Заголовки сообщений о защите от нежелательной почты в Microsoft 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Во всех организациях Microsoft 365 служба Exchange Online Protection (EOP) проверяет все входящие сообщения на наличие спама, вредоносных программ и других угроз. Результаты таких проверок добавляются в поля указанных ниже заголовков сообщений.

  • X-Forefront-Antispam-Report: содержит сведения о сообщении и о том, как оно было обработано.
  • X-Microsoft-Antispam: предоставляет дополнительные сведения о массовой рассылке и фишинге.
  • Authentication-results: содержит сведения о результатах проверок подлинности SPF, DKIM и DMARC.

В данной статье описано содержание полей этих заголовков.

Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Просмотр заголовков сообщений Интернета в Outlook.

Совет

Вы можете скопировать и вставить содержимое заголовка сообщения в инструмент Анализатор заголовков сообщений. Это средство помогает анализировать заголовки и преобразовывать их в более удобный для чтения формат.

Поля заголовка сообщения X-Forefront-Antispam-Report

После получения сведений о заголовке сообщения найдите заголовок X-Forefront-Antispam-Report. В этом заголовке есть несколько пар полей и значений, разделенных точкой с запятой (;). Например:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Отдельные поля и значения описаны в таблице ниже.

Примечание.

Заголовок X-Forefront-Antispam-Report содержит множество различных полей и значений. Поля, не упомянутые в таблице, используются исключительно группой специалистов Майкрософт, ответственной за защиту от спама, для диагностики.

Поле Описание
ARC В протоколе ARC имеются следующие поля:
  • AAR: записывает содержимое заголовка Authentication-results из DMARC.
  • AMS: включает криптографические подписи сообщений.
  • AS: содержит криптографические подписи заголовков сообщений. В этом заголовке находится тег проверки цепочки "cv=", содержащий результат проверки цепочки в виде значений none, pass или fail.
CAT: Категория политики защиты, применяемая к сообщению:
  • AMP: защита от вредоносных программ
  • BIMP: олицетворение торговой марки*
  • BULK: массовая рассылка
  • DIMP: олицетворение домена*
  • FTBP: фильтр распространенных вложений для защиты от вредоносных программ
  • GIMP: олицетворение аналитики почтовых ящиков*
  • HPHSH или HPHISH: высокая вероятность фишинга
  • HSPM: высокая вероятность спама
  • INTOS: Intra-Organization фишинг
  • MALW: вредоносная программа
  • OSPM: исходящий спам
  • PHSH: фишинг
  • SAP: безопасные вложения*
  • SPM: спам
  • SPOOF: спуфинг
  • UIMP: олицетворение пользователя*

*только Defender для Office 365.

Входящее сообщение может быть помечено несколькими формами защиты и несколькими проверками обнаружения. Политики применяются в порядке приоритета, и политика с наивысшим приоритетом применяется в первую очередь. См. статью Какая политика применяется, когда для электронной почты запускается несколько методов защиты и сканеров обнаружения.
CIP:[IP address] IP-адрес для подключения. Этот IP-адрес можно использовать в списке разрешенных или заблокированных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
CTRY Исходная страна или регион, определяемые соединительным IP-адресом, который может не совпадать с отправляющимСЯ IP-адресом.
DIR Направление сообщения:
  • INB: входящее сообщение.
  • OUT: исходящее сообщение.
  • INT: внутреннее сообщение.
H:[helostring] Строка HELO или EHLO подключенного почтового сервера.
IPV:CAL Сообщение пропустило фильтрацию спама, так как исходный IP-адрес был указан в списке разрешенных IP-адресов. Дополнительные сведения см. в статье Настройка фильтрации подключений.
IPV:NLI IP-адрес не найден ни в одном списке репутации IP-адресов.
LANG Язык, на который было написано сообщение, как указано в коде страны (например, ru_RU для русского языка).
PTR:[ReverseDNS] Запись PTR (называемая также обратным поиском DNS) исходного IP-адреса.
SCL Вероятность нежелательной почты (SCL) сообщения. Чем больше значение, тем вероятнее, что сообщение окажется спамом. Дополнительные сведения см. в статье Вероятность нежелательной почты (SCL).
SFTY Сообщение было определено как фишинговое и помечается одним из следующих значений:
  • 9.19. Олицетворение доменов. Отправляющий домен пытается представиться защищенным доменом. В сообщение будет добавлен совет по безопасности в отношении подмены домена (если эта возможность включена).
  • 9.20. Олицетворение пользователей. Отправляющий пользователь пытается олицетворить пользователя в организации получателя или защищенного пользователя, указанного в политике защиты от фишинга в Microsoft Defender для Office 365. В сообщение будет добавлен совет по безопасности в отношении олицетворения пользователя (если эта возможность включена).
  • 9.25. Совет по безопасности при первом контакте. Это значение может быть признаком подозрительного или фишинга сообщения. Дополнительные сведения см. в разделе Совет по безопасности при первом контакте.
SFV:BLK Сообщение заблокировано без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка заблокированных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком заблокированных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

SFV:NSPM Фильтрация нежелательной почты помечает сообщение как nonspam, и сообщение было отправлено предполагаемым получателям.
SFV:SFE Сообщение пропущено без использования фильтрации, поскольку было отправлено с адреса из пользовательского списка надежных отправителей.

Дополнительные сведения о том, как администраторы могут управлять пользовательским списком надежных отправителей, см. в статье Настройка параметров нежелательной почты в почтовых ящиках Exchange Online.

SFV:SKA Сообщение отправлено в папку "Входящие" без применения к нему фильтра спама, так как отправитель находится в списке разрешенных отправителей или домен — в списке разрешенных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKB Сообщение помечено как спам, так как его параметры соответствуют записи в списке заблокированных отправителей или в списке заблокированных доменов политики защиты от спама. Дополнительные сведения см. в статье Настройка политик защиты от спама.
SFV:SKN Перед обработкой с помощью фильтрации нежелательной почты сообщение было помечено как nonspam. Например, сообщение получило пометку SCL-1 или Не использовать фильтрацию спама по правилу потока почты.
SFV:SKQ Сообщение было извлечено из карантина и отправлено указанным получателям.
SFV:SKS Перед обработкой сообщение было помечено как спам с помощью фильтрации нежелательной почты. Например, сообщение было помечено правилом потока почты как относящееся к категориям от SCL-5 до SCL-9.
SFV:SPM Сообщение помечено фильтром спама как спам.
SRV:BULK Сообщение идентифицировано как массовая рассылка в результате фильтрации спама и порогового значения уровня массовых жалоб (BCL). Если параметру MarkAsSpamBulkMail присвоено значение On (включен по умолчанию), сообщение массовой рассылки помечается как спам (SCL 6). Дополнительные сведения см. в статье Настройка политик защиты от нежелательной почты.
X-CustomSpam: [ASFOption] Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Сведения о том, как узнать значение X-заголовка для каждого из параметров ASF, см. в статье Параметры расширенного фильтра спама (ASF).

Примечание. ASF добавляет X-CustomSpam: поля X-заголовка к сообщениям после обработки сообщений правилами потока обработки почты Exchange (также известными как правила транспорта), поэтому вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных ASF, и действия с сообщениями, которые были отфильтрованы ASF.

Поля заголовка сообщения X-Microsoft-Antispam

В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

Поле Описание
BCL Количество жалоб на массовую рассылку (BCL) сообщения. Более высокий уровень BCL указывает, что массово рассылаемое сообщение часто вызовет жалобы (и поэтому скорее всего является спамом). Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL) в EOP.

Заголовок сообщения Authentication-results

Результаты проверки подлинности сообщений электронной почты для SPF, DKIM и DMARC записываются в заголовке входящих сообщений Authentication-results. Заголовок Authentication-results определен в RFC 7001.

В приведенном ниже списке приведен текст, добавляемый в заголовок Authentication-results для каждого типа проверки подлинности сообщений электронной почты.

  • В SPF используется следующий синтаксис.

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
    

    Например:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com
    
    spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
    
  • В DKIM используется следующий синтаксис.

    dkim=<pass|fail (reason)|none> header.d=<domain>
    

    Например:

    dkim=pass (signature was verified) header.d=contoso.com
    
    dkim=fail (body hash did not verify) header.d=contoso.com
    
  • В DMARC используется следующий синтаксис.

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
    

    Например:

    dmarc=pass action=none header.from=contoso.com
    
    dmarc=bestguesspass action=none header.from=contoso.com
    
    dmarc=fail action=none header.from=contoso.com
    
    dmarc=fail action=oreject header.from=contoso.com
    

Поля заголовка сообщения Authentication-results

В этой таблице содержатся поля и возможные значения для каждого типа проверки подлинности сообщений электронной почты.

Поле Описание
action Указывает действие, выполняемое фильтром спама на основании результатов проверки с помощью DMARC. Например:
  • pct.quarantine: указывает, что процент менее 100 % сообщений, которые не проходят DMARC, доставляются в любом случае. Этот результат означает, что сообщение завершилось ошибкой DMARC, а для политики DMARC было задано значение p=quarantine. Но для поля рст не задано значение 100 %, и система случайным образом определила, что действие DMARC не применяется в соответствии с политикой DMARC указанного домена.
  • pct.reject: указывает, что процент менее 100 % сообщений, которые не проходят DMARC, доставляются в любом случае. Этот результат означает, что сообщение завершилось ошибкой DMARC, а для политики DMARC было задано значение p=reject. Но для поля pct не задано значение 100 %, и система случайным образом определила, что действие DMARC не применяется в соответствии с политикой DMARC указанного домена.
  • permerror: во время оценки DMARC произошла постоянная ошибка, например при обнаружении неправильно сформированной записи DMARC TXT в DNS. Попытка отправить такое сообщение повторно вряд ли завершится другим результатом. Вместо этого может потребоваться связаться с владельцем домена, чтобы устранить проблему.
  • temperror: во время вычисления DMARC произошла временная ошибка. Возможно, вы сможете запросить, чтобы отправитель повторно отправитель отправитель отправил сообщение позже, чтобы правильно обработать сообщение электронной почты.
compauth Результат многофакторной проверки подлинности. Используется Microsoft 365 для объединения нескольких типов проверки подлинности (SPF, DKIM и DMARC) или любой другой части сообщения для определения проверки подлинности сообщения. В качестве основы для оценки используется домен "От:". Примечание. Несмотря на сбой compauth , сообщение по-прежнему может быть разрешено, если другие оценки не указывают на подозрительный характер.
dkim Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DKIM пройдена успешно.
  • fail (причина). Указывает, что не удалось проверить сообщение с помощью DKIM, а также причину этого. Например, если сообщение не было подписано или подпись не проверена.
  • none: указывает, что сообщение не было подписано. Этот результат может указывать на то, что домен имеет запись DKIM или запись DKIM не вычисляет результат.
dmarc Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:
  • pass. Указывает, что проверка сообщения с помощью DMARC пройдена успешно.
  • fail. Указывает, что проверка сообщения с помощью DMARC не пройдена.
  • bestguesspass. Указывает, что для домена не существует записи DMARC TXT. Если бы домен имел запись DMARC TXT, проверка DMARC для сообщения была бы передана.
  • none. Указывает, что для отправляющего домена в DNS отсутствует запись DMARC TXT.
header.d Определяет домен, указанный в подписи DKIM, если такая есть. Это домен, у которого запрашивается открытый ключ.
header.from Домен, указанный в адресе 5322.From в заголовке сообщения ("адрес отправителя" или "отправитель P2"). Получатель видит адрес отправителя в почтовых клиентах.
reason Причина удачного или неудачного выполнения многофакторной проверки подлинности. Значение представляет собой трехзначный код. Например:
  • 000. Сообщение не прошло явную проверку подлинности (compauth=fail). Например, сообщение получило ошибку DMARC и действие политики DMARC имеет значение p=quarantine или p=reject.
  • 001. Сообщение не прошло неявную проверку подлинности (compauth=fail). Этот результат означает, что в домене отправки не были опубликованы записи проверки подлинности по электронной почте, или, если они это сделали, у него была более слабая политика сбоя (SPF ~all или ?all, или политика DMARC ).p=none
  • 002. В организация есть политика для пары отправитель/домен, явным образом запрещающая отправку подделанных электронных сообщений. Администратор вручную настраивает этот параметр.
  • 010: сообщение завершилось ошибкой DMARC, действие политики DMARC равно p=reject или p=quarantine, а отправляющий домен является одним из принятых доменов вашей организации (само-себе или спуфингом внутри организации).
  • 1xx или 7xx. Сообщение прошло проверку подлинности (compauth=pass). Последние две цифры — это внутренние коды, используемые в Microsoft 365. Значение 130 указывает, что сообщение прошло проверку подлинности, а результат ARC использовался для переопределения сбоя DMARC.
  • 2xx. Сообщение прошло нестрогую неявную проверку подлинности (compauth=softpass). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 3xx: сообщение не было проверено на наличие составной проверки подлинности (compauth=none).
  • 4xx или 9xx. Сообщение обошло многофакторную проверку подлинности (compauth=none). Последние две цифры — это внутренние коды, используемые в Microsoft 365.
  • 6xx: сообщение не прошло неявной проверки подлинности электронной почты, а отправляющий домен является одним из принятых доменов вашей организации (само-себе или внутри организации спуфингом).
smtp.mailfrom Домен адреса 5321.MailFrom (например, "адрес отправителя", "отправитель P1" или "отправитель конверта"). Этот адрес электронной почты используется для отчетов о недоставке (также известных как NDR или сообщения о отказе).
spf Описывает результаты проверки сообщения с использованием инфраструктуры политики отправителей. Возможные значения:
  • pass (IP address): сообщение прошло проверку SPF. Указан IP-адрес отправителя. Клиент уполномочен отправлять или пересылать сообщение электронной почты от имени домена отправителя.
  • fail (IP address): сообщение не прошло проверку SPF. Указан IP-адрес отправителя. Этот результат иногда называют жестким сбоем.
  • softfail (reason): в записи SPF определено, что данному узлу не разрешена отправка, но он имеет промежуточный статус.
  • neutral: запись SPF явно указывает, что она не утверждает, разрешен ли IP-адрес для отправки.
  • none: для домена не задана запись SPF или эта запись не предписывает результатов.
  • temperror: произошла временная ошибка. Например, ошибка DNS. В дальнейшем проверка может быть пройдена.
  • permerror: произошла постоянная ошибка. Например, запись SPF для домена имеет неправильный формат.