סכימה ליומני Gmail ב-BigQuery

event_info.client_context.client_type

סוג האירוע שנרשם ביומן. סוג האירוע קשור למאפיין של האירוע באירועים ביומן Gmail בכלי לחקירת אבטחה. הערכים האפשריים הם:

‫0: שלב במהלך מסירת האימייל שלא זמין בכלי לחקירת אבטחה. פרטים נוספים זמינים במאמר בנושא message_info.action_type.

‫1: ההודעה נשלחה

‫2: התקבלה הודעה.

‫3: משתמש ב-Gmail סימן את ההודעה בתור ספאם באופן ידני. למשל, המשתמש סימן הודעה כלשהי כספאם, פישינג או לא-ספאם.

‫4: Gmail סימן את ההודעה כספאם אחרי שהיא נמסרה. זה יכול לקרות מכמה סיבות. לדוגמה, מוניטין לא טוב של השולח או גיבובים (hash) חדשים של וירוסים.

‫5: ההודעה הועברה להסגר

‫6: ההודעה שוחררה מהסגר

‫7: ההודעה נפתחה בפעם הראשונה

‫8: ההודעה סומנה כהודעה שלא נקראה

‫9: נשלחה תשובה להודעה בפעם הראשונה

‫10: ההודעה הועברה בפעם הראשונה

‫11: ההודעה הועברה באופן אוטומטי כי יש הגדרת העברה בחשבון Gmail

‫12: ההודעה הועברה לתיבת הדואר הנכנס

‫13: ההודעה הועברה ל'אשפה'

‫14: ההודעה הוסרה מהאשפה

‫15: בוצעה לחיצה על קישור בגוף ההודעה

‫16: בוצעה לחיצה על קישור בקובץ שמצורף להודעה בזמן הצפייה בתצוגה המקדימה שלו

‫17: בוצעה הורדה של קובץ מצורף אחד או יותר בהודעה

‫18: קובץ מצורף אחד או יותר נשמר ב-Google Drive

‫19: פריט אחד או יותר מ-Google Drive שנכללו בהודעה נשמרו ב-Google Drive של הנמען

‫20: הוחלה על ההודעה תווית סיווג

‫21: בוצע שינוי בתווית סיווג של ההודעה

‫22: הוסרה תווית סיווג מההודעה

‫23: הוחלה תווית סיווג לכל הקבצים המצורפים להודעה

‫24: בוצע שינוי בתווית הסיווג של כל הקבצים המצורפים להודעה

‫25: הוסרה תווית סיווג מכל הקבצים המצורפים להודעה

‫26: הודעה הועברה לארכיון

‫27: הודעה נמחקה באופן סופי

‫28: הייתה צפייה בתצוגה המקדימה של הודעה אחת או יותר

‫29: ההודעה נשמרה כטיוטה

‫30: לא הייתה אפשרות למסור את ההודעה והייתה הודעה על שליחה שנכשלה

‫31: ההודעה נצפתה, כולל הקריאה הראשונה וכל קריאה שקרתה אחר כך. למידע נוסף על בעיה מוכרת ב-iOS, אפשר לעיין במאמר בנושא בעיות מוכרות ב-Google Workspace.

‫32: בוצעה הורדה של הודעה

‫33: אפליקציה פתחה הודעה מטעם משתמש

‫34: ניתנה הרשאת גישה

הערה: אם הפעלתם את הייצוא מ-BigQuery בין אפריל 2024 ליולי 2024, אין בו אירועי צפייה היסטוריים שקרו בין אפריל 2024 לבין התאריך שבו הפעלתם את הייצוא. אם הייצוא מ-BigQuery הופעל באוגוסט 2024 ואילך, יש בו אירועי צפייה היסטוריים, שישה חודשים אחורה מהתאריך שבו הפעלתם את הייצוא.

‫True אם האירוע הצליח. אם לא, אז False. לדוגמה, אם ההודעה נדחתה בגלל מדיניות, הערך הוא False.

הפעולה של מסירת ההודעה שהאירוע מייצג. ערכים אפשריים:

‫1: ההודעה התקבלה על ידי שרת SMTP לדואר נכנס

‫2: ההודעה התקבלה על ידי Gmail והוכנה למסירה. השלב הזה בדרך כלל מופיע אחרי 1,או שהוא השלב הראשון אם שולחים מ-Gmail. עבור הודעות נכנסות, כללי מדיניות עם מחיקות של דחיות בדרך כלל מוערכים כאן. לדוגמה, מדיניות בנושא תאימות של קבצים מצורפים שדוחה הודעות נכנסות.

‫3: Gmail ביצע פעולה בהודעה. למשל, מסר אותה לתיבת דואר של Gmail או לשרת אחר. השלב הזה בדרך כלל מגיע אחרי 2. מוערכים כאן כללי מדיניות עם מחיקות שהן לא דחייה. לדוגמה, מדיניות בנושא תאימות של קבצים מצורפים שמסירה קבצים מצורפים על סמך סוג הקובץ או קריטריונים אחרים.

‫10: ההודעה נשלחת החוצה על ידי שרת SMTP לדואר יוצא

‫14: שגיאה זמנית קרתה כש-Gmail ניסה למסור את ההודעה, וההודעה תוזמנה לניסיון חוזר. בדרך כלל זה קורה בגלל אי-זמינות זמנית של שרתים חיצוניים או פנימיים. אפשר לנסות שוב מאוחר יותר. למשל, Gmail ניסה למסור את ההודעה לשרת SMTP חיצוני, אבל קיבל שגיאה זמנית.

‫18: לא הייתה אפשרות למסור את ההודעה והייתה הודעה על שליחה שנכשלה. לפעמים אפשר לגלות מה קרה בקריאה של message_info.description. יופיע מקף מהסיבות הנפוצות האלה:

• השרת של הנמען לא אישר את הבקשה

• לא הייתה אפשרות למסור את ההודעה בגלל יותר מדי שגיאות זמניות (אפשר לעיין ב-14בטבלה הזו)

• ההודעה נדחתה בגלל עיכוב בהערכת המדיניות

• הנמען לא זוהה ולא הופעלה מדיניות לשינוי של נתיב המסירה הראשי

‫19: Gmail הסיר את ההודעה מההסגר. יופיע מקף מהסיבות הנפוצות האלה:

• אם הודעה שנשלחה מפעילה נסיבות של הכנסה להסגר אדמין, ההודעה המקורית מוסרת מהסגר ועותק שלה מתווסף להסגר אדמין

• עבור הודעה שנרשמת ביומן, ההודעה הפנימית הארוזה נמסרת, אבל ההודעה המקורית מוסרת מההסגר

• עבור הודעות נכנסות, Gmail יכול לחסום ולהסיר הודעות מההסגר אם למשל:

  • ההודעה לא עומדת בדרישות של RFC 5322

  • השולח מפר את ההנחיות בנושא שליחה לרשימת תפוצה

• אם יש מדיניות שהסירה את נתיב המסירה העיקרי והוסיפה נתיבים אחרים, ההודעה המקורית מוסרת מההסגר ועותקים שלה נמסרים לנתיבים שהתווספו

• אם הנמען הוא כתובת שלא מזוהה ויש מדיניות שמוסיפה עוד נתיבים, ההודעה המקורית מוסרת מההסגר ונשלחים עותקים לנתיבים שהתווספו

‫45: ההודעה התקבלה למסירה על ידי מערכת משנה של קבוצות Google

‫46: הכתובת של נמען ההודעה הייתה קבוצה ב-Google, והנמען הורחב לכל חבר בקבוצה ב-Google שהופעלה אצלו מסירת הודעות

‫48: ההודעה התקבלה על ידי שרת ממסר SMTP לדואר נכנס

‫49: ההודעה נשלחה דרך שרת ממסר SMTP לדואר יוצא

‫51: ההודעה נכתבה לאחסון בקבוצות Google

‫54: ההודעה נדחתה על ידי מערכת האחסון של קבוצות Google

‫55: ההודעה הוכנסה מחדש ל-Gmail בהתאם לכללי מדיניות ששינו את נתיב המסירה העיקרי או את כתובת הנמען בשרת הדואר

‫ 68: ההודעה התקבלה על ידי Gmail והוכנה למסירה. האירוע הזה דומה ל-2, אבל ההודעה נשלחה דרך שרת Gmail.

‫69: משתמש שינה את סיווג הספאם של ההודעה ב-Gmail. לדוגמה, משתמש סימן אותה כספאם, פישינג או לא-ספאם.

‫70: ההודעה סווגה מחדש כספאם או פישינג אחרי שהיא נמסרה ל-Gmail.

‫ 71: משתמש ביצע פעולה בתיבת הדואר הנכנס אחרי שהוא קיבל את ההודעה. בין הפעולות שיכולות לקרות אחרי המסירה: פתיחת הודעה, לחיצה על קישור בהודעה והורדה של קובץ מצורף. ייצוא מ-BigQuery כולל פרטים על הפעולה

מידע על הקבצים שמצורפים להודעה. הרשומה הזו חוזרת בכל קובץ מצורף.

הקטגוריה של התוכנה הזדונית, אם היא מתגלה בזמן הטיפול בהודעה. אם לא מזוהה תוכנה זדונית, השדה לא מוגדר. ערכים אפשריים:

• ‫1: סוג מוכר של תוכנה זדונית
• ‫2: תוכנה זדונית מסוג וירוס או תולעת
• ‫3: תוכן אימייל שעשוי להיות מזיק
• ‫4: תוכן אימייל שעשוי להיות לא רצוי
• ‫5: סוג אחר של תוכנה זדונית

סוג האימות של ההודעה (למשל, SPF‏, DKIM). ערכים אפשריים:

• ‫1: SPF
• ‫2: DKIM
• ‫3: DKIM_PROXY
• ‫4: XOAR_SPF
• ‫5: XOAR_DKIM
• ‫6: ARC_SPF
• ‫7: ARC_DKIM

קוד התשובה של SMTP לחיבורי SMTP לדואר נכנס או יוצא. בדרך כלל 2xx‏, 4xx או 5xx.

סיבה מפורטת לקוד התשובה של SMTP לחיבורים של דואר נכנס. ערכים אפשריים:

• ‫1: הודעות שכוללות סיבת ברירת מחדל נדחות או מתקבלות
• ‫3: תוכנה זדונית
• ‫4: מדיניות DMARC
• ‫5: סוג הקובץ המצורף לא נתמך ב-Gmail
• ‫6: חריגה ממגבלת ההודעות הנכנסות
• ‫7: חריגה מהמכסה של החשבון
• ‫8: דוח שיעור שיחות הטלפון (PTR) לא טוב
• ‫9: הנמען שהוזן לא קיים
• ‫10: מדיניות לקוח
• ‫12: הפרה של RFC
• ‫13: ספאם בוטה
• ‫14: התקפת מניעת שירות (DoS)
• ‫15: קישורים זדוניים או למטרות ספאם
• ‫16: מוניטין רע של כתובת ה-IP
• ‫17: מוניטין רע של הדומיין
• ‫18: כתובת ה-IP מופיעה ברשימת החסימות שגלויה לכולם בזמן אמת
• ‫19: דחייה זמנית בגלל מגבלות מניעת שירות (DoS)
• ‫20: דחייה סופית בגלל מגבלות מניעת שירות (DoS)

סוג החיבור שבוצע לשרת SMTP. מוגדר רק עבור יומני אירועים שמטפלים בצורה מפורשת בחיבורי SMTP. ערכים:

• ‫0: לא TLS
• ‫1: TLS

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

קטגוריית משנה לכל שירות. ההגדרות של הערך מופיעות כאן: message_info.destination.service.

השירות ביעד של ההודעה. יש הרבה זוגות של שירותים וסלקטורים ליעדים. אפשר להשתמש בשני השדות האלה כדי לקבוע לאיזה שירות ההודעה נשלחה.

להודעות נכנסות בלבד. אם הערך מוגדר, המשמעות היא שהיה ניסיון פענוח S/MIME עבור הנמען הזה.הערך מציין את סטטוס הביצוע. אם לא בוצע ניסיון, אין הגדרה.

להודעות נכנסות בלבד. אם הערך מוגדר, המשמעות היא שהיה ניסיון לחלץ S/MIME עבור הנמען הזה. הערך מציין את סטטוס הביצוע. אם לא בוצע ניסיון, אין הגדרה.

להודעות נכנסות בלבד. אם הערך מוגדר, המשמעות היא שהיה ניסיון לבצע ניתוח S/MIME עבור הנמען הזה. הערך מציין את סטטוס הביצוע. אם לא בוצע ניסיון, אין הגדרה.

להודעות נכנסות בלבד. אם הערך מוגדר, המשמעות היא שהיה ניסיון לאמת חתימה של S/MIME עבור הנמען הזה. הערך מציין את סטטוס הביצוע. אם לא בוצע ניסיון, אין הגדרה.

מחרוזת שכוללת את כל המידע של הנמען בפורמט המשוטח הזה:
"service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2"

‫True אם כללי המדיניות הוערכו עבור השולח (ההודעה עברה עיבוד למסירה החוצה). ‫False אם כללי המדיניות הוערכו עבור הנמען (ההודעה עברה עיבוד למסירה פנימה).

סוג ההגדרה שההודעה שייכת אליה. מידע נוסף זמין במאמר message_info.message_set.type.

סוגי ההודעות שהוגדרו הם מאפיינים שמתארים את ההודעה. לדוגמה, אם ההודעה הייתה דואר נכנס, דואר יוצא או פנימית. ערכים אפשריים:

‫1: ההודעה היא דואר נכנס (התקבלה מחוץ לדומיינים שלכם). ההודעה שהוגדרה לא מופיעה עם הודעה שהוגדרה כ-10.

‫2: ההודעה היא דואר יוצא (נשלחה לנמען מחוץ לדומיינים שלכם). ההודעה שהוגדרה לא מופיעה עם הודעה שהוגדרה כ-10.

‫4: ההודעה מכילה תוכן שמעורר התנגדות, בהתאם להגדרה של אחד מכללי המדיניות שלכם

‫6: ההודעה הפעילה את הכלל של המרחב הסגור-חלקית שהגדרתם, שמגביל את ההודעות לכתובות או לדומיינים מאושרים

‫7: Gmail סיווג את ההודעה כספאם

‫8: ההודעה נשלחת (הודעה יוצאת)

‫9: ההודעה מתקבלת (הודעה נכנסת)

‫10: הודעה שהיא פנימית לדומיינים שלכם

‫11: יש להודעה שולח או נמענים מחוץ לדומיינים שלכם. להודעות שהתקבלו: אם חסרה הודעה שהוגדרה כ-27, השולח לא אומת. ההודעה מטופלת כהודעה שהשולח שלה היה מחוץ לדומיין.

‫12: יש להודעה כמה נמענים בתוך הדומיין שלכם, וכמה נמענים מחוץ לדומיין שלכם. הגדרת ההודעה הזו עשויה להופיע כאשר:

• יש כמה נמענים
• נשלחת הודעה. אם זאת הודעה שמתקבלת, כל הנמענים צריכים להשתייך לאותו הדומיין
• סוג הפעולה להודעה הוא 2. הודעות עם כמה נמענים מתחלקות להודעות עם נמען אחד

‫13: סוג ההודעה שהוגדרה לא ידוע

‫15: נבדקת עמידה במדיניות שקשורה למשתמש Gmail

‫18: אין להודעה נתיב כברירת מחדל

‫19: רשימת הכתובות שהגדרתם לנתיב ברירת המחדל של הדומיין תואמת לנמען של ההודעה

‫20: ההודעה היא מכתובת ברשימת השולחים החסומים שלכם

‫21: ההודעה נשלחה ב-TLS, ואישור ה-SSL תקין.

‫22: ההודעה נשלחה ב-TLS

‫24: לא ידוע מי הנמען של ההודעה

‫25: ההודעה היא דוח שמציין את ההודעות שלא נשלחו, שנשלחה בעקבות הודעה שלא נמסרה

‫26: ההודעה הפעילה כלל של שינוי נתיב, שהגדרתם בנתיב ברירת המחדל של הדומיין

‫27: השולח עבר אימות SPF‏/DKIM‏/DMARC. אם השולח לא מאומת, הדומיין שלו לא מהימן וההודעה לא נחשבת פנימית.

‫28: Exchange journal מעביר את ההודעה לארכיון ב-Google Vault

‫29: ההודעה נותבה דרך שרת SMTP

‫30: נמען של ההודעה תאם לאחד הנמענים שצוינו באופן מפורש (במקום דפוס של ביטוי רגולרי) שהגדרתם עבור הניתוב של הדומיין או עבור ברירת המחדל לניתוב הדומיין

‫31: ההודעה תאמה לתנאי ברירת המחדל של ניתוב הדומיין שהגדרתם

‫33: ההודעה צריכה להיות מועברת דרך חיבור מאובטח, כמו TLS

‫34: נבדקת עמידה במדיניות שקשורה לקבוצה במקום למשתמש Gmail רגיל

‫35: לא הייתה אפשרות לאמת את ההודעה בשרת SMTP כי הייתה לה כתובת SMTP‏ envelope-from ריקה, או שיכול להיות שהיא הודעת Exchange Journal. היא תיבדק מאוחר יותר, בזמן הפקודה SMTP RCPT.

‫36: מופעל בהודעה סינון ספאם אגרסיבי

‫37: ההודעה מאומתת לשרת SMTP

‫39: השולח הוא מדומיין מאומת לשרת הממסר

‫40: ההודעה היא ממשתמש Google Workspace בדומיין שאומת עבור שרת ממסר

‫41: השולח אומת עם SMTP AUTH, ו-Gmail מנסה לאמת שרת SMTP עבור הדומיין של השולח

‫42: ההודעה נשלחה מכתובת שלא אומתה

‫43: ההודעה נותבה דרך טבלה של אימייל חלופי

‫44: ההודעה הפעילה כלל שמשנה את הנתיב של זרימת הדואר

‫45: ההודעה היא לחשבון של מסלקת דואר והיא נמסרת דרך שרת ממסר לשרת מקומי. לא יחולו עליה כללי מדיניות של מערכת הרשומות.

‫46: ההודעה עקפה את סינון הספאם

‫47: ההודעה אותרה כספאם על ידי מידע של תיוג ומסירה בהגדרות של השער להודעות אימייל נכנסות

‫48: לא נבדק ספאם בהודעה (על ידי SMTP) בגלל מדיניות של ביטול ספאם

‫49: יש להודעה כלל של חסימת ספאם בכל מקרה

‫50: ההודעה תואמת לתנאי ניתוב דומיין שהגדרתם

‫51: ההודעה הפעילה כלל של שינוי נתיב שהגדרתם לניתוב של הדומיין

‫57: ההודעה התקבלה מכלל של שער להודעות אימייל נכנסות שהגדרתם

‫60: ההודעה מוגנת על ידי מצב סודי של Gmail

‫61: ההודעה התקבלה על ידי ארגז החול לאבטחה

‫62: רשימת הכתובות שהגדרתם עבור ניתוב ברירת המחדל של הדומיין מתאימה לכתובת הנמען בשרת הדואר SMTP במקום לנמען האימייל של ההודעה

‫63: ההודעה הפעילה כלל ניתוב ברמת הדומיין, שהגדרתם עבור הניתוב של הדומיין, או ניתוב כברירת מחדל בדומיין

סוג פעולה של אחרי מסירה. ערכים אפשריים:

‫1: הודעה נפתחה בפעם הראשונה

‫2: ההודעה סומנה כהודעה שלא נקראה

‫3: נשלחה תשובה להודעה

‫4: הודעה הועברה

‫5: הודעה הועברה אוטומטית באמצעות הגדרה של Gmail

‫6: ההודעה הועברה לתיבת הדואר הנכנס

‫7: הודעה הועברה ל'אשפה'

‫8: הודעה הוסרה מ'אשפה'

‫9: בוצעה לחיצה על קישור בגוף ההודעה

‫10: בוצעה הורדה של קובץ מצורף אחד או יותר בהודעה

‫11: בוצעו צפייה מקדימה בקובץ מצורף ולחיצה על קישור בקובץ

‫12: קובץ מצורף אחד או יותר נשמרו ב-Google Drive

‫13: בוצעה לחיצה על קישור בתוסף

‫14: בוצעה הורדה של פריט אחד או יותר מ-Google Drive בהודעה

‫15: פריט אחד או יותר מ-Google Drive שנכללו בהודעה נשמרו ב-Google Drive של הנמען

‫ 16: הוחלה תווית סיווג על ההודעה או שבוצע שינוי בתווית סיווג

‫ 17: תווית סיווג הוחלה על קובץ שצורף להודעה, או שבוצע שינוי בתווית סיווג

‫18: הודעה הועברה לארכיון

‫19: הודעה נמחקה באופן סופי

‫20: בוצעה צפייה מקדימה בקובץ אחד או יותר שצורפו להודעה

‫21: נמען חסם את השולח של ההודעה

‫22: ההודעה נשמרה כטיוטה

‫23: הודעה נצפתה, כולל הקריאה הראשונה וכל קריאה שקרתה אחר כך

‫24: בוצעה הורדה של הודעה

‫25: אפליקציה פתחה הודעה מטעם משתמש

‫26: ניתנה הרשאת גישה

סוג התוכנה הזדונית, אם מזוהה תוכנה זדונית בזמן הטיפול בהודעה. אם לא מזוהה תוכנה זדונית, השדה הזה לא מוגדר. ערכים אפשריים:

‫1: סוג מוכר של תוכנה זדונית

‫2: תוכנה זדונית מסוג וירוס או תולעת

‫3: תוכן הודעה שיכול להיות שהוא מזיק

‫4: תוכן הודעה שיכול להיות שהוא לא רצוי

‫5: סוג אחר של תוכנה זדונית

סוג הישות שסווגה. ערכים אפשריים:

‫1: גוף ההודעה

‫2: קובץ מצורף

סוג אירוע הסיווג. ערכים אפשריים:

‫1: בוצע שינוי בתווית

‫2: הוחלה תווית חדשה

‫3: תווית הוסרה

סוג S/MIME ברמה העליונה של הודעה, שאפשר לראות לפי הכותרת Content-Type: ‎ (סוג תוכן). ערכים אפשריים:

‫0: אין להודעה סוג תוכן S/MIME מזוהה

‫1: הודעת S/MIME שהחתימה שלה מנותקת, ניתנת לזיהוי לפי סוג התוכן multipart/signed עם הפרמטר protocol=application/pkcs7-signature

‫2: הודעת S/MIME עם חתימה דיגיטלית מוטמעת, ניתנת לזיהוי לפי סוג התוכן application/pkcs7-mime או application/x-pkcs7-mime עם הפרמטר smime-type=signed-data

‫3: הודעת S/MIME מוצפנת, ניתנת לזיהוי לפי סוג התוכן application/pkcs7-mime או application/x-pkcs7-mime עם הפרמטר smime-type=enveloped-data

‫4: הודעת S/MIME דחוסה, ניתנת לזיהוי לפי סוג התוכן application/pkcs7-mime או application/x-pkcs7-mime עם הפרמטר smime-type=compressed-data

להודעות יוצאות בלבד. כשהערך מוגדר ל-True, זה אומר שההודעה צריכה להיות מוצפנת.

כשהערך מוגדר, המשמעות היא שהתבצע עיבוד S/MIME נכנס. אם לא בוצע ניסיון, אין הגדרה. הערך מציין את סטטוס הביצוע. הערה: לא מוגדר כרגע.

להודעות יוצאות בלבד. כשהערך מוגדר, המשמעות היא שהיה ניסיון לארוז S/MIME. אם לא בוצע ניסיון, אין הגדרה. הערך מציין את סטטוס הביצוע.

אם Gmail דוחה בקשה של שרת SMTP, אפשר להבין את הגורם לדחייה מקוד השגיאה הזה. ערכים אפשריים:

‫1: שגיאת אימות

‫2: חריגה מההגבלה היומית של קצב יצירת הבקשות

‫3: חריגה מהגבלת הקצב של יצירת הבקשות בשיא

‫4: ניצול לרעה של שרת SMTP

‫5: חריגה מהגבלת הקצב של יצירת בקשות לכל משתמש

השם המוצג של הכותרת 'מאת:' כפי שהוא מופיע בכותרות ההודעה, למשל, John Doe. יכול להיות שהשדה הזה יהיה חתוך אם היומן ארוך מדי, או אם מספר הכללים שהופעלו (triggered_rule_info) ביומן גדול מדי.

קטגוריית משנה של שרת המקור. תיאורי הערכים מופיעים כאן: message_info.source.service.

שירות המקור של ההודעה. אפשר להשתמש בשני השדות האלה כדי לקבוע איזה שירות שלח את ההודעה ולמה ההודעה נוצרה.

הסיבה שההודעה סווגה כספאם, פישינג או סיווג אחר. ערכים אפשריים:

‫1: הסיבה לסיווג כספאם כברירת מחדל

‫2: ההודעה סווגה בגלל פעולות העבר של השולח

‫3: תוכן חשוד

‫4: קישור חשוד

‫5: קובץ מצורף חשוד

‫6: מדיניות מותאמת אישית שמוגדרת בהגדרות Gmail ב-Google Workspace

‫7: DMARC

‫8: הדומיין רשום ברשימות RBL ציבוריות

‫9: הפרה של תקני RFC

‫10: הפרה של מדיניות Gmail

‫11: תוצאה של למידת מכונה

‫12: מוניטין השולח

‫13: ספאם בוטה

‫14: הגנה מתקדמת מפני פישינג ותוכנות זדוניות

התוצאה של סיווג ספאם ב-Gmail. ערכים אפשריים:

‫1: לא ספאם או תוכנה זדונית

‫2: ספאם

‫3: פישינג

‫4: חשוד

‫5: תוכנה זדונית

קטגוריה של סוג MIME. ערכים אפשריים:

‫1: סוג קובץ לא מזוהה

‫2: מסמכים של Microsoft Office, כולל מסמכים של מעבד תמלילים, גיליון אלקטרוני, מצגת ומסד נתונים. כולל קובצי PDF. יכול להיות שהקובץ מוצפן ויכול להיות שלא.

‫3: וידאו ומולטימדיה, לדוגמה, MPEG‏, Quicktime‏, WMV

‫4: מוזיקה ואודיו, לדוגמה, MP3,‏ AAC ו-WAV

‫5: תמונות, לדוגמה, JPEG‏, BMP‏, GIF

‫6: ארכיונים, לדוגמה, ZIP‏, TAR‏, TGZ

‫7: קובצי הפעלה, לדוגמה, EXE‏, COM‏, JS

‫8: מסמכי Office מוצפנים

‫9: מסמכי Office לא מוצפנים

פעולה שבוצעה עבור התוצאה. ערכים אפשריים:

‫0: התוצאה היא ללא תפעול (no-ops)

‫3: הכנסת ההודעה להסגר האדמין

‫4: שינוי יעד המסירה העיקרי

‫5: הוספה של יעד מסירה

‫6: נוספה כותרת להודעה

‫7: שינוי כתובת הנמען בשרת הדואר

‫9: הוספה של הודעה לקבוצת הודעות מוגדרת

‫10: שינוי התוויות של ההודעה

‫11: הטקסט של התוספת לשם של נושא ההודעה

‫12: הוספת כותרת תחתונה להודעה

‫13: הפשטה של גוף ההודעה

‫14: אחסון עותק של ההודעה בתיבת הדואר של המשתמש, לפי ההגדרה של אחסון כל האימיילים (CRL)

‫15: החלפת הקובץ המצורף בטקסט מוכן מראש

‫16: דרישה של מסירת הודעה מאובטחת

‫17: אי אפשר למסור את ההודעה והייתה הודעה על שליחה שנכשלה

‫18: העברה לארכיון ב-Google Vault עבור הנמענים

‫20: הצפנה של הודעה יוצאת באמצעות S/MIME

‫21: שינוי המשתמש הנמען כשההודעה מתקבלת ב-SMTP

סוג של כלל מותאם אישית. ערכים אפשריים:

‫0: מרחב סגור-חלקית

‫7: תוכן שמעורר התנגדות

‫8: סינון לפי עמידה במדיניות

‫10: ניתוב דואר שנכנס

‫11: ניתוב של הודעות יוצאות

‫12: ביטול ספאם

‫14: שולחים חסומים

‫15: הוספת כותרת תחתונה

‫16: תאימות של קבצים מצורפים

‫17: תאימות של TLS

‫18: ניתוב כברירת מחדל בדומיין

‫19: קבלה של הודעות נכנסות מ-Journal ב-Vault

‫20: שרת ממסר לדואר יוצא

‫21: סיכום פריטים בהסגר

‫22: נתיב מאובטח חלופי

‫23: טבלת כתובות אימייל חלופיות

‫24: אחסון כל האימיילים (CRL)

‫25: כלל הניתוב

‫26: שער לדואר נכנס

‫27: S/MIME

‫28: שירות של צד שלישי להעברת הודעות לארכיון

תיאור של התוצאות של סיווג הספאם לפי הכלל המותאם אישית. ערכים אפשריים:

‫0: ללא פעולה – הכלל כיבד את תוצאת הסיווג של הספאם ב-Gmail

‫1: ספאם — הכלל סיווג את ההודעה כספאם

‫2: לא ספאם — הכלל סיווג את ההודעה כלא-ספאם

שם של קובץ מצורף, כאשר נמצאה מחרוזת תואמת בטקסט שחולץ מקובץ בינארי. הערה: השדה הזה לא מאוכלס כרגע.

ביטוי התאמה שמוגדר במסוף Admin. יכול להיות שהשדה הזה יהיה חתוך אם היומן ארוך מדי, או אם מספר הכללים שהופעלו (triggered_rule_info) ביומן גדול מדי.

המחרוזת שהפעילה את הכלל. מידע רגיש מוסתר על ידי * או . יכול להיות שהשדה הזה יהיה חתוך אם היומן ארוך מדי, או אם מספר הכללים שהופעלו (triggered_rule_info) ביומן גדול מדי.

מיקום של המחרוזת שהתאימה להודעה. ערכים אפשריים:

‫0: לא ידוע

‫1: גוף ההודעה, כולל קבצים מצורפים בפורמט טקסט

‫2: קבצים מצורפים בפורמט בינארי

‫3: כותרות של ההודעה

‫4: נושא

‫5: כותרת השולח

‫6: כותרת הנמען

‫7: ההודעה הגולמית

סוג ההתאמה. ערכים אפשריים:

• ‫0: לא מוגדר
• ‫1: התאמה של ביטוי רגולרי
• ‫2: התאמה של מזהה שהוגדר מראש
• ‫3: התאמת תוכן פשוטה
• ‫4: התאמה שהיא לא-ASCII

הייתה שגיאה כשבוצעה העלאה של ההודעה ליעד. ערכים אפשריים:

• ‫0: שגיאה זמנית ללא שיוך לקטגוריה
• ‫1: החשבון של הנמען עמוס מדי
• ‫2: שגיאת DNS שנפתרת בדומיין של הנמען
• ‫3: השרת של הנמען סירב להתקשרות
• ‫4: אין לנמען מספיק נפח אחסון