Antispamstempel

  • Artikel

Gilt für: Exchange Server 2013

Antispamstempel helfen Ihnen bei der Diagnose spambezogener Probleme, indem Diagnosemetadaten, "Stempel" genannt, (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten angewendet werden, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Es gibt drei Antispamstempel: den Stempel der Phishing-Zuverlässigkeitsstufe, den Stempel der Spam-Vertrauensstufe und den Absender-ID-Stempel.

Sie können Antispamstempel als Diagnosetools verwenden, um zu bestimmen, welche Aktionen bei falsch positiven Nachrichten und bei mutmaßlichen Spamnachrichten, die Personen in ihren Postfächern erhalten, ausgeführt werden müssen.

Hinweis

Am 1. November 2016 hat Microsoft die Erstellung von Spamdefinitionsupdates für die SmartScreen-Filter in Exchange und Outlook eingestellt. Die vorhandenen SmartScreen-Spamdefinitionen werden beibehalten, aber ihre Wirksamkeit wird im Laufe der Zeit wahrscheinlich beeinträchtigt. Weitere Informationen finden Sie unter Support für SmartScreen in Outlook und Exchange eingestellt.

Anzeigen von Antispamstempeln

Sie können Antispamstempel mithilfe von Microsoft Outlook anzeigen. Weitere Informationen finden Sie unter Anzeigen von Antispamstempeln in Outlook.

Grundlegendes zum Antispambericht

Der Antispambericht ist ein zusammenfassender Bericht der Antispamfilterergebnisse, die auf eine E-Mail-Nachricht angewendet wurden. Der Inhaltsfilter-Agent wendet diesen Stempel wie folgt auf den Nachrichtenumschlag in Form eines X-Headers an.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

In der folgenden Tabelle werden die Filterinformationen beschrieben, die in einem Antispambericht angezeigt werden können.

Hinweis

Der Antispambericht zeigt nur Informationen aus den Filtern an, die auf die jeweilige Nachricht angewendet wurden. Ein Antispambericht enthält in der Regel nicht alle Informationen, die in der folgenden Tabelle aufgeführt sind. Sie können beispielsweise den folgenden Antispambericht erhalten: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Filtern von Informationen in einem Antispambericht

Stempel Beschreibung
SID Der SID-Stempel (Sender ID) basiert auf dem Sender Policy Framework (SPF), das die Verwendung von Domänen in E-Mails autorisiert. Der SPF wird im Nachrichtenumschlag als Received-SPFangezeigt. Der Auswertungsprozess der Absender-ID generiert einen Sender-ID-Status für die Nachricht. Dieser Status kann als einer der folgenden Werte zurückgegeben werden:
  • Bestanden: Sowohl die IP-Adresse als auch die angebliche verantwortungsvolle Adresse (Purported Responsible Address, PRA) haben die Überprüfung der Absender-ID bestanden.
  • Neutral: Veröffentlichte Absender-ID-Daten sind explizit nicht eindeutig.
  • Weicher Fehler: Die IP-Adresse für das PRA kann sich im nicht zulässigen Satz enthalten.
  • Fehler: Die IP-Adresse ist nicht zulässig. in der eingehenden E-Mail wird keine PRA gefunden, oder die sendende Domäne ist nicht vorhanden.
  • Keine: Im DNS des Absenders sind keine veröffentlichten SPF-Daten vorhanden.
  • TempError: Ein temporärer DNS-Fehler ist aufgetreten, z. B. ein nicht verfügbarer DNS-Server.
  • PermError: Der DNS-Eintrag ist ungültig, z. B. ein Fehler im Datensatzformat.

Der Absender-ID-Stempel wird wie folgt als X-Header im Nachrichtenumschlag angezeigt: X-MS-Exchange-Organization-SenderIdResult:<status>

Weitere Informationen zur Absender-ID finden Sie unter Absender-ID.
DV Der Stempel "DAT-Version (DV)" kennzeichnet die Version der Spamdefinitionsdatei, die beim Überprüfen dieser Nachricht verwendet wurde.
SA Der SA-Stempel (Signature Action) gibt an, dass die Nachricht aufgrund einer in der Nachricht gefundenen Signatur entweder wiederhergestellt oder gelöscht wurde.
SV Der SV-Stempel (Signature DAT Version) kennzeichnet die Version der Signaturdatei, die beim Überprüfen der Nachricht verwendet wurde.
PCL Der PCL-Stempel (Phishing Confidence Level) zeigt die Bewertung der Nachricht basierend auf ihrem Inhalt an und wird angewendet, wenn die Nachricht vom Inhaltsfilter-Agent verarbeitet wird. Dieser Status kann als einer der folgenden Werte zurückgegeben werden:
  • Neutral: Der Inhalt der Nachricht ist wahrscheinlich nicht Phishing.
  • Verdächtig: Der Inhalt der Nachricht ist wahrscheinlich Phishing.

Der PCL-Wert kann zwischen 1 und 8 liegen:

  • Eine PCL-Bewertung von 1 bis 3 gibt den Status zurück Neutral. Dies bedeutet, dass der Inhalt der Nachricht wahrscheinlich kein Phishing ist.
  • Eine PCL-Bewertung von 4 bis 8 gibt den Status zurück Suspicious. Dies bedeutet, dass es sich bei der Nachricht wahrscheinlich um Phishing handelt.

Die Werte werden verwendet, um zu bestimmen, welche Aktion Outlook für Nachrichten ausführt. Outlook verwendet den PCL-Stempel, um den Inhalt von verdächtigen Nachrichten zu blockieren.

Der PCL-Stempel wird wie folgt als X-Header im Nachrichtenumschlag angezeigt: X-MS-Exchange-Organization-PCL:<status>
SCL Der SCL-Stempel (Spam Confidence Level) der Nachricht zeigt die Bewertung der Nachricht basierend auf ihrem Inhalt an. Der Inhaltsfilter-Agent verwendet die Microsoft SmartScreen-Technologie, um den Inhalt einer Nachricht zu bewerten und jeder Nachricht eine SCL-Bewertung zuzuweisen.

Der SCL-Wert liegt zwischen 0 und 9, wobei 0 als weniger wahrscheinlich als Spam gilt und 9 eher als Spam gilt. Die Aktionen, die Exchange und Outlook ausführen, hängen von Ihren SCL-Schwellenwerteinstellungen ab.

Der SCL-Stempel wird wie folgt als X-Header im Nachrichtenumschlag angezeigt: X-MS-Exchange-Organization-SCL:<status>

Weitere Informationen zu SCL-Schwellenwerten und -Aktionen finden Sie unter Schwellenwert für die Spam-Zuverlässigkeitsstufe.
CW Der Benutzerdefinierte Gewichtungsstempel (Custom Weight, CW) einer Nachricht gibt an, dass die Nachricht ein nicht genehmigtes Wort oder einen nicht genehmigten Ausdruck enthält und dass der SCL-Wert oder die Gewichtung dieses nicht genehmigten Worts oder Ausdrucks auf die endgültige SCL-Bewertung angewendet wurde:
  • Nicht zugelassene Ausdrücke oder Sperrausdrücke haben eine maximale Gewichtung und ändern die SCL-Auswertung zu 9.
  • Zugelassene Wörter oder Ausdrücke oder Zulassungsausdrücke haben eine minimale Gewichtung und ändern die SCL-Auswertung zu 0.

Weitere Informationen zum Hinzufügen zugelassener und nicht zugelassener Wörter oder Ausdrücke zum Inhaltsfilter-Agent finden Sie unter Verwalten der Inhaltsfilterung.
PP Der PP-Stempel (Presolved Puzzle) weist darauf hin, dass es unwahrscheinlich ist, dass es unwahrscheinlich ist, dass der Absender ein böswilliger Absender ist, wenn die Nachricht eines Absenders einen gültigen, gelösten Berechnungsstempel enthält, basierend auf der Outlook E-Mail-Postmark-Validierungsfunktion. In diesem Fall senkt der Inhaltsfilter-Agent die SCL-Bewertung.

Der Inhaltsfilter-Agent ändert die SCL-Bewertung nicht, wenn die E-Mail-Poststempelüberprüfung aktiviert ist und eine der folgenden Bedingungen zutrifft:

  • Eine eingehende Nachricht enthält keine Kopfzeile mit Rechenpoststempel.
  • Die Kopfzeile mit dem Rechenpoststempel ist ungültig.

Weitere Informationen zur Poststempelüberprüfung finden Sie unter Inhaltsfilterung.
TIME:TimeBasedFeatures Der ZEITstempel gibt an, dass zwischen dem Zeitpunkt, zu dem die Nachricht gesendet wurde, und dem Zeitpunkt, zu dem die Nachricht empfangen wurde, eine erhebliche Verzögerung aufgetreten ist. Der TIME-Stempel wird zum Bestimmen der abschließenden SCL-Bewertung für die Nachricht verwendet.
MIME:MIMECompliance Der MIME-Stempel gibt an, dass die E-Mail-Nachricht nicht MIME-kompatibel ist.
P100:PhishingBlock Der P100-Stempel gibt an, dass die Nachricht eine URL enthält, die in einer Phishingdefinitionsdatei vorhanden ist.
IPOnAllowList Der IPOnAllowList-Stempel gibt an, dass die IP-Adresse des Absenders in der Ip-Zulassungsliste enthalten ist. Weitere Informationen zur Ip-Zulassungsliste finden Sie unter Grundlegendes zur Verbindungsfilterung.
MessageSecurityAntispamBypass Der Stempel MessageSecurityAntispamBypass gibt an, dass die Nachricht nicht nach Inhalt gefiltert wurde und dass dem Absender die Berechtigung zum Umgehen der Antispamfilter erteilt wurde.
SenderBypassed Der SenderBypassed-Stempel gibt an, dass der Inhaltsfilter-Agent keine Inhaltsfilterung für Nachrichten verarbeitet, die von diesem Absender empfangen werden. Weitere Informationen finden Sie unter Verwalten der Inhaltsfilterung.
AllRecipientsBypassed Der Stempel AllRecipientsBypassed gibt an, dass eine der folgenden Bedingungen für alle in der Nachricht aufgeführten Empfänger erfüllt wurde:
  • Der Parameter AntispamBypassedEnabled für das Postfach des Empfängers ist auf $truefestgelegt. Dies ist eine Einstellung pro Empfänger, die nur von einem Administrator mit dem Cmdlet Set-Mailbox festgelegt werden kann.
  • Der Absender der Nachricht befindet sich in der Outlook-Liste der sicheren Absender des Empfängers. Weitere Informationen zur Liste sicherer Absender finden Sie unter Verwalten der Aggregation sicherer Listen.
  • Der Inhaltsfilter-Agent führt keine Inhaltsfilterung für Nachrichten aus, die an diesen Empfänger gesendet wurden. Weitere Informationen zu Empfängerausnahmen finden Sie unter Verwalten der Inhaltsfilterung.