Cabeçalhos de mensagens antiss spam no Microsoft 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Em todas as organizações do Microsoft 365, Proteção do Exchange Online (EOP) analisa todas as mensagens recebidas relativamente a spam, software maligno e outras ameaças. Os resultados destas análises são adicionados aos seguintes campos de cabeçalho nas mensagens:
- X-Forefront-Antispam-Report: contém informações sobre a mensagem e sobre como foi processada.
- X-Microsoft-Antispam: contém informações adicionais sobre correio em massa e phishing.
- Authentication-results: contém informações sobre os resultados de SPF, DKIM e DMARC (autenticação por e-mail).
Este artigo descreve o que está disponível nestes campos de cabeçalho.
Para obter informações sobre como ver um cabeçalho de mensagem de e-mail em vários clientes de e-mail, consulte Ver cabeçalhos de mensagens da Internet no Outlook.
Sugestão
Pode copiar e colar os conteúdos de um cabeçalho de mensagem na ferramenta Analisador de Cabeçalhos de Mensagens . Esta ferramenta ajuda a analisar cabeçalhos e a colocá-los num formato mais legível.
Campos de cabeçalho da mensagem X-Forefront-Antispam-Report
Depois de ter as informações do cabeçalho da mensagem, localize o cabeçalho X-Forefront-Antispam-Report . Existem múltiplos pares de campos e valores neste cabeçalho separados por ponto e vírgula (;). Por exemplo:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
Os campos e valores individuais estão descritos na tabela seguinte.
Nota
O cabeçalho X-Forefront-Antispam-Report contém muitos campos e valores diferentes. Os campos que não estão descritos na tabela são utilizados exclusivamente pela equipa anti-spam da Microsoft para fins de diagnóstico.
Campo | Descrição |
---|---|
ARC |
O ARC protocolo tem os seguintes campos:
|
CAT: |
A categoria da política de proteção aplicada à mensagem:
*apenas Defender para Office 365. Uma mensagem de entrada pode ser sinalizada por várias formas de proteção e múltiplas análises de deteção. As políticas são aplicadas por ordem de precedência e a política com a prioridade mais alta é aplicada primeiro. Para obter mais informações, consulte Que política se aplica quando são executados vários métodos de proteção e análises de deteção no seu e-mail. |
CIP:[IP address] |
O endereço IP de ligação. Pode utilizar este endereço IP na Lista de Permissões de IP ou na Lista de Bloqueios de IP. Para obter mais informações, veja Configurar a filtragem de ligações. |
CTRY |
O país/região de origem, conforme determinado pelo endereço IP de ligação, que pode não ser o mesmo que o endereço IP de envio de origem. |
DIR |
A Direcionalidade da mensagem:
|
H:[helostring] |
A cadeia HELO ou EHLO do servidor de e-mail de ligação. |
IPV:CAL |
A mensagem ignorou a filtragem de spam porque o endereço IP de origem estava na Lista de Permissões de IP. Para obter mais informações, veja Configurar a filtragem de ligações. |
IPV:NLI |
O endereço IP não foi encontrado em nenhuma lista de reputação de IP. |
LANG |
O idioma em que a mensagem foi escrita conforme especificado pelo código de país (por exemplo, ru_RU para russo). |
PTR:[ReverseDNS] |
O registo PTR (também conhecido como pesquisa DNS inversa) do endereço IP de origem. |
SCL |
O nível de confiança de spam (SCL) da mensagem. Um valor mais alto indica que é mais provável que a mensagem seja spam. Para obter mais informações, veja Nível de confiança de spam (SCL). |
SFTY |
A mensagem foi identificada como phishing e também está marcada com um dos seguintes valores:
|
SFV:BLK |
A filtragem foi ignorada e a mensagem foi bloqueada porque foi enviada a partir de um endereço na lista de Remetentes Bloqueados de um utilizador. Para obter mais informações sobre como os administradores podem gerir a lista de Remetentes Bloqueados de um utilizador, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online. |
SFV:NSPM |
A filtragem de spam marcou a mensagem como nonspam e a mensagem foi enviada para os destinatários pretendidos. |
SFV:SFE |
A filtragem foi ignorada e a mensagem foi permitida porque foi enviada a partir de um endereço na lista de Remetentes Seguros de um utilizador. Para obter mais informações sobre como os administradores podem gerir a lista de Remetentes Seguros de um utilizador, consulte Configurar definições de e-mail de lixo em caixas de correio Exchange Online. |
SFV:SKA |
A mensagem ignorou a filtragem de spam e foi entregue na Caixa de Entrada porque o remetente estava na lista de remetentes permitidos ou na lista de domínios permitidos numa política anti-spam. Para obter mais informações, veja Configurar políticas antisspam. |
SFV:SKB |
A mensagem foi marcada como spam porque correspondia a um remetente na lista de remetentes bloqueados ou na lista de domínios bloqueados numa política antiss spam. Para obter mais informações, veja Configurar políticas antisspam. |
SFV:SKN |
A mensagem foi marcada como nonspam antes do processamento por filtragem de spam. Por exemplo, a mensagem foi marcada como SCL -1 ou Ignorar a filtragem de spam por uma regra de fluxo de correio. |
SFV:SKQ |
A mensagem foi divulgada a partir da quarentena e foi enviada para os destinatários pretendidos. |
SFV:SKS |
A mensagem foi marcada como spam antes de ser processada pela filtragem de spam. Por exemplo, a mensagem foi marcada como SCL 5 a 9 por uma regra de fluxo de correio. |
SFV:SPM |
A mensagem foi marcada como spam por filtragem de spam. |
SRV:BULK |
A mensagem foi identificada como e-mail em massa através da filtragem de spam e do limiar de nível de reclamação em massa (BCL). Quando o parâmetro MarkAsSpamBulkMail está (está On ativado por predefinição), uma mensagem de e-mail em massa é marcada como spam (SCL 6). Para obter mais informações, veja Configurar políticas antisspam. |
X-CustomSpam: [ASFOption] |
A mensagem correspondeu a uma definição de Filtro de Spam Avançado (ASF). Para ver o valor do cabeçalho X para cada definição do ASF, veja Definições avançadas do Filtro de Spam (ASF). Nota: o ASF adiciona X-CustomSpam: campos de cabeçalho X a mensagens depois de as mensagens terem sido processadas pelas regras de fluxo de correio do Exchange (também conhecidas como regras de transporte), pelo que não pode utilizar regras de fluxo de correio para identificar e agir sobre mensagens que foram filtradas pelo ASF. |
Campos de cabeçalho da mensagem X-Microsoft-Antispam
A tabela seguinte descreve campos úteis no cabeçalho da mensagem X-Microsoft-Antispam . Outros campos neste cabeçalho são utilizados exclusivamente pela equipa antiss spam da Microsoft para fins de diagnóstico.
Campo | Descrição |
---|---|
BCL |
O nível de reclamação em massa (BCL) da mensagem. Um BCL superior indica que é mais provável que uma mensagem de correio em massa gere reclamações (pelo que é mais provável que seja spam). Para obter mais informações, veja Nível de reclamação em massa (BCL) na EOP. |
Cabeçalho da mensagem authentication-results
Os resultados das verificações de autenticação de e-mail para SPF, DKIM e DMARC são registados (carimbados) no cabeçalho da mensagem Authentication-results nas mensagens de entrada. O cabeçalho Authentication-results é definido em RFC 7001.
A lista seguinte descreve o texto adicionado ao cabeçalho Authentication-Results para cada tipo de verificação de autenticação de e-mail:
O SPF utiliza a seguinte sintaxe:
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
Por exemplo:
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
O DKIM utiliza a seguinte sintaxe:
dkim=<pass|fail (reason)|none> header.d=<domain>
Por exemplo:
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC utiliza a seguinte sintaxe:
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
Por exemplo:
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
Campos de cabeçalho de mensagem de resultados de autenticação
A tabela seguinte descreve os campos e os valores possíveis para cada verificação de autenticação de e-mail.
Campo | Descrição |
---|---|
action |
Indica a ação tomada pelo filtro de spam com base nos resultados da verificação DMARC. Por exemplo:
|
compauth |
Resultado da autenticação composta. Utilizado pelo Microsoft 365 para combinar vários tipos de autenticação (SPF, DKIM e DMARC) ou qualquer outra parte da mensagem para determinar se a mensagem está ou não autenticada. Utiliza o domínio De: como base de avaliação.
Nota: apesar de uma compauth falha, a mensagem poderá continuar a ser permitida se outras avaliações não indicarem uma natureza suspeita. |
dkim |
Descreve os resultados da verificação DKIM da mensagem. Os valores possíveis incluem:
|
dmarc |
Descreve os resultados da verificação DMARC da mensagem. Os valores possíveis incluem:
|
header.d |
Domínio identificado na assinatura DKIM, se existir. Este é o domínio que é consultado para a chave pública. |
header.from |
O domínio do 5322.From endereço no cabeçalho da mensagem de e-mail (também conhecido como endereço De ou remetente P2). O destinatário vê o endereço De nos clientes de e-mail. |
reason |
O motivo pelo qual a autenticação composta passou ou falhou. O valor é um código de três dígitos. Por exemplo:
|
smtp.mailfrom |
O domínio do 5321.MailFrom endereço (também conhecido como endereço MAIL FROM, remetente P1 ou remetente de envelope). Este endereço de e-mail é utilizado para relatórios de entrega sem fins lucrativos (também conhecidos como NDRs ou mensagens de devolução). |
spf |
Descreve os resultados da verificação SPF da mensagem. Os valores possíveis incluem:
|