В Microsoft Exchange Server 2007 марки для борьбы с нежелательной почтой позволяют диагностировать проблемы, связанные с нежелательными сообщениями, при помощи диагностических метаданных, или марок, например, сведений об отправителе, результатов проверки задачи, результатов фильтрации содержимого, которые применяются к сообщениям, проходящим через функции защиты от нежелательной почты при фильтрации входящих сообщений из Интернета.
В этом разделе рассказано, как просмотреть марки для борьбы с нежелательной почтой, а также описаны различные марки: отчет о нежелательной почте, марка вероятности фишинга, марка вероятности нежелательной почты (SCL), марка кода отправителя.
Марки можно использовать как средства диагностики, чтобы определить, какие действия следуют предпринять в случае возникновения ошибочно положительных оценок для сообщений, которые человек получает в почтовый ящик и которые могут быть нежелательными.
Просмотр марок для борьбы с нежелательной почтой
Марки для борьбы с нежелательной почтой можно просмотреть при помощи Microsoft Office Outlook 2007. Для получения дополнительных сведений о просмотре марок см. раздел Просмотр меток защиты от нежелательной почты в Outlook 2007.
Отчет о нежелательной почте
Отчет о нежелательной почте — это итоговый отчет по результатам применения фильтра нежелательной почты к сообщению электронной почты. Агент фильтра содержимого добавляет эту марку к конверту сообщения в виде X-заголовка следующим образом:
Копировать код | |
---|---|
X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance |
В таблице 1 описаны сведения фильтра, которые могут указываться в отчете о нежелательной почте.
Примечание. |
---|
Отчет о нежелательной почте содержит только сведения,
полученные от фильтров, через которые прошло данное сообщение.
Обычно отчет содержит не все сведения, приведенные в таблице 1.
Например, отчет о нежелательной почте может выглядеть следующим
образом: DV:3.1.3924.1409;SID:SenderIDStatus
Fail;PCL:PhishingLevel
SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures . |
Таблица 1 Сведения фильтров в отчете о нежелательной почте
Марка | Описание |
---|---|
SID |
Марка кода отправителя (SID) основывается на системе политики
отправителя (SPF), которая определяет использование доменов в
сообщениях электронной почты. SPF отображается в конверте сообщения
в виде
Для получения дополнительных сведений о коде отправителя см. раздел Код отправителя. |
DV |
Марка версии DAT (DV) показывает версию файла описания нежелательной почты, использованного при проверке сообщения. |
SA |
Марка действий по отношению к подписи (SA) показывает, что сообщение было либо восстановлено, либо удалено на основании подписи, присутствующей в сообщении. |
SV |
Марка версии подписи DAT (SV) показывает версию файла подписи, использованного при проверке сообщения. |
PCL |
Уровень вероятности фишинга (PCL) сообщения может принимать следующие значения (они основываются на марке PCL, описанной в этом разделе далее):
Outlook использует марку PCL для блокирования содержимого подозрительных сообщений. |
SCL |
Уровень вероятности нежелательной почты (SCL) показывает оценку сообщения на основании его содержимого. SCL принимает значение от 0 до 9, где 0 — наименьшая вероятность того, что сообщение нежелательное, а 9 — наибольшая вероятность. Действия Exchange Server и Outlook зависят от параметров порогов SCL. Для получения дополнительных сведений о порогах SCL см. раздел Настройка порога вероятности нежелательной почты. |
CW |
Пользовательский вес (CW) сообщения говорит о том, что сообщение содержало неразрешенное слово или фразу, и что значение SCL, или «вес», этого неразрешенного слова или фразы было использовано при вычислении итоговой оценки SCL:
Для получения дополнительных сведений о добавлении утвержденных и неразрешенных слов и фраз в агент фильтра содержимого см. раздел Инструкции по настройке фраз разрешения или блокировки для функции фильтрации содержимого. |
PP |
Марка предварительно решенной задачи (PP) показывает, что если сообщение отправителя содержит верную, разрешенную компьютерную почтовую марку, основывающуюся на функциях проверки почтовых марок Outlook, отправитель вряд ли является злоумышленником. В этом случае агент фильтра содержимого снижает оценку SCL. Агент фильтра содержимого не снижает оценку SCL, если включена функция проверки почтовой марки и при этом выполняются следующие условия:
Для получения дополнительных сведений о проверке почтовых марок см. раздел Включение и отключение функции проверки почтовой марки Outlook. |
TIME: TimeBasedFeatures |
Марка TIME показывает, что с момента отправки сообщения и до момента его доставки прошло значительное количество времени. Марка TIME используется для определения конечной оценки SCL для сообщения. |
MIME:MIMECompliance |
Марка MIME показывает, что сообщение электронной почты не соответствует стандарту MIME. |
P100:PhishingBlock |
Марка P100 показывает, что сообщение содержит URL-адрес, указанный в файле определения фишинга. |
IPOnAllowList |
Марка IPOnAllowList показывает, что IP-адрес не включен в список разрешенных IP-адресов. Для получения дополнительных сведений о списке разрешенных IP-адресов см. раздел Фильтрация подключений. |
MessageSecurityAntispamBypass |
Марка MessageSecurityAntispamBypass показывает, что содержимое сообщения не проходило через фильтры и что отправитель получил разрешение не проходить фильтры нежелательной почты. |
SenderBypassed |
Марка SenderBypassed показывает, что агент фильтра содержимого не проводит фильтрацию содержимого для сообщений, получаемых от этого отправителя. Для получения дополнительных сведений см. раздел Инструкции по определению исключений получателя и отправителя для фильтрации содержимого. |
AllRecipientsBypassed |
Марка AllRecipientsBypassed показывает, что одно из следующих условий выполняется для всех получателей, указанных в сообщении:
|
Марка уровня вероятности фишинга
Вероятность фишинга — это свойство, которое Microsoft Exchange применяет к каждому сообщению электронной почты при его обработки агентом фильтрации содержимого. Отметка вероятности фишинга указывается в виде X-заголовка в конверте сообщения, как описано ниже.
Копировать код | |
---|---|
X-MS-Exchange-Organization-PCL:<status> |
Марка PCL показывает оценку сообщения на основании его содержимого. Значение PCL варьируется от 1 до 8. Это значение используется для того, чтобы определить, какое действие Outlook должен выполнить по отношению к сообщению. Outlook использует марку PCL для фильтрации содержимого подозрительных сообщений. При оценке PCL от 1 до 3 в отчете о нежелательной почте указывается состояние Neutral (нейтральное). Это означает, что содержимое сообщение вряд ли связано с фишингом. При оценке PCL от 4 до 8 в отчете о нежелательной почте указывается состояние Suspicious (подозрительное). Это означает, что сообщение, скорее всего, является результатом фишинга.
Марка уровня вероятности нежелательной почты
Марка уровня вероятности нежелательной почты (SCL) показывает оценку сообщения на основании его содержимого. Марка SCL указывается в виде X-заголовка в конверте сообщения следующим образом:
Копировать код | |
---|---|
X-MS-Exchange-Organization-SCL:<status> |
Агент фильтра содержимого использует технологию Microsoft SmartScreen для доступа к содержимому сообщения и выдачи оценки SCL каждому сообщению. Значение SCL варьируется от 0 до 9, где 0 — низкая вероятность того, что сообщение нежелательное, а 9 — высокая вероятность. Действия Exchange Server и Outlook зависят от параметров порогов SCL. Для получения дополнительных сведений о порогах SCL и действиях см. раздел Настройка порога вероятности нежелательной почты.
Марка кода отправителя
Марка кода отправителя основывается на системе политики
SPF, которая определяет использование доменов в сообщениях
электронной почты. SPF отображается в конверте сообщения в виде
Received-SPF
. Марка кода отправителя указывается в
виде X-заголовка в конверте сообщения следующим образом:
Копировать код | |
---|---|
X-MS-Exchange-Organization-SenderIdResult:<status> |
Процесс анализа кода отправителя формирует состояние кода отправителя для сообщения. Это состояние может принимать одно из следующих значений:
- Pass Пара IP-адреса и обозначенного
ответственного домена передается на проверку идентификатора
отправителя.
- Neutral Проверка идентификатора
отправителя закончилась безрезультатно.
- Soft fail Возможно, IP-адрес не указан
в системе политики отправителя. Softfail считается менее надежным,
чем Neutral.
- Fail IP-адрес не указан в системе
политики отправителя.
- None Опубликованных данных системы
политики отправителя не существует в DNS отправителя.
- TempError. Временный сбой DNS, например,
недоступный сервер DNS.
- PermError. Неверная запись DNS,
например ошибка в формате записи.
Для получения дополнительных сведений о настройке коде отправителя см. раздел Настройка идентификатора отправителя.
Дополнительные сведения
Для получения дополнительных сведений о фильтрации содержимого см. следующие разделы:
Для получения дополнительных сведений о коде отправителя см. следующие разделы: