Schema dei log di Gmail in BigQuery

event_info.client_context.client_type

Vero se l'evento è riuscito, falso in caso contrario. Ad esempio, il valore è falso se il messaggio è stato rifiutato da un criterio.

L'azione di consegna dei messaggi rappresentata dall'evento. Valori possibili:

1: messaggio ricevuto da un server SMTP in entrata

2: messaggio accettato da Gmail e preparato per la consegna. In genere questo passaggio segue il n. 1 oppure è il passaggio iniziale se invii messaggi da Gmail. Per i messaggi in arrivo, generalmente vengono valutati in questo punto i criteri con disposizioni di rifiuto, ad esempio nel caso di un criterio di conformità degli allegati che rifiuta i messaggi in arrivo.

3: Gmail ha agito sul messaggio. Ad esempio è stato recapitato a una casella di posta di Gmail o inviato a un altro server. Questo passaggio di solito segue il n. 2. I criteri con disposizioni diverse da rifiuta vengono valutati in questo passaggio. Ad esempio nel caso di un criterio di conformità degli allegati che rimuove gli allegati a seconda del tipo di file o di altri criteri.

10: messaggio inviato dal server SMTP in uscita

14: si è verificato un errore temporaneo quando Gmail ha tentato di recapitare il messaggio ed è stato programmato un altro tentativo. Di solito, questa condizione è causata in genere dall'indisponibilità temporanea dei server interni o esterni. Riprova più tardi. Ad esempio, Gmail ha tentato di recapitare il messaggio a un server SMTP esterno, ma ha ricevuto un errore temporaneo.

18: non è stato possibile recapitare il messaggio, che è tornato indietro. A volte, per scoprire cosa è successo, è utile leggere la descrizione message_info.description. Tra le cause più comuni:

• Il server destinatario non ha accettato la richiesta

• Non è stato possibile recapitare il messaggio a causa di un numero eccessivo di errori temporanei (vedi 14 in questa tabella)

• Il messaggio è stato rifiutato a causa della valutazione dei criteri differita

• Il destinatario non è stato riconosciuto e non è stato attivato alcun criterio per cambiare il percorso di consegna principale

19: il messaggio è stato ignorato da Gmail. Tra le cause più comuni:

• Se un messaggio inviato attiva la quarantena amministrativa, il messaggio originale viene ignorato e una copia viene inviata nella quarantena amministrativa.

• Nel caso di un messaggio inserito nel journal, viene recapitato il messaggio interno aggregato, ma l'originale viene ignorato.

• I messaggi in entrata possono essere bloccati e ignorati da Gmail, ad esempio se:

  • Il messaggio non è conforme con RFC 5322.

  • Il mittente viola le linee guida per mittenti di messaggi collettivi.

• Se il percorso di consegna principale è stato rimosso in virtù di un criterio che ne ha aggiunti altri, il messaggio originale viene ignorato e le copie vengono recapitate ai percorsi aggiunti

• Se il destinatario è un indirizzo non riconosciuto e vige un criterio che aggiunge ulteriori percorsi, il messaggio originale è ignorato e le copie vengono inviate ai percorsi aggiunti

45: Il messaggio è stato accettato per la consegna dal sottosistema di Google Gruppi

46: l'indirizzo del destinatario del messaggio era un gruppo Google ed è stato espanso in modo da elencare tutti i membri del gruppo Google per il quale è attivato il recapito dei messaggi.

48: messaggio ricevuto da un server SMTP in entrata per l'inoltro.

49: messaggio inviato tramite inoltro dal server SMTP in uscita.

51: il messaggio è stato scritto nello spazio di archiviazione di Google Gruppi.

54: il messaggio è stato rifiutato dal sistema di archiviazione di Google Gruppi.

55: il messaggio è stato reinserito in Gmail a causa di criteri che modificano il percorso di consegna principale o il destinatario della busta.

68: messaggio accettato da Gmail e preparato per la consegna. È simile al n. 2, ma il messaggio è stato inviato tramite un server Gmail.

69: un utente ha modificato la classificazione spam del messaggio in Gmail. Ad esempio, lo ha contrassegnato come spam, phishing o non spam.

70: il messaggio è stato riclassificato come spam o phishing dopo essere stato consegnato a Gmail.

71: un utente ha eseguito un'azione nella Posta in arrivo dopo aver ricevuto il messaggio. Le azioni post-consegna includono l'apertura di un messaggio, il clic su un link in un messaggio e il download di un allegato. BigQuery Export include dettagli sull'azione.

Informazioni sugli allegati del messaggio. Questo record viene ripetuto per ciascun allegato.

Categoria malware, se rilevata durante la gestione del messaggio. Il campo non è impostato se non viene rilevato malware. Valori possibili:

• 1: un noto malware di tipo programma dannoso
• 2: un malware di tipo virus o worm
• 3: possibili contenuti email dannosi
• 4: possibili contenuti email indesiderati
• 5: altro tipo di malware

Tipo di autenticazione del messaggio (ad esempio SPF, DKIM). Valori possibili:

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Codice di risposta SMTP per le connessioni SMTP in ingresso e in uscita. In genere: 2xx, 4xx o 5xx.

Motivo dettagliato del codice di risposta SMTP per le connessioni in entrata. Valori possibili:

• 1: i messaggi di motivo predefiniti vengono accettati o rifiutati
• 3: malware
• 4: criterio DMARC
• 5: allegato non supportato da Gmail
• 6: limite di ricezione superato
• 7: quota acocunt superata
• 8: segnalazione PTR non valido
• 9: destinatario inesistente
• 10: norme clienti
• 12:violazione RFC
• 13: spam palese
• 14: Denial of Service
• 15: link dannosi o di spam
• 16: reputazione IP bassa
• 17: reputazione dominio bassa
• 18: indirizzo IP elencato nella lista bloccata pubblica in tempo reale
• 19: rifiutato temporaneamente a causa di limiti DoS (Denial of Service)
• 20: rifiutato definitivamente a causa di limiti DoS (Denial of Service)

Tipo di connessione effettuata al server SMTP. Impostato solo per i log di eventi che gestiscono esplicitamente le connessioni SMTP. Valori:

• 0: non TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip 

message_info.destination.rcpt_response

Sottocategoria per ciascun servizio. Vai a message_info.destination.service per le definizioni dei valori.

Il servizio alla destinazione del messaggio. Esistono molte coppie di servizi e selettori per le destinazioni. Puoi utilizzare questi due campi per determinare a quale servizio è stato inviato il messaggio.

Solo per i messaggi in entrata. Se impostato, indica che c'è stato un tentativo di decrittografia di S/MIME per il destinatario. Il valore indica lo stato di completamento. Se l'elaborazione non è stata eseguita, non è impostato.

Solo per i messaggi in entrata. Se impostato, indica che c'è stato un tentativo di estrazione S/MIME per il destinatario. Il valore indica lo stato di completamento. Se l'elaborazione non è stata eseguita, non è impostato.

Solo per i messaggi in entrata. Se impostato, indica che c'è stato un tentativo di analisi S/MIME per il destinatario. Il valore indica lo stato di completamento. Se l'elaborazione non è stata eseguita, non è impostato.

Solo per i messaggi in entrata. Se impostato, indica che c'è stato un tentativo di verifica della firma S/MIME per il destinatario. Il valore indica lo stato di completamento. Se l'elaborazione non è stata eseguita, non è impostato.

Stringa contenente le informazioni di tutti i destinatari in formato flat, ossia nel formato:
“service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2”

Vero se sono state valutate le regole dei criteri per il mittente, cioè se il messaggio è stato elaborato per la consegna in uscita. Falso se sono state valutate le regole dei criteri per il destinatario, cioè se il messaggio è stato elaborato per la consegna in entrata.

Tipo di set di messaggi a cui appartiene il messaggio. Per ulteriori informazioni, vai a message_info.message_set.type.

I tipi di set di messaggi sono attributi che descrivono il messaggio, indicando ad esempio se si tratta di un messaggio in entrata, in uscita o interno. Valori possibili:

1: il messaggio è in entrata, ossia ricevuto dall'esterno dei tuoi domini. Questo set di messaggi non viene visualizzato con il set di messaggi del n. 10.

2: il messaggio è in uscita, ossia inviato a un destinatario al di fuori dei tuoi domini. Questo set di messaggi non viene visualizzato con il set di messaggi del n. 10.

4: il messaggio contiene contenuti discutibili, in base a quanto definito da uno dei tuoi criteri

6: il messaggio ha attivato la regola del recapito limitato che hai configurato e che limita i messaggi a indirizzi o domini autorizzati.

7: Gmail ha classificato il messaggio come spam.

8: Messaggio inviato, ossia messaggio in uscita

9: Messaggio ricevuto, ossia messaggio in arrivo

10: Messaggio interno ai tuoi domini

11 Il messaggio ha un mittente o un destinatario esterno ai tuoi domini. Per i messaggi ricevuti: se manca il set di messaggi n. 27, significa che non è stato possibile autenticare il mittente. Il messaggio viene gestito come se avesse un mittente esterno al dominio.

12: il messaggio contiene alcuni destinatari interni al dominio e alcuni esterni. Questo set di messaggi può essere visualizzato solo quando:

• Sono presenti più destinatari
• È stato inviato un messaggio. Per i messaggi che vengono ricevuti, i destinatari devono appartenere tutti allo stesso dominio
• Il tipo di azione per il messaggio è il n. 2. I messaggi con più destinatari sono suddivisi in messaggi a destinatario singolo

13: il tipo di set di messaggi è sconosciuto

15: il criterio utilizzato per la verifica è associato a un utente Gmail

18: il messaggio non ha un percorso predefinito.

19:l'elenco di indirizzi configurato per il routing predefinito del dominio equivale ai corrispondenti del messaggio

20: il messaggio proviene da un indirizzo presente nell'elenco dei mittenti bloccati

21: il messaggio è stato inviato via TLS e il certificato SSL è valido

22: il messaggio è stato inviato via TLS

24: il destinatario di questo messaggio è sconosciuto

25: il messaggio è una notifica di mancato recapito che risponde a un messaggio non recapitato

26: il messaggio ha attivato una regola di rielaborazione del percorso configurata nel routing predefinito del dominio

27:  il mittente ha superato l'autenticazione SPF/DKIM/DMARC. Se il mittente non viene autenticato, il dominio del mittente non è ritenuto affidabile e il messaggio non viene considerato interno.

28: il journal di Exchange sta archiviando il messaggio in Google Vault

29: il messaggio è stato indirizzato mediante inoltro SMTP

30: un destinatario del messaggio corrisponde a uno dei destinatari enumerati (anziché a un pattern di espressione regolare) che hai configurato per il routing del dominio o il routing predefinito del dominio

31: il messaggio corrisponde a una condizione di routing predefinito del dominio che hai configurato

32: il messaggio è stato creato da un messaggio del journal di Exchange per l'archiviazione in Google Vault.

33: il messaggio deve essere trasmesso attraverso una connessione sicura, ad esempio TLS

34: il criterio utilizzato per la verifica è associato a un gruppo anziché a un singolo utente Gmail

35: impossibile autenticare il messaggio nell'inoltro SMTP perché ha un indirizzo vuoto per il mittente della busta SMTP o può essere un messaggio del journal di Exchange. Verrà controllato in seguito quando si usa il comando SMTP RCPT.

36: nel messaggio è stato attivato un filtro antispam aggressivo

37: il messaggio è autenticato per l'inoltro SMTP

39: il mittente proviene da un dominio autenticato per l'inoltro.

40: il messaggio inviato da un utente Google Workspace nel dominio che viene autenticato per l'inoltro.

41: il mittente è stato autenticato con SMTP AUTH e Gmail sta tentando di autenticare l'inoltro SMTP per il dominio del mittente.

42: il messaggio è stato inviato da un indirizzo non autenticato.

43: il messaggio è stato reindirizzato attraverso una tabella alias.

44: il messaggio ha attivato una regola che modifica il percorso del flusso di posta.

45: il messaggio è indirizzato a un account catch-all e viene inoltrato a un server on-premise. I criteri del sistema di registrazione non verranno applicati al messaggio.

46: il messaggio ha ignorato il filtro antispam

47: il messaggio è stato classificato come spam in base a informazioni di tipo Tag And Deliver nelle impostazioni del gateway in entrata

48: il messaggio non è stato sottoposto al controllo antispam (dall'SMTP) a causa di un criterio di override dello spam.

49: ignora sempre il rifiuto dello spam per il messaggio.

50: il messaggio corrisponde a una condizione di routing del dominio che hai configurato

51: il messaggio ha attivato una regola di rielaborazione del percorso configurata per il routing del dominio

55: il messaggio è stato creato dall'impostazione di generazione del journal di Exchange

57: il messaggio è stato ricevuto da una regola del gateway in entrata che hai configurato

60: il messaggio è protetto con la modalità riservata di Gmail.

61: il messaggio è stato ricevuto dalla sandbox per la sicurezza

62: l'elenco di indirizzi che hai configurato per il routing predefinito del dominio corrisponde al destinatario della busta SMTP e non al corrispondente del messaggio

63: il messaggio ha attivato una regola di rielaborazione del percorso a livello di dominio, configurata per il routing del dominio o il routing predefinito del dominio

Tipo di azione post-consegna. Valori possibili:

1: messaggio aperto per la prima volta

2: messaggio contrassegnato come da leggere

3: messaggio con risposta

4: messaggio inoltrato

5: messaggio inoltrato automaticamente da un'impostazione di Gmail

6: messaggio spostato nella Posta in arrivo

7:  messaggio spostato nel cestino

8: messaggio spostato fuori dal cestino

9: un link nel corpo del messaggio su cui è stato fatto clic

10: uno o più allegati del messaggio sono stati scaricati

11: un link nell'allegato su cui è stato fatto clic durante la visualizzazione in anteprima dell'allegato

12: uno o più allegati del messaggio sono stati salvati su Google Drive

13: è stato fatto clic su un link nel componente aggiuntivo

14: uno o più elementi di Google Drive nel messaggio sono stati scaricati

15: uno o più elementi di Google Drive nel messaggio sono stati salvati su Google Drive del destinatario

16: è stata applicata o modificata un'etichetta di classificazione per il messaggio

17: è stata applicata o modificata un'etichetta di classificazione per gli allegati del messaggio

18: Messaggio archiviato

19: messaggio eliminato definitivamente

20: uno o più allegati del messaggio sono stati visualizzati in anteprima

21: il destinatario ha bloccato il mittente del messaggio

22: messaggio salvato come bozza

23: messaggio visualizzato, comprese le prime letture e le letture successive

Tipo di malware, se viene rilevato malware durante la gestione del messaggio. Se non viene rilevato alcun malware, questo campo non verrà impostato. Valori possibili:

1: noto malware di tipo programma dannoso

2: malware di tipo virus o worm

3: possibili contenuti dannosi del messaggio

4:  possibili contenuti indesiderati del messaggio

5: altro tipo di malware

Tipo di entità che è stato classificato. Valori possibili:

1: corpo del messaggio

2: allegato

Tipo di evento di classificazione. Valori possibili:

1: etichetta modificata

2: etichetta appena applicata

3: etichetta rimossa

Il tipo S/MIME di primo livello di un messaggio, indicato dall'intestazione Content-Type. Valori possibili:

0: il messaggio non ha un Content-Type S/MIME riconosciuto.

1: un messaggio S/MIME con firma digitale separata, indicata dal tipo di contenuto multipart/signed con il parametro protocol=application/pkcs7-signature

2: un messaggio S/MIME con una firma opaca, indicata dal tipo di contenuto application/pkcs7-mime o application/x-pkcs7-mime con il parametro smime-type=signed-data

3: un messaggio S/MIME criptato, indicato dal tipo di contenuto application/pkcs7-mime o application/x-pkcs7-mime con il parametro smime-type=enveloped-data

4: un messaggio S/MIME compresso, indicato dal tipo di contenuto application/pkcs7-mime o application/x-pkcs7-mime con il parametro smime-type=compressed-data

Solo per i messaggi in uscita. Se impostato su vero, indica che il messaggio deve essere criptato.

Se impostato, indica che l'elaborazione S/MIME in entrata è stata eseguita. Se l'elaborazione non è stata eseguita, non è impostato. Il valore indica lo stato di completamento. Nota: attualmente non impostato.

Solo per i messaggi in uscita. Se impostato, indica che c'è stato un tentativo di creazione del pacchetto S/MIME. Se l'elaborazione non è stata eseguita, non è impostato. Il valore indica lo stato di completamento.

Se Gmail rifiuta una richiesta di inoltro SMTP, questo codice di errore fornisce informazioni sulla causa del rifiuto. Valori possibili:

1: errore di autenticazione

2: limite di frequenza giornaliera superato

3: limite di frequenza massima superato

4: utilizzo illecito dell'inoltro SMTP

5: limite di frequenza per utente superato

Nome visualizzato presente nell'intestazione Da:, così com'è visualizzato nelle intestazioni del messaggio, ad esempio Mario Rossi Questo campo potrebbe essere troncato se il log è troppo lungo o se sono presenti troppe regole attivate (triggered_rule_info) nel log.

Una sottocategoria del server di origine. Per le descrizioni dei valori, vai a message_info.source.service.

Il servizio di origine del messaggio. Utilizza questi due campi per determinare quale servizio ha inviato il messaggio e perché il messaggio è stato generato.

Motivo per cui il messaggio è stato classificato come spam, phishing o altro. Valori possibili:

1: motivo predefinito per la classificazione come spam

2: messaggio classificato in base alle azioni passate del mittente 

3: contenuti sospetti

4: link sospetto

5: allegato sospetto

6: il criterio personalizzato è definito nelle impostazioni di Gmail in Google Workspace

7: DMARC

8: dominio nei servizi RBL pubblici

9: violazione degli standard RFC

10: violazione delle norme di GMAIL

11: responso machine learning

12: reputazione mittente

13: spam palese

14: protezione da phishing e malware avanzata

Risultato della classificazione come spam da parte di Gmail. Valori possibili:

1: non è spam o malware

2: spam

3: phishing

4: sospetti

5: malware

Categoria del tipo MIME. Valori possibili:

1: tipo di file non riconosciuto

2: documenti di Microsoft Office, inclusi documenti di elaborazione testi, fogli di lavoro, presentazioni e database. Include i file PDF. Il file può essere criptato o non criptato.

3: video e contenuti multimediali, ad esempio MPEG, Quicktime o WMV

4: musica e audio, ad esempio MP3, AAC e WAV

5: immagini, ad esempio JPEG, BMP o GIF

6: archivi, ad esempio ZIP, TAR o TGZ

7: eseguibili, ad esempio EXE, COM o JS

8: documenti di Office criptati

9: documenti di Office non criptati

Azione intrapresa per la conseguenza. Valori possibili:

0: conseguenza autonoma

3: inserisci il messaggio in quarantena amministrativa

4: modifica la destinazione di recapito principale

5: aggiungi una destinazione di recapito

6: aggiunta un'intestazione del messaggio

7: sovrascrivi il destinatario della busta

9: aggiungi il messaggio al set di messaggi specificato

10: modifica le etichette del messaggio

11: aggiungi un prefisso all'oggetto del messaggio

12: aggiungi un piè di pagina al messaggio

13: elimina il corpo del messaggio

14: archivia una copia del messaggio nella casella di posta dell'utente, in base all'impostazione di archiviazione completa della posta

15: sostituisci l'allegato con testo predefinito

16: richiedi il recapito sicuro dei messaggi

17: il messaggio non può essere recapitato ed è tornato indietro

18: archivia su Google Vault per i destinatari

20: cripta il messaggio in uscita utilizzando S/MIME

21: modifica l'utente destinatario quando il messaggio viene recapitato su SMTP.

Tipo di regola personalizzata. Valori possibili:

0: recapito limitato

7: contenuti discutibili

8: conformità dei contenuti

10: routing della posta ricevuta

11: routing della posta inviata

12: override dello spam

14: mittenti bloccati

15: aggiungi piè di pagina

16: conformità degli allegati

17: conformità TLS

18: routing predefinito del dominio

19: ricezione journal email in entrata in Vault

20: inoltro in uscita

21: riepilogo quarantena

22: percorso sicuro alternativo

23: tabella alias

24: archiviazione completa della posta

25: regola di routing

26: gateway in entrata

27: S/MIME

28: archiviazione email di terze parti

Descrive i risultati della classificazione come spam in seguito a regole personalizzate. Valori possibili:

0: nessuna azione: la regola ha applicato il risultato della classificazione come spam da parte di Gmail.

1: Spam: la regola ha classificato il messaggio come spam.

2: Non spam: la regola ha classificato il messaggio come non spam.

Nome dell'allegato in cui è stata trovata una stringa corrispondente nel testo estratto da un file binario. Nota: questo campo al momento non viene compilato.

Espressione di corrispondenza impostata nella Console di amministrazione. Questo campo potrebbe essere troncato se il log è troppo lungo o se il numero di regole attivate (triggered_rule_info) nel log è troppo elevato.

Stringa che ha attivato la regola. Le informazioni sensibili sono nascoste con * o . Questo campo potrebbe essere troncato se il log è troppo lungo o se il numero di regole attivate (triggered_rule_info) nel log è troppo elevato

Posizione nel messaggio della stringa di cui è stata trovata una corrispondenza. Valori possibili:

0: sconosciuta

1: corpo del messaggio, inclusi gli allegati in formato testo

2: allegati in formato binario

3: intestazioni dei messaggi

4: oggetto

5: intestazione del mittente

6: intestazione del destinatario

7: messaggio non elaborato

Tipo di corrispondenza. Valori possibili:

• 0: non definito
• 1: corrispondenza mediante espressione regolare
• 2: corrispondenza mediante rilevatore predefinito
• 3: corrispondenza di contenuti semplice
• 4: corrispondenza non ASCII

Errore che si è verificato durante il caricamento del messaggio sulla destinazione Valori possibili:

• 0: errore transitorio non classificato
• 1: l'account del destinatario è troppo occupato
• 2: errore DNS durante la risoluzione del dominio del destinatario
• 3: il server del destinatario ha rifiutato la connessione
• 4: lo spazio di archiviazione del destinatario è esaurito