スパム対策メッセージ ヘッダー

Exchange Online
 

適用先:Exchange Online, Exchange Online Protection

トピックの最終更新日:2016-12-09

Exchange Online Protection では、受信電子メール メッセージをスキャンするときに、X-Forefront-Antispam-Report ヘッダーをそれぞれのメッセージに挿入します。このヘッダー内のフィールドは、そのメッセージに関する情報やそれがどのように処理されたかに関する情報を管理者に提供できます。X-Microsoft-Antispam ヘッダー内のフィールドは、バルク メールやフィッシングについての追加情報を提供します。これら 2 つのヘッダーのほかに、Exchange Online Protection も電子メール認証の結果を Authentication-results ヘッダーで処理する各メッセージに挿入します。

ヒントヒント:
さまざまな電子メール クライアントで電子メール メッセージ ヘッダーを表示する方法については、「メッセージ ヘッダー アナライザー」を参照してください。メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。Exchange 管理センターで検疫内のメッセージを選択した場合は、[メッセージ ヘッダーの表示] リンクを使ってメッセージ ヘッダー テキストをコピーしてツールに貼り付けることもできます。メッセージ ヘッダー アナライザー ツールに貼り付ければ、[ヘッダーの分析] をクリックしてヘッダーに関する情報を取得できます。

メッセージ ヘッダー情報にアクセスしたら、X-Forefront-Antispam-Report を検索して、次に示すフィールドを確認します。このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

 

ヘッダー フィールド

説明

CIP:[IP アドレス]

接続 IP アドレス接続フィルターで IP 許可一覧と IP 禁止一覧を作成する際、この IP アドレスを指定することができます。詳細については、「接続フィルター ポリシーを構成する」を参照してください。

CTRY

サービスに接続されたメッセージの発信国。これは、接続先 IP アドレスから特定されます。そのため、発信元の送信先 IP アドレスとは異なる可能性があります。

LANG

メッセージが作成された言語であり、国番号 (たとえば、ロシア語は ru_RU) で指定されます。

SCL

メッセージの Spam Confidence Level (SCL) 値。これらの値の解釈方法については、「Spam Confidence Level」を参照してください。

PCL

メッセージの Phishing Confidence Level (PCL) 値。PCL 値の詳細については、「PCL」を参照してください。

SRV:BULK

メッセージが一括電子メール メッセージとして識別されました。[バルクメール メッセージをすべてブロックする] 詳細スパム フィルター オプションが有効になっている場合、このメッセージがスパムとしてマークされます。このオプションが有効になっていない場合は、残りのフィルター処理ルールでそのメッセージがスパンであると判断された場合にのみスパムとしてマークされます。

SFV:SFE

メッセージが個人の差出人セーフ リスト上のアドレスから送信されているため、フィルター処理が省略され、メッセージはそのまま配信されました。

SFV:BLK

メッセージが個人の受信拒否リスト上のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。

ヒント: エンド ユーザーが差出人セーフ リストと受信拒否リストを作成する方法については、「ブロックまたは許可 (迷惑メール設定)」 (OWA) と「迷惑メール フィルターの概要」 (Outlook) を参照してください。

IPV:CAL

このメッセージの IP アドレスは接続フィルターの IP 許可一覧に指定されているため、スパム フィルターの通過を許可されました。

IPV:NLI

IP アドレスが IP 評価リストに掲載されていませんでした。

SFV:SPM

コンテンツ フィルターによって、メッセージがスパムとしてマークされました。

SFV:SKS

コンテンツ フィルターによって処理される前に、メッセージがスパムとしてマークされました。これには、メッセージを自動的にスパムとしてマークし、他のすべてのフィルター処理を省略するトランスポート ルールに適合したメッセージが含まれます。

SFV:SKA

メッセージは、スパム フィルター ポリシーの許可リスト (送信者の許可リストなど) と一致したため、フィルタリングをスキップして受信トレイに配信されました。

SFV:SKB

メッセージは、スパム フィルター ポリシーの拒否リスト (送信者の拒否リストなど) と一致したため、スパムとしてマークされました。

SFV:SKN

コンテンツ フィルターによって処理される前に、メッセージが非スパムとしてマークされました。これには、メッセージを自動的に非スパムとしてマークし、他のすべてのフィルター処理を省略するトランスポート ルールに適合したメッセージが含まれます。

SFV:SKI

SFV:SKN と同様に、メッセージはテナント内の組織内電子メールであるなどの別の理由でフィルター処理が省略されました。

SFV:SKQ

メッセージは検疫から解放され、目的の受信者に送信されました。

SFV:NSPM

メッセージがスパムではないとしてマークされ、意図された受信者に送信されました。

H:[helostring]

接続元のメール サーバーの HELO または EHLO 文字列。

PTR:[ReverseDNS]

逆引き DNS アドレスとも呼ばれる、送信元の IP アドレスの PTR レコード (またはポインター レコード)。

X-CustomSpam:[ASFOption]

メッセージは高度なスパム フィルター (ASF) オプションと一致しました。たとえば、X-CustomSpam:リモート サイトへのイメージ リンクは、リモート サイトへのイメージ リンク の ASF オプションが一致したことを表します。どの X ヘッダー テキストが特定の各 ASF オプションに追加されたかを確認するには、「高度なスパム フィルター (ASF) オプション」を参照してください。

次の表に、X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

 

ヘッダー フィールド

説明

BCL

メッセージの Bulk Complaint Level (BCL)。詳細については、「バルク苦情レベルの値」を参照してください。

PCL

メッセージの Phishing Confidence Level (PCL)。これは、そのメッセージがフィッシング メッセージかどうかを示します。

この状態は、次のいずれかの数値として返されます。

  • 0-3 は、メッセージの内容がフィッシングである可能性が低いことを示します。

  • 4-8 は、メッセージの内容がフィッシングである可能性が高いことを示します。

  • -9990 (Exchange Online Protection のみ) は、メッセージの内容がフィッシングである可能性が低いことを示します。

これらの値は、電子メール クライアントがメッセージに対して実行するアクションを決めるために使用されます。たとえば、Microsoft Office Outlook は PCL スタンプを使用して、疑わしいメッセージの内容をブロックします。フィッシングについてと、Outlook がフィッシング メッセージを処理する方法の詳細については、「電子メール メッセージ内のリンクを有効または無効にする」を参照してください。

メール サーバーが電子メール メッセージを受信すると、SPF、DKIM、および DMARC に対するチェックの結果が Office 365 によって、Authentication-results メッセージ ヘッダーに記録またはスタンプされます。

次に示す構文の例では、Office 365 がメール サーバーでの受信時に電子メールの認証チェックを受ける各メールのメッセージ ヘッダーに適用するテキスト "スタンプ" の一部を示しています。このスタンプは Authentication-Results ヘッダーに追加されます。

構文:SPF check stamp

SPF の場合は、次の構文を適用します。

spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

例:SPF check stamp

spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

構文:DKIM check stamp

DKIM の場合は、次の構文を適用します。

dkim=<pass|fail (reason)|none> header.d=<domain>

例:DKIM check stamp

dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

構文:DMARC check stamp

DMARC の場合は、次の構文を適用します。

dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

例:DMARC check stamp

dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

フィールドと各電子メールの認証チェックに使用できる値を次の表に示します。

 

ヘッダー フィールド 説明

spf

メッセージの SPF チェックの結果についての説明。次の値を指定できます。

  • pass (IP アドレス) は、メッセージの SPF チェックにパスしたことを示します。送信者の IP アドレスが含まれます。送信の許可、または送信者のドメインに代わっての電子メールを中継する許可がクライアントに与えられます。

  • fail (IP アドレス) は、メッセージの SPF チェックに失敗したことを示します。送信者の IP アドレスが含まれます。Hard Fail ともいいます。

  • softfail (理由) は、SPF レコードがホストを、送信が認められたものではなく、切り替えとして指定したことを示します。

  • neutral は、IP アドレスが許可されているかどうかをアサートしていないことを、 SPF レコードが明示的に宣言したことを示します。

  • none は、ドメインに SPF レコードがないか、SPF レコードが結果に対して評価されないことを示します。

  • temperror は、DNS エラーなど、実際には一時的なものの可能性があるエラーが発生したことを示します。 管理者がなんらかのアクションを実行しなくても、後で再試行すれば成功する場合があります。

  • permerror は、永続的なエラーが発生したことを示します。これは、ドメインに不正な形式の SPF レコードがある場合に発生します。

smtp.mailfrom

メッセージが送信された送信元のドメインを含みます。この電子メール メッセージに関するすべてのエラーは、ポスト マスターまたはドメインを担当するエンティティに送信されます。これは、メッセージ エンベロープの 5321.MailFrom アドレスまたはリバースパス アドレスとも呼ばれます。

dkim

メッセージの DKIM チェックの結果についての説明。次の値を指定できます。

  • pass は、メッセージの DKIM チェックにパスしたことを示します。

  • fail (理由) メッセージの DKIM チェックに失敗したことと、その理由を示します。たとえば、メッセージが署名されていなかったり、署名を確認できない場合です。

  • none メッセージが署名されていないことを示します。これは、ドメインに DKIM レコードがあるかどうかや、DKIM レコードが結果を評価しない (このメッセージが署名されていない点のみ) ことを示しますが、これらを示さない場合もあります。

header.d

DKIM 署名で識別されるドメイン (存在する場合)。 これは、公開キーを照会するドメインです。

dmarc

メッセージの DMARC チェックの結果についての説明。次の値を指定できます。

  • pass は、メッセージの DMARC チェックにパスしたことを示します。

  • fail は、メッセージの DMARC チェックに失敗したことを示します。

  • bestguesspass は、ドメインの DMARC TXT レコードが存在しないことを示します。ただし、レコードが存在していた場合、メッセージの DMARC チェックはパスしていたことになります。これは、5321.MailFrom アドレスのドメインが、5322.From アドレスのドメインと一致するためです。

  • none は、DNS に送信側ドメインの DKIM TXT レコードが存在していないことを示します。

action

DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。例:

  • permerror は、DMARC の評価時に永続的なエラーが発生したことを示します (DNS で正しくない形式の DMARC TXT レコードが見つかった場合など)。このメッセージを再送信しようとしても、結果が異なる可能性はほとんどありません。その代わりに、ドメインの所有者に問い合わせて問題を解決する必要があります。

  • temperror は、DMARC の評価時に一時的なエラーが発生したことを示します。メールが正しく処理されるように、後でメッセージを再送信するように、送信者に要求することもできます。

  • oreject または o.reject 拒否の上書き (override reject) の略語。この場合、Office 365 は、ポリシーが p=reject に設定されている DMARC TXT レコードを持つドメインからの DMARC チェックに失敗したメッセージを受信したときに、このアクションを使用します。Office 365 はメッセージを削除または拒否する代わりに、スパムとしてメッセージにマークを付けます。このように Office 365 が構成されている理由の詳細については、「Office 365 が DMARC に失敗した受信メールを処理する方法」を参照してください。

  • pct.quarantine は、DMARC をパスできない、パーセンテージが 100% 未満のメッセージが配信されることを示します。これは、メッセージが DMARC に失敗してポリシーが検疫に設定されますが、pct フィールドは 100% に設定されず、システムは指定されたドメインのポリシーに従って、DMARC アクションを適用しないことをランダムに判断しているということです。

  • pct.reject DMARC をパスできない、パーセンテージが 100% 未満のメッセージが配信されることを示します。これは、メッセージが DMARC に失敗してポリシーが拒否に設定されますが、pct フィールドは 100% に設定されず、システムは指定されたドメインのポリシーに従って、DMARC アクションを適用しないことをランダムに判断しているということです。

header.from

メール メッセージ ヘッダーの From アドレスのドメイン。5322.From アドレス ともいいます。

 
表示: