反垃圾邮件邮件头

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-12-09

Exchange Online Protection 扫描到入站电子邮件时,它会在每封邮件中插入“X-Forefront-Antispam-Report”标头。该邮件头中的这些字段有助于为管理员提供与邮件及其处理方式有关的信息。“X-Microsoft-Antispam”标头中的字段提供批量邮件和网络钓鱼的更多信息。除这两种标头外,Exchange Online Protection 还会在“Authentication-results”标头中为每封邮件插入其处理的电子邮件身份验证结果。

提示提示:
有关如何查看各种电子邮件客户端中的电子邮件头的信息,请参阅邮件头分析器。你可以将邮件头的内容复制并粘贴到邮件头分析器工具中。当你在 Exchange 管理中心隔离邮箱中选择一封邮件时,“查看邮件头”链接也使你可以轻松地将邮件头文本复制并粘贴到工具中。进入邮件头分析器工具后,单击“分析标头”以检索关于标头的信息。

获取邮件头信息后,搜索“X-Forefront-Antispam-Report”,然后查找这些字段。此标头中的其他字段专供 Microsoft 反垃圾邮件团队用于进行诊断。

 

标头字段

描述

CIP:[IP 地址]

连接 IP 地址。在连接筛选器中创建 IP 允许列表或 IP 阻止列表时,您可能需要指定此 IP 地址。有关详细信息,请参阅配置连接筛选器策略

CTRY

邮件与服务连接时所处的国家/地区。该值由连接 IP 地址决定,它可能与原始发送 IP 地址不同。

LANG

邮件的编写语言,由国家/地区代码指定(例如,俄语的代码为 ru_RU)。

SCL

邮件的垃圾邮件可信度 (SCL) 值。有关这些值的详细解释信息,请参阅垃圾邮件可信度

PCL

邮件的网络钓鱼可能性等级 (PCL) 值。请参阅 PCL 以查看有关 PCL 值的更多信息。

SRV:BULK

邮件被标识为批量电子邮件。如果“阻止所有批量电子邮件高级垃圾邮件筛选选项”已启用,则相应的邮件会被标记为垃圾邮件。如果未启用,则该邮件只会在剩余筛选规则确定邮件是垃圾邮件时才被标记为垃圾邮件。

SFV:SFE

由于邮件发送自个人的安全发件人列表上的地址,因此邮件会跳过筛选并得以通过。

SFV:BLK

由于邮件发送自个人的阻止的发件人名单上的地址,因此邮件会跳过筛选并得以阻止。

提示:若要详细了解最终用户如何创建安全发件人列表和阻止的发件人名单,请参阅阻止或允许(垃圾邮件设置)(OWA) 和垃圾邮件筛选器概述 (Outlook)。

IPV:CAL

邮件已获得垃圾邮件筛选器的允许,因为 IP 地址已在连接筛选器的 IP 允许列表中指定。

IPV:NLI

IP 地址没有在任何 IP 信誉列表中列出。

SFV:SPM

邮件由内容筛选器标记为垃圾邮件。

SFV:SKS

在内容筛选器处理之前,邮件被标记为垃圾邮件。这包括符合以下传输规则条件的邮件:自动将邮件标记为垃圾邮件并规避其他所有筛选。

SFV:SKA

邮件跳过筛选并传递到收件箱,因为它符合垃圾邮件筛选器策略中的允许列表,例如“发件人允许”列表。

SFV:SKB

邮件被标记为垃圾邮件,因为它符合垃圾邮件筛选器策略中的阻止列表,例如“发件人阻止”列表。

SFV:SKN

在内容筛选器处理之前,邮件被标记为非垃圾邮件。这包括符合以下传输规则条件的邮件:自动将邮件标记为非垃圾邮件并绕过其他所有筛选。

SFV:SKI

与 SFV:SKN 类似,由于其他原因而导致邮件跳过筛选,例如该邮件是租户内的组织间电子邮件。

SFV:SKQ

邮件从隔离区释放,并发送给目标收件人。

SFV:NSPM

邮件被标记为非垃圾邮件并发送给预期收件人。

H:[helostring]

连接邮件服务器的 HELO 或 EHLO 字符串。

PTR:[ReverseDNS]

发送 IP 地址的 PTR 记录或指针记录,亦称为反向 DNS 地址。

X-CustomSpam:[ASFOption]

邮件匹配高级垃圾邮件筛选 (ASF) 选项。例如,“X-CustomSpam: 到远程站点的图像链接”表示匹配“到远程站点的图像链接”ASF 选项。若要找出为每个特定的 ASF 选项添加了哪个 X-header 文本,请参阅高级垃圾邮件筛选 (ASF) 选项

下表描述了“X-Microsoft-Antispam”邮件头中的有用字段。此标头中的其他字段专供 Microsoft 反垃圾邮件团队用于进行诊断。

 

标头字段

说明

BCL

邮件的批量投诉级别 (BCL)。有关详细信息,请参阅批量投诉级别值

PCL

邮件的网络钓鱼可能性等级 (PCL) 显示这是否为网络钓鱼邮件。

此状态会以下列其中一个数值返回:

  • 0-3 邮件的内容不太可能是网络钓鱼。

  • 4-8 邮件的内容可能是网络钓鱼。

  • -9990(仅限 Exchange Online Protection)邮件的内容可能是网络钓鱼。

这些值用于确定你的电子邮件客户端对这些邮件采取什么操作。例如,Microsoft Office Outlook 使用 PCL 标记阻止可疑邮件的内容。有关网络钓鱼和 Outlook 如何处理网络钓鱼邮件的详细信息,请参阅打开或关闭电子邮件中的链接

邮件服务器收到电子邮件后,Office 365 将基于 SPF、DKIM 或 DMARC 将检查结果记录或标记在“Authentication-results”邮件头中。

以下语法示例演示了 Office 365 应用于每封电子邮件(在由我们的邮件服务器接收时执行电子邮件身份验证检查)的邮件头的部分文本“标记”。此标记已添加到“Authentication-Results”标头。

语法:SPF 检查标记

以下语法适用于 SPF。

spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

示例:SPF 检查标记

spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

语法:DKIM 检查标记

以下语法适用于 DKIMF。

dkim=<pass|fail (reason)|none> header.d=<domain>

示例:DKIM 检查标记

dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

语法:DMARC 检查标记

以下语法适用于 DMARC。

dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

示例:DMARC 检查标记

dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

本表描述了每封电子邮件身份验证检查的字段和可能的值。

 

标头字段 说明

spf

说明邮件的 SPF 检查结果。可能的值包括:

  • pass (IP address)”指示邮件通过 SPF 检查,且其中包括发件人的 IP 地址。已授权客户端代表发件人的域发送或中继电子邮件。

  • fail (IP address)”指示邮件未通过 SPF 检查,且其中包括发件人的 IP 地址。有时也称其为硬失败。

  • softfail (reason)”指示 SPF 记录已将主机指定为不允许发送但正处于转换状态。

  • neutral”指示 SPF 记录已明确表明 其不断言 IP 地址是否获得授权。

  • none”指示域没有 SPF 记录或 SPF 记录未生成结果。

  • temperror”指示遇到的错误实际上可能是临时的,例如 DNS 错误。无需任何管理员操作,稍后再次尝试可能 就会成功。

  • permerror”指示已出现永久错误。例如,域的 SPF 记录格式非常不规范时会出现此值。

smtp.mailfrom

包含发送邮件的源域。此电子邮件的任何错误都将发送到负责此域的 postmaster 或实体。在邮件信封上有时也称其为“5321.MailFrom 地址”或“反向路径地址”。

dkim

说明邮件的 DKIM 检查结果。可能的值包括:

  • pass”指示邮件通过 DMARC 检查。

  • fail (reason)”指示邮件未通过 DMARC 检查及其原因。例如,如果邮件未签名或签名未经验证。

  • none”指示邮件未签名。这可能表示或不表示域存在 DKIM 记录或 DKIM 记录未生成结果,仅表示该邮件未签名。

header.d

DKIM 签名中标识的域(如有)。这指的是 针对公钥查询的域。

dmarc

说明邮件的 DMARC 检查结果。可能的值包括:

  • pass 指示邮件通过 DMARC 检查。

  • fail 指示邮件未通过 DMARC 检查。

  • bestguesspass 指示不存在域的任何 DMARC TXT 记录,但如果已存在一个,邮件的 DMARC 检查就已通过。这是因为 5321.MailFrom 地址中的域与 5322.From 地址中的域相匹配。

  • none 指示 DNS 中不存在发送域的任何 DKIM TXT 记录。

action

指示垃圾邮件筛选器基于 DMARC 检查结果执行的操作。例如:

  • permerror DMARC 评估过程中出现的永久性错误,例如,在 DNS 中遇到格式不正确的 DMARC TXT 记录。尝试重新发送此邮件不太可能产生不同的结果。你反而可能需要联系域的所有者,以解决该问题。

  • temperrorDMARC 评估期间出现的临时错误。你可以请求发件人稍后重新发送邮件,以正确处理电子邮件。

  • orejecto.reject代表覆盖拒绝。在这种情况下,Office 365 在从 DMARC TXT 记录的策略为 p=reject 的域中接收未通过 DMARC 检查的邮件时使用此操作。Office 365 将该邮件标记为垃圾邮件,而不是删除或拒绝该邮件。有关这样配置 Office 365 的原因的详细信息,请参阅 Office 365 如何处理未通过 DMARC 的入站电子邮件

  • pct.quarantine 指示未通过 DMARC 的邮件将按少于 100% 的比例以任意方式传递。这表示邮件未通过 DMARC 且已将策略设置为隔离,但 pct 字段未设置为 100% 且系统根据每个特定域的策略随机决定不执行 DMARC 操作。

  • pct.reject 指示未通过 DMARC 的邮件将按少于 100% 的比例以任意方式传递。这表示邮件未通过 DMARC 且已将策略设置为拒绝,但 pct 字段未设置为 100% 且系统根据每个特定域的策略随机决定不执行 DMARC 操作。

header.from

电子邮件标头中发件人地址的域。有时也称其为“5322.From 地址”。

 
显示: