Schema für Gmail-Protokolle in BigQuery

event_info.client_context.client_type

Protokollierter Ereignistyp. Der Ereignistyp entspricht dem Ereignisattribut im Abschnitt Gmail-Protokollereignisse im Sicherheitsprüftool. Folgende Werte sind möglich:

0: Eine Phase während der E‑Mail-Zustellung, die im Sicherheitsprüftool nicht verfügbar ist. Weitere Informationen finden Sie unter message_info.action_type.

1: Nachricht gesendet

2: Nachricht empfangen

3: Ein Gmail-Nutzer hat der Nachricht manuell eine Spamklassifizierung zugewiesen. So kann sie beispielsweise als „Spam“, „Phishing“ oder „Kein Spam“ markiert worden sein.

4: Die Nachricht wurde nach der Zustellung in Gmail als Spam markiert. Dies kann verschiedene Ursachen haben, beispielsweise ein schlechter Ruf des Absenders oder neue Virus-Hashes.

5: Die Nachricht wurde unter Quarantäne gestellt.

6: Nachricht aus der Quarantäne freigegeben.

7: Nachricht zum ersten Mal geöffnet.

8: Nachricht als ungelesen markiert

9: Nachricht zum ersten Mal beantwortet.

10: Nachricht zum ersten Mal weitergeleitet.

11: Nachricht automatisch mit einer Weiterleitungseinstellung für das Gmail-Konto weitergeleitet.

12: Nachricht in die Mailbox verschoben.

13: Nachricht in den Papierkorb verschoben.

14: Nachricht aus dem Papierkorb entfernt.

15: Link im Nachrichtentext wurde angeklickt.

16: Bei der Vorschau des Anhangs wurde ein Link im Anhang angeklickt

17: Mindestens ein Nachrichtenanhang wurde heruntergeladen.

18: Mindestens ein Nachrichtenanhang wurde in Google Drive gespeichert

19: Mindestens ein Google Drive-Element in der Nachricht wurde im Google Drive-Konto des Empfängers gespeichert.

20: Klassifizierungslabel auf die Nachricht angewendet

21: Änderung des Klassifizierungslabels für Nachrichten

22: Klassifizierungslabel aus Nachricht entfernt

23: Klassifizierungslabel auf alle Nachrichtenanhänge angewendet

24: Klassifizierungslabel für alle Nachrichtenanhänge geändert

25: Klassifizierungslabel von allen Nachrichtenanhängen entfernt

26: Nachricht archiviert

27: Nachricht endgültig gelöscht.

28: Mindestens ein Nachrichtenanhang wurde als Vorschau angezeigt

29: Nachricht wurde als Entwurf gespeichert.

30: Die Nachricht konnte nicht zugestellt werden und wurde zurückgesendet.

31: Nachricht angesehen, einschließlich erstem und folgendem Lesen. Weitere Informationen zu einem bekannten iOS-Problem finden Sie unter Bekannte Probleme in Google Workspace.

32: Nachricht heruntergeladen

33: Eine Anwendung hat im Namen eines Nutzers auf eine Nachricht zugegriffen.

34: Delegierter Zugriff gewährt

Hinweis: BigQuery-Exporte, die zwischen April 2024 und Juli 2024 aktiviert wurden, enthalten keine Verlaufsdaten für Datenansichten zwischen April 2024 und dem Datum, an dem Sie den Export aktiviert haben. BigQuery-Exporte, die im August 2024 und später aktiviert werden, enthalten Verlaufsdaten für Datenansichten, die bis zu 6 Monate vor dem Datum zurückreichen, an dem Sie den Export aktiviert haben.

TRUE, wenn das Ereignis erfolgreich war, andernfalls FALSE. Der Wert ist z. B. FALSE, wenn die Nachricht aufgrund einer Richtlinie abgelehnt wurde.

Die Aktion der Nachrichtenzustellung, die das Ereignis repräsentiert. Mögliche Werte:

1: Die Nachricht wurde vom eingehenden SMTP-Server empfangen.

2: Die Nachricht wurde in Gmail angenommen und für die Zustellung vorbereitet. Dieser Schritt folgt normalerweise direkt auf Schritt 1 oder ist selbst der erste,wenn Sie von Gmail aus senden. Bei eingehenden Nachrichten werden hier in der Regel Ablehnungsrichtlinien ausgewertet. Ein Beispiel wäre, wenn eingehende Nachrichten aufgrund einer Compliancerichtlinie für Anhänge abgelehnt werden.

3: Gmail hat auf die Nachricht reagiert. und beispielsweise einem Gmail-Postfach zugestellt oder an einen anderen Server gesendet. Dieser Schritt folgt normalerweise auf Schritt 2. Hier werden Richtlinien ausgewertet, die andere Aktionen als das Ablehnen von E‑Mails auslösen. Ein Beispiel: Anhänge werden entfernt, weil sie aufgrund des Dateityps oder anderer Kriterien gegen eine Compliancerichtlinie verstoßen.

10: Die Nachricht wurde vom ausgehenden SMTP-Server gesendet.

14: Beim Senden der Nachricht ist ein vorübergehender Fehler aufgetreten. Es wird ein weiterer Versuch durchgeführt. Dieser Fehler wird meist durch externe oder interne Server verursacht, die vorübergehend nicht verfügbar sind. Versuchen Sie es später noch einmal. Beispiel: Die Nachricht sollte von Gmail an einen externen SMTP-Server gesendet werden. Dieser antwortete jedoch mit einem vorübergehenden Fehler.

18: Die Nachricht konnte nicht zugestellt werden und wurde zurückgesendet. Manchmal finden Sie den Grund dafür in der Nachrichtenbeschreibung (message_info.description). Häufige Gründe:

• Der Server des Empfängers hat die Anfrage abgelehnt.

• Die Nachricht konnte aufgrund zu vieler vorübergehender Fehler nicht zugestellt werden (siehe 14 in dieser Tabelle).

• Die Nachricht wurde aufgrund einer verzögerten Richtlinienbewertung abgelehnt.

• Der Empfänger wird nicht erkannt und es wird keine Richtlinie zum Ändern der primären Zustellungsroute ausgelöst.

19: Die Nachricht wurde von Gmail gelöscht. Häufige Gründe:

• Wenn eine gesendete Nachricht die Richtlinie für die Administratorquarantäne auslöst, wird die ursprüngliche Nachricht gelöscht und eine Kopie in die Administratorquarantäne verschoben.

• Bei einer Journaling-Nachricht wird die umschlossene innere Nachricht zugestellt, die ursprüngliche Nachricht aber gelöscht.

• Eingehende Nachrichten können in Gmail aus den folgenden Gründen blockiert und gelöscht werden:

  • Die Nachricht war nicht RFC 5322-konform.

  • Der Absender verstößt gegen die Richtlinien für das Senden von Massen-E-Mails.

• Wenn die primäre Zustellroute aufgrund einer Richtlinie entfernt und andere Routen hinzugefügt wurden, wird die ursprüngliche Nachricht gelöscht und den hinzugefügten Routen werden Kopien zugestellt.

• Wenn die Empfängeradresse einer Nachricht nicht bekannt ist und aufgrund einer Richtlinie zusätzliche Routen hinzugefügt werden, wird die ursprüngliche Nachricht gelöscht und den hinzugefügten Routen werden Kopien zugestellt.

45: Die Nachricht wurde vom Google Groups-Subsystem zur Zustellung angenommen.

46: Die Empfängeradresse der Nachricht war eine Google-Gruppe und der Empfänger wurde auf jedes Mitglied der Google-Gruppe erweitert, für das die Nachrichtenzustellung aktiviert ist.

48: Die Nachricht wurde vom eingehenden SMTP-Relay-Server empfangen.

49: Die Nachricht wurde über ein Relay an einen ausgehenden SMTP-Server gesendet.

51: Die Nachricht wurde in den Google Groups-Speicher geschrieben.

54: Die Nachricht wurde vom Google Groups-Speichersystem abgelehnt.

55: Die Nachricht wurde durch Richtlinien, die die primäre Zustellroute bzw. den Envelope-Empfänger verändern, wieder in Gmail eingefügt.

 68: Die Nachricht wurde in Gmail angenommen und für die Zustellung vorbereitet. Dieser Schritt entspricht in etwa Schritt 2, nur dass die Nachricht über einen Gmail-Server gesendet wurde.

69: Ein Nutzer hat die Spamklassifizierung der Nachricht in Gmail geändert. So kann sie beispielsweise als „Spam“, „Phishing“ oder „Kein Spam“ markiert worden sein.

70: Die Nachricht wurde nach der Zustellung in Gmail wieder als „Spam“ oder „Phishing“ klassifiziert.

 71: Ein Nutzer hat im Posteingang eine Aktion ausgeführt, nachdem er die Nachricht erhalten hat. Zu den Aktionen nach der Zustellung gehören das Öffnen einer Nachricht, das Klicken auf einen Link in einer Nachricht und das Herunterladen eines Anhangs. Der BigQuery-Export enthält Details zur Aktion.

Informationen zu den Anhängen der Nachricht. Dieser Eintrag wird für jeden Anhang wiederholt.

Malware-Kategorie, wenn bei der Verarbeitung der Nachricht Malware gefunden wurde. Das Feld ist nicht gesetzt, wenn keine Malware erkannt wurde. Mögliche Werte:

• 1: Bekannter bösartiger Typ von Malware
• 2: Malware in Form eines Virus oder Wurms
• 3: Möglicherweise gefährlicher E-Mail-Inhalt
• 4: Möglicherweise unerwünschter E-Mail-Inhalt
• 5: Anderer Malwaretyp

Typ der Nachrichtenauthentifizierung (z. B. SPF, DKIM). Mögliche Werte:

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Der SMTP-Antwortcode für eingehende und ausgehende SMTP-Verbindungen. Dieser ist in der Regel 2xx, 4xx oder 5xx.

Detaillierte Begründung für den SMTP-Antwortcode für eingehende Verbindungen. Mögliche Werte:

• 1: Standardgrund, aus dem Nachrichten angenommen oder abgelehnt werden
• 3: Malware
• 4: DMARC-Richtlinien
• 5: Anhang wird von Gmail nicht unterstützt
• 6: Empfangsbeschränkung überschritten
• 7: Kontingent des Kontos überschritten
• 8: Bericht zu ungültiger PTR
• 9: Empfänger nicht vorhanden
• 10: Kundenrichtlinien
• 12: RFC-Verstoß
• 13: Offensichtliche Spamnachricht
• 14: DoS (Denial of Service)
• 15: Schädliche Links oder Spamlinks
• 16: IP mit schlechtem Ruf
• 17: Domain mit schlechtem Ruf
• 18: IP-Adresse in öffentlicher Echtzeit-Sperrliste aufgeführt
• 19: Aufgrund von DoS-Beschränkungen vorübergehend abgelehnt
• 20: Aufgrund von DoS-Beschränkungen dauerhaft abgelehnt

Art der zum SMTP-Server hergestellten Verbindung. Nur für Protokolle von Ereignissen festgelegt, die explizit SMTP-Verbindungen verarbeiten. Werte:

• 0: Nicht TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

Die Unterkategorie für jeden Dienst. Wertdefinitionen finden Sie unter message_info.destination.service.

Der Dienst am Nachrichtenziel. Es gibt viele Dienst-Selektor-Kombinationen als Ziele. Mithilfe dieser beiden Felder können Sie feststellen, an welchen Dienst eine Nachricht gesendet wurde.

Nur für eingehende Nachrichten. Wenn festgelegt: Gibt an, dass die S/MIME-Entschlüsselung für diesen Empfänger versucht wurde.Der Wert gibt den Abschlussstatus an. Ist nicht festgelegt, wenn der Versuch übersprungen wird.

Nur für eingehende Nachrichten. Wenn festgelegt: Gibt an, dass versucht wurde, die S/MIME-Zertifikate für den Empfänger zu extrahieren. Der Wert gibt den Bearbeitungsfortschritt an. Ist nicht festgelegt, wenn der Versuch übersprungen wird.

Nur für eingehende Nachrichten. Wenn festgelegt: Gibt an, dass für diesen Empfänger S/MIME-Parsen versucht wurde. Der Wert gibt den Bearbeitungsfortschritt an. Ist nicht festgelegt, wenn der Versuch übersprungen wird.

Nur für eingehende Nachrichten. Wenn festgelegt: Gibt an, dass versucht wurde, die S/MIME-Signatur für den Empfänger zu überprüfen. Der Wert gibt den Bearbeitungsfortschritt an. Ist nicht festgelegt, wenn der Versuch übersprungen wird.

String mit den zusammengefassten Informationen zu allen Empfängern im Format:
"Dienst_für_Empfänger1:Selektor_für_Empfänger1:Adresse_für_Empfänger1,
Dienst_für_Empfänger2:Selektor_für_Empfänger2:Adresse_für_Empfänger2"

TRUE, wenn die Richtlinienregeln für den Absender ausgewertet wurden (die Nachricht wurde für die externe Zustellung verarbeitet). FALSE, wenn die Richtlinienregeln für den Empfänger ausgewertet wurden (die Nachricht wurde für die eingehende Zustellung verarbeitet).

Typ der Nachrichtengruppen, zu dem die Nachricht gehört. Weitere Informationen finden Sie unter message_info.message_set.type.

Nachrichtengruppentypen sind Attribute, die die Nachricht beschreiben. z. B. ob die Nachricht eingehend, ausgehend oder intern war. Mögliche Werte:

1: Die Nachricht ist eingehend, d. h., sie wurde von außerhalb Ihrer Domains gesendet. Diese Nachrichtengruppe wird nicht gleichzeitig mit der Nachrichtengruppe Nr. 10 angezeigt.

2: Die Nachricht ist ausgehend, d. h., sie wurde an einen Empfänger außerhalb Ihrer Domains gesendet. Diese Nachrichtengruppe wird nicht gleichzeitig mit der Nachrichtengruppe Nr. 10 angezeigt.

4: Die Nachricht enthält anstößige Inhalte gemäß einer Ihrer Richtlinien.

6: Die Nachricht hat die von Ihnen konfigurierte Walled-Garden-Regel ausgelöst, durch die Nachrichten auf autorisierte Adressen oder Domains beschränkt werden.

7: Gmail hat die Nachricht als „Spam“ klassifiziert.

8: Die Nachricht wird gesendet (ausgehende Nachricht).

9: Die Nachricht wird empfangen (eingehende Nachricht).

10: Die Nachricht wurde innerhalb Ihrer Domains versendet.

11: Die Nachricht hatte einen Absender oder Empfänger außerhalb Ihrer Domains. Für empfangene Nachrichten: Wenn die Nachrichtengruppe Nr. 27 fehlt, konnte der Absender nicht authentifiziert werden. Die Nachricht wurde so behandelt, als habe sie einen Absender außerhalb Ihrer Domain.

12: Einige der Nachrichtenempfänger waren domainintern und einige Empfänger kamen von außerhalb Ihrer Domain. Diese Nachrichtengruppe wird in folgenden Fällen angezeigt:

• Es gibt mehrere Empfänger
• Eine Nachricht wird gesendet. Damit Nachrichten empfangen werden, müssen alle Empfänger derselben Domain angehören.
• Der Aktionstyp für die Nachricht ist 2. Nachrichten mit mehreren Empfängern werden in Nachrichten mit einem Empfänger aufgeteilt.

13: Der Typ der Nachrichtengruppe ist unbekannt.

15: Die zu überprüfende Richtlinie ist an einen Gmail-Nutzer gebunden.

18: Die Nachricht hat keine Standardroute

19: In der Adressenliste, die Sie für das Standardrouting der Domain konfiguriert haben, gibt es eine Übereinstimmung für den Kommunikationspartner der Nachricht.

20: Die Nachricht stammt von einer Adresse in der Liste der blockierten Absender.

21: Die Nachricht wurde über TLS gesendet und das SSL-Zertifikat ist gültig.

22: Die Nachricht wurde über TLS gesendet.

24: Der Empfänger dieser Nachricht ist unbekannt.

25: Die Nachricht ist ein Unzustellbarkeitsbericht als Antwort auf eine nicht zugestellte Nachricht.

26: Die Nachricht hat eine Umleitungsregel ausgelöst, die Sie für das Standardrouting der Domain konfiguriert haben.

27: Der Absender wurde mit SPF/DKIM/DMARC authentifiziert. Wenn der Absender nicht authentifiziert werden konnte, wird die Absenderdomain als nicht vertrauenswürdig eingestuft und die Nachricht nicht als intern betrachtet.

28: Die Nachricht wird durch das Exchange-Journal in Google Vault archiviert.

29: Die Nachricht wurde über ein SMTP-Relay weitergeleitet.

30: Ein Empfänger der Nachricht entspricht einem der aufgezählten Empfänger (statt eines Regex-Musters), die Sie für das Routing oder Standardrouting der Domain konfiguriert haben.

31: Die Nachricht entspricht einer von Ihnen konfigurierten Bedingung für das Standardrouting der Domain.

33: Die Nachricht muss über eine verschlüsselte Verbindung wie TLS übertragen werden.

34: Die zu prüfende Richtlinie ist an eine Gruppe und nicht an einen einzelnen Gmail-Nutzer gebunden.

35: Die Nachricht konnte nicht im SMTP-Relay authentifiziert werden, da sie eine leere SMTP-„Von“-Envelope-Adresse hat oder möglicherweise eine Exchange-Journalnachricht ist. Sie wird später zur SMTP-RCPT-Befehlszeit überprüft.

36: Für die Nachricht ist eine strenge Spamfilterung aktiviert

37: Nachricht ist für das SMTP-Relay authentifiziert

39: Der Absender stammt von einer authentifizierten Relay-Domain.

40: Die Nachricht stammt von einem Google Workspace-Nutzer in der Domain, die für das Relay authentifiziert ist.

41: Der Absender hat sich mit SMTP AUTH authentifiziert und Gmail versucht, das SMTP-Relay für die Domain des Absenders zu authentifizieren.

42: Die Nachricht wurde von einer nicht authentifizierten Adresse gesendet.

43: Die Nachricht wurde über eine Aliastabelle umgeleitet.

44: Die Nachricht hat eine Regel ausgelöst, durch die die Route des Nachrichtenflusses geändert wird.

45: Die Nachricht wurde an ein Catchall-Konto gesendet und wird an einen lokalen Server weitergeleitet. Es werden keine Richtlinien für die Protokollierung darauf angewendet.

46: Die Nachricht hat den Spamfilter umgangen.

47: Die Nachricht wurde aufgrund der Betreffzeilenmarkierung in Ihren Einstellungen für das Eingangsgateway als Spam erkannt.

48: Die Nachricht wurde aufgrund einer Richtlinie zum Umgehen von Spam nicht vom SMTP-Server auf Spam geprüft.

49: Ablehnung wegen Spam für die Nachricht immer überschreiben

50: Die Nachricht entspricht einer von Ihnen konfigurierten Bedingung für das Domainrouting.

51: Die Nachricht hat eine Umleitungsregel ausgelöst, die Sie für das Domainrouting konfiguriert haben.

57: Die Nachricht wurde von einer von Ihnen konfigurierten Eingangsgateway-Regel empfangen

60: Die Nachricht ist durch den Gmail-Modus „Vertraulich“ geschützt.

61: Nachricht wurde von der Sicherheits-Sandbox empfangen

62: In der Adressenliste, die Sie für das Standardrouting der Domain konfiguriert haben, gibt es statt einer Übereinstimmung für den Kommunikationspartner der Nachricht eine für den SMTP-Envelope-Empfänger.

63: Die Nachricht hat eine Umleitungsregel auf Domainebene ausgelöst, die Sie für das Routing oder das Standardrouting der Domain konfiguriert haben.

Aktionstyp nach der Zustellung. Mögliche Werte:

1: Nachricht zum ersten Mal geöffnet.

2: Nachricht als ungelesen markiert

3: Auf Nachricht geantwortet

4: Nachricht weitergeleitet

5: Die Nachricht wurde durch eine Gmail-Einstellung automatisch weitergeleitet.

6: Nachricht in die Mailbox verschoben.

7: Nachricht in den Papierkorb verschoben

8: Nachricht aus dem Papierkorb verschoben.

9: Ein Link im Nachrichtentext wurde angeklickt.

10: Mindestens ein Nachrichtenanhang wurde heruntergeladen.

11: Ein Link in einem Anhang wurde angeklickt, als eine Vorschau des Anhangs in der Vorschau angezeigt wurde.

12: Mindestens ein Nachrichtenanhang wurde in Google Drive gespeichert.

13: Ein Link im Add-on wurde angeklickt.

14: Mindestens ein Google Drive-Element in der Nachricht wurde heruntergeladen.

15: Mindestens ein Google Drive-Element in der Nachricht wurde im Google Drive-Konto des Empfängers gespeichert.

 16: Ein Klassifizierungslabel wurde auf die Nachricht angewendet oder geändert.

 17: Ein Klassifizierungslabel wurde auf Nachrichtenanhänge angewendet oder geändert.

18: Nachricht archiviert

19: Nachricht endgültig gelöscht

20: Mindestens ein Nachrichtenanhang wurde als Vorschau angezeigt.

21: Der Empfänger hat den Absender der Nachricht blockiert.

22: Nachricht wurde als Entwurf gespeichert.

23: Nachricht angesehen, einschließlich erstem und folgendem Lesen

24: Nachricht heruntergeladen

25: Eine Anwendung hat im Namen eines Nutzers auf eine Nachricht zugegriffen.

26: Delegierter Zugriff gewährt

Malware-Typ, wenn während der Nachrichtenverarbeitung Malware erkannt wird. Wenn keine Malware erkannt wird, ist dieses Feld nicht festgelegt. Mögliche Werte:

1: Bekannter bösartiger Typ von Malware

2: Malware in Form eines Virus oder Wurms

3: Möglicherweise gefährlicher Nachrichteninhalt

4: Möglicherweise unerwünschter Nachrichteninhalt

5: Anderer Malwaretyp

Klassifizierter Entitätstyp. Mögliche Werte:

1: Nachrichtentext

2: Anhang

Ereignistyp „Klassifizierung“. Mögliche Werte:

1: Label geändert

2: Label neu angewendet

3: Label entfernt

Der S/MIME-Typ der obersten Ebene einer Nachricht wie im Content-Type des Headers angegeben. Mögliche Werte:

0: Die Nachricht hat keinen erkannten S/MIME-Inhaltstyp.

1. Eine S/MIME-Nachricht mit separater Signatur. Dies wird angezeigt durch den Inhaltstyp multipart/signed mit dem Parameter protocol=application/pkcs7-signature.

2. Eine S/MIME-Nachricht mit opaker Signatur. Dies wird angezeigt durch die Inhaltstypen application/pkcs7-mime oder application/x-pkcs7-mime mit dem Parameter smime-type=signed-data.

3. Eine verschlüsselte S/MIME-Nachricht. Dies wird angezeigt durch die Inhaltstypen application/pkcs7-mime oder application/x-pkcs7-mime mit dem Parameter smime-type=enveloped-data.

4: Eine komprimierte S/MIME-Nachricht. Dies wird angezeigt durch die Inhaltstypen application/pkcs7-mime oder application/x-pkcs7-mime mit dem Parameter smime-type=compressed-data.

Nur für ausgehende Nachrichten. Wenn festgelegt und TRUE: Gibt an, dass die Nachricht verschlüsselt werden sollte.

Wenn festgelegt: Gibt an, dass eine eingehende S/MIME-Verarbeitung aufgetreten ist. Ist nicht festgelegt, wenn der Versuch übersprungen wird. Der Wert gibt den Bearbeitungsfortschritt an. Hinweis:Der Wert ist derzeit nicht festgelegt.

Nur für ausgehende Nachrichten. Wenn festgelegt: Gibt an, dass versucht wurde, ein S/MIME-Paket zu erstellen. Ist nicht festgelegt, wenn der Versuch übersprungen wird. Der Wert gibt den Bearbeitungsfortschritt an.

Wenn Gmail eine SMTP-Relay-Anfrage zurückgewiesen hat, enthält dieser Fehlercode zusätzliche Informationen über die Ursache der Ablehnung. Mögliche Werte:

1: Authentifizierungsfehler

2: Tägliche Ratenbegrenzung überschritten

3: Spitzen-Ratenbegrenzung überschritten

4. Missbrauch des SMTP-Relay-Diensts

5: Ratenlimit pro Nutzer überschritten

Der Anzeigename des Absenders („Von:“), wie er in den Nachrichtenheadern enthalten ist (z. B. Max Mustermann). Dieses Feld wird möglicherweise abgeschnitten, wenn das Protokoll zu lang ist oder zu viele Regeln ausgelöst wurden (triggered_rule_info).

Eine Unterkategorie des Quellservers. Eine Beschreibung der Werte finden Sie im message_info.source.service.

Der Quelldienst für die Nachricht. Mithilfe dieser beiden Felder können Sie feststellen, von welchem Dienst aus eine Nachricht gesendet wurde und warum die Nachricht generiert wurde.

Grund, aus dem die Nachricht z. B. als „Spam“ oder „Phishing“ klassifiziert wurde. Mögliche Werte:

1: Standardmäßiger Grund für die Klassifizierung als „Spam“

2: Die Nachricht wurde aufgrund früherer Aktionen des Nutzers klassifiziert.

3: Verdächtiger Inhalt

4: Verdächtiger Link

5: Verdächtiger Anhang

6: Benutzerdefinierte Richtlinie, die in den Google Workspace-Gmail-Einstellungen definiert wurde.

7: DMARC

8: Domain in öffentlichen RBLs

9: Verstoß gegen RFC-Standards

10: Verstoß gegen Gmail-Richtlinien

11: Durch maschinelles Lernen eingestuft

12: Absenderzuverlässigkeit

13: Offensichtliche Spamnachricht

14: Erweiterter Schutz vor Phishing und Malware

Ergebnis der Gmail-Spamklassifizierung. Mögliche Werte:

1: Kein Spam oder keine Malware

2: Spam

3: Phishing

4: Verdächtig

5: Malware

Kategorie des MIME-Typs. Mögliche Werte:

1: Unbekannter Dateityp

2: Office-Dokumente, z. B. zur Textverarbeitung oder für Tabellen, Präsentationen und Datenbanken. Hierzu gehören auch PDF-Dateien. Die Datei kann, muss aber nicht verschlüsselt sein.

3. Video- und Multimedia-Dateien, z. B. MPEG, QuickTime oder WMV

4. Musik und Audioinhalte, z. B. MP3, AAC und WAV

5. Bilder, z. B. JPEG, BMP oder GIF

6. Archive, z. B. ZIP, TAR oder TGZ

7. Ausführbare Dateien, z. B. EXE, COM oder JS

8: Verschlüsselte Office-Dokumente

9: Unverschlüsselte Office-Dokumente

Aufgrund der Konsequenz ergriffene Maßnahme. Mögliche Werte:

0: Konsequenz ist eine Nulloperation

3: Die Nachricht unter Administratorquarantäne stellen

4: Das primäre Zustellungsziel ändern

5. Zustellungsziel hinzufügen

6: Nachrichtenheader wurde hinzugefügt

7: Envelope-Empfänger überschreiben

9: Nachricht der angegebenen Nachrichtengruppe hinzufügen

10: Labels der Nachricht ändern

11: Text vor dem Betreff der Nachricht einfügen

12: Fußzeile für die Nachricht hinzufügen

13: Nachrichtentext entfernen

14: Kopie der Nachricht gemäß den Einstellungen für den umfassenden E-Mail-Speicher im Postfach des Nutzers speichern.

15: Anhang durch Antwortvorlagentext ersetzen

16: Sichere Nachrichtenzustellung anfordern

17: Nachricht kann nicht zugestellt werden und wird zurückgesendet

18: In Google Vault für Empfänger archivieren

20: Ausgehende Nachrichten mit S/MIME verschlüsseln

21: Empfänger ändern, wenn die Nachricht über SMTP empfangen wird

Typ der benutzerdefinierten Regel Mögliche Werte:

0: Walled Garden

7: Anstößige Inhalte

8: Inhaltscompliance

10: Routing für empfangene Nachrichten

11: Routing für gesendete Nachrichten

12: Spameinstufung überschrieben

14: Blockierte Absender

15: Fußzeile anfügen

16: Anhangscompliance

17: TLS-Compliance

18: Domain-Standardrouting

19: Annahme eingehender E-Mail-Journale in Vault

20: Ausgehendes Relay

21: Quarantänezusammenfassung

22: Alternative sichere Route

23: Aliastabelle

24: Umfassender E‑Mail-Speicher

25: Routingregel

26: Eingangsgateway

27: S/MIME

28: E-Mail-Archivierung durch Drittanbieter

Beschreibt die Ergebnisse der benutzerdefinierten Regel für die Spamklassifizierung. Mögliche Werte:

0: Keine Maßnahme: Die Regel folgte der in Gmail getroffenen Spamklassifizierung.

1: Spam: Die Regel hat die Nachricht als Spam klassifiziert.

2: Kein Spam: Die Regel hat die Nachricht als Nicht-Spam klassifiziert.

Name des Anhangs. Im Anhangstext, der aus einer Binärdatei extrahiert wurde, wurde ein übereinstimmender String gefunden. Hinweis:Dieses Feld ist derzeit nicht ausgefüllt.

Übereinstimmungsausdruck, der in der Admin-Konsole festgelegt wurde. Dieses Feld wird möglicherweise abgeschnitten, wenn das Protokoll zu lang oder die Anzahl der ausgelösten Regeln (triggered_rule_info) im Protokoll zu groß ist.

Der String, der die Regel ausgelöst hat. Vertrauliche Informationen werden durch * oder . ausgeblendet. Dieses Feld wird möglicherweise abgeschnitten, wenn das Protokoll zu lang oder die Anzahl der ausgelösten Regeln (triggered_rule_info) im Protokoll zu groß ist.

Position des Strings, der in der Nachricht übereinstimmt. Mögliche Werte:

0: Unbekannt

1: Nachrichtentext, einschließlich Anhängen im Textformat

2: Anhänge im binären Format

3: Nachrichtenheader

4: Betreff

5: Absender-Header

6: Empfängerheader

7: Rohnachricht

Art der Übereinstimmung. Mögliche Werte:

• 0: Nicht definiert
• 1: Übereinstimmung mit regulärem Ausdruck
• 2: Vordefinierte Detektor-Übereinstimmung
• 3: Einfache Inhaltsübereinstimmung
• 4: Nicht-ASCII-Übereinstimmung

Beim Hochladen der Nachricht in das Ziel ist ein Fehler aufgetreten. Mögliche Werte:

• 0: Nicht kategorisierter vorübergehender Fehler
• 1: Das Konto des Empfängers ist ausgelastet.
• 2: DNS-Fehler beim Auflösen der Empfängerdomain
• 3: Der Server des Empfängers hat die Verbindung abgelehnt.
• 4: Der Speicherplatz des Empfängers ist vollständig belegt.