Antispamstempel

  • Artikel

Antispamstempel in Exchange Server Diagnosemetadaten oder Stempel wie absenderspezifische Informationen, Puzzlevalidierungsergebnisse und Inhaltsfilterergebnisse auf Nachrichten anwenden, während sie die Antispamfeatures durchlaufen, die eingehende Nachrichten aus dem Internet filtern. Sie können Antispamstempel verwenden, um die Ergebnisse der Antispamfilterung für eine Nachricht anzuzeigen und Spamprobleme zu diagnostizieren. Die Antispamfunktionen und Stempel sind seit Exchange Server 2010 im Wesentlichen unverändert. Es gibt vier wichtige Exchange Antispam-Stempel:

  • PCL-Stempel (Phishing Confidence Level)

  • Sender ID-Stempel

  • SCL-Stempel (Spam Confidence Level)

  • Antispambericht-Stempel

Die Antispamstempel werden Nachrichten als X-Header-Felder im Nachrichtenkopf hinzugefügt. Sie können Antispamstempel für eine Nachricht mithilfe von Outlook anzeigen. Weitere Informationen finden Sie unter Anzeigen von Antispamstempeln in Outlook.

PCL-Stempel (Phishing Confidence Level)

Der PCL-Stempel zeigt die Wahrscheinlichkeit an, dass eine Nachricht basierend auf ihrem Inhalt eine Phishingnachricht ist. Der PCL-Stempel wird angewendet, wenn die Nachricht vom Inhaltsfilter-Agent verarbeitet wird. Weitere Informationen zu Inhaltsfilterung finden Sie unter Inhaltsfilterung.

Die PCL-Werte werden in der folgenden Tabelle beschrieben.

PCL-Wert Verdict Beschreibung
1 bis 3 Neutral Der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt.
4 bis 8 Suspicious Der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

Der PCL-Wert wird im X-MS-Exchange-Organization-PCL: X-header angezeigt, und das PCL-Urteil wird im Antispamberichtsstempel als PCL:PhishingLevel <Verdict>angezeigt. Outlook verwendet den PCL-Stempel, um den Inhalt von verdächtigen Nachrichten zu blockieren.

Sender ID-Stempel

Der Sender ID-Stempel basiert auf dem SPF (Sender Policy Framework), das die Verwendung von Domänen in E-Mails autorisiert. Der Sender ID-Agent bestimmt den Sender ID-Status der Nachricht. Diese Werte werden in der folgenden Tabelle beschrieben.

Status Beschreibung
Pass Die IP-Adresse und die PRA (Purported Responsible Address) haben die Sender ID-Überprüfung bestanden.
Neutral Die veröffentlichten Sender ID-Daten sind explizit nicht eindeutig.
SoftFail Die IP-Adresse für die PRA ist möglicherweise im Nicht-Berechtigungssatz enthalten.
Fail Die IP-Adresse ist nicht zulässig. Die eingehende E-Mail enthält keine PRA, oder die sendende Domäne ist nicht vorhanden.
None Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS des Absenders vorhanden.
TempError Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.
PermError Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

Der Absender-ID-Stempel wird im X-MS-Exchange-Organization-SenderIdResult: X-header und auch im Antispamberichtsstempel als SenderIDStatus <Status>angezeigt. Das SPF-Ergebnis wird im Header Received-SPF angezeigt.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

SCL-Stempel (Spam Confidence Level)

Hinweis

Im November 2016 hat Microsoft die Erstellung von Spamdefinitionsupdates für die SmartScreen-Filter in Exchange und Outlook eingestellt. Die vorhandenen SmartScreen-Spamdefinitionen wurden beibehalten, aber ihre Wirksamkeit wird im Laufe der Zeit wahrscheinlich beeinträchtigt. Weitere Informationen finden Sie unter Support für SmartScreen in Outlook und Exchange eingestellt.

Der SCL-Stempel zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der Inhaltsfilter-Agent verwendet Microsoft SmartScreen-Technologie für die Bewertung des Inhalts einer Nachricht sowie zum Zuweisen einer SCL-Bewertung zu jeder Nachricht. Die SCL-Werte werden in der folgenden Tabelle beschrieben.

SCL-Wert Beschreibung
0 bis 9 0 gibt eine äußerst geringe Wahrscheinlichkeit an, dass es sich bei der Nachricht um Spam handelt.
9 gibt eine äußerst hohe Wahrscheinlichkeit an, dass es sich bei der Nachricht um Spam handelt.
-1 Die Nachricht hat Antispamüberprüfungen umgangen (z. B. stammte die Nachricht von einem internen Absender).

Der SCL-Wert wird im X-Header X-MS-Exchange-Organization-SCL: angezeigt.

Die von Exchange und Outlook auf Grundlage des SCL-Werts eingeleiteten Maßnahmen hängen von Ihren Einstellungen für den SCL-Schwellenwert ab. Weitere Informationen finden Sie unter Exchange-SCL-Schwellenwerte (Spam Confidence Level).

Antispambericht-Stempel

Der Antispambericht-Stempel ist eine Zusammenfassung der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht angewendet wurden. Der Inhaltsfilter-Agent wendet diesen Stempel auf die Nachricht in Form des X-Headers X-MS-Exchange-Organization-Antispam-Report: an. Der Antispambericht verwendet die folgende Syntax:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>

Die Antispam-Filterinformationen, die im Antispambericht-Stempel angezeigt werden können, werden in der folgenden Tabelle beschrieben. Beachten Sie, dass der Antispambericht-Stempel nur Ergebnisse und Schlussfolgerungen von Antispamfiltern enthält, die auf die Nachricht angewendet wurden. Daher enthält der Antispambericht-Stempel in der Regel nicht alle möglichen Stempel und Werte.

Stempel Beschreibung
DV Der Stempel "DAT-Version (DV)" kennzeichnet die Version der Spamdefinitionsdatei, die beim Überprüfen dieser Nachricht verwendet wurde.
SA Der SA-Stempel (Signature Action) gibt an, dass die Nachricht aufgrund einer in der Nachricht gefundenen Signatur entweder wiederhergestellt oder gelöscht wurde.
SV Der SV-Stempel (Signature DAT Version) kennzeichnet die Version der Signaturdatei, die beim Überprüfen der Nachricht verwendet wurde.
CW Der CW-Stempel (Custom Weight) gibt an, dass die Nachricht ein nicht zugelassenes Wort oder einen nicht zugelassenen Ausdruck enthält und dass der SCL-Wert bzw. die "Gewichtung" dieses nicht zugelassenen Worts oder Ausdrucks in die abschließende SCL-Bewertung einbezogen wurde:
  • Nicht zugelassene Ausdrücke oder Sperrausdrücke haben eine maximale Gewichtung und ändern die SCL-Auswertung zu 9.
  • Zugelassene Wörter oder Ausdrücke oder Zulassungsausdrücke haben eine minimale Gewichtung und ändern die SCL-Auswertung zu 0.

Weitere Informationen zum Hinzufügen genehmigter und nicht genehmigter Wörter oder Ausdrücke zum Inhaltsfilter-Agent finden Sie unter Inhaltsfilterungsverfahren.
PP Der PP-Stempel (Presolved Puzzle) gibt an, dass der Absender wahrscheinlich kein böswilliger Absender ist, wenn dessen Nachricht einen gültigen, gelösten Rechenpoststempel enthält, der auf der E-Mail-Poststempelüberprüfung von Outlook basiert. In diesem Fall senkt der Inhaltsfilter-Agent die SCL-Bewertung.

Der Inhaltsfilter-Agent ändert die SCL-Bewertung nicht, wenn die E-Mail-Poststempelüberprüfung aktiviert ist und eine der folgenden Bedingungen zutrifft:

  • Eine eingehende Nachricht enthält keine Kopfzeile mit Rechenpoststempel.
  • Die Kopfzeile mit dem Rechenpoststempel ist ungültig.

Weitere Informationen zur Poststempelüberprüfung finden Sie unter Inhaltsfilterung.
TIME:TimeBasedFeatures Gibt an, dass zwischen dem Absenden und dem Eingang der Nachricht ein beachtlicher Zeitunterschied herrscht. Der TIME-Stempel wird zum Bestimmen der abschließenden SCL-Bewertung für die Nachricht verwendet.
OrigIP Gibt die IP-Adresse des Quellmessagingservers an.
MIME:MIMECompliance Gibt an, dass die E-Mail nicht MIME-kompatibel ist.
P100:PhishingBlock Gibt an, dass die Nachricht eine URL enthält, die in einer Phishing-Definitionsdatei enthalten ist.
IPOnAllowList Gibt an, dass sich die IP-Adresse des Absenders in der Liste der zulässigen IP-Adressen befindet. Weitere Informationen zur IP-Zulassungsliste finden Sie unter IP-Zulassungsliste.
MessageSecurityAntispamBypass Gibt an, dass der Inhalt der Nachricht nicht gefiltert wurde und dass dem Absender die Berechtigung erteilt wurde, die Antispamfilter zu umgehen.
SenderBypassed Gibt an, dass der Inhaltsfilter-Agent für Nachrichten keine Inhaltsfilterung ausführt, die von diesem Absender empfangen werden. Weitere Informationen finden Sie unter Verfahren zum Filtern von Inhalten.
AllRecipientsBypassed Gibt an, dass eine der folgenden Bedingungen für alle in der Nachricht aufgeführten Empfänger zutrifft: