Exchange Online 是如何判定垃圾邮件？看完这篇你就懂了！（上）

小李是一家公司的市场专员，上周她精心准备了一封产品推广邮件，发给了五百个潜在客户。结果第二天，她从几个客户那里得知，根本没收到邮件。小李很纳闷，打开已发送信箱一看，邮件明明发出去了，怎么客户说没收到呢？

后来一查才知道，这些邮件大部分都进了客户的垃圾邮件文件夹。小李很委屈，自己明明没有发垃圾邮件，怎么就被当成垃圾邮件处理了呢？

其实，小李遇到的问题，很多职场人都遇到过。今天我们就来聊聊，Exchange Online 到底是怎么判定一封邮件是不是垃圾邮件的。

你可以把 Exchange Online Protection（简称 EOP）想象成一个尽职尽责的守门员。每一封进入你邮箱的邮件，都要经过它的层层检查。

这个守门员可不简单，它有五把刷子。第一把刷子是看发件人靠不靠谱，第二把刷子是看邮件内容有没有问题，第三把刷子是检查邮件里的链接和附件安不安全，第四把刷子是验证发件人的身份是不是真的，最后一把刷子是综合前面所有的信息，给这封邮件打个分。

如果分数太低，这封邮件就会被请到垃圾邮件文件夹里"坐冷板凳"。如果分数特别低，甚至可能被直接拦截，连垃圾邮件文件夹都进不去。

Exchange Online 使用一个叫做 SCL（Spam Confidence Level，垃圾邮件置信度级别）的评分系统。这个分数从负一到九，一共十一个级别。分数越高，说明这封邮件越像垃圾邮件。

SCL 负一是什么概念呢？这是最高级别的"白名单"待遇。通常只有经过身份验证的内部邮件，或者管理员明确放行的邮件，才能获得这个分数。这类邮件会直接跳过所有过滤检查，稳稳地进入收件箱。

SCL 零到一分，属于正常邮件的范畴。这些邮件通过了各项检查，没有发现明显问题，系统认为它们是可信的，会直接投递到收件箱。

SCL 二到四分，属于灰色地带。这些邮件有一些可疑特征，但还不足以被判定为垃圾邮件。它们通常会被投递到收件箱，但可能会被加上标记，提醒用户注意。

SCL 五到六分，这就进入垃圾邮件的范围了。这类邮件会被自动移动到垃圾邮件文件夹。用户可以在垃圾邮件文件夹里找到它们，如果误判了，用户可以手动移回收件箱。

SCL 七到八分，属于高置信度垃圾邮件。系统非常有把握这些是垃圾邮件，会毫不犹豫地扔到垃圾邮件文件夹。这类邮件通常包含明显的垃圾特征，比如大量敏感词、可疑链接等。

SCL 九分，这是最高级别的威胁。这类邮件被认为是恶意邮件，可能是钓鱼攻击、恶意软件传播等。对于这类邮件，系统可能会直接删除，或者放入隔离区，连垃圾邮件文件夹都进不去。

每一封邮件都有一个"头部"，就像信封上的寄件人、收件人、邮戳等信息。Exchange Online 会在邮件头里添加一些特殊的标记，告诉系统这封邮件经过了哪些检查，结果如何。

其中最重要的一个标记叫做 X-Forefront-Antispam-Report。这个字段包含了非常详细的信息，包括 SCL 分数、发件人 IP、发件域名、经过的服务器、各项检查的结果等等。

举个例子，一封正常的邮件，这个字段可能会显示 SCL 值是零或者一，各项检查都是 PASS。而一封垃圾邮件，这个字段会显示 SCL 值很高，并且会列出具体是因为什么原因被判定为垃圾邮件。

还有一个常见的标记是 X-MS-Exchange-Organization-SCL，这个直接显示了邮件的 SCL 分数。管理员可以通过查看这个值，快速判断一封邮件的"可疑程度"。

如果邮件来自内部发送者，会看到 X-MS-Exchange-Organization-AuthAs 字段，显示这封邮件是经过内部身份验证的。这类邮件通常 SCL 是负一，享受最高信任级别。

对于经过 SPF 验证的邮件，会看到 SPF 相关的标记，显示验证结果是 Pass、Fail 还是 SoftFail。DKIM 和 DMARC 也有类似的标记。这些标记对于判断邮件真伪非常重要。

知道了 SCL 分数之后，系统会怎么处理这些邮件呢？这取决于管理员的配置，但 Exchange Online 有一套默认的操作规则。

对于 SCL 零到四分的邮件，默认操作是直接投递到收件箱。这些邮件被认为是正常邮件，用户不会感觉到任何异常。

对于 SCL 五到六分的垃圾邮件，默认操作是移动到垃圾邮件文件夹。用户可以在 Outlook 或者网页版邮箱里找到这个文件夹，里面的邮件会在三十天后自动删除。

对于 SCL 七到八分的高置信度垃圾邮件，默认操作也是移动到垃圾邮件文件夹。不过有些管理员会配置更严格的策略，让这类邮件直接进入隔离区。

对于 SCL 九分的恶意邮件，默认操作是删除或者隔离。删除的邮件会彻底消失，用户无法找回。隔离的邮件会进入管理员的隔离区，管理员可以审查后决定是否放行。

除了 SCL 分数，还有其他因素会影响邮件的处理。比如钓鱼邮件，即使 SCL 分数不高，也会被单独处理。恶意软件邮件，无论 SCL 多少，都会被拦截。

管理员可以在 Exchange 管理中心里调整这些默认操作。比如可以设置所有垃圾邮件都进入隔离区，由管理员统一审查。也可以设置某些发件人的邮件永远不被当成垃圾邮件。