Метки нежелательной почты
Метки защиты от спама в Exchange Server применяют диагностические метаданные или метки, такие как сведения об отправителе, результаты проверки головоломки и результаты фильтрации содержимого, к сообщениям при передаче через функции защиты от спама, которые фильтруют входящие сообщения из Интернета. С помощью таких меток можно просмотреть результаты фильтрации сообщения для защиты от нежелательной почты, а также диагностировать неполадок, связанных со спамом. Функции защиты от нежелательной почты и метки, по сути, ничем не отличаются от тех, которые используются в Exchange Server 2010. Существует четыре основных метки защиты от нежелательной почты Exchange:
метка уровня вероятности фишинга (PCL);
метка кода отправителя;
метка уровня вероятности нежелательной почты (SCL);
метка отчета о защите от нежелательной почты.
Метки для защиты от нежелательной почты добавляются в сообщения в виде полей X-заголовка в заголовке сообщения. Вы можете просматривать метки защиты от нежелательной почты в сообщении с помощью Outlook. Дополнительные сведения см. в статье View antispam stamps in Outlook.
Метка уровня вероятности фишинга
Метка PCL указывает на вероятность того, что сообщение является фишинговым (на основе его содержимого). Метка PCL применяется при обработке сообщения агентом фильтрации содержимого. Дополнительные сведения о фильтрации содержимого см. в разделе Фильтрация содержимого.
Значения PCL описаны в таблице ниже.
| Значение PCL | Verdict | Описание |
|---|---|---|
| 1-3 | Neutral |
Маловероятно, что содержимое этого сообщения связано с фишингом. |
| 4-8 | Suspicious |
Вероятно, что содержимое этого сообщения связано с фишингом. |
Значение PCL отображается в заголовке X-MS-Exchange-Organization-PCL: X-, а вердикт PCL отображается в метке отчета о антиспаме как PCL:PhishingLevel <Verdict>. В Outlook метка PCL используется для блокирования содержимого подозрительных сообщений.
Метка кода отправителя
Метка кода отправителя присваивается инфраструктурой политики отправителей (SPF), которая определяет использование доменов в сообщениях электронной почты. Агент код отправителя определяет статус кода отправителя для сообщения. Значения этого статуса описаны в таблице ниже.
| Состояние | Описание |
|---|---|
Pass |
IP-адрес и предполагаемый адрес (PRA) прошли проверку идентификации отправителей. |
Neutral |
Опубликованные данные кода отправителя являются явно неокончательными. |
SoftFail |
IP-адрес для PRA может находиться в неразрешенном наборе. |
Fail |
IP-адрес запрещен. Во входящей почте не найдена функция PRA или домен отправки не существует. |
None |
В DNS отправителя отсутствуют опубликованные данные SPF. |
TempError |
Временный сбой DNS, например, недоступный сервер DNS. |
PermError |
Недействительная запись DNS, например ошибка в формате записи. |
Метка идентификатора отправителя отображается в заголовке X-MS-Exchange-Organization-SenderIdResult: X-header, а также в метке отчета antispam как SenderIDStatus <Status>. Результат SPF отображается в заголовке Received-SPF.
Дополнительные сведения приведены в следующих разделах:
Метка уровня вероятности нежелательной почты
Примечание.
В ноябре 2016 г. корпорация Майкрософт прекратила выпуск обновлений определений спама для фильтров SmartScreen в Exchange и Outlook. Существующие определения спама SmartScreen остались на месте, но их эффективность, скорее всего, со временем снизится. Дополнительные сведения см. в статье Прекращение поддержки SmartScreen в Outlook и Exchange.
Метка PCL показывает оценку сообщения на основании его содержимого. Для оценки содержимого сообщения и назначения каждому сообщению рейтинга уровня вероятности нежелательной почты агент фильтра содержимого использует технологию Майкрософт SmartScreen. Значения SCL описаны в таблице ниже.
| Значение SCL | Описание |
|---|---|
| 0–9 | 0 означает очень низкий уровень вероятности того, что сообщение является спамом. 9 означает очень высокий уровень вероятности того, что сообщение является спамом. |
| -1 | Сообщение пропущено во время сканирования для защиты от нежелательной почты (например, сообщение было от внутреннего отправителя). |
Значение SCL отображается в X-заголовке X-MS-Exchange-Organization-SCL:.
Действия, выполняемые Exchange и Outlook на основе значения SCL, зависят от параметров порогового значения SCL. Дополнительные сведения см. в статье Пороговые значения уровня достоверности нежелательной почты Exchange (SCL).
Метка отчета о защите от нежелательной почты
Метка отчета о защите от нежелательной почты представляет собой итоговый отчет по результатам применения фильтра нежелательной почты к сообщению. Агент фильтрации содержимого применяет эту метку к сообщению в X-заголовке X-MS-Exchange-Organization-Antispam-Report:. В отчете о защите от нежелательной почты используется следующий синтаксис:
X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>
В таблице ниже представлена информация фильтра нежелательной почты, которая может отображаться в метке отчета о защите от нежелательной почте. Обратите внимание, что в метке отчета о защите от нежелательной почты представлены только результаты и выводы фильтров нежелательной почты, примененных к нему. Поэтому в этой метке обычно отсутствуют все возможные метки и значения.
| Метка | Описание |
|---|---|
| DV | Марка версии DAT (DV) показывает версию файла описания нежелательной почты, использованного при проверке сообщения. |
| SA | Марка действий по отношению к подписи (SA) показывает, что сообщение было либо восстановлено, либо удалено на основании подписи, присутствующей в сообщении. |
| SV | Марка версии подписи DAT (SV) показывает версию файла подписи, использованного при проверке сообщения. |
| CW | Метка пользовательского веса (CW) показывает, что сообщение содержит неразрешенное слово или фразу, а также что значение SCL, или "вес", этого неразрешенного слова или фразы использовано при вычислении итоговой оценки SCL.
Дополнительные сведения о добавлении утвержденных и неутвержденных слов или фраз в агент фильтрации содержимого см. в разделе Процедуры фильтрации содержимого. |
| PP | Метка предварительно решенной задачи (PP) показывает, что если сообщение отправителя содержит правильную, разрешенную компьютерную почтовую марку (основанную на функциях проверки почтовых марок Outlook), отправитель вряд ли является злоумышленником. В этом случае агент фильтра содержимого снижает оценку SCL. Агент фильтрации содержимого не изменяет уровень SCL, если включена функция проверки почтовых марок и при этом выполняются следующие условия.
Дополнительные сведения о функции проверки почтовых марок см. в статье Фильтрация содержимого. |
| TIME:TimeBasedFeatures | Показывает, что с момента отправки сообщения и до момента его доставки прошло значительное количество времени. Метка TIME используется для определения конечной оценки SCL для сообщения. |
| OrigIP | Указывает IP-адрес исходного сервера обмена сообщениями. |
| MIME:MIMECompliance | Показывает, что сообщение электронной почты не соответствует стандарту MIME. |
| P100:PhishingBlock | Показывает, что сообщение содержит URL-адрес, указанный в файле определения фишинга. |
| IPOnAllowList | Показывает, что IP-адрес отправителя не включен в список разрешенных IP-адресов. Дополнительные сведения о списке разрешенных IP-адресов см. в разделе Список разрешенных IP-адресов. |
| MessageSecurityAntispamBypass | Показывает, что содержимое сообщения не проходило через фильтры и что отправитель получил разрешение не проходить фильтры нежелательной почты. |
| SenderBypassed | Показывает, что агент фильтрации содержимого не выполняет фильтрацию содержимого сообщений, получаемых от этого отправителя. Дополнительные сведения см. в разделе Процедуры фильтрации содержимого. |
| AllRecipientsBypassed | Показывает, что одно из следующих условий выполняется для всех получателей, указанных в сообщении:
|