Microsoft 365 のスパム対策メッセージ ヘッダー

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

すべての Microsoft 365 組織では、Exchange Online Protection (EOP) がすべての受信メッセージをスキャンして、スパム、マルウェア、およびその他の脅威を検出します。 これらのスキャンの結果は、メッセージの次のヘッダー フィールドに追加されます。

  • X-Forefront-Antispam-Report: メッセージに関する情報とメッセージの処理方法が含まれます。
  • X-Microsoft-Antispam: バルク メールやフィッシングに関する追加情報が含まれます。
  • Authentication-results: SPF、DKIM、および DMARC (メール認証) の結果に関する情報が含まれます。

この記事では、これらのヘッダー フィールドで使用できる機能について説明します。

さまざまなメール クライアントでメール メッセージ ヘッダーを表示する方法については、「Outlook のインターネット メッセージ ヘッダーの表示」を参照してください。

ヒント

メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。 このツールは、ヘッダーを解析し、より読みやすい形式にします。

X-Forefront-Antispam-Report メッセージ ヘッダー フィールド

メッセージ ーヘッダーの情報を取得したら、X-Forefront-Antispam-Report ヘッダーを見つけます。 このヘッダーには、複数のフィールドと値のペアがセミコロン (;)で区切られています。 例:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

次の表に個々のフィールドと値の説明を示します。

注:

X-Forefront-Antispam-Report ヘッダーには、多くのさまざまなフィールドと値が含まれています。 表に記載されていないフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

フィールド 説明
ARC ARC プロトコルには次のフィールドがあります。
  • AAR: DMARC からの Authentication-results ヘッダーのコンテンツを記録します。
  • AMS: メッセージの暗号化署名が含まれます。
  • AS: メッセージ ヘッダーの暗号化署名が含まれます。 このフィールドには、"cv=" と呼ばれるチェーン検証のタグが含まれます。チェーン検証の結果は、nonepass、または fail として含まれています。
CAT: メッセージに適用される保護ポリシーのカテゴリ:
  • AMP: マルウェア対策
  • BIMP: ブランド偽装*
  • BULK: バルク
  • DIMP: ドメイン偽装*
  • FTBP: マルウェア対策 の一般的な添付ファイル フィルター
  • GIMP: メールボックス インテリジェンス の偽装*
  • HPHSH または HPHISH: 高精度フィッシング
  • HSPM: 高確度迷惑メール
  • INTOS: フィッシング Intra-Organization
  • MALW: マルウェア
  • OSPM: 送信スパム
  • PHSH: フィッシング詐欺
  • SAP: 安全な添付ファイル*
  • SPM: スパム
  • SPOOF: スプーフィング
  • UIMP: ユーザー偽装*

*Defender for Office 365のみ。

受信メッセージには、複数の形式の保護スキャンと複数の検出スキャンによってフラグが設定される場合があります。 ポリシーは優先順位の順に適用され、優先順位が最も高いポリシーが最初に適用されます。 詳細については、「複数の保護方法および検出スキャンがメールで実行される場合に適用されるポリシー」を参照してください。
CIP:[IP address] 接続 IP アドレス。 この IP アドレスは、IP 許可一覧または IP 禁止一覧で使用できます。 詳細については、「接続フィルターを構成する」を参照してください。
CTRY 接続 IP アドレスによって決定される送信元の国/地域。送信元の送信 IP アドレスと同じではない可能性があります。
DIR メッセージの方向:
  • INB: 受信メッセージ。
  • OUT: 送信メッセージ。
  • INT: 内部メッセージ。
H:[helostring] 接続メール サーバーの HELO または EHLO 文字列。
IPV:CAL 送信元 IP アドレスが IP 許可一覧にあるため、メッセージのスパム フィルタリングが省略されました。 詳細については、「接続フィルターを構成する」を参照してください。
IPV:NLI IP アドレスはどの IP 評判リストにも見つかりませんでした。
LANG 国コードで指定されたとおりにメッセージが書き込まれた言語 (たとえば、ロシア語の場合はru_RU)。
PTR:[ReverseDNS] 逆引き DNS 参照とも呼ばれる、送信元の IP アドレスの PTR レコード。
SCL メッセージの SCL (Spam Confidence Level) です。 値が高いほど、メッセージがスパムである可能性が高くなります。 詳細については、「Spam Confidence Level (SCL)」を参照してください。
SFTY メッセージはフィッシングとして識別され、次のいずれかの値でマークされています。
  • 9.19: ドメインの偽装。 送信ドメインが、保護されたドメインを偽装しようとしています。 ドメイン偽装の安全性のヒントがメッセージに追加されます (有効になっている場合)。
  • 9.20: ユーザーの偽装。 送信ユーザーが、受信者の組織内のユーザー、または Microsoft Defender for Office 365 のフィッシング詐欺対策ポリシーで指定されている保護ユーザーに偽装しようとしています。 ユーザー偽装の安全性のヒントがメッセージに追加されます (有効になっている場合)。
  • 9.25: 最初の連絡先安全性のヒント。 この値は、疑わしいメッセージやフィッシング メッセージを示している可能性があります。 詳細については、「最初の連絡先安全性のヒント」を参照してください。
SFV:BLK メッセージがユーザーの受信拒否リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。

管理者がユーザーの受信拒否リストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。
SFV:NSPM スパム フィルター処理によってメッセージがスパム以外としてマークされ、メッセージが目的の受信者に送信されました。
SFV:SFE メッセージがユーザーの差出人セーフ リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージは許可されました。

管理者がユーザーの信頼できる差出人のリストを管理する方法の詳細については、「Exchange Online メールボックスで迷惑メール設定を構成する」を参照してください。
SFV:SKA 送信者がスパム対策ポリシーの許可された送信者リストまたは許可されたドメイン リストに含まれるため、メッセージはスパム フィルタリングが省略され、受信トレイに配信されました。 詳細については、「スパム対策ポリシーの構成」を参照してください。
SFV:SKB メッセージは、スパム対策ポリシーの受信拒否リストまたはブロックされているドメイン リスト内の送信者と一致したため、スパムとしてマークされました。 詳細については、「スパム対策ポリシーの構成」を参照してください。
SFV:SKN スパム フィルター処理によって処理する前に、メッセージが非スパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって、SCL-1 としてマークされた場合、スパム フィルタリングをバイパスする場合などです。
SFV:SKQ メッセージは検疫から解放され、目的の受信者に送信されました。
SFV:SKS メッセージは、スパム フィルター処理によって処理する前にスパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって SCL 5 から 9 としてマークされた場合などです。
SFV:SPM スパム フィルタリングによって、メッセージがスパムとしてマークされました。
SRV:BULK メッセージは、スパムフィルタリングおよび Bulk Complaint Level (BCL) のしきい値により、バルク メールとして識別されました。 MarkAsSpamBulkMail パラメーターが On の場合 (既定はオン)、バルク メール メッセージは迷惑メール (SCL 6) としてマークされます。 詳細については、「スパム対策ポリシーの構成」を参照してください。
X-CustomSpam: [ASFOption] メッセージは高度なスパム フィルター (ASF) の設定と一致しました。 各 ASF 設定の X ヘッダーの値を確認するには、「高度なスパム フィルター (ASF) の設定」を参照してください。

: ASF は、メッセージが Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) によって処理されたにメッセージに X ヘッダー フィールドを追加X-CustomSpam:するため、メール フロー ルールを使用して、ASF によってフィルター処理されたメッセージを識別して処理することはできません。

X-Microsoft-Antispam メッセージ ヘッダー フィールド

次の表に、X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。 このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

フィールド 説明
BCL メッセージの Bulk Complaint Level (BCL)。 BCL が高いほど、バルク メール メッセージが好ましくない内容である可能性が高い (したがって、スパムである可能性が高い) ことを示します。 詳細については、 EOP での一括苦情レベル (BCL) に関するページを参照してください。

Authentication-results メッセージ ヘッダー

SPF、DKIM、および DMARC のメール認証チェックの結果は、受信メッセージの Authentication-results メッセージ ヘッダーに記録されます。 認証結果ヘッダーは RFC 7001 で定義されています。

次の一覧では、メール認証チェックの種類ごとに、Authentication-Results ヘッダーに追加されるテキストについて説明します。

  • SPF は以下の構文を使用します。

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    例:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM は以下の構文を使用します。

    dkim=<pass|fail (reason)|none> header.d=<domain>

    例:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC は以下の構文を使用します。

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    例:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Authentication-results メッセージ ヘッダー フィールド

フィールドと各電子メールの認証チェックに使用される値を次の表に示します。

フィールド 説明
action DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。 例:
  • pct.quarantine: DMARC を渡さないメッセージの 100% 未満の割合が配信されることを示します。 この結果は、メッセージが DMARC に失敗し、DMARC ポリシーが に p=quarantine設定されたことを意味します。 ただし、pct フィールドは 100% に設定されておらず、システムは、指定されたドメインの DMARC ポリシーに従って DMARC アクションを適用しないとランダムに判断しました。
  • pct.reject: DMARC を渡さないメッセージの 100% 未満の割合が配信されることを示します。 この結果は、メッセージが DMARC に失敗し、DMARC ポリシーが に p=reject設定されたことを意味します。 ただし、pct フィールドは 100% に設定されておらず、システムは、指定されたドメインの DMARC ポリシーに従って DMARC アクションを適用しないとランダムに判断しました。
  • permerror: DMARC 評価中に永続的なエラーが発生しました。たとえば、DNS で DMARC TXT レコードが正しく形成されていません。 このメッセージを再送信しようとしても、結果が異なる可能性はほとんどありません。 代わりに、問題を解決するためにドメインの所有者に問い合わせる必要がある場合があります。
  • temperror: DMARC 評価中に一時的なエラーが発生しました。 メールを適切に処理するために、送信者が後でメッセージを再送信するように要求できる場合があります。
compauth 複合認証の結果。 Microsoft 365 によって、複数の種類の認証 (SPF、DKIM、DMARC) またはメッセージの他の部分を組み合わせて、メッセージが認証されているかどうかを判断するために使用されます。 評価の基準として、差出人: ドメインを使用します。 : 失敗しても compauth 、他の評価が疑わしい性質を示していない場合、メッセージは引き続き許可される可能性があります。
dkim メッセージの DKIM チェックの結果についての説明。 次の値を指定できます。
  • pass: メッセージの DKIM チェックにパスしたことを示します。
  • fail (理由): メッセージの DKIM チェックに失敗したことと、その理由を示します。 たとえば、メッセージが署名されていなかったり、署名が検証されなかったりした場合です。
  • none: メッセージが署名されなかったことを示します。 この結果は、ドメインに DKIM レコードがあるか、DKIM レコードが結果に評価されないことを示している場合とそうでない場合があります。
dmarc メッセージの DMARC チェックの結果についての説明。 次の値を指定できます。
  • pass: メッセージの DMARC チェックにパスしたことを示します。
  • fail: メッセージの DMARC チェックに失敗したことを示します。
  • bestguesspass: ドメインに DMARC TXT レコードが存在しないことを示します。 ドメインに DMARC TXT レコードがある場合は、メッセージの DMARC チェックが渡されている可能性があります。
  • none: DNS に送信側ドメインの DMARC TXT レコードが存在していないことを示します。
header.d DKIM 署名で識別されるドメイン (存在する場合)。 これは、公開キーを照会するドメインです。
header.from メール メッセージ ヘッダーの 5322.From アドレスのドメイン (From アドレスまたは P2 送信者とも呼ばれます)。 受信者には、メール クライアントの From アドレスが表示されます。
reason 複合認証にパスした、または失敗した理由。 値は 3 桁のコードです。 以下に例を示します。
  • 000: メッセージが明示的な認証をパスしなかったことを意味します (compauth=fail)。 たとえば、メッセージが DMARC に失敗し、DMARC ポリシー アクションが p=quarantine または p=rejectです。
  • 001 は、メッセージが暗黙的な認証をパスしなかったことを示します (compauth=fail)。 この結果は、送信ドメインに電子メール認証レコードが発行されなかったか、または発行された場合は、障害ポリシー (SPF ~all または ?allDMARC ポリシー p=none) が弱いことを意味します。
  • 002: 組織に、スプーフィングされたメールの送信を明示的に禁止する送信者/ドメインのペアのポリシーがあることを意味します。 管理者がこの設定を手動で構成します。
  • 010: メッセージが DMARC に失敗しました。DMARC ポリシー アクションは p=reject または p=quarantineで、送信ドメインはorganizationの承認済みドメインの 1 つです (自己自己または組織内のスプーフィング)。
  • 1xx または 7xx: メッセージが認証をパスしたことを意味します (compauth=pass)。 最後の 2 桁の数字は Microsoft 365 で使用される内部コードです。 値 130 は、メッセージが認証に合格したことを示し、ARC 結果を使用して DMARC エラーをオーバーライドしました。
  • 2xx: メッセージが暗黙的な認証を soft-pass したことを意味します (compauth=softpass)。 最後の 2 桁の数字は Microsoft 365 で使用される内部コードです。
  • 3xx: メッセージが複合認証 (compauth=none) のチェックを受けませんでした。
  • 4xx または 9xx: メッセージに対する複合認証が省略されたことを意味します (compauth=none)。 最後の 2 桁の数字は Microsoft 365 で使用される内部コードです。
  • 6xx: メッセージは暗黙的な電子メール認証に失敗し、送信ドメインはorganizationの承認済みドメインの 1 つです (自己対自己または組織内のスプーフィング)。
smtp.mailfrom 5321.MailFrom アドレスのドメイン (MAIL FROM アドレス、P1 送信者、またはエンベロープの差出人とも呼ばれます)。 このメール アドレスは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) に使用されます。
spf メッセージの SPF チェックの結果についての説明。 次の値を指定できます。
  • pass (IP address): メッセージの SPF チェックにパスしたことを示します。送信者の IP アドレスが含まれます。 送信者のドメインに代わってメールを送信または中継する許可がクライアントに与えられています。
  • fail (IP address): メッセージの SPF チェックに失敗したことを示します。送信者の IP アドレスが含まれます。 この結果は、 ハード フェイルと呼ばれることもあります。
  • softfail (reason): SPF レコードにより、ホストには送信する許可がないと指定されたことを示しますが、SPF レコードが展開中であることも示します。
  • neutral: SPF レコードは、IP アドレスが送信を許可されているかどうかをアサートしないことを明示的に示します。
  • none: ドメインに SPF レコードがないか、SPF レコードが結果に対して評価されないことを示します。
  • temperror: 一時的なエラーが発生しました。 たとえば、DNS エラーです。 同じチェックが後で成功する場合があります。
  • permerror: パラメーター エラーが発生しました。 たとえば、ドメインに不正な形式の SPF レコードがある場合などです。