次の方法で共有

クラウド組織のスパム対策メッセージ ヘッダー

ヒント

Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。

クラウド メールボックスを持つすべての組織で、Microsoft 365 はすべての受信メッセージでスパム、マルウェア、およびその他の脅威をスキャンします。 これらのスキャンの結果は、メッセージの次のヘッダー フィールドに追加されます。

  • X-Forefront-Antispam-Report: メッセージに関する情報とメッセージの処理方法が含まれます。
  • X-Microsoft-Antispam: バルク メールやフィッシングに関する追加情報が含まれます。
  • 認証結果: Sender Policy Framework (SPF)、Domainkeys Identified Mail (DKIM)、ドメインベースのメッセージ認証、レポート、準拠 (DMARC) などの電子メール認証の結果に関する情報が含まれます。

この記事では、これらのヘッダー フィールドで使用できる機能について説明します。

さまざまなメール クライアントでメール メッセージ ヘッダーを表示する方法については、「Outlook のインターネット メッセージ ヘッダーの表示」を参照してください。

ヒント

メッセージ ヘッダーの内容は、コピーしてメッセージ ヘッダー アナライザー ツールに貼り付けることができます。 このツールは、ヘッダーをより読みやすい形式に解析するのに役立ちます。

X-Forefront-Antispam-Report メッセージ ヘッダー フィールド

メッセージ ーヘッダーの情報を取得したら、X-Forefront-Antispam-Report ヘッダーを見つけます。 このヘッダーには、複数のフィールドと値のペアがセミコロン (;)で区切られています。 例:

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

次の表に個々のフィールドと値の説明を示します。

注:

X-Forefront-Antispam-Report ヘッダーには、多くのさまざまなフィールドと値が含まれています。 表に記載されていないフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

フィールド 説明
ARC Authenticated Received Chain (ARC) プロトコルには次のフィールドがあります。
  • AAR: DMARC からの Authentication-results ヘッダーのコンテンツを記録します。
  • AMS: メッセージの暗号化署名が含まれます。
  • AS: メッセージ ヘッダーの暗号化署名が含まれます。 このフィールドには、"cv=" と呼ばれるチェーン検証のタグが含まれます。チェーン検証の結果は、nonepass、または fail として含まれています。
CAT: メッセージに適用される脅威ポリシーのカテゴリ:
  • AMP: マルウェア対策
  • BIMP: ブランド偽装*
  • BULK: バルク
  • DIMP: ドメイン偽装*
  • FTBP: マルウェア対策 の一般的な添付ファイル フィルター
  • GIMP: メールボックス インテリジェンス の偽装*
  • HPHSH または HPHISH: 高精度フィッシング
  • HSPM: 高確度迷惑メール
  • INTOS: フィッシング Intra-Organization
  • MALW: マルウェア
  • OSPM: 送信スパム
  • PHSH: フィッシング詐欺
  • SAP: 安全な添付ファイル*
  • SPM: スパム
  • SPOOF: スプーフィング
  • UIMP: ユーザー偽装*

*Defender for Office 365のみ。

複数の形式の保護と複数の検出スキャンによって、受信メッセージにフラグが設定される場合があります。 ポリシーは優先順位の順に適用され、優先順位が最も高いポリシーが最初に適用されます。 詳細については、「複数の保護方法および検出スキャンがメールで実行される場合に適用されるポリシー」を参照してください。
CIP:[IP address] 接続 IP アドレス。 この IP アドレスは、IP 許可一覧または IP 禁止一覧で使用できます。 詳細については、「接続フィルターを構成する」を参照してください。
CTRY 接続 IP アドレスによって決定される送信元の国/地域。送信元の送信 IP アドレスと同じではない可能性があります。
DIR メッセージの方向:
  • INB: 受信メッセージ。
  • OUT: 送信メッセージ。
  • INT: 内部メッセージ。
H:[helostring] 接続メール サーバーの HELO または EHLO 文字列。
IPV:CAL 送信元 IP アドレスが IP 許可一覧にあるため、メッセージのスパム フィルタリングが省略されました。 詳細については、「接続フィルターを構成する」を参照してください。
IPV:NLI IP アドレスはどの IP 評判リストにも見つかりませんでした。
LANG 国コードで指定されたとおりにメッセージが書き込まれた言語 (たとえば、ロシア語の場合はru_RU)。
PTR:[ReverseDNS] 逆引き DNS 参照とも呼ばれる、送信元の IP アドレスの PTR レコード。
SCL メッセージの SCL (Spam Confidence Level) です。 値が高いほど、メッセージがスパムである可能性が高くなります。 詳細については、「Spam Confidence Level (SCL)」を参照してください。
SFTY メッセージはフィッシングとして識別され、次のいずれかの値でマークされています。
  • 9.19: ドメインの偽装。 送信ドメインが、保護されたドメインを偽装しようとしています。 ドメイン偽装の安全ヒントがメッセージに追加されます (ドメイン偽装が有効になっている場合)。
  • 9.20: ユーザーの偽装。 送信側ユーザーは、受信者のorganizationのユーザー、または Microsoft Defender for Office 365 のフィッシング対策ポリシーで指定された保護されたユーザーを偽装しようとしています。 ユーザー偽装の安全ヒントがメッセージに追加されます (ユーザー偽装が有効になっている場合)。
  • 9.25: 最初の連絡先安全性のヒント。 この値は、疑わしいメッセージやフィッシング メッセージを示している可能性があります。 詳細については、「最初の連絡先安全性のヒント」を参照してください。
SFV:BLK メッセージがユーザーの受信拒否リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージはブロックされました。

管理者がユーザーの [ブロックされた送信者] リストを管理する方法の詳細については、「 クラウド メールボックスで迷惑メール設定を構成する」を参照してください。
SFV:NSPM スパム フィルター処理によってメッセージがスパム以外としてマークされ、メッセージが目的の受信者に送信されました。
SFV:SFE メッセージがユーザーの差出人セーフ リスト内のアドレスから送信されているため、フィルター処理が省略され、メッセージは許可されました。

管理者がユーザーの差出人セーフ リストを管理する方法の詳細については、「 クラウド メールボックスで迷惑メール設定を構成する」を参照してください。
SFV:SKA 送信者がスパム対策ポリシーの許可された送信者リストまたは許可されたドメイン リストに含まれるため、メッセージはスパム フィルタリングが省略され、受信トレイに配信されました。 詳細については、「スパム対策ポリシーの構成」を参照してください。
SFV:SKB メッセージは、スパム対策ポリシーの受信拒否リストまたはブロックされているドメイン リスト内の送信者と一致したため、スパムとしてマークされました。 詳細については、「スパム対策ポリシーの構成」を参照してください。
SFV:SKN スパム フィルター処理によって処理する前に、メッセージが非スパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって、SCL-1 としてマークされた場合、スパム フィルタリングをバイパスする場合などです。
SFV:SKQ メッセージは検疫から解放され、目的の受信者に送信されました。
SFV:SKS メッセージは、スパム フィルター処理によって処理する前にスパムとしてマークされました。 たとえば、メッセージがメール フロー ルールによって SCL 5 から 9 としてマークされた場合などです。
SFV:SPM スパム フィルタリングによって、メッセージがスパムとしてマークされました。
SRV:BULK メッセージは、スパムフィルタリングおよび Bulk Complaint Level (BCL) のしきい値により、バルク メールとして識別されました。 MarkAsSpamBulkMail パラメーターが On の場合 (既定はオン)、バルク メール メッセージは迷惑メール (SCL 6) としてマークされます。 詳細については、「スパム対策ポリシーの構成」を参照してください。
X-CustomSpam: [ASFOption] メッセージは高度なスパム フィルター (ASF) の設定と一致しました。 各 ASF 設定の X ヘッダー値を確認するには、 スパム対策ポリシーの高度なスパム フィルター (ASF) 設定に関するページを参照してください。

: ASF は、Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) がメッセージを処理した後X-CustomSpam: X ヘッダー フィールドをメッセージに追加します。 メール フロー ルールを使用して、ASF によってフィルター処理されたメッセージを識別して処理することはできません。

X-Microsoft-Antispam メッセージ ヘッダー フィールド

次の表に、X-Microsoft-Antispam メッセージ ヘッダー内の便利なフィールドを示します。 このヘッダー内のその他のフィールドは、Microsoft スパム対策チームが診断のために専用で使用します。

フィールド 説明
BCL メッセージの Bulk Complaint Level (BCL)。 BCL が高いほど、バルク メール メッセージが好ましくない内容である可能性が高い (したがって、スパムである可能性が高い) ことを示します。 詳細については、「Bulk Complaint Level (BCL)」を参照してください。

Authentication-results メッセージ ヘッダー

SPF、DKIM、および DMARC のメール認証チェックの結果は、受信メッセージの Authentication-results メッセージ ヘッダーに記録されます。 認証結果ヘッダーは RFC 7001 で定義されています。

次の一覧では、電子メール認証チェックの種類ごとに Authentication-Results ヘッダーに追加されたテキストについて説明します。

  • SPF は以下の構文を使用します。

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<___domain>

    例:

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM は以下の構文を使用します。

    dkim=<pass|fail (reason)|none> header.d=<___domain>

    例:

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC は以下の構文を使用します。

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<___domain>

    例:

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Authentication-results メッセージ ヘッダー フィールド

フィールドと各電子メールの認証チェックに使用される値を次の表に示します。

フィールド 説明
action DMARC チェックの結果に基づいて、スパム フィルターが実行するアクションを示します。 例:
  • pct.quarantine: DMARC を渡さないメッセージの 100% 未満の割合が配信されることを示します。 この結果は、メッセージが DMARC に失敗し、DMARC ポリシーが p=quarantine に設定されたことを意味します。 ただし、pct フィールドは 100% に設定されておらず、システムは、指定されたドメインの DMARC ポリシーに従って DMARC アクションを適用しないとランダムに判断しました。
  • pct.reject: DMARC を渡さないメッセージの 100% 未満の割合が配信されることを示します。 この結果は、メッセージが DMARC に失敗し、DMARC ポリシーが p=reject に設定されたことを意味します。 ただし、pct フィールドは 100% に設定されておらず、システムは、指定されたドメインの DMARC ポリシーに従って DMARC アクションを適用しないとランダムに判断しました。
  • permerror: DMARC 評価中に永続的なエラーが発生しました。たとえば、DNS で DMARC TXT レコードが正しく形成されていません。 このメッセージを再送信しても、別の結果になる可能性はありません。 代わりに、問題を解決するためにドメインの所有者に問い合わせる必要がある場合があります。
  • temperror: DMARC 評価中に一時的なエラーが発生しました。 送信者が後でメッセージを送信すると、メッセージが正しく処理される可能性があります。
compauth 複合認証の結果。 Microsoft 365 では、複数の種類の認証 (SPF、DKIM、DMARC) とメッセージの他の部分を組み合わせて、メッセージが認証されているかどうかを判断します。 評価の基準として、差出人: ドメインを使用します。 : compauth エラーにもかかわらず、他の評価が疑わしい性質を示していない場合、メッセージは引き続き許可される可能性があります。
dkim メッセージの DKIM チェックの結果についての説明。 次の値を指定できます。
  • pass: メッセージの DKIM チェックにパスしたことを示します。
  • fail (理由): メッセージの DKIM チェックに失敗したことと、その理由を示します。 たとえば、メッセージが署名されていなかったり、署名が検証されなかったりした場合です。
  • none: メッセージが署名されなかったことを示します。 この結果は、ドメインに DKIM レコードがあるか、DKIM レコードが結果に評価されないことを示している場合とそうでない場合があります。
dmarc メッセージの DMARC チェックの結果についての説明。 次の値を指定できます。
  • pass: メッセージの DMARC チェックにパスしたことを示します。
  • fail: メッセージの DMARC チェックに失敗したことを示します。
  • bestguesspass: ドメインに DMARC TXT レコードが存在しないことを示します。 ドメインに DMARC TXT レコードがある場合、メッセージの DMARC チェックが渡されます。
  • none: DNS に送信側ドメインの DMARC TXT レコードが存在していないことを示します。
header.d DKIM 署名で識別されたドメイン (存在する場合)。 このドメインは、公開キーに対してクエリされます。
header.from 電子メール メッセージ ヘッダーの From アドレスのドメイン ( 5322.From アドレスまたは P2 送信者とも呼ばれます)。 受信者には、メール クライアントの From アドレスが表示されます。
reason 複合認証が成功または失敗した理由。 値は 3 桁のコードです。 詳細については、「 複合認証理由コード 」セクションを参照してください。
smtp.mailfrom MAIL FROM アドレスのドメイン ( 5321.MailFrom アドレス、P1 送信者、またはエンベロープ送信者とも呼ばれます)。 このメール アドレスは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) に使用されます。
spf メッセージの SPF チェックの結果を記述します (メッセージ ソースがドメインの SPF レコードに含まれているかどうか)。 次の値を指定できます。
  • pass (IP address): メッセージ ソースは、ドメインの SPF レコードに含まれます。 ソースは、ドメインの電子メールを送信または中継する権限を持つ。
  • fail (IP address): ハード フェイルとも呼ばれます。 メッセージ ソースはドメインの SPF レコードに含まれず、ドメインは宛先メール システムにメッセージを拒否するように指示します (-all)。
  • softfail (reason): ソフト フェイルとも呼ばれます。 メッセージ ソースはドメインの SPF レコードに含まれず、ドメインはメッセージを受け入れてマークするように宛先メール システムに指示します (~all)。
  • neutral: メッセージ ソースはドメインの SPF レコードに含まれず、ドメインは宛先にメッセージの特定の命令 (?all) を提供しません。
  • none: ドメインに SPF レコードがないか、SPF レコードが結果に対して評価されないことを示します。
  • temperror: 一時的なエラーが発生しました。 たとえば、DNS エラーです。 同じチェックが後で成功する場合があります。
  • permerror: 永続的なエラーが発生しました。 たとえば、ドメインに不正な形式の SPF レコードがある場合などです。

複合認証理由コード

次の表では、compauth結果で使用される 3 桁のreason コードについて説明します。

ヒント

電子メール認証の結果とエラーを修正する方法の詳細については、「 Microsoft 365 での電子メール認証のセキュリティ操作ガイド」を参照してください。

理由コード 説明
000 メッセージが明示的な認証 (compauth=fail) に失敗しました。 メッセージが DMARC に失敗し、DMARC ポリシー アクションが p=quarantine または p=reject
001 メッセージが暗黙的な認証 (compauth=fail) に失敗しました。 送信側ドメインに電子メール認証レコードが発行されていないか、発行された場合は、障害ポリシー (SPF ~all または ?all、または DMARC ポリシーの p=none) がありました。
002 organizationには、なりすましメールの送信を明示的に禁止する送信者とドメインのペアに対するポリシーがあります。 管理者がこの設定を手動で構成します。
010 メッセージが DMARC に失敗し、DMARC ポリシー アクションがp=rejectまたはp=quarantineされ、送信側ドメインはorganizationの承認済みドメインの 1 つです (自己自己または組織内のスプーフィング)。
1xx 明示的または暗黙的な認証 (compauth=pass) が渡されたメッセージ。
  100 SPF が渡されるか、DKIM が渡され、MAIL FROM アドレスと From アドレス内のドメインがアラインされます。
  101 メッセージは、From アドレスで使用されるドメインによって署名された DKIM でした。
  102 MAIL FROM と From アドレス ドメインがアラインされ、SPF が渡されました。
  103 送信元アドレス ドメインは、ソース IP アドレスに関連付けられている DNS PTR レコード (逆引き参照) と一致します
  104 ソース IP アドレスに関連付けられている DNS PTR レコード (逆引き参照) は、送信元アドレス ドメインと一致します。
  108 DKIM は、以前の正当なホップに起因するメッセージ本文の変更のために失敗しました。 たとえば、メッセージ本文は、organizationのオンプレミスの電子メール環境で変更されました。
  109 送信者のドメインに DMARC レコードはありませんが、メッセージは渡されます。
  111 DMARC の一時的なエラーまたは永続的なエラーにもかかわらず、SPF または DKIM ドメインは From アドレス ドメインと一致します。
  112 DNS タイムアウトにより、DMARC レコードが取得されなくなります。
  115 メッセージは Microsoft 365 organizationから送信され、送信元アドレス ドメインが承認済みドメインとして構成されています。
  116 From アドレス ドメインの MX レコードは、接続 IP アドレスの PTR レコード (逆引き参照) と一致します。
  130 信頼できる ARC シーラーが DMARC エラーをオーバーロードした結果、ARC が発生します。
2xx メッセージの論理的に渡された暗黙的な認証 (compauth=softpass)。
  201 From アドレス ドメインの PTR レコードは、接続 IP アドレスの PTR レコードのサブネットと一致します。
  202 From アドレス ドメインは、接続 IP アドレスの PTR レコードのドメインと一致します。
3xx メッセージが複合認証 (compauth=none) に対してチェックされませんでした。
4xx メッセージは複合認証 (compauth=none) をバイパスしました。
501 DMARC は適用されませんでした。 メッセージは有効な配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) であり、送信者と受信者の間の連絡先は以前に確立されています。
502 DMARC は適用されませんでした。 メッセージは、このorganizationから送信されたメッセージの有効な NDR です。
6xx メッセージが暗黙的な電子メール認証 (compauth=fail) に失敗しました。
  601 送信側ドメインは、organizationの承認済みドメインです (自己対自己または組織内のスプーフィング)。
7xx メッセージは暗黙的な認証 (compauth=pass) を渡しました。
  701-704 DMARC は適用されませんでした。このorganizationには、送信インフラストラクチャから正当なメッセージを受信した履歴があるためです。
9xx メッセージは複合認証 (compauth=none) をバイパスしました。
  905 DMARC は、複雑なルーティングのために強制されませんでした。 たとえば、インターネット メッセージは、Microsoft 365 に到達する前に、オンプレミスの Exchange 環境または Microsoft 以外のサービスを介してルーティングされます。