邮件分析原因
本文阐述实时邮件追踪器分析模块中显示的各项检测原因。
|
URL及附件检测
|
原因 |
说明 |
|---|---|
|
反病毒引擎检测 |
网格 反病毒/反恶意软件引擎检测到已知/相似的特征码/威胁。 |
|
沙箱检测 |
网格 动态沙箱引擎在引爆邮件及/或其附件后判定为恶意。 |
|
URL - 恶意软件 |
邮件中的URL被检测为恶意软件。 |
|
URL - 钓鱼 |
邮件中的URL被检测为钓鱼。 |
|
RBL - URL |
邮件中的URL被实时黑名单(RBL)收录。 |
|
RBL - 其他 |
邮件的IP地址或其他组成部分被RBL收录。 |
认证原因 - SPF/DKIM/DMARC
|
原因 |
说明 |
|---|---|
|
SPF-失败 |
入站邮件的发送IP未通过发件人策略框架(SPF)检查。 |
|
SPF-软失败 |
入站邮件的发送IP检测失败,但根据发件人记录被视为“软失败”。 |
|
SPF-永久错误 |
发送域的SPF记录配置错误或无法解析,产生“永久错误”。 |
|
SPF-中立 |
发件人的SPF记录处于“中立”模式。 |
|
SPF-通过 |
发件人的信封发件域已通过SPF检查。 |
|
SPF-无记录 |
发件人无SPF记录或域名无法解析 |
|
DKIM-失败 |
入站邮件未通过域名密钥识别邮件(DKIM)完整性检查。 |
|
DKIM-临时失败 |
入站邮件的DKIM记录无法检索或验证。 |
|
DKIM-中立 |
入站邮件的邮件头中返回了DKIM=neutral判定。这可能是由于配置错误或失败所致。 |
|
DKIM-通过 |
入站邮件已通过DKIM完整性检查。 |
|
DKIM-无 |
发件人未配置DKIM。 |
|
DMARC-失败 |
入站邮件未通过基于域的消息认证(DMARC)检查。 |
|
DMARC-软失败 |
入站邮件未通过DMARC检查,但发送域的操作设置为“none”。 |
|
DMARC-永久错误 |
发送域的DMARC配置错误或无法解析,产生“PermError”。 |
|
DMARC-临时错误 |
入站邮件的DMARC记录无法检索或验证。 |
|
DMARC-通过 |
入站邮件已通过DMARC检查。 |
|
DMARC-无 |
发件人未配置DMARC。 |
内容检测
|
原因 |
说明 |
|---|---|
|
内容 - 419诈骗 |
邮件包含与财务相关的欺诈/大额资金/遗产骗局内容。 |
|
内容 - 商业电邮诈骗 |
商业电邮诈骗(BEC)是指看似来自已知或可信来源并提出合法请求的邮件。通常这表明存在冒充行为。 |
|
内容 - 品牌冒充 |
邮件包含冒充收件人公司品牌的内容。 |
|
内容 - 加密货币 |
邮件提及加密货币,通常与勒索/性勒索诈骗相关。 |
|
内容 - 规避性 |
邮件内容被混淆/遮蔽。 |
|
内容 - 露骨 |
邮件包含不适合工作场合的露骨内容。 |
|
内容 - 金融 |
邮件包含金融相关材料。 |
|
内容 - 同形异义字 |
邮件包含同形异义字攻击或使用多种字母体系的字符。 |
|
内容 - 信息邮件 |
邮件包含“信息邮件”内容,如新闻简报或自动发送的邮件。包含“退订”链接或特定邮件头的邮件会触发此过滤器。 |
|
内容 - 营销 |
邮件包含营销内容。 |
|
内容 - 医疗 |
邮件包含与药物或药品相关的内容。 |
|
内容 - 未送达回执 |
邮件是一封未送达回执(NDR)。 |
|
内容 - 搜索引擎优化 |
邮件包含搜索引擎优化(SEO)内容 |
|
内容 - 供应链 |
邮件包含冒充知名供应链品牌的内容。例如,微软或谷歌。 |
|
内容 - 结构性 |
邮件结构不佳或包含通常与垃圾邮件相关的可疑特征。 |
其他特征
|
原因 |
解释 |
|---|---|
|
域名 - 免费邮箱 |
发件人或回复地址是免费邮箱域名,如Gmail、Hotmail或Yahoo。 |
|
邮件头/信封不匹配 |
邮件头发件地址、回复地址和/或信封发件地址不匹配。 |
|
显示名称匹配 |
邮件显示名称与收件人组织内现有用户匹配或相似。 |
|
用户名匹配 |
发件人邮箱地址的用户名部分与收件人组织内现有用户匹配或相似。 |
|
域名-近期注册 |
发送域名近期被注册、修改或购买。 |