Carimbos antispam

  • Artigo

Aplica-se a: Exchange Server 2013

Carimbos antispam ajudam a diagnosticar problemas relacionados a spam através da aplicação de metadados de diagnóstico, ou carimbos, como informações específicas do remetente, resultados de validação do quebra-cabeça e resultados da filtragem de conteúdo, a mensagens na medida em que elas passam pelos recursos antispam que filtram mensagens de entrada provenientes da Internet. Existem três carimbos antispam: o carimbo de nível de confiança de phishing, o carimbo de nível de confiança de spam e o carimbo ID de Remetente.

Você pode usar os carimbos anti-spam como ferramentas de diagnóstico, para determinar as ações a serem tomadas, por ocasião de falsos positivos e de mensagens de spam suspeitas recebidas pelos usuários em suas caixas de correio.

Observação

Em 1º de novembro de 2016, a Microsoft parou de produzir atualizações de definição de spam para os filtros SmartScreen no Exchange e no Outlook. As definições de spam existentes para SmartScreen permanecerão inalteradas, mas a eficácia delas provavelmente diminuirá ao longo do tempo. Para obter mais informações, consulte Substituição do suporte para SmartScreen no Outlook e no Exchange.

Exibir carimbos antispam

Você pode exibir os carimbos antispam usando o Microsoft Outlook. Para mais informações, consulte Exibir carimbos de antispam no Outlook.

Noções básicas sobre o relatório antispam

O relatório antispam é um resumo dos resultados dos filtros antispam aplicados a um email. O agente do Filtro de Conteúdo aplica esse carimbo ao envelope da mensagem na forma de um Cabeçalho X, como descrito a seguir:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

A tabela a seguir descreve as informações do filtro que podem constar em um relatório antispam.

Observação

O relatório anti-spam só exibe informações dos filtros aplicados à mensagem específica. Um relatório antispam geralmente não contém todas as informações listadas na tabela a seguir. Por exemplo, você pode receber o seguinte relatório anti-spam: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Informações de filtro em um relatório antispam

Selo Descrição
SID O carimbo ID de Remetente (SID) se baseia na estrutura de política de remetente (SPF) que autoriza o uso de domínios em emails. O SPF é exibido no envelope da mensagem como Received-SPF. O processo de avaliação do ID de Remetente cria um status do ID do Remetente para a mensagem. Esse status pode ser retornado como um dos seguintes valores:
  • Passe: o endereço IP e o Suposto Endereço Responsável (PRA) passaram na verificação de verificação da ID do Remetente.
  • Neutro: os dados de ID do Remetente publicados são explicitamente inconclusivos.
  • Falha suave:o endereço IP do PRA pode estar no conjunto não permitido.
  • Falha: o endereço IP não é permitido; nenhum PRA é encontrado no email de entrada ou o domínio de envio não existe.
  • Nenhum: não existem dados SPF publicados no DNS do remetente.
  • TempError: ocorreu uma falha de DNS temporária, como um servidor DNS indisponível.
  • PermError: o registro DNS é inválido, como um erro no formato de registro.

O carimbo de ID do Remetente é exibido como um Cabeçalho X no envelope da mensagem da seguinte maneira: X-MS-Exchange-Organization-SenderIdResult:<status>

Para obter mais informações sobre ID de Remetente, consulte Sender ID.
Dv O carimbo DV (versão DAT) indica a versão do arquivo de definição de spam usado ao verificar a mensagem.
Sa O carimbo SA (ação de assinatura) indica que a mensagem foi recuperada ou excluída por causa de uma assinatura encontrada na mensagem.
SV O carimbo SV (versão DAT de assinatura) indica a versão do arquivo de assinatura usado ao verificar a mensagem.
PCL O carimbo de nível de confiança de phishing (PCL) mostra a classificação da mensagem, com base em seu conteúdo, e é aplicado quando a mensagem é processada pelo agente Filtro de Conteúdo. Esse status pode ser retornado como um dos seguintes valores:
  • Neutro: o conteúdo da mensagem provavelmente não será phishing.
  • Suspeito: o conteúdo da mensagem provavelmente será phishing.

O valor pcl pode variar de 1 a 8:

  • Uma classificação PCL de 1 a 3 retorna um status de Neutral. Isso significa que o conteúdo da mensagem provavelmente não é phishing.
  • Uma classificação PCL de 4 a 8 retorna um status de Suspicious. Isso significa que a mensagem provavelmente é phishing.

Os valores são usados para determinar que ação o Outlook toma em relação às mensagens. O Outlook usa o carimbo PCL para bloquear o conteúdo de mensagens suspeitas.

O selo PCL é exibido como um cabeçalho X no envelope da mensagem da seguinte maneira: X-MS-Exchange-Organization-PCL:<status>
SCL O SCL (nível de confiança de spam) da mensagem exibe a classificação da mensagem, com base em seu conteúdo. O agente do Filtro de Conteúdo usa a tecnologia Microsoft SmartScreen para avaliar o conteúdo de uma mensagem e atribuir uma classificação SCL a cada mensagem.

O valor de SCL está entre 0 e 9, em que 0 é considerado a menor probabilidade de spam e 9 é considerado a maior probabilidade de spam. As ações que o Exchange e o Outlook adotam dependem das configurações de limites de SCL.

O carimbo SCL é exibido como um cabeçalho X no envelope de mensagem da seguinte maneira: X-MS-Exchange-Organization-SCL:<status>

Para obter mais informações sobre limites e ações de SCL, consulte Limite de Nível de Confiança de Spam.
Cw O carimbo de peso personalizado (CW) de uma mensagem indica que ela contém uma palavra ou frase não aprovada e que o respectivo valor de SCL (o "peso") foi aplicado à pontuação final de SCL:
  • Frases não aprovadas (ou expressões de bloqueio) têm peso máximo e alteram a pontuação de SCL para 9.
  • Palavras ou frases aprovadas (ou expressões de permissão) têm peso mínimo e alteram o SCL para 0.

Para obter mais informações sobre como adicionar palavras ou frases aprovadas e não aprovadas ao agente de Filtragem de Conteúdo, consulte Gerenciar filtragem de conteúdo.
Pp O carimbo quebra-cabeça pré-resolvido (PP) indica que, se a mensagem de um remetente contiver um carimbo postal computacional válido e resolvido, baseado na funcionalidade de validação de Carimbo Postal de Email do Outlook, é pouco provável que o remetente seja mal-intencionado. Nesse caso, o agente do Filtro de Conteúdo reduziria a classificação de SCL.

O agente Filtro de Conteúdo não altera a classificação de SCL se o recurso de validação de Marcação de Envio de Email estiver habilitado e uma das seguintes condições for verdadeira:

  • Uma mensagem de entrada não contém um cabeçalho de carimbo postal computacional.
  • O cabeçalho de marcação de carimbo postal computacional não é válido.

Para obter mais informações sobre o recurso de validação de marca postal, consulte Filtragem de conteúdo.
TIME:TimeBasedFeatures O carimbo TIME indica que houve uma demora significativa entre a hora de envio e a hora de recebimento da mensagem. O carimbo TIME é usado para determinar a classificação final de SCL da mensagem.
MIME:MIMECompliance O carimbo MIME indica que o email não é compatível com MIME.
P100:PhishingBlock O carimbo P100 indica que a mensagem contém uma URL presente em um arquivo de definição de phishing.
IPOnAllowList O carimbo IPOnAllowList indica que o endereço IP do remetente está na lista de Permissões de IP. Para obter mais informações sobre a lista de permissões de IP, consulte Noções básicas sobre filtragem de conexão.
MessageSecurityAntispamBypass O carimbo MessageSecurityAntispamBypass indica que o conteúdo da mensagem não foi filtrado e que o remetente recebeu permissão para ignorar os filtros antispam.
SenderBypassed O carimbo SenderBypassed indica que o agente Filtro de Conteúdo não processa qualquer filtragem de conteúdo de mensagens recebidas deste remetente. Para obter mais informações, consulte Gerenciar filtragem de conteúdo.
AllRecipientsBypassed O carimbo AllRecipientsBypassed indica que uma das seguintes condições foi atendida para todos os destinatários listados na mensagem:
  • O parâmetro AntispamBypassedEnabled na caixa de correio do destinatário está definido como $true. Essa é uma configuração por destinatário que só pode ser definida por um administrador, usando o cmdlet Set-Mailbox.
  • O remetente da mensagem está na Lista de Remetentes Seguros do Outlook do destinatário. Para obter mais informações sobre a Lista de Remetentes Seguros, consulte Gerenciar agregação de lista de segurança.
  • O agente Filtro de Conteúdo não processa qualquer filtragem de conteúdo de mensagens enviadas a este destinatário. Para obter mais informações sobre exceções de destinatário, consulte Gerenciar filtragem de conteúdo.