BigQuery 的 Gmail 記錄架構

event_info.client_context.client_type

已記錄的事件類型。該事件類型與安全調查工具中的 Gmail 記錄事件的「事件」屬性相對應。可能的值為：

0：郵件傳送期間的某個階段，安全調查工具中不會顯示。詳情請參閱 message_info.action_type。

1：郵件已傳送

2：已接收郵件

3：Gmail 使用者手動為郵件套用垃圾郵件分類。舉例來說，使用者將郵件標示為垃圾郵件或網路釣魚郵件，或標示為非垃圾郵件。

4：郵件在傳送後遭 Gmail 標記為垃圾郵件。許多因素都可能造成這種情況，包括寄件者信譽不佳或新的病毒雜湊。

5：郵件遭到隔離

6：郵件從隔離區釋出

7：郵件初次開啟

8：郵件遭標示為未讀取

9：郵件首次回覆

10：郵件首次轉寄

11：郵件因 Gmail 帳戶的轉寄設定而自動轉寄

12：郵件已移至收件匣

13：郵件移至垃圾桶

14：郵件從垃圾桶移出

15：使用者點選郵件內文的連結

16：使用者在預覽附件時點選了郵件附件中的連結

17：使用者下載一或多個郵件附件

18：使用者將一或多個郵件附件儲存至 Google 雲端硬碟

19：郵件中一或多個 Google 雲端硬碟項目儲存至收件者的 Google 雲端硬碟

20：為郵件套用分類標籤

21：變更郵件分類標籤

22：從郵件中移除分類標籤

23：為所有郵件附件套用分類標籤

24：變更所有郵件附件的分類標籤

25：從所有郵件附件移除分類標籤

26：郵件已封存

27：郵件已永久刪除

28：使用者預覽一或多個郵件附件

29：郵件已存成草稿

30：郵件無法傳送且遭到退回

31：已查看郵件，包括首次查看和後續查看。如要進一步瞭解已知的 iOS 問題，請參閱「Google Workspace 已知問題」。

32：訊息下載完成

33：應用程式代表使用者存取郵件

34：授予委派權限

注意：在 2024 年 4 月至 2024 年 7 月期間啟用的 BigQuery 匯出作業，不會包含 2024 年 4 月至啟用匯出功能當天之間的歷來資料檢視事件。如果您在 2024 年 8 月以後啟用 BigQuery 匯出功能，系統會將啟用匯出功能前 6 個月的歷來資料檢視事件納入匯出範圍。

事件成功時傳回 True，否則傳回 False。舉例來說，如果郵件遭到政策拒絕，這個值就會是 False。

事件代表的郵件傳送動作。可能的類型包括：

1：內送 SMTP 伺服器所收到的郵件

2：Gmail 接受並準備傳送的郵件。這通常是接在 1 之後的步驟；如果您是透過 Gmail 傳送郵件，這會是第一個步驟。如果是內送郵件，系統會在這裡評估含有拒絕處理規則的政策，例如會拒絕內送郵件的附件規範政策。

3：Gmail 對郵件採取行動。例如傳送至 Gmail 信箱或其他伺服器。這通常是接在 2 之後的步驟。系統會在這裡評估含有「拒絕」處理規則以外的政策，例如會根據檔案類型或其他條件移除附件的附件規範政策。

10：由外寄 SMTP 伺服器傳送的郵件

14：Gmail 嘗試傳送郵件時發生暫時性錯誤，且系統已經排定要重新嘗試傳送郵件。這通常是由於外部或內部伺服器暫時無法使用所造成，請稍後再試。舉例來說，Gmail 嘗試將郵件傳送至外部 SMTP 伺服器，但收到暫時性錯誤。

18：郵件無法傳送且遭到退回。有時您可以藉由閱讀 message_info.description 中的內容來瞭解發生什麼情況。常見原因包括：

• 收件者伺服器不接受要求

• 由於發生太多暫時性錯誤，導致無法傳送郵件 (請前往此表格的 14)

• 由於延遲的政策評估，導致郵件遭到拒絕

• 系統無法辨識收件者，而且未觸發任何政策來變更主要傳送路徑

19：郵件遭 Gmail 捨棄，常見原因包括：

• 如果傳送出去的郵件觸發了管理員隔離區處置，系統就會捨棄原始郵件並在「管理員隔離區」中新增一份郵件的副本

• 如果傳送的是日誌郵件，則系統會傳送包裝後的內部郵件，但會捨棄原始郵件

• 如果是內送郵件，Gmail 可以加以封鎖並捨棄郵件。舉例來說：

  • 郵件不符合 RFC 5322 規範

  • 寄件者違反大量寄件者指南

• 如果政策移除了主要傳送路徑並新增了其他路徑，則系統就會捨棄原始郵件並將郵件副本傳送至新增的路徑

• 如果系統無法辨識收件者且又根據政策新增了其他路徑，就會捨棄原始郵件並將郵件副本傳送至新增的路徑

45：Google 網路論壇的子系統已允許傳送郵件

46：郵件的收件者地址是 Google 群組，且郵件已傳送給啟用郵件傳送功能的 Google 群組的所有成員

48：內送 SMTP 伺服器收到的待轉發郵件

49：由外寄 SMTP 伺服器透過轉發功能傳送的郵件

51：郵件已傳送/儲存到 Google 網路論壇儲存空間

54：郵件遭到 Google 網路論壇儲存空間系統拒絕

55：政策修改了主要傳送路徑或收件者，導致系統將郵件重新插入 Gmail 中

68：Gmail 接受並準備傳送的郵件。這類似於 2，但郵件是透過 Gmail 伺服器傳送。

69：使用者變更了 Gmail 中的垃圾郵件分類。例如將郵件標示為垃圾郵件、網路詐騙郵件或非垃圾郵件等。

70：郵件在傳送到 Gmail 後遭重新分類為垃圾郵件或網路詐騙郵件。

71：使用者收到這封郵件後，在收件匣中執行某項動作。送達後動作包括開啟郵件、點選郵件中的連結，以及下載附件。BigQuery 的匯出結果包含動作的詳細資料

郵件附件的相關資訊。系統會針對每個附件重複這項記錄。

如果系統在處理郵件時偵測到惡意軟體，就會設定惡意軟體類別。如果沒有偵測到惡意軟體，系統就不會設定這個欄位。可能的類型包括：

• 1：已知的惡意程式類型
• 2：病毒或蠕蟲類型的惡意軟體
• 3：可能有害的電子郵件內容
• 4：電子郵件可能含有垃圾內容
• 5：其他類型的惡意軟體

郵件驗證類型 (例如 SPF、DKIM)。可能的類型包括：

• 1：SPF
• 2：DKIM
• 3：DKIM_PROXY
• 4：XOAR_SPF
• 5：XOAR_DKIM
• 6：ARC_SPF
• 7：ARC_DKIM

內送與外寄 SMTP 連線的 SMTP 回覆代碼，通常是「2xx」、「4xx」或「5xx」。

內送連線的 SMTP 轉發代碼詳細原因，可能的類型包括：

• 1：預設的接受/拒絕郵件原因
• 3：惡意軟體
• 4：DMARC 政策
• 5：Gmail 不支援的附件
• 6：超過接收上限
• 7：帳戶資料量超過配額
• 8：PTR 報表不正確
• 9：收件者不存在
• 10：自訂政策
• 12：違反 RFC 規範
• 13：明確垃圾郵件
• 14：阻斷攻擊
• 15：惡意連結或垃圾內容連結
• 16：IP 曾有不良記錄
• 17：網域信譽不佳
• 18：IP 位址列在公開的即時封鎖清單中
• 19：由於發生阻斷攻擊 (DoS) 情形，導致郵件暫時遭拒
• 20：由於發生阻斷攻擊 (DoS) 情形，導致郵件永久遭拒

系統所建立對 SMTP 伺服器的連線類型。系統只會針對明確處理 SMTP 連線的事件記錄進行設定。值：

• 0：非 TLS
• 1：TLS

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

每項服務的子類別。如需瞭解值的定義，請參閱 message_info.destination.service。

位於郵件目的地的服務。目的地會有多種服務與選取器配對。您可以使用這兩個欄位來決定系統要將郵件傳送至哪項服務。

僅限內送郵件。一旦設定，就表示系統已嘗試針對此收件者進行 S/MIME 解密，而值則表示完成狀態。如略過則不會設定。

僅限內送郵件。一旦設定，就表示系統已嘗試針對此收件者進行 S/MIME 擷取，而值則表示完成狀態。如略過則不會設定。

僅限內送郵件。一旦設定，就表示系統已嘗試針對此收件者進行 S/MIME 剖析，而值則表示完成狀態。如略過則不會設定。

僅限內送郵件。一旦設定，就表示系統已嘗試針對此收件者進行 S/MIME 簽名驗證，而值則表示完成狀態。如略過則不會設定。

具有所有經過簡化處理的收件者相關資訊的字串，使用的格式為：
「service_for_recipient1:selector_for_recipient1:address_for_recipient1、
service_for_recipient2:selector_for_recipient2:address_for_recipient2」

如果已針對寄件者評估政策規則，值為「是」(表示郵件經過處理，準備寄出)。如果已針對收件者評估政策規則，值為 False (表示郵件經過處理，準備內送)。

郵件所屬的郵件集類型。詳情請參閱 message_info.message_set.type。

郵件集類型是用於描述郵件的屬性。例如，描述郵件是內送郵件、外寄郵件或內部郵件。可能的類型包括：

1：郵件為內送郵件，也就是說，郵件的寄件者位於您的網域以外。這個郵件集不會與郵件集 10 同時出現。

2：郵件為外寄郵件，也就是說，郵件的收件者位於您的網域以外。這個郵件集不會與郵件集 10 同時出現。

4：郵件含有您的政策所定義的不當內容

6：郵件觸發了您設定的「限制使用者只能與經過授權的電子郵件地址或網域通信」自訂規則

7：Gmail 已將郵件分類為垃圾郵件

8：郵件正在傳送中 (外寄郵件)

9：郵件正在接收中 (內送郵件)

10：郵件為網域內部的郵件

11：郵件的寄件者或收件者位於您的網域以外。已收到的郵件：如果缺少郵件集 27，系統就無法驗證寄件者，並會因此將郵件寄件者視為您網域以外的使用者。

12：郵件的部分收件者來自您網域內部，部分收件者則位於網域外。這個郵件集會在發生以下情況時出現：

• 有多位收件者
• 郵件正在傳送時。對於正在接收的郵件，收件者必須全部屬於相同的網域
• 郵件的動作類型為 2。系統會將含有多位收件者的郵件分割為單一收件者的郵件

13：郵件集的類型不明

15：用於檢查郵件的政策已連結至特定 Gmail 使用者

18：郵件沒有預設路徑

19：您為網域預設路徑設定的地址清單與郵件通信者相符

20：郵件來自您已封鎖的寄件者地址

21：已透過傳輸層安全標準 (TLS) 傳送郵件，且具備有效的 SSL 憑證。

22：已透過傳輸層安全標準 (TLS) 傳送郵件

24：此郵件的收件者不明

25：郵件是用於回覆未傳送郵件的無法傳送回條

26：郵件觸發了您在網域預設路徑中設定的重新轉送規則

27：寄件者已順利通過 SPF/DKIM/DMARC 驗證。如果寄件者未經驗證，系統就不會信任寄件者的網域，也不會將郵件視為內部郵件。

28：Exchange 日誌正在將郵件封存至 Google 保管箱

29：郵件已透過 SMTP 轉發服務轉送

30：郵件收件者與您網域轉送或預設轉送設定的收件者 (而非規則運算式模式) 相符

31：郵件符合您設定的網域預設轉送條件

33：郵件必須透過安全連線 (例如 TLS) 傳送

34：用於檢查郵件的政策已連結至特定群組 (而非個別 Gmail 使用者)

35：郵件無寄件者地址或可能為 Exchange 日誌郵件，因此 SMTP 轉發服務無法對其進行驗證。系統會在稍後執行 SMTP RCPT 指令時再次檢查郵件。

36：郵件已啟用增強型垃圾郵件篩選器

37：郵件已通過驗證，可以使用 SMTP 轉發服務

39：寄件者所屬網域已通過驗證，可以進行轉發

40：郵件的寄件者為 Google Workspace 使用者 (所屬網域已通過驗證，可以進行轉發)

41：寄件者已通過 SMTP 驗證，Gmail 正在嘗試為寄件者的網域驗證 SMTP 轉發服務

42：郵件的寄件地址未經驗證

43：已透過別名表格重新轉送郵件

44：郵件觸發了會變更郵件收發路徑的規則

45：郵件將傳送至全部接收的帳戶，並轉發至內部部署伺服器 (不會套用記錄系統政策)。

46：郵件已略過垃圾郵件篩選器

47：系統根據內送閘道設定中的「標記後傳送」資訊，將郵件偵測為垃圾郵件

48：由於垃圾郵件覆寫政策的緣故，系統未檢查郵件是否含有垃圾內容 (未由 SMTP 檢查)

49：一律覆寫郵件的拒絕垃圾內容設定

50：郵件符合您設定的網域轉送條件

51：郵件觸發了您為網域轉送設定的重新轉送規則

57：郵件是透過您設定的內送閘道規則所接收

60：郵件受到 Gmail 的機密模式保護

61：安全沙箱已收到郵件

62：您為網域預設路徑設定的地址清單與 SMTP 的郵件收件者 (而非郵件通信者) 相符

63：郵件觸發了您為網域轉送或網域預設路徑設定的網域層級重新轉送規則

送達後動作類型。可能的類型包括：

1：郵件初次開啟

2：郵件遭標示為未讀取

3：郵件已回覆

4：郵件已轉寄

5：郵件已透過 Gmail 設定自動轉寄

6：郵件已移至收件匣

7：郵件移至垃圾桶

8：郵件已移出垃圾桶

9：使用者點選郵件內文的連結

10：使用者下載一或多個郵件附件

11：使用者在預覽附件時點選了附件中的連結

12：使用者將一或多個郵件附件儲存至 Google 雲端硬碟

13：使用者點選了外掛程式中的連結

14：使用者已下載郵件中的一或多個 Google 雲端硬碟項目

15：郵件中的一或多個 Google 雲端硬碟項目已儲存至收件者的 Google 雲端硬碟

16：已為郵件套用或變更分類標籤

17：已為郵件附件套用或變更分類標籤

18：郵件已封存

19：郵件已永久刪除

20：使用者已預覽一或多個郵件附件

21：收件者已封鎖郵件寄件者

22：郵件已存成草稿

23：已查看郵件，包括首次查看和後續查看

24：訊息下載完成

25：應用程式代表使用者存取郵件

26：授予委派權限

惡意軟體類型。系統會在郵件處理過程中偵測到惡意軟體時進行設定。如果沒有偵測到惡意軟體，就不會設定這個欄位。可能的類型包括：

1：已知的惡意程式類型

2：病毒或蠕蟲類型的惡意軟體

3：可能有害的郵件內容

4：可能的垃圾郵件內容

5：其他類型的惡意軟體

已分類的實體類型。可能的類型包括：

1：郵件內文

2：附件

分類事件類型。可能的類型包括：

1：標籤已變更

2：最近套用了標籤

3：已移除標籤

郵件的頂層 S/MIME 類型，以 Content-Type 標頭表示。可能的類型包括：

0：郵件沒有可辨識的 S/MIME 內容類型

1：具有已分離簽名的 S/MIME 郵件，由內容類型「multipart/signed」搭配參數「protocol=application/pkcs7-signature」所指明

2：具有不透明簽名的 S/MIME 郵件，由內容類型「application/pkcs7-mime」或「application/x-pkcs7-mime」搭配參數「smime-type=signed-data」所指明

3：經加密的 S/MIME 郵件，由內容類型「application/pkcs7-mime」或「application/x-pkcs7-mime」搭配參數「smime-type=enveloped-data」所指明

4：經壓縮的 S/MIME 郵件，由內容類型「application/pkcs7-mime」或「application/x-pkcs7-mime」搭配參數「smime-type=compressed-data」所指明

僅限外寄郵件。如果已經設定且為 True，表示郵件應該已經過加密。

一旦設定，就表示系統已進行內送 S/MIME 處理 如略過則不會設定。而值則表示完成狀態。注意：目前未設定。

僅限外寄郵件。一旦設定，就表示系統已嘗試進行 S/MIME 封裝 如略過則不會設定。而值則表示完成狀態。

如果 Gmail 拒絕了 SMTP 轉發要求，這個錯誤代碼就會提供拒絕原因的相關資訊。可能的類型包括：

1：驗證錯誤

2：超過每日頻率限制

3：超出尖峰頻率限制

4：濫用 SMTP 轉發服務

5：超過每位使用者頻率限制

顯示在郵件標頭的「寄件者」標頭顯示名稱，例如「John Doe」。如果記錄過長，或是記錄中觸發的規則 (triggered_rule_info) 過多，這個欄位就可能不會顯示完整資訊。

來源伺服器的子類別。如需瞭解值的說明，請參閱 message_info.source.service。

郵件的來源服務。您可以根據這兩個欄位判定郵件是來自哪項服務以及為何產生郵件。

郵件遭分類為垃圾郵件、網路詐騙郵件等類別的原因。可能的類型包括：

1：預設的垃圾郵件分類原因

2：郵件分類取決於寄件者過往的動作

3：可疑內容

4：可疑連結

5：可疑的附件

6：在 Google Workspace Gmail 設定中定義的自訂政策

7：DMARC

8：公開即時黑名單中的網域

9：違反 RFC 標準

10：違反 Gmail 政策

11：機器學習判斷

12：寄件者信譽

13：明確垃圾郵件

14：防範網路釣魚和惡意軟體的進階保護措施

Gmail 垃圾郵件分類的結果。可能的類型包括：

1：非垃圾內容或惡意軟體

2：垃圾內容

3：網路釣魚

4：可疑

5：惡意軟體

MIME 類型類別。可能的類型包括：

1：無法辨識的檔案類型

2：Microsoft Office 文件，包括文書處理工具、試算表工具、簡報工具、資料庫文件。以及 PDF 檔案。檔案不一定經過加密。

3：影片與多媒體，例如 MPEG、Quicktime 或 WMV

4：音樂與音訊，例如 MP3、AAC 和 WAV

5：圖片，例如 JPEG、BMP 或 GIF

6：封存檔，例如 ZIP、TAR 或 TGZ

7：執行檔，例如 EXE、COM 或 JS

8：加密的 Office 文件

9：未加密的 Office 文件

針對結果採取的動作。可能的類型包括：

0：結果為免人工管理

3：將郵件移至管理員隔離區中

4：修改主要傳送目標

5：新增傳送目標

6：已加入郵件標頭

7：覆寫收件者

9：將郵件加入至指定的郵件集

10：修改郵件的標籤

11：郵件主旨前置文字

12：在郵件中加入註腳

13：移除郵件內文

14：根據全方位郵件儲存空間設定，在使用者的信箱中儲存郵件副本

15：使用罐頭文字取代附件

16：需要安全的郵件傳送

17：郵件無法傳送且已退回

18：為收件者封存至 Google 保管箱

20：使用 S/MIME 加密外寄郵件

21：變更透過 SMTP 接收郵件時的收件者

自訂規則類型。可能的類型包括：

0：圍牆花園

7：不當內容

8：內容規範

10：轉送已接收的郵件

11：轉送已傳送的郵件

12：垃圾郵件覆寫

14：封鎖的寄件者

15：附加註腳

16：附件規範

17：傳輸層安全標準 (TLS) 規範

18：網域預設轉送

19：在保管箱接受內送電子郵件日誌

20：外寄轉發

21：隔離摘要

22：替代安全路徑

23：別名表格

24：全方位郵件儲存空間

25：轉送規則

26：內送閘道

27：S/MIME

28：第三方電子郵件封存

說明自訂規則垃圾郵件分類結果。可能的類型包括：

0：無動作 - 規則遵守 Gmail 垃圾郵件分類結果

1：垃圾郵件 - 規則將郵件分類為垃圾郵件

2：非垃圾郵件 - 規則將郵件分類為非垃圾郵件

附件名稱 (系統在該附件中擷取自二進位檔案的文字中找到相符字串)。注意：這個欄位目前未填入任何內容。

在管理控制台中設定的比對運算式。如果記錄過長，或是記錄中觸發的規則 (triggered_rule_info) 數量過多，這個欄位就可能不會顯示完整資訊。

觸發規則的字串。系統會以「*」或「.」來隱藏機密資訊如果記錄過長，或是記錄中觸發的規則 (triggered_rule_info) 數量過多，這個欄位就可能不會顯示完整資訊。

郵件中相符字串的位置。可能的類型包括：

0：不明

1：郵件內文，包括文字格式附件

2：二進位格式附件

3：郵件標頭

4：主旨

5：寄件者標頭

6：收件者標頭

7：原始郵件

比對類型。可能的類型包括：

• 0：未定義
• 1：規則運算式比對
• 2：預先定義偵測工具比對
• 3：簡要內容比對
• 4：非 ASCII 比對

將郵件上傳至目的地時發生錯誤。可能的類型包括：

• 0：未分類的暫時性錯誤
• 1：收件者帳戶過於忙碌
• 2：解析收件者網域時發生錯誤
• 3：收件者的伺服器拒絕連線
• 4：儲存空間已用盡的收件者