione DMARC, ad esempio durante l'individuazione di un record TXT DMARC non corretto in DNS. Tentando di inviare di nuovo questo messaggio, probabilmente si otterrebbe un risultato diverso. Potrebbe invece essere necessario contattare il proprietario del dominio per risolvere il problema.
  • temperror: si è verificato un errore temporaneo durante la valutazione DMARC. Potrebbe essere possibile richiedere al mittente di inviare nuovamente il messaggio in un secondo momento per elaborare correttamente il messaggio di posta elettronica.
compauth Risultato autenticazione composita. Usato da Microsoft 365 per combinare più tipi di autenticazione (SPF, DKIM e DMARC) o qualsiasi altra parte del messaggio per determinare se il messaggio viene autenticato o meno. Usa il dominio Da: come base per la valutazione. Nota: nonostante un compauth errore, il messaggio potrebbe essere comunque consentito se altre valutazioni non indicano una natura sospetta.
dkim Descrive i risultati del controllo DKIM per il messaggio. I valori possibili includono:
  • pass: indica che il controllo DKIM per il messaggio è stato superato.
  • fail (motivo): indica che il controllo DKIM per il messaggio non è stato superato e include il motivo, Ad esempio, se il messaggio non è stato firmato o se la firma non è stata verificata.
  • none: indica che il messaggio non è stato firmato. Questo risultato potrebbe indicare o meno che il dominio ha un record DKIM o che il record DKIM non restituisce un risultato.
dmarc Descrive i risultati del controllo DMARC per il messaggio. I valori possibili includono:
  • pass: indica che il controllo DMARC per il messaggio è stato superato.
  • fail: indica che il controllo DMARC per il messaggio non è stato superato.
  • bestguesspass: indica che non esiste alcun record TXT DMARC per il dominio. Se il dominio avesse un record TXT DMARC, il controllo DMARC per il messaggio sarebbe passato.
  • none: indica che non esistono record TXT DMARC per il dominio di invio in DNS.
header.d Dominio identificato nella firma DKIM, se presente. Questo è il dominio sottoposto a query per la chiave pubblica.
header.from Il dominio dell'indirizzo 5322.From nell'intestazione del messaggio di posta elettronica, anche noto come indirizzo mittente o mittente P2. Il destinatario vede l'indirizzo mittente nei client di posta elettronica.
reason Il motivo per cui l'autenticazione composita è stata superata o meno. Il valore è un codice a tre cifre. Ad esempio:
  • 000: il messaggio non ha superato l'autenticazione esplicita (compauth=fail). Ad esempio, il messaggio ha ricevuto un errore DMARC e l'azione dei criteri DMARC è p=quarantine o p=reject.
  • 001 il messaggio non ha superato l'autenticazione implicita (compauth=fail). Questo risultato significa che il dominio di invio non ha pubblicato record di autenticazione della posta elettronica o, in caso affermativo, ha avuto un criterio di errore più debole (SPF ~all o ?allo un criterio DMARC di p=none).
  • 002: l'organizzazione ha un criterio per la coppia mittente/dominio che vieta esplicitamente l'invio di messaggi di posta elettronica contraffatti. Un amministratore configura manualmente questa impostazione.
  • 010: il messaggio DMARC non è riuscito, l'azione dei criteri DMARC è p=reject o p=quarantinee il dominio di invio è uno dei domini accettati dell'organizzazione (spoofing self-to-self o intra-org).
  • 1xx o 7xx: il messaggio ha superato l'autenticazione (compauth=pass). Le ultime due cifre sono codici interni usati da Microsoft 365. Il valore 130 indica che il messaggio ha superato l'autenticazione e che il risultato ARC è stato usato per eseguire l'override di un errore DMARC.
  • 2xx: il messaggio ha superato l'autenticazione implicita (compauth=softpass). Le ultime due cifre sono codici interni usati da Microsoft 365.
  • 3xx: il messaggio non è stato controllato per l'autenticazione composita (compauth=none).
  • 4xx o 9xx: il messaggio ha ignorato l'autenticazione composita (compauth=none). Le ultime due cifre sono codici interni usati da Microsoft 365.
  • 6xx: il messaggio ha avuto esito negativo per l'autenticazione implicita tramite posta elettronica e il dominio di invio è uno dei domini accettati dell'organizzazione (self-to-self o spoofing all'interno dell'organizzazione).
smtp.mailfrom Il dominio dell'indirizzo 5321.MailFrom, anche noto come indirizzo posta mittente, mittente P1 o mittente della busta. Questo indirizzo di posta elettronica viene usato per i report non recapitabili (noti anche come rapporti di mancato recapito o messaggi di mancato recapito).
spf Descrive i risultati del controllo SPF per il messaggio. I valori possibili includono:
  • pass (IP address): il controllo SPF per il messaggio è stato superato e include l'indirizzo IP del mittente. Il client è autorizzato a inviare o inoltrare la posta elettronica per conto del dominio del mittente.
  • fail (IP address): indica che il controllo SPF per il messaggio non è stato superato e include l'indirizzo IP del mittente. Questo risultato viene talvolta definito errore rigido.
  • softfail (reason): indica che il record SPF ha designato l'host come non autorizzato all'invio ma in transizione.
  • neutral: il record SPF indica in modo esplicito che non afferma se l'indirizzo IP è autorizzato a inviare.
  • none: il dominio non ha un record SPF, o il record SPF non restituisce un risultato.
  • temperror: si è verificato un errore temporaneo. Ad esempio, un errore DNS. Il medesimo controllo potrebbe avere esito positivo in seguito.
  • permerror: si è verificato un errore permanente. Ad esempio, il dominio presenta un record SPF con formato non valido.