邮件分析原因
本文解释实时邮件追踪器分析模块中显示的各项检测原因。
|
URL及附件检测结果
|
原因 |
说明 |
|---|---|
|
杀毒引擎检测 |
网格 反病毒/反恶意软件引擎匹配到已知/相似的特征码/威胁。 |
|
沙箱检测 |
网格 动态沙箱引擎在引爆邮件及其附件后判定为恶意内容。 |
|
URL-恶意软件 |
邮件中的URL被检测为恶意软件。 |
|
URL - 钓鱼 |
邮件中的URL被检测为钓鱼网站。 |
|
RBL - URL |
邮件中的URL被列入实时黑名单(RBL)。 |
|
RBL - 其他 |
邮件的IP地址或其他组件被列入RBL。 |
认证原因 - SPF/DKIM/DMARC
|
原因 |
说明 |
|---|---|
|
SPF-失败 |
入站邮件的发送IP未通过发件人策略框架(SPF)检查。 |
|
SPF-软失败 |
入站邮件的发送IP检查失败,但由于发件人记录设置被视为"软失败"。 |
|
SPF-永久错误 |
发送域的SPF记录配置错误或无法解析,产生"永久错误"。 |
|
SPF-中立 |
发件人的SPF记录处于"中立"模式。 |
|
SPF-通过 |
发件人的信封发件域已通过SPF检查。 |
|
SPF-无记录 |
发件人没有SPF记录或域名无法解析 |
|
DKIM-失败 |
入站邮件未通过域名密钥识别邮件(DKIM)完整性检查。 |
|
DKIM-临时失败 |
无法检索或验证入站邮件的DKIM记录。 |
|
DKIM-中立 |
入站邮件在邮件头中返回DKIM=中立判定。这可能是由于配置错误或失败导致。 |
|
DKIM-通过 |
入站邮件已通过DKIM完整性检查。 |
|
DKIM-无 |
发件人未配置DKIM。 |
|
DMARC-失败 |
入站邮件未通过基于域的消息认证(DMARC)检查。 |
|
DMARC-软失败 |
入站邮件未通过DMARC检查,但发送域的操作设置为“无”。 |
|
DMARC-永久错误 |
发送域的DMARC配置错误或无法解析,产生“永久错误”。 |
|
DMARC-临时错误 |
无法检索或验证入站邮件的DMARC记录。 |
|
DMARC-通过 |
入站邮件已通过DMARC检查。 |
|
DMARC-无 |
发件人未配置DMARC。 |
内容检测
|
原因 |
说明 |
|---|---|
|
内容 - 419诈骗 |
邮件涉及金融欺诈/大额资金/遗产骗局。 |
|
内容 - 商务电邮入侵 |
商务电邮入侵(BEC)威胁指看似来自已知或可信来源的合法请求邮件,通常为冒充行为。 |
|
内容 - 品牌冒充 |
邮件包含冒充收件公司品牌的内容。 |
|
内容 - 加密货币 |
邮件提及加密货币,通常与勒索/性勒索骗局相关。 |
|
内容 - 规避检测 |
邮件内容被混淆/遮蔽。 |
|
内容 - 露骨内容 |
邮件包含不适合工作场所的露骨内容。 |
|
内容 - 金融相关 |
邮件包含财务相关材料。 |
|
内容 - 同形异义字 |
邮件包含同形异义字攻击或使用了多种字母体系的字符。 |
|
内容 - 信息邮件 |
邮件包含“信息邮件”内容,如新闻简报或自动发送的邮件。含有“退订”链接或特定邮件头的邮件会触发此过滤器。 |
|
内容 - 营销 |
邮件包含营销内容。 |
|
内容 - 医疗 |
邮件包含与药物或药品相关的内容。 |
|
内容 - 未送达回执 |
邮件为未送达回执(NDR)。 |
|
内容 - 搜索引擎优化 |
邮件包含搜索引擎优化(SEO)内容。 |
|
内容 - 供应链 |
邮件包含冒充知名供应链品牌的内容,例如微软或谷歌。 |
|
内容 - 结构 |
邮件结构不佳或包含通常与垃圾邮件相关的可疑特征。 |
其他特征
|
原因 |
说明 |
|---|---|
|
域名 - 免费邮件 |
发件人或回复地址为免费邮件域名,如Gmail、Hotmail或Yahoo。 |
|
邮件头/信封不匹配 |
邮件头中的发件地址、回复地址和/或信封发件地址不匹配。 |
|
显示名称匹配 |
邮件的显示名称与收件人组织内现有用户的名称匹配或相似。 |
|
用户名匹配 |
发件人电子邮件地址的用户名部分与收件人组织内现有用户的名称匹配或相似。 |
|
域名 - 近期注册 |
发件域名近期被注册、修改或购买。 |