Aracılığıyla paylaş

Microsoft 365'te istenmeyen postadan koruma iletisi üst bilgileri

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Tüm Microsoft 365 kuruluşlarında, Exchange Online Protection (EOP) tüm gelen iletileri istenmeyen posta, kötü amaçlı yazılım ve diğer tehditler için tarar. Bu taramaların sonuçları iletilerde aşağıdaki üst bilgi alanlarına eklenir:

  • X-Forefront-Antispam-Report: İleti ve nasıl işlendiği hakkında bilgi içerir.
  • X-Microsoft-Antispam: Toplu posta ve kimlik avı hakkında ek bilgiler içerir.
  • Kimlik doğrulama sonuçları: Sender Policy Framework (SPF), Domainkeys Identified Mail (DKIM) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) dahil olmak üzere e-posta kimlik doğrulaması sonuçları hakkında bilgi içerir.

Bu makalede, bu üst bilgi alanlarında kullanılabilenler açıklanmaktadır.

Çeşitli e-posta istemcilerinde e-posta iletisi üst bilgisini görüntüleme hakkında bilgi için bkz. Outlook'ta internet iletisi üst bilgilerini görüntüleme.

İpucu

İleti üst bilgisinin içeriğini kopyalayıp İleti Üst Bilgisi Çözümleyicisi aracına yapıştırabilirsiniz. Bu araç üst bilgileri ayrıştırma ve daha okunabilir bir biçime yerleştirmeye yardımcı olur.

X-Forefront-Antispam-Report ileti üst bilgisi alanları

İleti üst bilgisi bilgilerini aldıktan sonra X-Forefront-Antispam-Report üst bilgisini bulun. Bu üst bilgide noktalı virgülle (;)) ayrılmış birden çok alan ve değer çifti vardır. Örneğin:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Tek tek alanlar ve değerler aşağıdaki tabloda açıklanmıştır.

Not

X-Forefront-Antispam-Report üst bilgisi birçok farklı alan ve değer içerir. Tabloda açıklanmayan alanlar, tanılama amacıyla yalnızca Microsoft istenmeyen posta önleme ekibi tarafından kullanılır.

Alan Açıklama
ARC Protokol Authenticated Received Chain (ARC) aşağıdaki alanlara sahiptir:
  • AAR: DMARC'den Authentication-results üst bilgisinin içeriğini kaydeder.
  • AMS: İletinin şifreleme imzalarını içerir.
  • AS: İleti üst bilgilerinin şifreleme imzalarını içerir. Bu alan, zincir doğrulamasının sonucunu yok, geçti veya başarısız olarak içeren adlı "cv="bir zincir doğrulaması etiketi içerir.
CAT: İletiye uygulanan koruma ilkesi kategorisi:
  • AMP: Kötü amaçlı yazılımdan koruma
  • BIMP: Marka kimliğe bürünme*
  • BULK:Yığın
  • DIMP: Etki alanı kimliğe bürünme*
  • FTBP: Kötü amaçlı yazılımdan koruma yaygın ekleri filtresi
  • GIMP: Posta kutusu yönetim bilgileri kimliğe bürünme*
  • HPHSH veya HPHISH: Yüksek güvenilirlikli kimlik avı
  • HSPM: Yüksek güvenilirlikli istenmeyen posta
  • INTOS: kimlik avı Intra-Organization
  • MALW: Kötü amaçlı yazılım
  • OSPM: Giden istenmeyen posta
  • PHSH: Kimlik avı
  • SAP: Güvenli Ekler*
  • SPM:Spam
  • SPOOF:Sızdırma
  • UIMP: Kullanıcı kimliğe bürünme*

*Yalnızca Office 365 için Defender.

Gelen iletiye birden çok koruma biçimi ve birden çok algılama taraması bayrak eklenmiş olabilir. İlkeler öncelik sırasına göre uygulanır ve önce en yüksek önceliğe sahip ilke uygulanır. Daha fazla bilgi için bkz . E-postanızda birden çok koruma yöntemi ve algılama taraması çalıştırıldığında hangi ilke geçerli olur?
CIP:[IP address] Bağlanan IP adresi. Bu IP adresini IP İzin Ver Listesi'nde veya IP Engelleme Listesi'nde kullanabilirsiniz. Daha fazla bilgi için bkz. Bağlantı filtrelemeyi yapılandırma.
CTRY Kaynak ülke/bölge, bağlanan IP adresi tarafından belirlenir ve kaynak gönderen IP adresiyle aynı olmayabilir.
DIR İletinin Yönü:
  • INB: Gelen ileti.
  • OUT: Giden ileti.
  • INT: İç ileti.
H:[helostring] Bağlanan e-posta sunucusunun HELO veya EHLO dizesi.
IPV:CAL Kaynak IP adresi IP İzin Verme Listesi'nde olduğundan ileti istenmeyen posta filtrelemeyi atladı. Daha fazla bilgi için bkz. Bağlantı filtrelemeyi yapılandırma.
IPV:NLI IP adresi herhangi bir IP saygınlığı listesinde bulunamadı.
LANG İletinin ülke kodu tarafından belirtildiği şekilde yazıldığı dil (örneğin, Rusça için ru_RU).
PTR:[ReverseDNS] Kaynak IP adresinin PTR kaydı (ters DNS araması olarak da bilinir).
SCL İletinin istenmeyen posta güvenilirlik düzeyi (SCL). Daha yüksek bir değer, iletinin istenmeyen posta olma olasılığının daha yüksek olduğunu gösterir. Daha fazla bilgi için bkz. İstenmeyen posta güvenilirlik düzeyi (SCL).
SFTY İleti kimlik avı olarak tanımlandı ve aynı zamanda aşağıdaki değerlerden biriyle işaretlendi:
SFV:BLK Filtreleme atlandı ve kullanıcının Engellenen Gönderenler listesindeki bir adresten gönderildiği için ileti engellendi.

Yöneticilerin kullanıcının Engellenen Gönderenler listesini nasıl yönetebileceği hakkında daha fazla bilgi için bkz. Exchange Online posta kutularında gereksiz e-posta ayarlarını yapılandırma.
SFV:NSPM İstenmeyen posta filtrelemesi iletiyi sayfa dışı olarak işaretledi ve ileti hedeflenen alıcılara gönderildi.
SFV:SFE Filtreleme atlandı ve kullanıcının Güvenilir Gönderenler listesindeki bir adresten gönderildiği için iletiye izin verildi.

Yöneticilerin kullanıcının Güvenilir Gönderenler listesini nasıl yönetebileceği hakkında daha fazla bilgi için bkz. Exchange Online posta kutularında gereksiz e-posta ayarlarını yapılandırma.
SFV:SKA İleti istenmeyen posta filtrelemeyi atladı ve gönderen bir istenmeyen posta önleme ilkesinde izin verilen gönderenler listesinde veya izin verilen etki alanları listesinde olduğundan Gelen Kutusu'na teslim edildi. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
SFV:SKB İleti, istenmeyen posta önleme ilkesindeki engellenen gönderenler listesindeki veya engellenen etki alanları listesindeki bir gönderenle eşleştiğinden istenmeyen posta olarak işaretlendi. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
SFV:SKN İleti, istenmeyen posta filtrelemesi tarafından işlenmeden önce istenmeyen posta olarak işaretlendi. Örneğin, ileti bir posta akışı kuralıyla SCL -1 veya İstenmeyen posta filtrelemesini atla olarak işaretlendi.
SFV:SKQ İleti karantinadan çıkarıldı ve hedeflenen alıcılara gönderildi.
SFV:SKS İleti, istenmeyen posta filtrelemesi tarafından işlenmeden önce istenmeyen posta olarak işaretlendi. Örneğin, ileti bir posta akışı kuralı tarafından SCL 5 ile 9 olarak işaretlendi.
SFV:SPM İleti, istenmeyen posta filtrelemesi tarafından istenmeyen posta olarak işaretlendi.
SRV:BULK İleti, istenmeyen posta filtreleme ve toplu şikayet düzeyi (BCL) eşiği tarafından toplu e-posta olarak tanımlandı. MarkAsSpamBulkMail parametresi (Onvarsayılan olarak açıktır) olduğunda, toplu e-posta iletisi istenmeyen posta (SCL 6) olarak işaretlenir. Daha fazla bilgi için bkz. İstenmeyen posta önleme ilkelerini yapılandırma.
X-CustomSpam: [ASFOption] İleti, Gelişmiş İstenmeyen Posta Filtresi (ASF) ayarıyla eşleşmiştir. Her ASF ayarının X üst bilgisi değerini görmek için bkz. Gelişmiş İstenmeyen Posta Filtresi (ASF) ayarları.

Not: ASF, iletiler Exchange posta akışı kuralları (aktarım kuralları olarak da bilinir) tarafından işlendikten sonra iletilere X üst bilgisi alanları eklerX-CustomSpam:, bu nedenle ASF tarafından filtrelenen iletileri tanımlamak ve üzerinde işlem yapmak için posta akışı kurallarını kullanamazsınız.

X-Microsoft-Antispam ileti üst bilgisi alanları

Aşağıdaki tabloda , X-Microsoft-Antispam ileti üst bilgisindeki yararlı alanlar açıklanmaktadır. Bu üst bilgideki diğer alanlar yalnızca Microsoft istenmeyen posta önleme ekibi tarafından tanılama amacıyla kullanılır.

Alan Açıklama
BCL İletinin toplu şikayet düzeyi (BCL). Daha yüksek bir BCL, toplu posta iletisinin şikayet oluşturma olasılığının daha yüksek olduğunu gösterir (ve bu nedenle istenmeyen posta olma olasılığı daha yüksektir). Daha fazla bilgi için bkz. EOP'de toplu şikayet düzeyi (BCL).

Kimlik doğrulama sonuçları ileti üst bilgisi

SPF, DKIM ve DMARC için e-posta kimlik doğrulaması denetimlerinin sonuçları, gelen iletilerde Kimlik doğrulama sonuçları ileti üst bilgisine kaydedilir (damgalı). Kimlik doğrulama sonuçları üst bilgisi RFC 7001'de tanımlanır.

Aşağıdaki listede, her e-posta kimlik doğrulaması denetimi türü için Authentication-Results üst bilgisine eklenen metin açıklanmaktadır:

  • SPF aşağıdaki söz dizimini kullanır:

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Örneğin:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM aşağıdaki söz dizimini kullanır:

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Örneğin:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC aşağıdaki söz dizimini kullanır:

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Örneğin:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Kimlik doğrulama sonuçları ileti üst bilgisi alanları

Aşağıdaki tabloda, her e-posta kimlik doğrulaması denetimi için alanlar ve olası değerler açıklanmaktadır.

Alan Açıklama
action DMARC denetiminin sonuçlarına göre istenmeyen posta filtresi tarafından gerçekleştirilen eylemi gösterir. Örneğin:
  • pct.quarantine: DMARC'den geçmeyen iletilerin %100'den azının yine de teslim edilir olduğunu gösterir. Bu sonuç, iletinin DMARC'de başarısız olduğu ve DMARC ilkesinin olarak p=quarantineayarlandığı anlamına gelir. Ancak pct alanı %100 olarak ayarlanmadı ve sistem, belirtilen etki alanının DMARC ilkesi başına DMARC eylemini uygulamamaya rastgele karar verdi.
  • pct.reject: DMARC'den geçmeyen iletilerin %100'den azının yine de teslim edilir olduğunu gösterir. Bu sonuç, iletinin DMARC'de başarısız olduğu ve DMARC ilkesinin olarak p=rejectayarlandığı anlamına gelir. Ancak pct alanı %100 olarak ayarlanmadı ve sistem, belirtilen etki alanının DMARC ilkesine göre DMARC eylemini uygulamamaya rastgele karar verdi.
  • permerror: DMARC değerlendirmesi sırasında, DNS'de yanlış biçimlendirilmiş bir DMARC TXT kaydıyla karşılaşma gibi kalıcı bir hata oluştu. Bu iletiyi yeniden gönderme girişiminin farklı bir sonuçla bitmesi olası değildir. Bunun yerine, sorunu çözmek için etki alanının sahibine başvurmanız gerekebilir.
  • temperror: DMARC değerlendirmesi sırasında geçici bir hata oluştu. E-postayı düzgün işlemek için gönderenden iletiyi daha sonra yeniden göndermesini isteyebilirsiniz.
compauth Bileşik kimlik doğrulama sonucu. Microsoft 365 tarafından, birden çok kimlik doğrulama türünü (SPF, DKIM ve DMARC) veya iletinin başka bir bölümünü birleştirerek iletinin kimliğinin doğrulanıp doğrulanmadığını belirlemek için kullanılır. Değerlendirmenin temeli olarak Kimden: etki alanını kullanır. Not: Bir compauth hataya rağmen, diğer değerlendirmeler şüpheli bir yapıyı göstermiyorsa iletiye izin verilmeye devam edebilir.
dkim İleti için DKIM denetiminin sonuçlarını açıklar. Olası değerler şunlardır:
  • pass: Geçirilen ileti için DKIM denetimini gösterir.
  • fail (reason): İleti için DKIM denetiminin başarısız olduğunu ve nedenini gösterir. Örneğin, ileti imzalanmamışsa veya imza doğrulanmamışsa.
  • none: İletinin imzalı olmadığını gösterir. Bu sonuç, etki alanının DKIM kaydı olduğunu veya DKIM kaydının bir sonuç olarak değerlendirilmediğini gösterebilir veya göstermeyebilir.
dmarc İleti için DMARC denetiminin sonuçlarını açıklar. Olası değerler şunlardır:
  • pass: Geçirilen ileti için DMARC denetimini gösterir.
  • fail: İleti için DMARC denetiminin başarısız olduğunu gösterir.
  • bestguesspass: Etki alanı için DMARC TXT kaydının mevcut olmadığını gösterir. Etki alanında DMARC TXT kaydı varsa, ileti için DMARC denetimi geçirilirdi.
  • none: DNS'de gönderen etki alanı için DMARC TXT kaydı olmadığını gösterir.
header.d Varsa DKIM imzasında tanımlanan etki alanı. Bu, ortak anahtar için sorgulanan etki alanıdır.
header.from E-posta iletisi üst bilgisindeki adresin 5322.From etki alanı (Kimden adresi veya P2 göndereni olarak da bilinir). Alıcı, e-posta istemcilerinde Kimden adresini görür.
reason Bileşik kimlik doğrulamasının başarılı veya başarısız olmasının nedeni. Değer üç basamaklı bir koddur. Örneğin:
  • 000: İleti açık kimlik doğrulaması (compauth=fail) başarısız oldu. Örneğin, ileti bir DMARC başarısız oldu ve DMARC ilke eylemi veya p=rejectşeklindedirp=quarantine.
  • 001: İleti örtük kimlik doğrulaması (compauth=fail) başarısız oldu. Bu sonuç, gönderen etki alanında yayımlanmış e-posta kimlik doğrulama kayıtlarının olmadığı veya yayımlanmışsa daha zayıf bir hata ilkesine (SPF ~all veya veya ?allDMARC ilkesi) p=nonesahip olduğu anlamına gelir.
  • 002: Kuruluşun gönderen/etki alanı çifti için sahte e-posta göndermesi açıkça yasaklanmış bir ilkesi vardır. Yönetici bu ayarı el ile yapılandırıyor.
  • 010: İleti DMARC'de başarısız oldu, DMARC ilke eylemi veya p=quarantineve p=reject gönderen etki alanı kuruluşunuzun kabul edilen etki alanlarından biridir (kendi kendine veya kuruluş içi kimlik sahtekarlık).
  • 1xx veya 7xx: İleti kimlik doğrulamasından (compauth=pass) geçti. Son iki basamak, Microsoft 365 tarafından kullanılan iç kodlardır. 130 değeri, iletinin kimlik doğrulamasından geçtiğini ve ARC sonucunun bir DMARC hatasını geçersiz kılmak için kullanıldığını gösterir.
  • 2xx: Geçici olarak geçirilen örtük kimlik doğrulaması (compauth=softpass) iletisi. Son iki basamak, Microsoft 365 tarafından kullanılan iç kodlardır.
  • 3xx: İleti bileşik kimlik doğrulaması (compauth=none) için denetlenmedi.
  • 4xx veya 9xx: İleti bileşik kimlik doğrulamasını atladı (compauth=none). Son iki basamak, Microsoft 365 tarafından kullanılan iç kodlardır.
  • 6xx: İleti örtük e-posta kimlik doğrulamasında başarısız oldu ve gönderen etki alanı kuruluşunuzun kabul edilen etki alanlarından biridir (kendi kendine veya kuruluş içi kimlik sahtekarlık).
smtp.mailfrom Adresin 5321.MailFrom etki alanı (POSTA KIMDEN adresi, P1 gönderen veya zarf gönderen olarak da bilinir). Bu e-posta adresi, teslim edilemez raporlar (NDR'ler veya geri dönen iletiler olarak da bilinir) için kullanılır.
spf İleti için SPF denetiminin sonuçlarını açıklar. Olası değerler şunlardır:
  • pass (IP address): Geçirilen ileti için SPF denetimi ve gönderenin IP adresini içerir. İstemci, gönderenin etki alanı adına e-posta gönderme veya aktarma yetkisine sahip.
  • fail (IP address): İleti için SPF denetimi başarısız oldu ve gönderenin IP adresini içeriyor. Bu sonuç bazen sabit başarısız olarak adlandırılır.
  • softfail (reason): SPF kaydı, konağı göndermesine izin verilmediğini ancak geçişte olduğunu belirledi.
  • neutral: SPF kaydı açıkça IP adresinin gönderme yetkisi olup olmadığını onaylamadığını belirtir.
  • none: Etki alanının SPF kaydı yok veya SPF kaydı bir sonuç olarak değerlendirilmez.
  • temperror: Geçici bir hata oluştu. Örneğin, bir DNS hatası. Aynı denetim daha sonra başarılı olabilir.
  • permerror: Kalıcı bir hata oluştu. Örneğin, etki alanının hatalı biçimlendirilmiş bir SPF kaydı vardır.