Poziom pewności spamu (SCL) -1 Ominięcie: co to oznacza i jak sobie z tym radzić
Ostatnia aktualizacja:
7 czas czytania: 7 minut
Kluczowe wnioski
- SCL -1 oznacza, że filtr antyspamowy został całkowicie ominięty, a nie że wiadomość e-mail jest bezpieczna.
- Microsoft 365 przypisuje wyniki SCL od -1 do 9 w celu określenia działań związanych z obsługą wiadomości e-mail.
- Wewnętrzne uwierzytelnione wiadomości e-mail automatycznie otrzymują SCL -1 w ramach tego samego dzierżawcy.
- Reguły przepływu poczty, które ustawiają opcję „Pomiń filtrowanie spamu”, są najczęstszą przyczyną SCL -1.
- Listy bezpiecznych nadawców w programie Outlook mogą powodować nadanie wartości SCL -1 dla określonych adresów.
- Szeroka lista białych adresów IP i reguły omijania oparte na łącznikach zwiększają ryzyko phishingu.
- DMARC Pass nie uzasadnia ustawienia SCL na -1, ponieważ osoby atakujące mogą uwierzytelnić swoje własne domeny.
Kiedy wyrafinowana przynęta phishingowa trafia do skrzynki odbiorczej dyrektora generalnego, często dzieje się tak dlatego, że zawierała tag SCL -1. Tag ten jest cyfrowym odpowiednikiem przepustki VIP, która pozwala nadawcy ominąć wszystkie punkty kontroli bezpieczeństwa. W Microsoft 365 SCL -1 nie jest oznaką bezpieczeństwa, a całkowitym ominięciem filtra antyspamowego. Chociaż jest przeznaczony dla zaufanego ruchu, nieprawidłowo skonfigurowane reguły lub łączniki mogą nieumyślnie rozłożyć czerwony dywan przed atakującymi, dostarczając złośliwą zawartość bezpośrednio do najbardziej wrażliwych użytkowników.
Co to jest poziom pewności spamu (SCL)?
Poziom pewności spamu to wartość przypisana do wiadomości po przetworzeniu jej przez warstwy filtrujące firmy Microsoft (Exchange Online Protection lub Microsoft Defender dla Office 365), która wskazuje prawdopodobieństwo, że wiadomość jest spamem.
Jak wykorzystuje się wyniki SCL
Usługa wykorzystuje różne sygnały, takie jak reputacja nadawcy, analiza treści i status uwierzytelnienia, aby ocenić wiadomość e-mail. Ocena ta decyduje następnie o tym, co stanie się z tą wiadomością, w oparciu o zasady antyspamowe obowiązujące w Twojej organizacji.
Typowe zakresy wyników SCL
| Wynik SCL | Znaczenie | Podjęte działania (standardowe) |
|---|---|---|
| -1 | Obwodnica | Filtr pominięty; wiadomość dostarczona do skrzynki odbiorczej. |
| 0, 1 | Nie jest spamem | Wiadomość dostarczona do skrzynki odbiorczej. |
| 5, 6 | Spam | Wiadomość wysłana do folderu ze spamem. |
| 9 | Spam o wysokim poziomie pewności | Wiadomość została wysłana do folderu ze spamem lub kwarantanny. |
Co oznacza SCL -1?
SCL -1 jako wskaźnik obejścia
Wartość SCL wynosząca -1 jest wyjątkowa, ponieważ nie jest to „wynik” oparty na analizie treści. Jest to raczej status wynikający z polityki. Oznacza on, że wiadomość została zwolniona z filtrowania spamu, zanim skaner treści zdążył ją ocenić.
Czy SCL -1 jest dobry czy zły?
- Zalety: Zapewnia, że krytyczne komunikaty wewnętrzne lub znane jako bezpieczne automatyczne alerty (takie jak powiadomienia serwera) nigdy nie zostaną przypadkowo usunięte.
- Wady: Powoduje to powstanie ogromnej luki w zabezpieczeniach. Jeśli atakującemu uda się obejść SCL -1 poprzez spoofing lub wykorzystanie nieprawidłowo skonfigurowanej listy „Zezwól”, jego złośliwy ładunek trafi bezpośrednio do skrzynki odbiorczej użytkownika bez żadnej kontroli.
Dlaczego ma to teraz znaczenie: Współcześni cyberprzestępcy coraz częściej wykorzystują generowane przez sztuczną inteligencję wiadomości phishingowe i uwierzytelnione wiadomości spamowe z przejętych domen partnerskich, aby wyglądać na „wiarygodnych”. Kiedy te wyrafinowane przynęty trafiają do obejścia SCL -1, omijają analizę behawioralną niezbędną do powstrzymania ataków typu Business Email Compromise (BEC). Zanim człowiek zorientuje się, że wiadomość e-mail jest fałszywa, „zaufane” obejście już utorowało drogę do naruszenia bezpieczeństwa.
Możesz sprawdzić, czy Twoja domena ma teraz te luki, korzystając z darmowego skanowania stanu domeny.
Dlaczego wiadomości e-mail otrzymują SCL -1 Bypass
Kilka konfiguracji administracyjnych powoduje wygenerowanie wartości SCL -1:
Zaufani nadawcy lub nadawcy z białej listy
- Listy bezpiecznych nadawców: Jeśli użytkownik indywidualny doda adres do swojej listy „Bezpiecznych nadawców” w programie Outlook, może to spowodować wygenerowanie SCL -1.
- Reguły transportu (reguły przepływu poczty): Najczęstsza przyczyna. Administrator tworzy regułę o treści: „Jeśli nadawcą jest X, ustaw SCL na -1”.
Uwierzytelnianie i obejścia oparte na zasadach
- Uwierzytelniona poczta wewnętrzna: wiadomości e-mail wysyłane z jednej skrzynki pocztowej do drugiej w ramach tego samego dzierżawcy są automatycznie uznawane za zaufane i otrzymują ocenę SCL -1.
- DMARC/SPF/DKIM: Chociaż przejście tych testów nie gwarantuje automatycznie uzyskania oceny SCL -1, wielu administratorów nieprawidłowo konfiguruje reguły, aby ominąć filtrowanie dla każdej domeny, która po prostu przechodzi test DMARC. Aby uniknąć błędów konfiguracyjnych, użyj automatycznego generatora rekordów SPF i generatora DKIM, aby upewnić się, że Twoje rekordy są prawidłowe.
Scenariusze oparte na stronach trzecich i łącznikach
- Łącza partnerskie: Jeśli masz skonfigurowane bezpieczne łącze z organizacją partnerską, poczta przesyłana tą drogą może ominąć filtrowanie.
- Bramy pocztowe: Jeśli korzystasz z bramy bezpieczeństwa innej firmy przed dotarciem poczty do Microsoft 365, prawdopodobnie masz regułę omijającą filtrowanie EOP dla adresu IP tej bramy, aby zapobiec problemom z „podwójnym filtrowaniem”.
Czy SCL -1 stanowi zagrożenie dla bezpieczeństwa?
SCL -1 może stanowić zagrożenie dla bezpieczeństwa lub nie.
Kiedy spodziewane jest SCL -1
Całkowicie normalne jest obserwowanie SCL -1 w przypadku:
- Wewnętrzne ogłoszenia działu kadr.
- Alerty systemowe z serwerów wewnętrznych (przy użyciu uwierzytelnionego protokołu SMTP).
- Wiadomości od zweryfikowanych, bezpiecznych partnerów.
Kiedy SCL -1 jest niebezpieczny
Ryzyko pojawia się, gdy zewnętrzne wiadomości e-mail zawierają ten wynik. Atakujący często wykorzystują fałszywe nazwy wyświetlane lub podobne domeny. Jeśli reguły przepływu poczty są zbyt szerokie (np. dodanie całej domeny najwyższego poziomu do białej listy), atakujący może z łatwością ominąć zabezpieczenia.
- Ostrzeżenie: „Omijanie” oznacza, że wiadomość e-mail pomija filtrowanie spamu, ale nadal może być skanowana przez silniki Zero-hour Auto Purge (ZAP) lub Anti-Malware, w zależności od konkretnych ustawień programu Defender. Nie należy jednak polegać na nich jako drugiej linii obrony dla wiadomości e-mail, które zostały pominięte.
Wpływ DMARC i uwierzytelniania wiadomości e-mail na SCL
Silne sygnały uwierzytelniające, takie jak SPF, DKIM i DMARC stanowią podstawę zaufania.
- Zgodność z DMARC: Gdy wiadomość e-mail ma status „DMARC Pass”, oznacza to, że nadawca jest tym, za kogo się podaje.
- Pułapka: Administratorzy często popełniają błąd, ustalając regułę: „Jeśli DMARC = Pass, ustaw SCL = -1”. Jest to niebezpieczne, ponieważ spamer może posiadać legalną domenę, idealnie skonfigurować DMARC i wysyłać „uwierzytelniony” spam. Zapobiegaj nadużywaniu Twojej reputacji przez „uwierzytelniony” spam, monitorując w czasie rzeczywistym zbiorcze raporty DMARC.
Uwaga: Należy pamiętać, że protokoły DMARC i uwierzytelniania wiadomości e-mail nie zastępują filtrów antyspamowych. DMARC zapobiega fałszowaniu domen, ale nie chroni przed złośliwą treścią.
Korzystanie z rozwiązania takiego jak PowerDMARC pomaga wdrożyć politykę „Odrzucaj”, dzięki czemu tylko autoryzowani nadawcy mogą korzystać z Twojej domeny. PowerDMARC chroni Twoją domenę przed fałszowaniem, ale działa jako środek zapobiegawczy i nie zastępuje filtrowania spamu przez Microsoft w celu analizy treści przychodzących.
Jak zbadać wiadomość e-mail SCL-1
Sprawdzanie nagłówków wiadomości
Aby sprawdzić, dlaczego wiadomość została pominięta, należy wyświetlić nagłówki wiadomości (za pomocą narzędzia Microsoft Message Header Analyzer). Poszukaj:
- X-MS-Exchange-Organization-SCL: -1
- Raport X-Forefront-Antispam: Poszukaj tagów SFV:SKN (Spam Filtering Verdict: Skip) lub SFV:SKI (Skip Internal).
Dobra wiadomość jest taka, że możesz od razu sprawdzić swoje nagłówki. Użyj narzędzia PowerDMARC Email Header Analyzer, żeby w kilka sekund sprawdzić wyniki SCL i oceny bezpieczeństwa.
Przeglądanie reguł przepływu poczty
Przejdź do Centrum administracyjnego Exchange (EAC) > Przepływ poczty > Reguły. Wyszukaj dowolną regułę zawierającą akcję „Ustaw poziom zaufania spamu (SCL) na… Omiń filtrowanie spamu”.
Jak zapobiegać nadużyciom SCL-1 Bypass
Wartość SCL -1 powinna być rzadkim wyjątkiem, a nie regułą. Jeśli nagłówki przepływu poczty często wykazują to obejście dla zewnętrznych nadawców, oznacza to, że „drzwi wejściowe” są faktycznie otwarte. Aby zwiększyć bezpieczeństwo bez blokowania legalnej poczty, należy postępować zgodnie z następującymi najlepszymi praktykami:
1. Unikaj szerokich list białych adresów IP i domen
Jednym z najczęstszych błędów popełnianych przez administratorów jest dodawanie do białej listy całego zakresu adresów IP lub domeny najwyższego poziomu w celu rozwiązania jednorazowego problemu z dostarczaniem wiadomości. Jest to prawdziwa kopalnia złota dla atakujących. Jeśli atakujący wyśle wiadomość e-mail z platformy dodanej do białej listy (takiej jak współdzielony ESP lub zainfekowany serwer partnera), obejście SCL -1 pozwoli mu ominąć filtry Microsoftu i przeprowadzić atak phishingowy.
- Rozwiązanie: Użyj listy dozwolonych/blokowanych nadawców w portalu Microsoft Defender dla konkretnych nadawców zamiast ogólnych reguł transportu.
2. Włącz opcję „Ulepszone filtrowanie dla łączników”.
Jeśli korzystasz z bramy bezpieczeństwa poczty e-mail innej firmy przed dotarciem poczty do Microsoft 365, prawdopodobnie masz regułę omijania, więc Microsoft nie blokuje adresu IP bramy. Jednak często powoduje to ukrycie prawdziwego adresu IP pierwotnego nadawcy.
- Rozwiązanie: Włącz ulepszone filtrowanie dla łączników (znane również jako pomijanie list). Dzięki temu firma Microsoft może „przejrzeć” bramę użytkownika do oryginalnego adresu IP źródła, zapewniając, że sprawdzanie reputacji nadal działa, nawet jeśli technicznie istnieje możliwość obejścia.
3. Wdrożenie rygorystycznej polityki DMARC za pomocą PowerDMARC
Atakujący często podszywają się pod Twoją wewnętrzną domenę, aby oszukać system i sprawić, by uznał wiadomość za „wewnętrzną”, co automatycznie powoduje wygenerowanie SCL -1. Bez rygorystycznej polityki DMARC firma Microsoft może nie być w stanie odróżnić Twojego dyrektora generalnego od hakera.
- Rozwiązanie: Użyj PowerDMARC, aby przenieść swoją domenę do polityki p=reject. Dzięki temu każda wiadomość e-mail, która twierdzi, że pochodzi z Twojej domeny, ale nie przejdzie uwierzytelnienia, zostanie natychmiast zablokowana. Zabezpieczając własną domenę, zapobiegasz „wewnętrznemu” nadużyciu zaufania, które prowadzi do niebezpiecznego ominięcia SCL -1.
4. Użyj konfiguracji „Least-Trust” (najmniej zaufanych).
Zamiast całkowitego pomijania, użyj bardziej szczegółowych kontroli. Jeśli e-maile od konkretnego partnera są przechwytywane jako spam, nie ustaw po prostu jego SCL na -1.
- Rozwiązanie: Utwórz regułę przepływu poczty, która oznacza nadawcę jako „bezpiecznego”, ale nadal pozwala na działanie funkcji Microsoft Zero-hour Auto Purge (ZAP) i skanowania w poszukiwaniu złośliwego oprogramowania. Alternatywnie, dostosuj próg masowej poczty elektronicznej (BCL) specjalnie dla tego nadawcy, aby nie był on oznaczany jako spam, ale jego treść nadal była sprawdzana pod kątem zagrożeń.
Podsumowanie
Widok SCL -1 w nagłówkach wiadomości jest jak wręczenie komuś „karty VIP Backstage Pass” do Twojej skrzynki odbiorczej. Chociaż jest to świetny sposób na upewnienie się, że wewnętrzne notatki dyrektora generalnego nie trafią do folderu ze spamem, stanowi to ogromną lukę w zabezpieczeniach, jeśli jest to wywołane przez pocztę zewnętrzną.
Jeśli masz szerokie reguły „Zezwalaj” lub nieaktualne białe listy, to w zasadzie mówisz Microsoft 365, żeby przymknął oko i liczył na szczęście. Atakujący uwielbiają takie luki, bo to znaczy, że ich linki phishingowe trafiają prosto do oczu Twoich użytkowników.
Najlepszym sposobem zapobiegania fałszowaniu domeny przez hakerów w celu wywołania tych „zaufanych” obejść jest posiadanie szczelnej politykę DMARC.
PowerDMARC pomaga odejść od ryzykownych list „zezwolonych” i przejść do polityki „odrzucania”, która faktycznie działa. Automatyzując zarządzanie protokołami DMARC, SPF i DKIM, zapewniasz, że tylko prawdziwy „Ty” otrzymuje traktowanie VIP, podczas gdy podszywacze są zatrzymywani na wejściu, zanim dotrą do skanera SCL.
Chcesz przestać zgadywać, kto wysyła wiadomości na Twoją skrzynkę odbiorczą? Rozpocznij bezpłatny okres próbny PowerDMARC już dziś i zamień uwierzytelnianie wiadomości e-mail z „być może” na „na pewno”.
Najczęściej zadawane pytania
Czy SCL -1 oznacza, że wiadomość e-mail jest bezpieczna?
Nie. Oznacza to jedynie, że filtr antyspamowy został pominięty. Wiadomość e-mail nadal może zawierać linki phishingowe lub złośliwe załączniki.
Czy atakujący mogą wykorzystać obejście SCL -1?
Tak, zwłaszcza jeśli masz szerokie reguły „Zezwalaj” oparte na nazwach domen lub źle skonfigurowanych łącznikach.
Jak usunąć SCL -1 dla nadawcy?
Znajdź regułę przepływu poczty lub wpis w „Liście dozwolonych/blokowanych dzierżawców” w centrum zabezpieczeń i zgodności, a następnie usuń lub zmodyfikuj go.
Czy zewnętrzne wiadomości e-mail powinny kiedykolwiek mieć SCL -1?
Rzadko. Tylko w szczególnych przypadkach, takich jak zaufany zewnętrzny audytor bezpieczeństwa lub ściśle zintegrowany partner SaaS.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
- Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązania - 13 kwietnia 2026 r.
- Jak wysyłać bezpieczne wiadomości e-mail w Gmailu: przewodnik krok po kroku - 7 kwietnia 2026 r.
