Schemat dzienników Gmaila w BigQuery

event_info.client_context.client_type

Typ zarejestrowanego zdarzenia. Typ zdarzenia odpowiada atrybutowi Zdarzenie w zdarzeniach dziennika Gmaila w narzędziu do analizy zagrożeń. Możliwe wartości to:

0: etap dostarczania poczty, który nie jest dostępny w narzędziu do analizy zagrożeń. Szczegółowe informacje znajdziesz w polu message_info.action_type.

1. Wiadomość wysłana.

2: Wiadomość odebrana.

3. Użytkownik Gmaila ręcznie przypisał klasyfikację spamu do wiadomości. Na przykład oznaczył wiadomość jako spam, phishing lub nie spam.

4. Gmail oznaczył wiadomość jako spam po jej dostarczeniu. Może to być spowodowane wieloma czynnikami, w tym słabą reputacją nadawcy lub hashami nowych wirusów.

5: Wiadomość została poddana kwarantannie.

6: Wiadomość została zwolniona z kwarantanny.

7: Wiadomość została otwarta po raz pierwszy.

8. Wiadomość została oznaczona jako nieprzeczytana.

9: Na wiadomość odpowiedziano po raz pierwszy.

10: Wiadomość została przekazana dalej po raz pierwszy.

11. Wiadomość została automatycznie przekazana dalej za pomocą ustawienia przekierowywania konta Gmail.

12: Wiadomość została przeniesiona do skrzynki odbiorczej.

13: Wiadomość została przeniesiona do kosza.

14: Wiadomość została usunięta z kosza.

15: Kliknięto link w treści wiadomości.

16: Podczas wyświetlania podglądu załącznika kliknięto link w załączniku wiadomości

17: Pobrano co najmniej jeden załącznik wiadomości.

18: Co najmniej jeden załącznik do wiadomości został zapisany na Dysku Google.

19: Co najmniej jeden element Dysku Google z wiadomości został zapisany na Dysku Google odbiorcy.

20: Do wiadomości zastosowano etykietę klasyfikacji.

21. Zmiana etykiety klasyfikacji wiadomości

22: Etykieta klasyfikacji została usunięta z wiadomości.

23: Etykieta klasyfikacji została zastosowana do wszystkich załączników wiadomości.

24: Zmieniono etykietę klasyfikacji wszystkich załączników wiadomości.

25: Etykieta klasyfikacji została usunięta ze wszystkich załączników wiadomości.

26: Zarchiwizowano wiadomość.

27. Wiadomość została trwale usunięta.

28. Wyświetlono podgląd co najmniej jednego załącznika wiadomości.

29. Wiadomość została zapisana jako wersja robocza.

30: Wiadomości nie udało się dostarczyć i została odesłana.

31: Wyświetlono wiadomość, w tym pierwszy i następujący opis sytuacji. Szczegółowe informacje o znanym problemie z iOS znajdziesz w artykule Znane problemy z Google Workspace.

32: Pobrano wiadomość.

33: Aplikacja uzyskała dostęp do wiadomości w imieniu użytkownika.

34. Przyznano dostęp wyznaczonemu użytkownikowi

Uwaga: eksporty BigQuery włączone od kwietnia do lipca 2024 r. nie obejmują zdarzeń w widoku danych historycznych od kwietnia 2024 r. aż do daty włączenia eksportu. Eksporty BigQuery włączone w sierpniu 2024 r. lub później zawierają zdarzenia w widoku danych historycznych z 6 miesięcy poprzedzających datę włączenia eksportu.

Wartość true, jeśli zdarzenie zakończyło się powodzeniem. W przeciwnym razie wartość false. Na przykład ma wartość false, jeśli wiadomość została odrzucona przez zasady.

Czynność dostarczania wiadomości reprezentowana przez zdarzenie. Możliwe wartości:

1. Odebranie wiadomości przez serwer SMTP poczty przychodzącej.

2: Zaakceptowanie wiadomości przez Gmaila i przygotowanie jej do dostarczenia. Zazwyczaj jest to następny krok po 1 lub pierwszy krok podczas wysyłania z Gmaila. W przypadku wiadomości przychodzących w tym kroku są zwykle oceniane zasady z dyspozycjami odrzucenia. Na przykład zasady sprawdzające zgodność załączników, które odrzucają wiadomości przychodzące.

3: Gmail wykonał działanie dotyczące wiadomości. Na przykład dostarczenie do skrzynki pocztowej Gmaila lub wysłanie na inny serwer. Zazwyczaj jest to następny krok po 2. Tutaj są zwykle oceniane zasady z dyspozycjami innymi niż odrzucenie. Na przykład zasady zgodności załączników, które usuwają załączniki na podstawie typu pliku lub innych kryteriów.

10. Wysłanie wiadomości przez serwer SMTP poczty wychodzącej.

14. Błąd tymczasowy przy próbie dostarczenia wiadomości przez Gmaila i zaplanowanie ponownej próby jej dostarczenia. Przyczyną tej sytuacji jest zwykle tymczasowa niedostępność zewnętrznych lub wewnętrznych serwerów. Spróbuj ponownie później. Na przykład przy próbie dostarczenia wiadomości na zewnętrzny serwer SMTP przez Gmaila wystąpił błąd tymczasowy.

18. Wiadomości nie udało się dostarczyć i została odesłana. Opis sytuacji zwykle zawiera pole message_info.description. Częste przyczyny:

• Serwer adresata nie zaakceptował żądania.

• Wiadomość nie mogła zostać dostarczona z powodu zbyt wielu błędów tymczasowych (przejdź do kroku 14 w tej tabeli).

• Wiadomość została odrzucona z powodu opóźnionej oceny zasad.

• Adresat nie został rozpoznany i nie zostały uruchomione zasady zmieniające główną trasę dostarczania.

19. Wiadomość została usunięta przez Gmaila. Częste przyczyny:

• Jeśli wysłana wiadomość powoduje konsekwencje związane z kwarantanną administracyjną, oryginalna wiadomość jest usuwana, a jej kopia jest umieszczana w kwarantannie administracyjnej.

• W przypadku wiadomości dziennika dostarczana jest opakowana wewnętrzna wiadomość, ale oryginalna wiadomość jest usuwana.

• Gmail może blokować i usuwać wiadomości przychodzące, jeśli na przykład:

  • wiadomość jest niezgodna z RFC 5322,

  • nadawca naruszył wytyczne dla nadawców wiadomości zbiorczych.

• Jeśli zasady usunęły główną trasę dostarczania i dodały inne trasy, oryginalna wiadomość jest usuwana, a kopie są dostarczane do dodanych tras.

• Jeśli adresat ma nierozpoznany adres i istnieją zasady, które dodają dodatkowe trasy, oryginalna wiadomość jest usuwana, a kopie są dostarczane do dodanych tras.

45. Wiadomość została przyjęta do dostarczenia przez podsystem Grup dyskusyjnych Google.

46. W polu adresu odbiorcy tej wiadomości podano grupę dyskusyjną Google, więc odbiorca został rozszerzony do każdego członka tej grupy, który ma włączoną opcję dostarczania wiadomości.

48. Odebranie wiadomości przez serwer SMTP poczty przychodzącej dla usługi przekaźnika.

49. Wiadomość została wysłana przez serwer SMTP poczty wychodzącej przy użyciu usługi przekaźnika.

51. Wiadomość została zapisana w pamięci Grup dyskusyjnych Google.

54. Wiadomość została odrzucona przez system pamięci Grup dyskusyjnych Google.

55. Ponowne wstawienie wiadomości do Gmaila spowodowane przez zasady modyfikujące główną trasę dostarczania lub adresata w danych koperty.

68. Zaakceptowanie wiadomości przez Gmaila i przygotowanie jej do dostarczenia. To działanie jest podobne do 2 z tą różnicą, że wiadomość została wysłana przez serwer Gmaila.

69. Użytkownik zmienił klasyfikację spamu wiadomości w Gmailu. Na przykład oznaczył ją jako spam, phishing lub nie spam.

70. Zmiana klasyfikacji wiadomości na spam lub phishing po jej dostarczeniu do Gmaila.

71. Po otrzymaniu wiadomości użytkownik wykonał działanie w skrzynce odbiorczej. Działania po dostarczeniu wiadomości obejmują otwarcie wiadomości, kliknięcie linku w wiadomości i pobranie załącznika. Eksport BigQuery zawiera szczegółowe informacje o tym działaniu.

Informacje o załącznikach do wiadomości. Ten rekord jest powtarzany dla każdego załącznika.

Kategoria złośliwego oprogramowania wykrytego podczas obsługi wiadomości. To pole nie jest skonfigurowane, jeśli nie wykryto złośliwego oprogramowania. Możliwe wartości:

• 1: Znane złośliwe oprogramowanie
• 2. Złośliwe oprogramowanie typu wirus lub robak
• 3: Potencjalnie szkodliwa zawartość e-maila
• 4. Potencjalnie niechciana zawartość e-maila
• 5: Inny typ złośliwego oprogramowania

Typ uwierzytelniania wiadomości (na przykład SPF, DKIM). Możliwe wartości:

• 1: SPF
• 2. DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Kod odpowiedzi SMTP dla przychodzących i wychodzących połączeń SMTP. Zazwyczaj jest to 2xx, 4xx lub 5xx.

Szczegółowy powód kodu odpowiedzi SMTP dla połączeń przychodzących. Możliwe wartości:

• 1: Domyślny powód odrzucenia lub akceptacji wiadomości.
• 3. Złośliwe oprogramowanie
• 4. Niezgodność z zasadami DMARC.
• 5. Załącznik nieobsługiwany przez Gmaila
• 6: Przekroczono limit odbierania.
• 7. Brak miejsca na koncie
• 8. Nieprawidłowy raport PTR
• 9. Adresat nie istnieje
• 10. Zasady klienta
• 12. Naruszenie standardów RFC
• 13. Oczywisty spam
• 14. Atak typu DoS
• 15. Szkodliwe lub spamerskie linki.
• 16: Zła reputacja adresu IP.
• 17: Zła reputacja domeny.
• 18: Adres IP znajduje się na publicznej liście zablokowanych adresów aktualizowanej w czasie rzeczywistym.
• 19. Tymczasowe odrzucenie z powodu limitów związanych z zapobieganiem atakom typu DoS.
• 20: Trwałe odrzucenie z powodu limitów związanych z zapobieganiem atakom typu DoS.

Typ połączenia z serwerem SMTP. Ustawiany tylko dla dzienników zdarzeń, które jawnie obsługują połączenia SMTP. Wartości:

• 0: Nie TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

Podkategoria dla każdej usługi. Aby zdefiniować definicje wartości, przejdź do pola message_info.destination.service.

Usługa w miejscu docelowym wiadomości. Istnieje wiele par usługi i selektora dla miejsc docelowych. Przy użyciu tych dwóch pól możesz określić, do której usługi została wysłana wiadomość.

Dotyczy tylko wiadomości przychodzących. Po ustawieniu wskazuje, że próbowano odszyfrować S/MIME dla tego adresata.Wartość wskazuje stan ukończenia. W przypadku pominięcia wartość nie jest ustawiona.

Dotyczy tylko wiadomości przychodzących. Po ustawieniu wskazuje, że wykonano próbę wyodrębnienia S/MIME dla tego adresata. Wartość wskazuje stan ukończenia. W przypadku pominięcia wartość nie jest ustawiona.

Dotyczy tylko wiadomości przychodzących. Po ustawieniu wskazuje, że wykonano próbę przeanalizowania S/MIME dla tego adresata. Wartość wskazuje stan ukończenia. W przypadku pominięcia wartość nie jest ustawiona.

Dotyczy tylko wiadomości przychodzących. Po ustawieniu wskazuje, że wykonano próbę weryfikacji podpisu S/MIME dla tego adresata. Wartość wskazuje stan ukończenia. W przypadku pominięcia wartość nie jest ustawiona.

Ciąg tekstowy z informacjami o wszystkich adresatach w jednym miejscu w formacie:
„service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2”

Wartość true, jeśli zostały ocenione reguły zasad dotyczące nadawcy (wiadomość została przetworzona pod kątem dostarczania wychodzącego). Wartość false, jeśli reguły zasad zostały ocenione dla adresata (wiadomość została przetworzona pod kątem dostarczania przychodzącego).

Typ zestawu wiadomości, do którego należy wiadomość. Aby dowiedzieć się więcej, przejdź do message_info.message_set.type.

Typy zestawu wiadomości to atrybuty opisujące wiadomość. Na przykład określające, czy wiadomość jest przychodząca, wychodząca, czy wewnętrzna. Możliwe wartości:

1: Wiadomość przychodząca (odebrana spoza Twoich domen). Ten zestaw wiadomości nie pojawia się jednocześnie z zestawem wiadomości 10.

2. Wiadomość wychodząca (wysłana do adresata poza Twoimi domenami). Ten zestaw wiadomości nie pojawia się jednocześnie z zestawem wiadomości 10.

4. Wiadomość zawiera kontrowersyjną treść zdefiniowaną w jednej z Twoich zasad.

6. Wiadomość aktywowała skonfigurowaną przez Ciebie regułę, która ogranicza wiadomości do autoryzowanych adresów lub domen.

7. Gmail zaklasyfikował wiadomość jako spam.

8: Wiadomość w trakcie wysyłania (wiadomość wychodząca).

9: Wiadomość w trakcie odbierania (wiadomość przychodząca).

10. Wewnętrzna wiadomość w Twoich domenach.

11. Wiadomość ma nadawcę lub adresatów poza Twoimi domenami. W przypadku odebranych wiadomości: jeśli brakuje zestawu wiadomości 27, oznacza to, że nie udało się uwierzytelnić nadawcy. Wiadomość została potraktowana jak wiadomość z nadawcą spoza domeny.

12. Wiadomość ma niektórych adresatów wewnątrz domeny i niektórych poza domeną. Ten zestaw wiadomości może być wyświetlany, gdy:

• Istnieje wielu adresatów
• Wiadomość jest wysyłana. W przypadku odbieranej wiadomości wszyscy adresaci muszą być w tej samej domenie.
• Typ działania tej wiadomości to 2. Wiadomości z wieloma adresatami są dzielone na wiele wiadomości z jednym adresatem.

13. Typ zestawu wiadomości jest nieznany

15. Sprawdzana zasada jest powiązana z użytkownikiem Gmaila.

18. Wiadomość nie ma trasy domyślnej

19. Lista adresów skonfigurowana na potrzeby domyślnego routingu domeny odpowiada adresatowi wiadomości.

20. Wiadomość została wysłana z adresu znajdującego się na liście zablokowanych nadawców.

21. Wiadomość została wysłana przy użyciu protokołu TLS. Certyfikat SSL jest ważny.

22. Wiadomość została wysłana przy użyciu protokołu TLS

24. Adresat tej wiadomości jest nieznany

25. Wiadomość jest raportem o nieudanym doręczeniu wiadomości.

26. Wiadomość aktywowała regułę przekierowania skonfigurowaną w domyślnym routingu domeny

27. Nadawca uzyskał uwierzytelnienie SPF/DKIM/DMARC. Jeśli nadawca nie jest uwierzytelniony, domena nadawcy nie jest zaufana, a wiadomość nie zostanie uznana za wewnętrzną.

28. Dziennik Exchange archiwizuje daną wiadomość w Google Vault.

29. Wiadomość została przekierowana przez usługę przekaźnika SMTP

30. Adresat wiadomości pasuje do jednego z wymienionych adresatów (zamiast wzorca wyrażenia regularnego) skonfigurowanych na potrzeby routingu domeny lub domyślnego routingu domeny.

31. Wiadomość pasuje do skonfigurowanego warunku domyślnego routingu domeny.

33. Wiadomość musi być przesłana przez bezpieczne połączenie, takie jak TLS.

34. Sprawdzana zasada jest powiązana z grupą, a nie z konkretnym użytkownikiem Gmaila.

35. Nie można uwierzytelnić wiadomości w usłudze przekaźnika SMTP, ponieważ adres nadawcy w kopercie SMTP jest pusty lub może to być wiadomość dziennika Exchange. Wiadomość zostanie sprawdzona później w czasie polecenia SMTP RCPT.

36. Wiadomość ma włączone agresywne filtrowanie spamu.

37. Wiadomość jest uwierzytelniona w usłudze przekaźnika SMTP.

39. Nadawca pochodzi z uwierzytelnionej domeny usługi przekaźnika

40. Wiadomość pochodzi od użytkownika Google Workspace w domenie uwierzytelnianej na potrzeby usługi przekaźnika.

41. Nadawca został uwierzytelniony za pomocą protokołu SMTP AUTH, a Gmail próbuje uwierzytelnić usługę przekaźnika SMTP w domenie nadawcy.

42. Wiadomość została wysłana z adresu, który nie został uwierzytelniony

43. Wiadomość została przekierowana przez tabelę aliasów

44. Wiadomość aktywowała regułę, która zmienia trasę przepływu poczty

45. Wiadomość trafia na konto typu catch-all i jest przekazywana na serwer lokalny. Zasady dotyczące systemu rejestrowania nie będą stosowane.

46. Wiadomość nie została zatrzymana przez filtr spamu

47. Wiadomość została wykryta jako spam przy użyciu informacji o tagu i dostarczeniu w ustawieniach bramy poczty przychodzącej.

48. Wiadomość nie została sprawdzona pod kątem spamu (na serwerze SMTP) z powodu zasad zastąpienia oznaczenia spamu.

49. Zawsze zastępuj odrzucenie spamu w wiadomości.

50. Wiadomość pasuje do skonfigurowanego warunku routingu domeny.

51. Wiadomość aktywowała regułę przekierowania skonfigurowaną na potrzeby routingu domeny.

57. Wiadomość została odebrana ze skonfigurowanej reguły bramy poczty przychodzącej

60. Wiadomość jest chroniona w trybie poufnym Gmaila

61. Wiadomość została odebrana przez bezpieczną piaskownicę

62. Lista adresów skonfigurowana na potrzeby domyślnego routingu domeny jest zgodna z adresatem w danych koperty SMTP, a nie z odbiorcą wiadomości.

63. Wiadomość aktywowała regułę przekierowania na poziomie domeny skonfigurowaną na potrzeby routingu domeny lub domyślnego routingu domeny.

Typ czynności po dostarczeniu. Możliwe wartości:

1: Wiadomość została otwarta po raz pierwszy.

2. Wiadomość została oznaczona jako nieprzeczytana.

3: Odpowiedziano na wiadomość.

4: Wiadomość została przekazana dalej.

5: Wiadomość została automatycznie przekazana dalej za pomocą ustawienia przekierowywania konta Gmail.

6: Wiadomość została przeniesiona do skrzynki odbiorczej.

7: Wiadomość została przeniesiona do kosza.

8: Wiadomość została przeniesiona z kosza.

9. Kliknięto link w treści wiadomości.

10. Pobrano co najmniej jeden załącznik wiadomości.

11. Podczas wyświetlania podglądu załącznika kliknięto link.

12: Co najmniej jeden załącznik do wiadomości został zapisany na Dysku Google.

13. Kliknięto link w dodatku.

14: Pobrano co najmniej jeden element Dysku Google z wiadomości.

15: Co najmniej jeden element Dysku Google z wiadomości został zapisany na Dysku Google odbiorcy.

16. Etykieta klasyfikacji została zastosowana do wiadomości lub tę etykietę zmieniono.

17. Etykieta klasyfikacji została zastosowana do załączników wiadomości lub tę etykietę zmieniono.

18. Zarchiwizowano wiadomość.

19. Wiadomość została trwale usunięta.

20: Wyświetlono podgląd co najmniej jednego załącznika wiadomości.

21: Odbiorca zablokował nadawcę wiadomości

22: Wiadomość została zapisana jako wersja robocza.

23: Wyświetlono wiadomość, w tym pierwszy i następujący opis sytuacji.

24: Pobrano wiadomość.

25: Aplikacja uzyskała dostęp do wiadomości w imieniu użytkownika.

26. Przyznano dostęp wyznaczonemu użytkownikowi

Typ złośliwego oprogramowania, jeśli zostanie wykryte podczas obsługi wiadomości. Jeśli nie wykryto złośliwego oprogramowania, to pole nie jest ustawione. Możliwe wartości:

1. Znane złośliwe oprogramowanie

2. Złośliwe oprogramowanie typu wirus lub robak

3: Potencjalnie szkodliwa zawartość wiadomości

4: Potencjalnie niepożądana zawartość wiadomości

5: Inny typ złośliwego oprogramowania

Typ sklasyfikowanego elementu. Możliwe wartości:

1. Treść wiadomości

2. Załącznik

Typ zdarzenia klasyfikacji. Możliwe wartości:

1: Etykieta została zmieniona.

2: Zastosowano nową etykietę.

3. Etykieta została usunięta.

Typ S/MIME najwyższego poziomu wiadomości wskazany w nagłówku Content-Type. Możliwe wartości:

0: Wiadomość nie ma rozpoznanego typu treści S/MIME.

1: Wiadomość S/MIME z odłączonym podpisem, wskazana przez typ treści multipart/signed z parametrem protocol=application/pkcs7-signature.

2: Wiadomość S/MIME z niejednoznacznym podpisem, wskazana przez typ treści application/pkcs7-mime lub application/x-pkcs7-mime z parametrem smime-type=signed-data.

3: Zaszyfrowana wiadomość S/MIME. Wskazywana przez typ treści application/pkcs7-mime lub application/x-pkcs7-mime z parametrem smime-type=enveloped-data.

4. Skompresowana wiadomość S/MIME. Wskazywana przez typ treści application/pkcs7-mime lub application/x-pkcs7-mime z parametrem smime-type=compressed-data.

Tylko wiadomości wychodzące. Gdy to pole jest ustawione i ma wartość true, wskazuje, że wiadomość powinna zostać zaszyfrowana.

Po ustawieniu wskazuje, że wystąpiło przetwarzanie przychodzące S/MIME. W przypadku pominięcia wartość nie jest ustawiona. Wartość wskazuje stan ukończenia. Uwaga: obecnie nie jest ustawiona.

Tylko wiadomości wychodzące. Po ustawieniu wskazuje, że podjęto próbę zastosowania opakowania S/MIME. W przypadku pominięcia wartość nie jest ustawiona. Wartość wskazuje stan ukończenia.

Jeśli Gmail odrzuci żądanie usługi przekaźnika SMTP, ten kod błędu zawiera informacje o przyczynie odrzucenia. Możliwe wartości:

1. Błąd uwierzytelniania

2. Przekroczono dzienny limit.

3. Przekroczono szczytowy limit.

4. Nadużycie usługi przekaźnika SMTP.

5. Przekroczono limit na użytkownika.

Wyświetlana nazwa z nagłówka Od: widoczna w nagłówkach wiadomości, na przykład Jan Kowalski. To pole może zostać skrócone, jeśli dziennik jest zbyt długi lub zawiera zbyt wiele uruchomionych reguł (triggered_rule_info).

Podkategoria serwera źródłowego. Aby zapoznać się z opisami wartości, zobacz message_info.source.service.

Usługa źródłowa wiadomości. Te dwa pola umożliwiają określenie, z której usługi pochodzi wiadomość i dlaczego została ona wygenerowana.

Powód sklasyfikowania wiadomości jako spamu, phishingu itp. Możliwe wartości:

1: Domyślna przyczyna klasyfikacji jako spam.

2. Wiadomość sklasyfikowana w wyniku wcześniejszych działań nadawcy

3. Podejrzane treści

4. Podejrzany link

5. Podejrzany załącznik

6. Zasady niestandardowe zdefiniowane w ustawieniach Gmaila w Google Workspace

7. DMARC

8. Domena znajduje się na publicznych listach RBL

9. Naruszenie standardów RFC

10. Naruszenie zasad Gmaila

11. Ocena przez uczenie maszynowe

12. Reputacja nadawcy

13. Oczywisty spam

14. Zaawansowana ochrona przed phishingiem i złośliwym oprogramowaniem

Wynik klasyfikacji spamu w Gmailu. Możliwe wartości:

1. Nie jest to spam ani złośliwe oprogramowanie.

2. Spam

3. Phishing

4. Podejrzane

5. Złośliwe oprogramowanie

Kategoria typu MIME. Możliwe wartości:

1. Nierozpoznany typ pliku

2: Dokumenty Microsoft Office, w tym dokumenty edytora tekstu, arkusza kalkulacyjnego, prezentacji i baz danych. Obejmuje pliki PDF. Plik może być zaszyfrowany lub nie.

3: Wideo i multimedia, na przykład MPEG, Quicktime lub WMV.

4: Muzyka i dźwięk, na przykład MP3, AAC i WAV.

5. Obrazy, na przykład JPEG, BMP lub GIF.

6. Archiwa, na przykład ZIP, TAR lub TGZ.

7. Pliki wykonywalne, na przykład EXE, COM lub JS.

8: Zaszyfrowane dokumenty pakietu Office.

9: Dokumenty pakietu Office, które nie są zaszyfrowane.

Działanie wykonane na potrzeby konsekwencji. Możliwe wartości:

0: Konsekwencja nie jest opcjonalna.

3. Umieszczenie wiadomości w kwarantannie administracyjnej.

4. Zmodyfikuj główny cel dostarczania.

5. Dodanie celu dostarczania.

6. Dodanie nagłówka wiadomości.

7. Zastąpienie adresata w danych koperty.

9. Dodanie wiadomości do określonego zestawu wiadomości.

10. Zmodyfikowanie etykiet wiadomości

11. Umieszczenie tekstu przed tematem wiadomości.

12. Dodanie stopki do wiadomości

13. Usunięcie treści wiadomości.

14. Przechowywanie kopii wiadomości w skrzynce pocztowej użytkownika zgodnie z ustawieniem kompleksowego przechowywania poczty.

15. Zastąpienie załącznika szablonem tekstu.

16. Wymaganie bezpiecznego dostarczania wiadomości

17. Niepowodzenie dostarczania wiadomości i jej odesłanie.

18. Zarchiwizowanie w Google Vault dla adresatów.

20. Zaszyfrowanie wiadomości wychodzącej przy użyciu S/MIME.

21. Zmiana adresu odbiorcy po odebraniu wiadomości przez serwer SMTP

Typ reguły niestandardowej. Możliwe wartości:

0: Ogrodzony ogród

7. Kontrowersyjna treść

8. Zgodność treści

10. Routing otrzymanej poczty

11. Routing poczty wysłanej

12. Zastąpienie oznaczenia spamu

14. Zablokowani nadawcy

15. Dodaj stopkę.

16. Zgodność załączników

17: Zgodność z TLS.

18. Domyślny routing domeny

19. Przyjmowanie przychodzących dzienników poczty e-mail w Vault

20. Przekaźnik ruchu wychodzącego

21. Podsumowanie działania kwarantanny

22. Dodatkowa trasa zabezpieczona

23. Tabela aliasów

24. Kompleksowe przechowywanie poczty

25. Reguła routingu

26. Brama poczty przychodzącej

27. S/MIME

28. Archiwizowanie poczty e-mail za pomocą narzędzia innej firmy

Opisuje wynik oceny klasyfikacji niestandardowej reguły spamu. Możliwe wartości:

0: Brak działania – reguła uznała ocenę klasyfikacji spamu przez Gmaila.

1: Spam – reguła zaklasyfikowała wiadomość jako spam.

2. Nie spam – reguła zaklasyfikowała wiadomość jako niebędącą spamem.

Nazwa załącznika, w którym znaleziono pasujący ciąg tekstowy wyodrębniony z pliku binarnego. Uwaga: to pole jest obecnie wypełnione.

Rodzaj dopasowania ustawiony w konsoli administracyjnej. To pole może zostać skrócone, jeśli dziennik jest zbyt długi lub zawiera zbyt wiele uruchomionych reguł (triggered_rule_info).

Ciąg, który uruchomił regułę. Informacje poufne ukryte przez * lub . To pole może zostać skrócone, jeśli dziennik jest zbyt długi lub zawiera zbyt wiele uruchomionych reguł (triggered_rule_info).

Lokalizacja ciągu tekstowego pasującego do wiadomości. Możliwe wartości:

0: Nieznana

1. Treść wiadomości, w tym załączniki w formacie tekstowym.

2. Załączniki w formacie binarnym

3. Nagłówki wiadomości

4. Temat

5. Nagłówek nadawcy

6. Nagłówek adresata

7. Wiadomość nieprzetworzona

Typ dopasowania. Możliwe wartości:

• 0: Nie określono.
• 1. Dopasowanie za pomocą wyrażenia regularnego
• 2. Wstępnie zdefiniowane dopasowanie wzorca do wykrywania
• 3. Proste dopasowanie zawartości
• 4. Dopasowanie inne niż ASCII

Błąd podczas przesyłania wiadomości do miejsca docelowego. Możliwe wartości:

• 0: Błąd przejściowy bez kategorii
• 1. Konto adresata jest zajęte
• 2. Błąd DNS podczas rozpoznawania domeny adresata
• 3. Serwer adresata odmówił połączenia
• 4. Odbiorcy skończyło się miejsce na dane.