Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Заголовки сообщений по защите от нежелательной почты

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2017-10-05

Когда служба Exchange Online Protection сканирует входящие электронные сообщения, она вставляет заголовок X-Forefront-Antispam-Report в каждое из них. Поля в этом заголовке могут предоставить администраторам информацию о сообщении и его обработке. Поля заголовка X-Microsoft-Antispam предоставляют дополнительные сведения о массовой рассылке и фишинге. В дополнение к этим двум заголовкам служба Exchange Online Protection также вставляет в каждое сообщение, которое она обрабатывает, заголовок Authentication-results с результатами проверки подлинности сообщения.

СоветСовет.
Сведения о том, как просматривать заголовки электронных сообщений в различных почтовых клиентах, см. в статье Приложение Message Header Analyzer. Вы можете скопировать и вставить содержимое заголовка сообщения в средство Message Header Analyzer. Если выбрать сообщение в карантине в Центре администрирования Exchange, ссылка Просмотр заголовка сообщения позволит легко скопировать и вставить текст заголовка сообщения в это средство. Открыв Message Header Analyzer, нажмите кнопку Analyze headers (Анализировать заголовки), чтобы получить сведения о заголовке.

Получив доступ к сведениям о заголовках сообщения, найдите заголовок X-Forefront-Antispam-Report и поищите в нем поля, указанные ниже. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

 

Поле заголовка

Описание

CIP: [IP-адрес]

IP-адрес для подключения. Этот IP-адрес может вам понадобиться в процессе формирования списков разрешенных и заблокированных IP-адресов в фильтре подключений. Дополнительные сведения см. в разделе Настройка политики фильтров подключений.

CTRY

Страна, из которой произошло подключение сообщения к службе. Это определяется по подключенному IP-адресу, который может отличаться от IP-адреса источника отправки.

LANG

Язык, на котором написано сообщение, как это указано в коде страны (например, ru_RU для русского).

SCL

Значение вероятности нежелательной почты сообщения. Дополнительные сведения об интерпретации этих значений см. в статье Вероятность нежелательной почты.

PCL

Значение вероятности фишинга для сообщения. Дополнительные сведения об этом значении приведены здесь.

SRV:BULK

Это сообщение идентифицировано как сообщение массовой рассылки. Если включен параметр расширенной фильтрации спама Блокировать все сообщения массовой рассылки, оно будет помечено как спам. Если он не включен, сообщение будет помечено как спам, если на это указывают остальные правила фильтрации.

SFV:SFE

Сообщение пропущено с обходом фильтрации, поскольку его отправили с адреса, который входит в список надежных отправителей отдельного пользователя.

SFV:BLK

Сообщение заблокировано с обходом фильтрации, поскольку его отправили с адреса, который входит в список заблокированных отправителей отдельного пользователя.

Совет. Дополнительные сведения о том, как пользователи могут создавать списки надежных и заблокированных отправителей, см. в статьях Блокирование и разрешение (параметры нежелательной почты) (OWA) и Общие сведения о фильтре нежелательной почты (Outlook).

IPV:CAL

Сообщение пропущено через фильтр нежелательной почты, поскольку IP-адрес указан в списке разрешенных IP-адресов в фильтре подключений.

IPV:NLI

IP-адрес отсутствовал в списке репутации IP-адресов.

SFV:SPM

Сообщение помечено фильтром содержимого как нежелательное.

SFV:SKS

Сообщение помечено как нежелательное до обработки фильтром содержимого. Это применяется к сообщениям, в которых сообщение сопоставлено с правилом транспорта автоматически помечать его как нежелательное и обходить любую дополнительную фильтрацию.

SFV:SKA

Сообщение не обрабатывалось фильтром и было доставлено в папку "Входящие", так как оно соответствует параметрам списка разрешений в политике фильтрации нежелательной почты, например списка Разрешенные отправители.

SFV:SKB

Сообщение помечено как спам, так как оно соотнесено со списком блокировок в политике фильтрации нежелательной почты (например, обнаружены совпадения со значениями параметра Список блокировок отправителя).

SFV:SKN

Сообщение помечено как желательное до обработки фильтром содержимого. Возможная причина: это сообщение сопоставлено с правилом транспорта, автоматически пометившим его как желательное, чтобы оно обошло любую дополнительную фильтрацию.

SFV:SKI

Подобно SFV:SKN, фильтрация сообщения пропущена по иной причине, например оно отправляется внутри организации клиента.

SFV:SKQ

Сообщение было извлечено из почтового ящика карантина и отправлено указанным получателям.

SFV:NSPM

Сообщение помечено как не являющееся нежелательным и отправлено указанным получателям.

H: [helostring]

Строка HELO или EHLO подключающегося почтового сервера.

PTR: [ReverseDNS]

Запись типа PTR (запись-указатель) для IP-адреса отправителя, называемого также обратным DNS-адресом.

X-CustomSpam: [ASFOption]

Сообщение имеет параметр, соответствующий одному из расширенных параметров фильтрации нежелательной почты (ASF). Например, X-CustomSpam: графические ссылки на удаленные сайты указывает, что сообщение содержит параметр ASF Графические ссылки на удаленные сайты. Чтобы узнать, какой заголовок имеют определенные параметры ASF, см. раздел Параметры расширенной фильтрации нежелательной почты (ASF).

В таблице ниже описаны нужные поля в заголовке сообщения X-Microsoft-Antispam. Другие поля в этом заголовке нужны для диагностики и используются исключительно группой специалистов Майкрософт, ответственной за защиту от нежелательной почты.

 

Поле заголовка

Описание

BCL

Количество жалоб на массовую рассылку (BCL) сообщения. Дополнительные сведения см. в разделе Уровни жалоб на массовые сообщения.

PCL

Уровень вероятности фишинга сообщения, показывающий, является ли сообщение мошенническим.

Это состояние может принимать одно из следующих числовых значений:

  • 0-3. Маловероятно, что содержимое этого сообщения связано с фишингом.

  • 4-8. Скорее всего, содержимое этого сообщения связано с фишингом.

  • -9990 (только для Exchange Online Protection). Содержимое этого сообщения, скорее всего, связано с фишингом.

Эти значения позволяют определить действие, которое почтовый клиент выполняет для сообщений. Например, Microsoft Office Outlook использует метку вероятности фишинга для блокирования содержимого подозрительных сообщений. Дополнительные сведения о фишинге и обработке фишинговых сообщений в Outlook см. в статье Включение и отключение ссылок в электронных сообщениях.

Когда на почтовый сервер приходит сообщение, оно проверяется с помощью инфраструктуры политики отправителей, DKIM и DMARC. Результаты этой проверки служба Office 365 записывает в заголовке сообщения Authentication-results (добавляет к нему метку).

В приведенных ниже примерах синтаксиса показана текстовая метка, которую Office 365 добавляет к заголовку каждого сообщения, проходящего проверку подлинности при доставке на почтовый сервер. Такая метка добавляется в заголовок Authentication-Results.

Синтаксис: метка при проверке с помощью инфраструктуры политики отправителей

В случае инфраструктуры политики отправителей применяется указанный ниже синтаксис.

spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

Примеры: метка при проверке с помощью инфраструктуры политики отправителей

spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

Синтаксис: метка при проверке с помощью DKIM

В случае DKIM применяется указанный ниже синтаксис.

dkim=<pass|fail (reason)|none> header.d=<domain>

Примеры: метка при проверке с помощью DKIM

dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

Синтаксис: метка при проверке с помощью DMARC

В случае DMARC применяется указанный ниже синтаксис.

dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

Примеры: метка при проверке с помощью DMARC

dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

В этой таблице описаны поля и возможные значения для каждой проверки подлинности сообщений.

 

Поле заголовка Описание

spf

Описывает результаты проверки сообщения с использованием инфраструктуры политики отправителей. Возможные значения:

  • pass (<IP-адрес>). Указывает, что выполнена проверка сообщения с помощью инфраструктуры политики отправителей, и показывает IP-адрес отправителя. Клиент уполномочен отправлять или ретранслировать сообщение от имени домена отправителя.

  • fail (<IP-адрес>). Указывает, что не удалось выполнить проверку сообщения с использованием инфраструктуры политики отправителей, и показывает IP-адрес отправителя. Это еще иногда называется серьезным сбоем.

  • softfail (<причина>). Указывает, что запись инфраструктуры политики отправителей определила узел как такой, отправка сообщений для которого не разрешена, но находится в процессе.

  • neutral. Указывает, что запись инфраструктуры политики отправителей не может точно определить, авторизован ли IP-адрес.

  • none. Указывает, что для домена не задана запись инфраструктуры политики отправителей (или что эта запись не приводит к результату).

  • temperror. Указывает, что произошла ошибка, которая может быть временной (например, ошибка DNS). Повторите попытку позже. Вмешательство администратора, возможно, не понадобится.

  • permerror. Указывает на то, что произошла постоянная ошибка. Причиной может быть ошибочно созданная запись инфраструктуры политики отправителей для домена.

smtp.mailfrom

Содержит название исходного домена, с которого было отправлено сообщение. Сведения об ошибках, связанных с этим сообщением, будут отправлены администратору почты или другому лицу, ответственному за домен. Такое поле еще иногда зовется адресом 5321.MailFrom или адресом reverse-path в конверте сообщения.

dkim

Описывает результаты проверки сообщения с использованием DKIM. Возможные значения:

  • pass. Указывает на то, что проверка сообщения с помощью DKIM пройдена успешно.

  • fail (<причина>). Указывает, что не удалось проверить сообщение с помощью DKIM, а также причину этого. Например, когда сообщение не подписано или подпись не проверена.

  • none. Указывает на то, что сообщение не подписано. Это может быть связано с тем, что для домена задана запись DKIM, которая не приводит к результату.

header.d

Определяет домен, указанный в подписи DKIM, если такая есть. Это домен, у которого запрашивается открытый ключ.

dmarc

Описывает результаты проверки сообщения с использованием DMARC. Возможные значения:

  • pass указывает на то, что проверка DMARC пройдена успешно.

  • fail указывает на то, что проверка DMARC не пройдена.

  • bestguesspass указывает на то, что для домена отсутствует запись DMARC TXT, однако, если бы такая запись существовала, проверка DMARC была бы пройдена успешно. Это произошло бы потому, что домен в адресе 5321.MailFrom совпадает с доменом в адресе 5322.From.

  • none указывает на то, что для отправляющего домена в DNS отсутствует запись DKIM TXT.

Действие

Указывает действие, выполняемое фильтром спама на основании результатов проверки с помощью DMARC. Например:

  • permerror. Указывает на то, что во время проверки с помощью DMARC произошла постоянная ошибка, такая как обнаружение неправильно созданной записи DMARC типа TXT в DNS. Попытка отправить такое сообщение повторно вряд ли завершится другим результатом. Вместо этого может потребоваться обратиться к владельцу домена с просьбой устранить проблему.

  • temperror. Указывает на то, что во время проверки с помощью DMARC произошла временная ошибка. Можно обратиться к отправителю с просьбой отправить сообщение повторно немного позже, чтобы почта была обработана должным образом.

  • oreject или o.reject. Указывает на то, что было выполнено переопределение отклонения. В этом случае Office 365 применяет это действие при получении сообщений, не прошедших проверки DMARC, из доменов, в записях DMARC типа TXT которых задана политика отклонения (p=reject). Вместо удаления или отклонения такого сообщения служба Office 365 помечает его как спам. Дополнительные сведения о том, почему Office 365 поступает именно так, см. в разделе Как Office 365 обрабатывает входящую почту, не прошедшую проверку DMARC.

  • pct.quarantine. Указывает на то, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и согласно политике должно быть отправлено в карантин, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.

  • pct.reject. Указывает на то, что менее 100 % сообщений, не прошедших проверку DMARC, все равно будут доставлены. Это означает, что сообщение не прошло проверку DMARC и согласно политике должно быть отклонено, но для поля "pct" не задано значение 100 %, и система случайно определила, что действие DMARC применять не следует.

header.from

Определяет домен, который указан в адресе отправителя в заголовке сообщения. Это поле иногда зовется адресом 5322.From.

 

Небольшой значок LinkedIn Learning Никогда не работали с Office 365?
Office 365 admins and IT pros будут заинтересованы бесплатными видеокурсами, предоставленными платформой LinkedIn Learning.

 
Показ: