BigQuery 中的 Gmail 日志架构

event_info.client_context.client_type

记录的事件类型。事件类型与安全调查工具的 Gmail 日志事件中的事件属性相对应。 可能的值包括：

0：邮件事件类型不明

1：邮件已发送

2：邮件已被接收

3：某位 Gmail 用户手动将邮件归类为垃圾邮件。例如，用户将邮件标记为垃圾邮件、钓鱼式攻击邮件或非垃圾邮件。

4：Gmail 在递送后将邮件标记为垃圾邮件。有若干因素可能会导致此问题，包括发件人声誉不佳或病毒哈希较新。

5：邮件已被隔离

6：从隔离区释放了邮件

7：首次打开邮件

8：邮件已标记为未读

9：首次回复邮件

10：首次转发邮件

11：使用 Gmail 账号转发设置自动转发了邮件

12：邮件已移至收件箱

13：邮件已移至回收站

14：邮件已从回收站中移除

15：点击了邮件正文中的链接

16：在预览附件时，点击了邮件附件中的链接

17：已下载一个或多个邮件附件

18：一个或多个邮件附件已保存到 Google 云端硬盘

19：邮件中的一项或多项 Google 云端硬盘内容已保存到收件人的 Google 云端硬盘中

20：已为邮件应用分类标签

21：邮件分类标签更改

22：从邮件中移除了分类标签

23：已为所有邮件附件应用分类标签

24：对所有邮件附件更改了分类标签

25：从所有邮件附件中移除了分类标签

26：已归档邮件

27：已永久删除邮件

28：已预览一个或多个邮件附件

29：邮件已保存为草稿

30：邮件无法递送，并已退回

31：已查看邮件，包括首次阅读和后续阅读。如需详细了解 iOS 已知问题，请参阅 Google Workspace 已知问题。  

32：已下载邮件

注意：如果您在 2024 年 4 月至 2024 年 7 月期间启用了 BigQuery 导出，则在 2024 年 4 月至您启用该导出功能的日期期间的历史查看事件将不会包含在内。在 2024 年 8 月及之后启用的 BigQuery 导出包含您启用该导出之前 6 个月的历史查看事件。

如果事件成功，则为“true”，否则为“false”。举例来说，如果邮件因为某项政策遭到拒绝，那么此值就是“false”。

事件所代表的邮件传送操作。 可能的值：

1：入站 SMTP 服务器接收了邮件

2：Gmail 接受了邮件并准备好递送。这通常是 1 的下一步；如果您通过 Gmail 发送邮件，那么这通常就是第一步。如果是传入的邮件，系统通常会在这一步评估拒绝邮件的政策，例如拒绝传入邮件的附件合规性规则。

3：Gmail 已对邮件采取相应措施。例如递送到 Gmail 邮箱或发送到其他服务器。这通常是 2 的下一步。系统会在这一步评估不拒绝邮件的政策，例如根据文件类型或其他条件移除附件的附件合规性政策。

10：邮件已由出站 SMTP 服务器发送出去

14：当 Gmail 尝试递送邮件时发生了临时错误，而系统已安排好重新尝试发送。这通常是由于外部或内部服务器暂时不可用造成的。用户可以稍后重试。例如，Gmail 尝试向外部 SMTP 服务器递送邮件时，收到了临时错误。

18：邮件无法递送，并被退回。有时候，您可以参阅 message_info.description，了解具体情况。常见原因包括：

• 收件人服务器不接受请求

• 由于临时错误过多（请转到此表格中的 14），邮件无法递送

• 邮件因政策评估延迟而被拒绝

• 系统无法识别收件人，而且未触发任何政策来改变主要递送路线

19：邮件被 Gmail 舍弃。常见原因包括：

• 如果发送的邮件触发了管理员隔离区的处置结果，系统会舍弃原始邮件，并在管理员隔离区中添加一份邮件副本

• 如果是日志邮件，系统会递送封装后的内部邮件，并舍弃原始邮件

• 如果是入站邮件，Gmail 可能会屏蔽并舍弃邮件。例如在下列情况下，Gmail 就会屏蔽并舍弃邮件：

  • 邮件不符合 RFC 5322 规范

  • 发件人违反了批量发件人指南

• 如果系统根据政策移除了主要递送路线并添加了其他路线，那么 Gmail 就会舍弃原始邮件，并通过新增的路线递送邮件副本

• 如果收件人的地址无法识别，而系统又根据政策添加了其他路线，那么 Gmail 就会舍弃原始邮件，并通过新增的路线递送邮件副本

45：Google 群组子系统接受了邮件，以进行递送

46：邮件的收件人地址是一个 Google 群组，因此收件人范围扩展到了已启用邮件递送功能的该 Google 群组的所有成员

48：入站 SMTP 服务器接收了邮件，以进行中继

49：出站 SMTP 服务器通过中继发送了邮件

51：系统将邮件写入了 Google 群组的存储区

54：邮件遭到了 Google 群组存储系统的拒绝

55：根据修改主要递送路线或信包收件人的政策，系统已将邮件重新插入至 Gmail

68：Gmail 接受了邮件并准备好递送。这与 2 类似，差别在于邮件已通过 Gmail 服务器发送。

69：用户更改了邮件在 Gmail 中的垃圾邮件分类，例如将邮件标记为垃圾邮件、钓鱼式攻击邮件或非垃圾邮件。

70：邮件在递送到 Gmail 后，被重新归类为垃圾邮件、网上诱骗邮件等。

71：用户收到邮件后在收件箱中执行了一项操作。投放后操作包括打开邮件、点击邮件中的链接和下载附件。BigQuery 导出内容包含与该操作有关的详细信息

有关邮件附件的信息。系统会针对每个附件重复这项记录。

恶意软件类别（如果在处理邮件时检测到恶意软件）。如果未检测到恶意软件，就不会设置此字段。 可能的值：

• 1：已知的恶意程序类恶意软件
• 2：病毒或蠕虫类恶意软件
• 3：可能有害的电子邮件内容
• 4：可能不需要的电子邮件内容
• 5：其他类型的恶意软件

邮件身份验证类型（例如 SPF、DKIM）。 可能的值：

• 1：SPF
• 2：DKIM
• 3：DKIM_PROXY
• 4：XOAR_SPF
• 5：XOAR_DKIM
• 6：ARC_SPF
• 7：ARC_DKIM

入站和出站 SMTP 连接的 SMTP 回复代码，通常为 2xx、4xx 或 5xx。

入站连接的 SMTP 回复代码的详细原因。可能的值：

• 1：邮件被接受或被拒绝的默认原因
• 3：恶意软件
• 4：DMARC 政策
• 5：Gmail 不支持附件
• 6：超出接收上限
• 7：账号超出配额
• 8：PTR 报告有误
• 9：收件人不存在
• 10：客户政策
• 12：违反 RFC
• 13：明显垃圾邮件
• 14：拒绝服务
• 15：恶意或垃圾邮件链接
• 16：IP 声誉较差
• 17：网域声誉较差
• 18：IP 地址列在公开的实时屏蔽列表中
• 19：由于 DoS 限制而被暂时拒绝
• 20：由于 DoS 限制而被永久拒绝

与 SMTP 服务器建立的连接类型。 系统只会针对显式处理 SMTP 连接的事件日志进行设置。 值：

• 0：非 TLS
• 1：TLS

message_connection_info.smtp_user_agent_ip 

message_info.destination.rcpt_response

各项服务的子类别。转到 message_info.destination.service 可查看各个值的定义。

邮件目的地的服务。目的地的服务和选择器搭配有多种。您可以使用这两个字段确定邮件被递送到了哪项服务。

仅适用于入站邮件。如果设置，就表示系统已尝试针对此收件人进行 S/MIME 解密，而值指示的是完成状态。如果跳过，则不会设置。

仅适用于入站邮件。如果设置，就表示系统已尝试针对此收件人进行 S/MIME 提取。该值指示的是完成状态。 如果跳过，则不会设置。

仅适用于入站邮件。如果设置，就表示系统已尝试针对此收件人进行 S/MIME 解析。该值指示的是完成状态。 如果跳过，则不会设置。

仅适用于入站邮件。如果设置，就表示系统已尝试针对此收件人进行 S/MIME 签名验证。该值指示的是完成状态。 如果跳过，则不会设置。

包含经过平展处理的所有收件人信息的字符串，并采用以下格式：
“service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2”

如果是针对发件人进行的政策规则评估，则为“true”（表示邮件已经过处理，可以递送出站）。 如果是针对收件人进行的政策规则评估，则为“false”（表示邮件已经过处理，可以递送入站）。

邮件所属的邮件集类型。如需了解详情，请参阅 message_info.message_set.type。

邮件集类型是用来描述邮件的属性。例如，邮件是入站邮件、出站邮件还是内部邮件。 可能的值：

1：邮件为入站邮件，也就是来自网域外部。此邮件集不会与 10 邮件集同时出现。

2：邮件为出站邮件，也就是发送给网域外的收件人。此邮件集不会与 10 邮件集同时出现。

4：邮件包含由您任一政策定义的不良内容

6：邮件触发了您配置的围墙花园规则，该规则使用户仅限与获得授权的地址或网域互通邮件

7：Gmail 将邮件归类为了垃圾邮件

8：邮件正在发送（外发邮件）

9：邮件正在接收（传入邮件）

10：邮件为网域内部邮件

11：邮件包含不属于您网域的发件人或收件人。对于收到的邮件，如果 27 邮件集缺失，就表示我们无法对发件人进行身份验证，因此将邮件视为来自您网域外部的发件人。

12：邮件既有您网域内部的收件人，也有您网域外的收件人。此邮件集可能会在以下情况下出现：

• 有多位收件人
• 邮件正在发送。对于正在接收的邮件，所有收件人必须来自同一网域
• 邮件的操作类型为 2。我们会将有多个收件人的邮件拆分为多封单独发送给各位收件人的邮件

13：邮件集的类型未知

15：系统正在检查的政策与某个 Gmail 用户相关联

18：邮件没有默认路线

19：您为网域默认转送设置配置的地址列表与邮件通信者的地址一致

20：邮件是通过您已阻止的发件人列表中的地址发送的

21：邮件是通过 TLS 发送的，且 SSL 证书有效。

22：邮件是通过 TLS 发送的

24：此邮件的收件人未知

25：此邮件是在邮件未递送后发送的递送失败报告

26：邮件触发了您在网域默认转送设置中配置的重新转送规则

27：发件人已成功通过 SPF/DKIM/DMARC 身份验证。如果发件人未通过身份验证，我们就不会信任发件人的网域，也不会将邮件视为内部邮件。

28：系统正在将 Exchange 日志邮件归档到 Google 保险柜

29：邮件是通过 SMTP 中继递送的

30：邮件的某一收件人与您为网域转送选项或默认转送设置配置的枚举收件人之一相一致，而非与正则表达式格式相符

31：邮件符合您为网域默认转送设置配置的条件

32：邮件是基于 Exchange 日志邮件创建的，以便归档到 Google 保险柜。

33：邮件必须通过安全连接（如 TLS）进行传送

34：系统正在检查的政策与群组（而非单个 Gmail 用户）相关联

35：由于邮件的 SMTP 信包“发件人”地址为空，或者可能是 Exchange 日志邮件，该邮件无法在 SMTP 中继时进行身份验证。系统会稍后在响应 SMTP RCPT 命令时检查该邮件。

36：邮件启用了严格的垃圾邮件过滤设置

37：邮件通过了 SMTP 中继身份验证

39：发件人来自通过中继身份验证的网域

40：邮件来自正在进行中继身份验证的网域的 Google Workspace 用户

41：发件人成功通过了 SMTP AUTH 身份验证，Gmail 正在尝试为发件人的网域进行 SMTP 中继身份验证

42：邮件是通过未进行身份验证的地址发送的

43：系统通过别名表格重新转送了邮件

44：邮件触发了更改邮件递送路线的规则

45：系统会将邮件发送至无限别名账号，并正在将该邮件中继到本地服务器。系统不会对该邮件应用记录系统政策。

46：邮件绕过了垃圾邮件过滤器

47：系统根据入站网关设置中的“标记后递送”信息将邮件检测为了垃圾邮件

48：由于一项政策覆盖了垃圾邮件检查设置，系统未对邮件进行垃圾邮件检查（通过 SMTP）

49：一律覆盖邮件的垃圾邮件拒绝设置

50：邮件符合您为网域转送选项配置的条件

51：邮件触发了您为网域转送选项配置的重新转送规则

55：邮件是通过 Exchange 日志生成设置创建的

57：邮件是通过您配置的入站网关规则接收的

60：邮件受 Gmail 机密模式保护

61：安全沙盒接收了邮件

62：您为网域默认转送设置配置的地址列表与 SMTP 信包收件人（而非邮件通信者）一致

63：邮件触发了您为网域转送选项或默认转送设置配置的网域级重新转送规则

递送后操作类型。 可能的值：

1：首次打开邮件

2：邮件已标记为未读

3：邮件已回复

4：邮件已转发

5：邮件已通过 Gmail 设置自动转发

6：邮件已移至收件箱

7：邮件已移至回收站

8：已将邮件从回收站中移出

9：点击了邮件正文中的链接

10：已下载一个或多个邮件附件

11：预览附件时，点击了附件中的链接

12：一个或多个邮件附件已保存到 Google 云端硬盘

13：点击了插件中的链接

14：已下载邮件中的一个或多个 Google 云端硬盘内容

15：邮件中的一项或多项 Google 云端硬盘内容已保存到接收者的 Google 云端硬盘中

16：已为邮件应用或更改分类标签

17：已为邮件附件应用或更改分类标签

18：已归档邮件

19：已永久删除邮件

20：已预览一个或多个邮件附件

21：收件人屏蔽了邮件发件人

22：邮件已保存为草稿

23：已查看邮件，包括首次阅读和后续阅读

24：已下载邮件

恶意软件类型（如果在邮件处理期间检测到恶意软件）。如果未检测到恶意软件，则不会设置此字段。 可能的值：

1：已知的恶意软件恶意程序类型

2：恶意软件的病毒或蠕虫类型

3：可能有害的邮件内容

4：可能含有不需要的邮件内容

5：其他类型的恶意软件

已分类的实体类型。 可能的值：

1：邮件正文

2：附件

分类事件类型。 可能的值：

1：更改了标签

2：最近应用了标签

3：已移除标签

邮件的顶级 S/MIME 类型，根据内容类型标头确定。 可能的值：

0：邮件没有可识别的 S/MIME 内容类型。

1：包含分离签名的 S/MIME 邮件，根据内容类型 multipart/signed 以及参数 protocol=application/pkcs7-signature 确定

2：包含不透明签名的 S/MIME 邮件，根据内容类型 application/pkcs7-mime 或 application/x-pkcs7-mime 以及参数 smime-type=signed-data 确定

3：经过加密的 S/MIME 邮件，根据内容类型 application/pkcs7-mime 或 application/x-pkcs7-mime 以及参数 smime-type=enveloped-data 确定

4：经过压缩的 S/MIME 邮件，根据内容类型 application/pkcs7-mime 或 application/x-pkcs7-mime 以及参数 smime-type=compressed-data 确定

仅限出站邮件。如果设置且值为“true”，则表示邮件应该加密。

如果设置，就表示已进行入站 S/MIME 处理。如果跳过则不会设置。该值指示的是完成状态。注意：目前未设置。

仅限出站邮件。如果设置，就表示系统已尝试进行 S/MIME 封装。如果跳过则不会设置。该值指示的是完成状态。

如果 Gmail 拒绝了 SMTP 中继请求，此错误代码会提供有关拒绝原因的其他信息。 可能的值：

1：身份验证错误。

2：超出每日速率限制

3：超出峰值速率限制

4：滥用 SMTP 中继

5：超出每位用户的速率限制

邮件标头中显示的“发件人：”标头显示名，例如 John Doe。如果日志过长或者日志中的已触发规则 (triggered_rule_info) 数量过多，则此字段可能会被截断。

来源服务器的子类别。如需了解各个值的说明，请参阅 message_info.source.service。

说明邮件来自哪项服务。使用这两个字段确定邮件来自哪项服务，以及邮件生成的原因。

邮件被归类为垃圾邮件、钓鱼式攻击邮件或其他类别邮件的原因。 可能的值：

1：默认的垃圾邮件分类原因

2：系统因发件人过去的操作对邮件进行的分类

3：可疑内容

4：可疑链接

5：可疑附件

6：在 Google Workspace Gmail 设置中定义的自定义政策。

7：DMARC

8：公共 RBL 中的网域

9：违反 RFC 标准

10：违反 Gmail 政策

11：机器学习判断

12：发件人声誉

13：明显垃圾邮件

14：防范钓鱼式攻击和恶意软件的高级功能

Gmail 垃圾邮件分类的结果。可能的值：

1：非垃圾邮件或恶意软件

2：垃圾邮件

3：钓鱼式攻击

4：可疑邮件

5：恶意软件

MIME 类型类别。可能的值：

1：无法识别的文件类型

2：Microsoft Office 文档，包括文字处理工具、电子表格、演示文稿和数据库文档。还有 PDF 文件。该文件可能加密也可能未加密。

3：视频和多媒体，例如 MPEG、QuickTime 或 WMV

4：音乐和音频，例如 MP3、AAC 和 WAV

5：图片，例如 JPEG、BMP 或 GIF

6：归档文件，例如 ZIP、TAR 或 TGZ

7：可执行文件，例如 EXE、COM 或 JS

8：加密的 Office 文档

9：未加密的 Office 文档

针对结果采取的行动。可能的值：

0：结果为无操作

3：将邮件放入管理员隔离区

4：修改主要递送目标

5：添加递送目标

6：添加了邮件标头

7：覆盖信包收件人

9：将邮件添加到特定邮件集

10：修改邮件的标签

11：为邮件主题添加前缀

12：为邮件添加页脚

13：删除邮件正文

14：根据综合邮件存储空间设置，在用户的邮箱中存储一份邮件副本。

15：用预设文本替代附件

16：要求通过安全连接递送邮件

17：邮件无法递送，并已退回

18：为收件人归档至 Google 保险柜

20：使用 S/MIME 加密出站邮件

21：更改通过 SMTP 接收邮件时的收件人。

自定义规则类型。可能的值：

0：围墙花园

7：不良内容

8：内容合规性

10：已收邮件的转送

11：已发邮件的转送

12：垃圾邮件覆盖

14：已阻止的发件人

15：附加页脚

16：附件合规性

17：TLS 合规性

18：网域默认转送

19：在保险柜中接受入站电子邮件日志

20：出站中继

21：隔离摘要

22：备用安全路线

23：别名表格

24：综合邮件存储空间

25：转送规则

26：入站网关

27：S/MIME

28：第三方电子邮件归档

描述自定义规则的垃圾邮件分类结果。可能的值：

0：不执行任何操作 - 规则遵循 Gmail 的垃圾邮件分类结果

1：垃圾邮件 - 规则将邮件归类为了垃圾邮件。

2：非垃圾邮件 - 规则将邮件归类为了非垃圾邮件。

附件的名称（系统在该附件中提取自二进制文件的文字中找到了匹配的字符串）。注意：此字段目前未填充任何内容。

在管理控制台中设置的匹配表达式。如果日志过长或者日志中的已触发规则 (triggered_rule_info) 数量过多，则此字段可能会被截断。

触发了规则的字符串。系统会用 * 或 . 来隐藏敏感信息如果日志过长或者日志中的已触发规则 (triggered_rule_info) 数量过多，则此字段可能会被截断。

匹配的字符串在邮件中的位置。可能的值：

0：未知

1：邮件正文，包括文本格式的附件

2：二进制格式的附件

3：邮件标头

4：主题：

5：发件人标头

6：收件人标头

7：原始邮件

匹配类型。可能的值：

• 0：未指定
• 1：正则表达式匹配
• 2：预定义的检测器匹配
• 3：简单内容匹配
• 4：非 ASCII 匹配

将邮件上传到目标位置时遇到的错误。可能的值：

• 0：未分类的暂时性错误
• 1：收件人账号繁忙
• 2：解析收件人网域时出现 DNS 错误
• 3：收件人的服务器拒绝连接
• 4：收件人的存储空间已用完