Contrassegni filtro posta indesiderata

  • Articolo

Si applica a: Exchange Server 2013

Gli indicatori di protezione da posta indesiderata permettono di effettuare una diagnosi dei problemi relativi alla posta indesiderata applicando i metadati diagnostici o gli indicatori, come le informazioni specifiche sul mittente, i risultati della convalida puzzle e di filtro contenuto, ai messaggi quando passano attraverso le funzionalità di protezione da posta indesiderata che filtrano i messaggi in ingresso da Internet. Ci sono tre contrassegni filtro posta indesiderata: indicatore del livello di probabilità di phishing, indicatore del livello di probabilità di posta indesiderata e indicatore ID mittente.

È possibile utilizzare gli indicatori protezione posta indesiderata come strumenti diagnostici per determinare le misure da adottare per i falsi positivi e per i messaggi presumibilmente di posta indesiderata che gli utenti ricevono nelle proprie cassette postali.

Nota

Il 1° novembre 2016 Microsoft ha smesso di produrre aggiornamenti delle definizioni di posta indesiderata per i filtri SmartScreen in Exchange e Outlook. Le definizioni spam SmartScreen esistenti non verranno eliminate, ma la loro efficacia si ridurrà progressivamente. Per ulteriori informazioni, vedere Eliminazione del supporto per SmartScreen in Outlook ed Exchange.

Visualizzazione dei contrassegni filtro posta indesiderata

È possibile visualizzare gli indicatori posta indesiderata utilizzando Microsoft Outlook. Per ulteriori informazioni, vedere Visualizzazione di indicatori di protezione da posta indesiderate in Outlook.

Informazioni sui rapporti di protezione da posta indesiderata

Il rapporto protezione posta indesiderata è un rapporto riepilogativo dei risultati del filtro protezione da posta indesiderata applicato a un messaggio di posta elettronica. L'agente Filtro contenuti applica questo indicatore alla busta del messaggio nel formato X-header nel modo seguente:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

La tabella seguente descrive le informazioni di filtro che possono apparire nel rapporto di protezione da posta indesiderata.

Nota

Nel rapporto protezione posta indesiderata vengono visualizzate solo le informazioni provenienti dai filtri applicati al messaggio specifico. Il rapporto di protezione da posta indesiderata di solito non contiene tutte le informazioni riportate nella tabella seguente. Ad esempio, è possibile ricevere il report di protezione dalla posta indesiderata seguente: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Informazioni di filtro in un rapporto di protezione da posta indesiderata

Timbro Descrizione
Sid L'indicatore ID mittente (SID, Sender ID) si basa su SPF (Sender Policy Framework) che autorizza l'uso dei dei domini nella posta elettronica. L'SPF viene visualizzato nella busta del messaggio come Received-SPF. Il processo di valutazione dell'ID mittente genera uno stato ID mittente per il messaggio. È possibile che lo stato venga restituito come uno dei seguenti valori:
  • Passaggio: sia l'indirizzo IP che l'indirizzo responsabile (PRA) hanno superato il controllo di verifica dell'ID mittente.
  • Neutrale: i dati dell'ID mittente pubblicati non sono esplicitamente inconcludenti.
  • Soft fail: l'indirizzo IP per pra può essere nel set non consentito.
  • Fail: l'indirizzo IP non è consentito; non viene trovato alcun PRA nella posta in arrivo o il dominio di invio non esiste.
  • Nessuno: nel DNS del mittente non esistono dati SPF pubblicati.
  • TempError: si è verificato un errore DNS temporaneo, ad esempio un server DNS non disponibile.
  • PermError: il record DNS non è valido, ad esempio un errore nel formato del record.

Il timbro ID mittente viene visualizzato come X-Header nella busta del messaggio come indicato di seguito: X-MS-Exchange-Organization-SenderIdResult:<status>

Per ulteriori informazioni sull'ID mittente, vedere Sender ID.
Dv L'indicatore DV (DAT Version) indica la versione del file di definizione della posta indesiderata utilizzato per l'analisi del messaggio.
Sa L'indicatore SA (Signature Action) indica che il messaggio è stato recuperato o eliminato a causa di una firma rilevata nel messaggio.
Sv L'indicatore DV della firma (SV, Signature Version) indica la versione del file della firma utilizzato per l'analisi del messaggio.
PCL L'indicatore del livello di probabilità di phishing (PCL) indica la classificazione del messaggio in base al contenuto e viene applicato quando il messaggio viene elaborato dall'agente Filtro contenuto. Lo stato restituito può avere i seguenti valori:
  • Neutrale: è probabile che il contenuto del messaggio non sia phishing.
  • Sospetto: è probabile che il contenuto del messaggio sia phishing.

Il valore PCL può variare da 1 a 8:

  • Una classificazione PCL da 1 a 3 restituisce uno stato di Neutral. Ciò significa che è probabile che il contenuto del messaggio non sia phishing.
  • Una classificazione PCL da 4 a 8 restituisce uno stato di Suspicious. Ciò significa che è probabile che il contenuto del messaggio sia phishing.

I valori vengono utilizzati per determinare quale azione viene eseguita da Outlook sui messaggi. Outlook utilizza l'indicatore PCL per bloccare il contenuto dei messaggi sospetti.

Il timbro PCL viene visualizzato come intestazione X nella busta del messaggio come indicato di seguito: X-MS-Exchange-Organization-PCL:<status>
SCL L'indicatore del livello di probabilità di posta indesiderata (SCL) del messaggio indica la classificazione del messaggio in base al contenuto. L'agente Filtro contenuto utilizza la tecnologia Microsoft SmartScreen per valutare il contenuto di un messaggio e per assegnare un livello SCL a ciascun messaggio.

Il valore SCL è compreso tra 0 e 9, dove 0 rappresenta il numero minore di probabilità che il messaggio sia posta indesiderata e 9 il numero maggiore di probabilità che il messaggio sia posta indesiderata. Le azioni eseguite da Exchange e da Outlook dipendono dalle impostazioni della soglia SCL.

Il timbro SCL viene visualizzato come intestazione X nella busta del messaggio come indicato di seguito: X-MS-Exchange-Organization-SCL:<status>

Per altre informazioni sulle soglie e le azioni SCL, vedere Soglia livello di attendibilità della posta indesiderata.
Cw L'indicatore CW (Custom Weight) di un messaggio indica che il messaggio contiene una parola o frase non approvata e che il valore SCL o peso di quella determinata parola o frase non approvata è stato applicato alla classificazione SCL finale:
  • Le frasi non approvate, ovvero frasi bloccate, vengono considerate di massimo peso e il livello SCL assegnato a tali frasi è 9.
  • Le parole o frasi approvate, ovvero le frasi consentite, vengono considerate di minimo peso e la classificazione SCL finale assegnata è 0.

Per altre informazioni su come aggiungere parole o frasi approvate e non approvate all'agente filtro contenuto, vedere Gestire il filtro contenuto.
Pp L'indicatore PP (Presolved Puzzle) indica che se il messaggio di un mittente contiene un timbro di calcolo valido e risolto, in base alla funzionalità di convalida del timbro posta elettronica di Outlook, è improbabile che si tratti di un mittente malintenzionato. In questo caso, l'agente Filtro contenuti ridurrà il livello di probabilità di posta indesiderata.

L'agente Filtro contenuto non cambia il livello SCL se la funzionalità di convalida del timbro posta elettronica è abilitata e se viene soddisfatta una delle seguenti condizioni:

  • Il messaggio in ingresso non contiene l'intestazione di un timbro di calcolo.
  • L'intestazione del timbro di calcolo non è valida.

Per altre informazioni sulla funzionalità di convalida del segno di spunta, vedere Filtro contenuto.
TIME:TimeBasedFeatures L'indicatore TIME indica che si è verificato un ritardo significativo tra l'ora in cui il messaggio è stato inviato e l'ora in cui è stato ricevuto. L'indicatore TIME viene utilizzato per determinare il livello SCL finale del messaggio.
MIME:MIMECompliance L'indicatore MIME indica che il messaggio di posta elettronica non è conforme alla codifica MIME.
P100:PhishingBlock L'indicatore P100 indica che il messaggio contiene un URL presente nel file di definizione phishing.
IPOnAllowList L'indicatore IPOnAllowList indica che l'indirizzo del mittente si trova nell'elenco degli indirizzi IP consentiti. Per altre informazioni sull'elenco Indirizzi IP consentiti, vedere Informazioni sul filtro delle connessioni.
MessageSecurityAntispamBypass L'indicatore MessageSecurityAntispamBypass indica che al contenuto del messaggio non è stato applicato alcun filtro e che il mittente ha l'autorizzazione di ignorare i filtri di protezione da posta indesiderata.
SenderBypassed L'indicatore SenderBypassed indica che l'agente Filtro contenuto non applica alcun filtro al contenuto dei messaggi inviati da questo mittente. Per altre informazioni, vedere Gestire il filtro contenuto.
AllRecipientsBypassed L'indicatore AllRecipientsBypassed indica che una delle seguenti condizioni è stata soddisfatta per tutti i destinatari elencati nel messaggio:
  • Il parametro AntispamBypassedEnabled nella cassetta postale del destinatario è impostato su $true. Questa è una impostazione per singolo destinatario che può essere impostata solo da un amministratore utilizzando il cmdlet Set-Mailbox.
  • Il mittente del messaggio si trova nell'elenco Mittenti attendibili di Outlook del destinatario. Per altre informazioni sull'elenco Mittenti attendibili, vedere Gestire l'aggregazione degli elenchi attendibili.
  • L'agente Filtro contenuto non applica alcun filtro al contenuto dei messaggi inviati a questo destinatario. Per altre informazioni sulle eccezioni dei destinatari, vedere Gestire il filtro contenuto.