如何识别 Office 365 收件人发送垃圾邮件的事件？

我们的一位 Office 365 收件人抱怨他发送给外部收件人的电子邮件被阻止或被归类为“垃圾邮件”。我们的基本假设是问题与“Office 365 基础设施”有关，他们应该立即解决问题！

在下面的文章中，我们将学习如何识别 Office 365 收件人发送垃圾邮件（出站垃圾邮件）的事件。

常见问题解答：Office 365 收件人发送垃圾邮件

Q1：您是否允许自己考虑邮件确实是“垃圾邮件”的可能性？

A1：从技术上讲，有很多“原因”会导致我们的 Office 365 收件人发送的电子邮件被归类为垃圾邮件的情况。

可能的情况可能是：

• 代表收件人发送电子邮件的网络的 IP 地址。
• 代表邮件服务器的 IP 地址，该服务器将邮件传送到目标收件人。
• 电子邮件内容，例如包含受感染网站 URL 地址的“营销内容”或电子邮件签名。
• 批量邮件的场景，其中特定收件人发送数百或数千封电子邮件。
• 出现在黑名单中的域名。
• 黑名单中列出的用户电子邮件地址。
• 应用于邮件目标基础结构（代表目标收件人的邮件服务器）的安全邮件设置。
• 目标收件人使用的安全邮件设置，例如收件箱规则、防病毒等。

底线是 - 有许多不同的“原因”导致我们的 Office 365 收件人发送的电子邮件被归类为垃圾邮件的情况。

我们需要了解这些不同的“案例”，并熟悉故障排除方法，这将使我们能够排除一些“案例”，直到找到问题的具体“原因”。

例如，在 Office 365 收件人发送的电子邮件被外部收件人识别为垃圾邮件的情况下。

问题2：Office 365 (Exchange Online) 是否对 Office 365 收件人发送的邮件实施“垃圾邮件检测”？

A2：是的，Office 365 和 Exchange Online 充当许多公司和组织的“邮件平台”。因此，Exchange Online 不仅对传入电子邮件强制执行“垃圾邮件检查”，而且对传出电子邮件也强制执行“垃圾邮件检查”。简而言之，Office 365 收件人发出的每封电子邮件都会被发送到垃圾邮件检查。

问题3：如果 Exchange Online 将特定出站邮件分类为“垃圾邮件”，那么该“垃圾邮件”会发生什么情况？

A3：大多数情况下，如果 Office 365 收件人发送的电子邮件经过“垃圾邮件检查”后被归类为垃圾邮件，Exchange Online 不会阻止或删除该电子邮件。

相反，Exchange Online 将实施两项操作：

1. 使用较高的数字标记电子邮件的 SCL 值，用于警告对方该电子邮件很可能是垃圾邮件。
2. 通过名为“高风险风险传递池”的特殊 Exchange 服务器池发送电子邮件。

高风险交付池

术语“高风险风险传递池”定义了一个特定的 Exchange Online，用于发送 Office 365 收件人发送的“有问题的电子邮件”。

我想强调的另一点是，当我们使用术语“Exchange Online 将出站电子邮件识别为垃圾邮件”时，我们无法 100% 确定这确实是垃圾邮件，因为在某些情况下误报，即合法电子邮件被错误地识别为垃圾邮件。

在 Exchange Online 垃圾邮件筛选器将特定电子邮件识别为“垃圾邮件”的大多数情况下，这种分类是有真正原因的。

补充阅读：

• 高风险交割池和在线交易所|第 9 部分#17
• 高风险交割池和在线交易所|第 10 部分#17

SCL

术语 SCL 代表 - 垃圾邮件置信度。在基于 Exchange 的环境中，Exchange 使用 SCL 作为提供有关特定电子邮件项目的“垃圾邮件级别”信息的方法。 SCL 值范围在 -1 到 9 之间。

SCL 值为 3 或更大表示电子邮件存在与垃圾邮件相关的“某些问题”。

Q4：是否有一个选项可以让我收到有关此类事件的通知或检测此类事件的痕迹或线索？

A4：Exchange Online 使我们能够定义指定收件人的电子邮件地址，如果 Exchange Online 将 Office 365 收件人发送的电子邮件识别为“垃圾邮件”，则该收件人将收到通知”并通过“高风险传递池”服务器路由电子邮件。

通知指定收件人有关出站垃圾邮件的事件

如前所述，在基于 Exchange Online 的环境中，Office 365 收件人发送的每封电子邮件都会自动发送到垃圾邮件过滤器以进行进一步检查。

如果垃圾邮件过滤器“判定”该特定电子邮件是垃圾邮件，则该电子邮件的 SCL 值将被提高，并且该电子邮件将被转发到“高风险风险投递池”服务器。

主要问题是，其邮件被识别为垃圾邮件的收件人和我们（Exchange Online 管理员）都不知道此事件。

换句话说，默认情况下，接收者不会知道这个问题。只是事后看来，电子邮件将被 Outlook 发送到目标收件人并到达垃圾邮件文件夹或被阻止。

好消息是，Exchange Online 使我们能够配置以下与出站垃圾邮件（由 Office 365 收件人发送的垃圾邮件）相关的选项。

1. 要求 Exchange Online 将每封被识别为垃圾邮件的外发电子邮件的副本发送给指定收件人。
2. 要求 Exchange Online 向指定收件人发送有关 Exchange Online 阻止特定 Office 365 收件人的事件的通知。

此设置的优点是我们可以收到有关出站垃圾邮件事件的早期警告。

缺点是，目前，Exchange Online 不包含向指定收件人发送事件报告（其中包含“垃圾邮件”副本）的选项。
相反，Exchange Online 会发送出站事件报告的副本垃圾邮件发送至指定收件人。

当电子邮件到达指定收件人时，该电子邮件将自动保存在垃圾邮件文件夹中（因为 SCL 值较高）。此外，从指定收件人的角度来看，很难理解他收到的电子邮件是另一个 Office 365 收件人发送的“副本”。

如何配置出站垃圾邮件 Exchange Online 设置

• 登录 Exchange Online 管理门户
• 在左侧菜单栏上，选择菜单 - 保护
• 在顶级菜单栏上，选择菜单 - 出站垃圾邮件。

• 选择菜单出站垃圾邮件首选项

在出站垃圾邮件首选项部分中，选择以下选项：

将所有可疑出站电子邮件的副本发送到以下电子邮件地址。

指定将接收所有可疑出站邮件副本的管理员的一个或多个电子邮件地址。您可以用分号分隔多个地址。

在我们的示例中，Exchange Online 管理员是 Brad。

当发件人被阻止发送出站垃圾邮件时，向以下一个或多个电子邮件地址发送通知。

指定将收到有关 Exchange Online 阻止特定 Office 365 收件人发送出站电子邮件的事件的电子邮件通知的管理员的电子邮件地址。

模拟 Office 365 收件人出站垃圾邮件的场景

在上一节中，我们回顾了如何配置 Exchange Online 出站垃圾邮件设置的过程。

我们知道的核心问题是——我们如何知道这个设置确实有效？

在本节中，我想向您展示一个小技巧，我们可以用它来模拟垃圾邮件。该技巧通过发送包含特定文本字符串的电子邮件来实现。

当 Exchange Online 收到带有特定文本字符串的电子邮件时，他被配置为将该电子邮件识别为“垃圾邮件”。

使用这种模拟垃圾邮件的方法，使我们能够测试 Exchange Online 出站垃圾邮件设置，此外还使我们能够了解 Exchange Online 如何对出站垃圾邮件事件进行“反应”。

注意：如果您想了解更多有关模拟垃圾邮件过程的信息，可以阅读文章如何模拟垃圾邮件？。

模拟垃圾邮件

在下面的例子中，我们将进行以下测试

在我们的场景中，Bob 是发送出站垃圾邮件的 Office 365 收件人。
我们将登录 Bob 的邮箱并发送垃圾邮件。

我们期望 Exchange Online 垃圾邮件过滤器能够“捕获”此事件，并且作为响应，出站垃圾邮件的副本将发送给我们的 Exchange Online 管理员 Brad。

• 登录Bob的邮箱

通过使用 Bob 邮箱，我们创建一个新的电子邮件，并向该电子邮件添加以下文本字符串

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

当电子邮件到达 Exchange Online 时，该电子邮件将被发送到垃圾邮件过滤器以进行进一步检查。

该电子邮件被识别为垃圾邮件。

Exchange Online 将电子邮件的副本发送给在上一节中配置的指定收件人 - 通知指定收件人有关出站垃圾邮件的事件。

结果，出站垃圾邮件的副本被发送给 Brad。
请注意，该电子邮件被发送到垃圾邮件文件夹，因为该电子邮件具有较高的 SCL 值。

使用 Exchange Online 邮件跟踪获取有关出站垃圾邮件时可能发生的事件的信息

在 Exchange Online 识别出特定外发电子邮件为“垃圾邮件”的情况下，该电子邮件将被转发到“高风险风险传递池”服务器。

Exchange Online 日志文件中记录了“将电子邮件转发到“高风险传递池”服务器”的事件。

换句话说，如果外发电子邮件是通过“高风险风险传递池”发送的，我们可以使用 Exchange 跟踪特定电子邮件的踪迹。在线消息追踪。

我们的场景角色

在我们的场景中，我们怀疑名为 Bob 的用户之一（使用电子邮件地址 [email protected]） 发送的电子邮件被 Exchange Online 识别为垃圾邮件（出站）垃圾邮件）。
因此，电子邮件被“路由”到“高风险风险传递池”服务器。

此外，我们已经配置了 Exchange Online 出站垃圾邮件策略，以将电子邮件等副本发送给指定收件人 - Brad（我们的 Exchange Online 管理员）。

为了能够演示如何在 Exchange Online 日志中记录此“出站垃圾邮件事件”，我们将执行以下步骤：

1. 模拟出站垃圾邮件事件 - 我们将从 Bob 的邮箱发送一封电子邮件，其中包含特定的文本字符串，该字符串将被 Exchange Online 识别为“垃圾邮件”。
2. 使用 Exchange Online 消息跟踪 - 我们将使用 Exchange Online 消息跟踪来查看 Exchange Online 日志文件并查找有关此特定事件的更多详细信息。

使用 Exchange Online 邮件跟踪

• 登录 Exchange Online 管理中心
• 在左侧菜单栏上，选择菜单 - 邮件流
• 在顶部菜单栏上，选择菜单 - 消息跟踪

在我们的特定场景中，我们希望获得有关 Bob 发送的电子邮件的更多信息。

• 选择选项 -添加发件人...
• 选择特定的收件人姓名（在我们的场景中为 [email protected]）。

• 选择选项 - 添加 ->
• 选择选项 - 确定

• 选择选项 - 搜索

在我们的方案中，我们已配置出站垃圾邮件首选项，以便每次 Exchange Online 捕获一个邮件时，将被识别为出站垃圾邮件的电子邮件副本发送给指定收件人（Brad，我们的 Exchange Online 管理员）。内部欺骗邮件事件。

在下面的屏幕截图中，我们可以看到搜索结果。

当 Office 365 收件人向目标收件人 ([email protected]) 发送“外发垃圾邮件”时，该事件会记录并保存到 Exchange Online 日志文件中。

我们可以看到有两个独立的事件。

当 Exchange Online 垃圾邮件过滤器将 Bob 发送的电子邮件识别为“垃圾邮件”时，会同时发生两个不同的事件：

1. 将电子邮件发送给目标收件人（号码 1）。
2. 将电子邮件的副本发送给指定收件人，在我们的场景中是 Brad（编号 2）。

Exchange Online 日志文件和 Exchange Online 邮件跟踪最明显的优势之一是我们能够获取有关所记录的每个邮件事务的非常详细的信息。

在我们的示例中，我们希望获得有关 Exchange Online 将 Bob 的电子邮件发送到目标收件人（外部 Gmail 收件人）的事件的更多信息。

当我们双击包含 Bob 发送给外部收件人的电子邮件信息的日志行时，我们可以看到以下详细信息：

我要强调的第一个细节是“垃圾邮件”已成功发送到目标收件人 (A)。
如上所述，Exchange Online 不会删除或阻止标识为出站垃圾邮件，而是将电子邮件路由到“高风险风险传递池”。

在信息窗口的底部，我们可以看到有关特定电子邮件交易的更多详细信息（B）。

在我们的方案中，我们配置默认的 Exchange Online 出站垃圾邮件策略，将被识别为垃圾邮件的电子邮件副本发送给指定收件人 (Brad)。

此事件在 Exchange Online 日志文件中注册为：

Reason: [{LED=250 2.0.0 Spam filter added recipients ?(redirect/bcc)?};{MSG=};{FQDN=};{IP=};{LRT=}]

事件 2 - 将出站垃圾邮件路由至“高风险风险传递池”服务器。

因为被归类为“有问题的电子邮件”的电子邮件，Exchange Online 不会删除该电子邮件，而是将其发送到 - 高风险传递池服务器。

在外发邮件中查找 - SFP:1501 的值

在本节中，我们将回顾一个其他有趣的“证据”，说明 Exchange Online 将特定的传出电子邮件识别为“垃圾邮件”，因此，将电子邮件路由到“高风险风险”交付池”服务器。

例如，让我们回到最初的场景 - 我们的一位 Office 365 收件人抱怨他发送给外部收件人的电子邮件被阻止或被归类为“垃圾邮件”。

我们怎样才能知道这个问题的真正原因是什么？

• 目标收件人的邮件服务器是否决定将电子邮件分类为垃圾邮件？
• 目标收件人防病毒软件是否决定将电子邮件分类为垃圾邮件？
• 也许我们的 Office 365 收件人发送的电子邮件确实是垃圾邮件？

如果我们正在处理这样一种情况，即 Exchange Online 垃圾邮件过滤器扫描 Office 365 收件人发送的传出电子邮件并决定将电子邮件分类为“垃圾邮件”，则该电子邮件将被通过“高风险风险交付池”服务器发送。

此外，Exchange Online 会将以下信息添加到电子邮件标头中。

1. SCL 的值 - Exchange Online 会将 SCL 值提高到
   2-9 范围内的值（具体数字根据特定电子邮件的“垃圾邮件级别”添加）。
2. Exchange 将以下值 - SFP:1501 添加到名为 - X-Forefront-Antispam-Report标头/跨度>

关于 - SFP:1501 值的有趣观察

有趣的是，目前关于这个“Exchange Online 值”的信息并不多，也没有关于这个值代表什么的详细描述。

鉴于我们将能够获得发送到目标收件人的电子邮件的副本，通过分析电子邮件标头中出现的信息，我们可以找到此类事件的痕迹，并且在以下情况下如果我们没有找到这样的痕迹，我们可以假设该电子邮件被另一个元素分类为垃圾邮件。

为了能够查看电子邮件标头中保存的“隐藏信息”，我们将使用 Microsoft 基于 Web 的工具 - Exchange 远程连接分析器。

场景描述

为了能够演示此类事件，我们将使用以下场景：

我们将使用 Bob 的邮箱（Office 365 收件人）发送电子邮件，该电子邮件将被 Exchange 垃圾邮件过滤器识别为“出站垃圾邮件”。

我们期望 Exchange Online 垃圾邮件过滤器能够“捕获”此事件并执行以下过程：

1. 将电子邮件重新路由至“高风险风险传递池”服务器。
2. 提高特定电子邮件的 SCL 值
3. 将以下值 - SFP:1501 添加到电子邮件标头

在我们的场景中，Bob 将“垃圾邮件”发送给 Gmail 收件人。

在下面的屏幕截图中，我们可以看到电子邮件已成功发送到 Gmail 目标收件人。

为了能够在使用 Gmail 帐户时分析电子邮件标头，需要使用以下步骤：

• 在电子邮件的“右侧部分”，点击小箭头
• 选择菜单 - 显示原始内容

在下面的屏幕截图中，我们可以看到电子邮件标头的内容。

我们需要复制电子邮件标题的实质内容。

• 选择键盘组合键 - CTRL + A（全选）
• 选择键盘组合键 - CTRL + C（复制）

在此步骤中，我们将使用 Microsoft 基于 Web 的工具 - Exchange Remote Connectivity Analyzer 来分析电子邮件标头中的信息。

• 访问 Exchange 远程连接分析器
• 选择选项卡 - 消息分析器
• 粘贴上一步中复制的信息（电子邮件标题内容）。

• 单击 - 分析标题

在下面的屏幕截图中，我们可以看到名为x-forefront-antispam-report的邮件标头的内容。

SPF:150 的值“告诉我们”特定电子邮件是通过“高风险风险传递池”服务器路由的。

此外，我们还可以看到电子邮件的 SCL 值为 - 9。

如果您想通过模拟 Office 365 发送垃圾邮件的场景来测试您的 Exchange Online 基础结构并验证事件流，您可以阅读文章如何模拟垃圾邮件？

如果您想阅读有关“高风险交付池和在线交易所”主题的更多信息，您可以阅读以下文章：

• 高风险交割池和在线交易所|第 9 部分#17
• 高风险交割池和在线交易所|第 10 部分#17