Пометки нежелательной почты

  • Статья

Область применения: Exchange Server 2013 г.

Марки для борьбы с нежелательной почтой позволяют диагностировать проблемы, связанные с нежелательными сообщениями, с помощью диагностических метаданных, или марок, например сведений об отправителе, результатов проверки задачи, результатов фильтрации содержимого, которые применяются к сообщениям, проходящим через функции защиты от нежелательной почты при фильтрации входящих сообщений из Интернета. Существует три метки защиты от спама: отметка уровня достоверности фишинга, метка уровня достоверности спама и метка идентификатора отправителя.

Вы можете использовать метки защиты от нежелательной почты в качестве средств диагностики, чтобы определить, какие действия следует предпринять при ложноположительных срабатываниях и подозрительных спам-сообщениях, которые пользователи получают в своих почтовых ящиках.

Примечание.

1 ноября 2016 г. корпорация Майкрософт прекратила выпуск обновлений определений спама для фильтров SmartScreen в Exchange и Outlook. Существующие определения спама SmartScreen останутся на месте, но их эффективность, скорее всего, со временем снизится. Дополнительные сведения см. в статье Прекращение поддержки SmartScreen в Outlook и Exchange.

Просмотр меток защиты от спама

Вы можете просматривать метки защиты от нежелательной почты с помощью Microsoft Outlook. Дополнительные сведения см. в разделе Просмотр меток защиты от нежелательной почты в Outlook.

Основные сведения об отчете по защите от нежелательной почты

Отчет по защите от нежелательной почты — это сводный отчет о результатах фильтра защиты от нежелательной почты, примененных к сообщению электронной почты. Агент фильтра содержимого применяет эту метку к конверту сообщения в виде X-заголовка следующим образом.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

В следующей таблице описаны сведения о фильтрах, которые могут отображаться в отчете по защите от нежелательной почты.

Примечание.

В отчете по защите от нежелательной почты отображаются только сведения из фильтров, примененных к конкретному сообщению. Отчет по защите от нежелательной почты обычно не содержит всю информацию, указанную в следующей таблице. Например, вы можете получить следующий отчет о защите от нежелательной почты: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Фильтрация информации в отчете по защите от нежелательной почты

Метка Описание
SID Метка идентификатора отправителя (SID) основана на платформе политики отправителей (SPF), которая разрешает использование доменов в электронной почте. SPF отображается в конверте сообщения как Received-SPF. Процесс оценки идентификатора отправителя создает состояние идентификатора отправителя для сообщения. Это состояние можно вернуть в виде одного из следующих значений:
  • Пароль. Ip-адрес и Purported Responsible Address (PRA) прошли проверку проверки идентификатора отправителя.
  • Нейтральна. Опубликованные данные идентификатора отправителя явно неубедительна.
  • Обратимый сбой. IP-адрес для PRA может находиться в недопустимом наборе.
  • Сбой: IP-адрес запрещен; во входящей почте не найден pra pra или домен отправки не существует.
  • Нет. В DNS отправителя не существует опубликованных данных SPF.
  • TempError: произошел временный сбой DNS, например недоступный DNS-сервер.
  • PermError: недопустимая запись DNS, например ошибка в формате записи.

Метка идентификатора отправителя отображается в виде X-Заголовка в конверте сообщения следующим образом: X-MS-Exchange-Organization-SenderIdResult:<status>

Дополнительные сведения об идентификаторе отправителя см. в разделе Идентификатор отправителя.
DV Марка версии DAT (DV) показывает версию файла описания нежелательной почты, использованного при проверке сообщения.
SA Марка действий по отношению к подписи (SA) показывает, что сообщение было либо восстановлено, либо удалено на основании подписи, присутствующей в сообщении.
SV Марка версии подписи DAT (SV) показывает версию файла подписи, использованного при проверке сообщения.
PCL Метка уровня достоверности фишинга (PCL) отображает оценку сообщения на основе его содержимого и применяется при обработке сообщения агентом фильтра содержимого. Это состояние можно вернуть в виде одного из следующих значений:
  • Нейтральный. Содержимое сообщения вряд ли будет фишинговым.
  • Подозрительно: содержимое сообщения, скорее всего, будет фишинговым.

Значение PCL может варьироваться от 1 до 8:

  • Оценка PCL от 1 до 3 возвращает состояние Neutral. Это означает, что содержимое сообщения вряд ли будет фишинговым.
  • Оценка PCL от 4 до 8 возвращает состояние Suspicious. Это означает, что сообщение, скорее всего, будет фишинговым.

Значения используются для определения действий, которые Outlook выполняет с сообщениями. В Outlook метка PCL используется для блокирования содержимого подозрительных сообщений.

Метка PCL отображается в виде X-заголовка в конверте сообщения следующим образом: X-MS-Exchange-Organization-PCL:<status>
SCL Метка уровня достоверности нежелательной почты (SCL) сообщения отображает оценку сообщения на основе его содержимого. Агент фильтра содержимого использует технологию Microsoft SmartScreen для оценки содержимого сообщения и назначения оценки SCL каждому сообщению.

Значение SCL — от 0 до 9, где 0 считается менее вероятным спамом, а 9 — спамом. Действия, выполняемые Exchange и Outlook, зависят от пороговых параметров SCL.

Метка SCL отображается в виде X-заголовка в конверте сообщения следующим образом: X-MS-Exchange-Organization-SCL:<status>

Дополнительные сведения о пороговых значениях и действиях SCL см. в разделе Пороговое значение уровня достоверности спама.
CW Метка пользовательского веса (CW) сообщения указывает, что сообщение содержит неутвержденное слово или фразу и что значение SCL или вес этого неутвержденного слова или фразы было применено к итоговой оценке SCL:
  • Неразрешенные, или блокированные, фразы имеют максимальный вес и меняют оценку SCL на 9.
  • Утвержденные, или разрешенные, слова и фразы имеют минимальный вес и меняют значение SCL на 0.

Дополнительные сведения о добавлении утвержденных и неразрешенных слов и фраз в агент фильтрации содержимого см. в разделе Управление фильтрацией содержимого.

PP Метка предварительно решенной головоломки (PP) указывает, что если сообщение отправителя содержит допустимый, решенный вычислительный почтовый знак, основанный на функции проверки почтового знака электронной почты Outlook, маловероятно, что отправитель является вредоносным отправителем. В этом случае агент фильтра содержимого снижает оценку SCL.

Агент фильтрации содержимого не изменяет уровень SCL, если включена функция проверки почтовых марок и при этом выполняются следующие условия.

  • Входящее сообщение не содержит компьютерной почтовой марки.
  • Компьютерная почтовая марка недействительна.

Дополнительные сведения о функции проверки почтовых марок см. в статье Фильтрация содержимого.

TIME:TimeBasedFeatures Метка TIME указывает, что между временем отправки сообщения и временем его получения произошла значительная задержка. Метка TIME используется для определения конечной оценки SCL для сообщения.
MIME:MIMECompliance Метка MIME указывает, что сообщение электронной почты не соответствует MIME.
P100:PhishingBlock Метка P100 указывает, что сообщение содержит URL-адрес, который присутствует в файле определения фишинга.
IPOnAllowList Метка IPOnAllowList указывает, что IP-адрес отправителя находится в списке разрешенных IP-адресов. Дополнительные сведения о списке разрешенных IP-адресов см. в разделе Общие сведения о фильтрации подключений.
MessageSecurityAntispamBypass Метка MessageSecurityAntispamBypass указывает, что сообщение не было отфильтровывано по содержимому и что отправителю предоставлено разрешение на обход фильтров защиты от нежелательной почты.
SenderBypassed Метка SenderBypassed указывает, что агент фильтра содержимого не обрабатывает фильтрацию содержимого для сообщений, полученных от этого отправителя. Дополнительные сведения см. в статье Управление фильтрацией содержимого.
AllRecipientsBypassed Метка AllRecipientsBypassed указывает, что для всех получателей, перечисленных в сообщении, было выполнено одно из следующих условий:
  • Параметр AntispamBypassedEnabled в почтовом ящике получателя имеет значение $true. Это параметр для каждого получателя, который может быть задан только администратором с помощью командлета Set-Mailbox .
  • Отправитель сообщения находится в списке надежных отправителей Outlook получателя. Дополнительные сведения о списке надежных отправителей см. в разделе Управление агрегированием списка надежных отправителей.
  • Агент фильтрации содержимого не выполняет фильтрацию содержимого сообщений, отправляемых этому получателю. Дополнительные сведения об исключениях получателей см. в разделе Управление фильтрацией содержимого.