Esquema de los registros de Gmail en BigQuery

event_info.client_context.client_type

"True" (Verdadero) si el evento se ha realizado correctamente o "false" (Falso) en el caso contrario. Por ejemplo, si una política ha rechazado el mensaje, el valor de este campo es "false".

Acción de entrega de mensajes que representa el evento. Posibles valores:

1: El servidor SMTP entrante ha recibido el mensaje

2: Gmail ha aceptado el mensaje y está preparado para enviarse. Este paso suele ser el que sigue al 1, aunque es el primero si se envía desde Gmail. En el caso de los mensajes entrantes, las políticas con disposiciones de rechazo se suelen evaluar en este punto. Por ejemplo, una política de archivos adjuntos que rechaza mensajes entrantes.

3: Gmail ha actuado respecto al mensaje: por ejemplo, lo ha enviado a un buzón de correo de Gmail o a otro servidor. Este paso suele ser el que sigue al 2. Las políticas con disposiciones que no sean de rechazo se evalúan en este punto. Por ejemplo, una política de archivos adjuntos que los elimina en función del tipo de archivo o de otros criterios.

10: Mensaje enviado por el servidor SMTP saliente

14: No se ha podido entregar el mensaje por Gmail en ese momento y se ha programado un nuevo intento. Normalmente, esto se debe a servidores externos o internos que no están disponibles temporalmente. Inténtalo de nuevo más tarde. Por ejemplo, Gmail ha intentado entregar el mensaje a un servidor SMTP externo, pero ha recibido un error temporal.

18: No se ha podido entregar el mensaje y se ha devuelto. En ocasiones, basta con consultar message_info.description para saber qué ha pasado. A continuación se indican algunos de los motivos habituales:

• El servidor del destinatario no ha aceptado la solicitud

• El mensaje no se ha podido entregar porque se han producido demasiados errores temporales (consulta el punto 14 de esta tabla)

• El mensaje se ha rechazado porque se ha aplazado la evaluación de las políticas

• No se reconoce al destinatario y no se activa ninguna política para cambiar la ruta de entrega principal

19: Gmail ha descartado el mensaje. A continuación se indican algunos de los motivos habituales:

• Si se determina que un mensaje enviado debe enviarse a la cuarentena de administrador, el mensaje original se descarta y se añade una copia del mensaje a la cuarentena de administrador

• En el caso de los mensajes del registro en diario, se entrega el mensaje interno encapsulado, pero el mensaje original se descarta

• En el caso de los mensajes entrantes, Gmail puede bloquearlos y descartarlos en estas situaciones:

  • El mensaje no es compatible con RFC 5322

  • Si el remitente infringe las directrices para remitentes de distribución masiva.

• Si una política quita la ruta de envío principal y añade otras rutas, se descarta el mensaje original y se envían copias del mensaje a las rutas añadidas

• Si no se reconoce al destinatario y hay una política que añade rutas adicionales, se descarta el mensaje original y se envían copias del mensaje a las rutas añadidas

45: El subsistema Grupos de Google ha aceptado la entrega del mensaje

46: El destinatario del mensaje era un Grupo de Google y se ha mostrado a todos los miembros del Grupo de Google que tienen la entrega de mensajes habilitada

48: El servidor SMTP entrante ha recibido el mensaje mediante relay

49: El servidor SMTP saliente ha enviado el mensaje mediante relay

51: El mensaje se ha guardado en el espacio de almacenamiento de Grupos de Google

54: El sistema de almacenamiento de Grupos de Google ha rechazado el mensaje

55: El mensaje se ha vuelto a insertar en Gmail debido a políticas que cambian la ruta de envío principal o el destinatario del mensaje

68: Gmail ha aceptado el mensaje y está preparado para enviarse. Este punto es similar al 2, pero en este caso el mensaje se ha enviado a través de un servidor de Gmail.

69: Un usuario ha cambiado la clasificación de spam del mensaje en Gmail. Por ejemplo, lo ha marcado como spam, phishing o no es spam.

70: Una vez entregado en Gmail, el mensaje se ha clasificado como spam o phishing.

71: Un usuario ha realizado una acción en la bandeja de entrada después de recibir el mensaje. Entre las acciones después de la entrega se incluyen abrir un mensaje, hacer clic en un enlace de un mensaje y descargar un archivo adjunto. BigQuery Export incluye detalles sobre la acción en cuestión.

Información sobre los archivos adjuntos del mensaje. Este registro se repite por cada archivo adjunto.

Categoría de software malicioso, si se detecta alguno al gestionar el mensaje (no se incluye si no hay software malicioso). Posibles valores:

• 1: Es un tipo de programa con software malicioso conocido
• 2: Es un tipo de virus o gusano de software malicioso
• 3: El contenido del correo electrónico puede ser dañino
• 4: El contenido del correo electrónico puede ser no deseado
• 5: Es otro tipo de software malicioso

Tipo de autenticación del mensaje (por ejemplo, SPF o DKIM) Posibles valores:

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Código de respuesta SMTP para conexiones SMTP entrantes y salientes. Por lo general, 2xx, 4xx o 5xx.

Motivo detallado del código de respuesta SMTP para conexiones entrantes. Posibles valores:

• 1: Motivo predeterminado por el que se aceptan o se rechazan los mensajes
• 3: Malware
• 4: Política de DMARC
• 5: Gmail no admite el archivo adjunto
• 6: Se ha superado el límite de recepción
• 7: Cuenta por encima de la cuota
• 8: Informe de PTR incorrecto
• 9: Destinatario inexistente
• 10: Política de clientes
• 12: Infracción de RFC
• 13: Spam evidente
• 14: Denegación de servicio
• 15: Enlaces maliciosos o con contenido fraudulento
• 16: Reputación de IP baja
• 17: Reputación de dominio baja
• 18: La dirección IP figura en una lista de bloqueados pública en tiempo real
• 19: Rechazado temporalmente debido a los límites de DoS
• 20: Rechazado permanentemente debido a los límites de DoS

Tipo de conexión con el servidor SMTP. Solo se define en los registros de eventos que gestionan conexiones SMTP de forma explícita. Valores:

• 0: Sin TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip 

message_info.destination.rcpt_response

Subcategoría de cada servicio. Ve a message_info.destination.service para consultar las definiciones de los valores.

El servicio del destino del mensaje. Hay muchos pares servicio-selector de destino. Con estos dos campos, puedes determinar el servicio al que se envió el mensaje.

Solo para mensajes entrantes. Cuando se define, este campo indica que se ha intentado descifrar S/MIME con este destinatario. El valor indica el estado de finalización.Si se omite, no se define

Solo para mensajes entrantes. Cuando se define, este campo indica que se ha intentado extraer el mensaje S/MIME de este destinatario. El valor muestra si se ha analizado o no. Si se omite, no se define.

Solo para mensajes entrantes. Cuando se define, este campo indica que se ha intentado analizar el mensaje S/MIME de este destinatario. El valor muestra si se ha analizado o no. Si se omite, no se define.

Solo para mensajes entrantes. Cuando se define, este campo indica que se ha intentado verificar la firma del mensaje S/MIME de este destinatario. El valor muestra si se ha analizado o no. Si se omite, no se define.

Cadena que contiene información unificada de todos los destinatarios, en este formato:
"service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2"

"True" si las reglas de políticas se han evaluado al enviar el mensaje; es decir, se ha procesado para enviarlo. "False" si las reglas de políticas se han evaluado al recibir el mensaje; es decir, se ha procesado para entregarlo.

Tipo de conjunto de mensajes al que pertenece el mensaje. Consulta más información en message_info.message_set.type.

Los tipos de conjunto de mensajes son atributos que describen el mensaje; por ejemplo, con ellos puedes saber si un mensaje es entrante, saliente o interno. Posibles valores:

1: El mensaje es entrante; es decir, lo han enviado usuarios ajenos a tus dominios. Este conjunto de mensajes no aparece con el conjunto 10.

2: El mensaje es saliente; es decir, se ha enviado a un destinatario ajeno a tus dominios. Este conjunto de mensajes no aparece con el conjunto 10.

4: El mensaje incluye contenido no admitido, tal y como se define en una de tus políticas

6: El mensaje ha activado la regla de jardín vallado que configuraste y que restringe el intercambio de mensajes a las direcciones o los dominios autorizados

7: Gmail ha clasificado el mensaje como spam

8: El mensaje se está enviando (mensaje saliente)

9: El mensaje se está recibiendo (mensaje entrante)

10: El remitente y los destinatarios son usuarios de tus dominios

11: Un remitente o un destinatario del mensaje son ajenos a tus dominios. Mensajes recibidos: si falta el conjunto 27, no se ha podido autenticar el remitente. Por tanto, se trata como si tuviera un remitente ajeno a tu dominio.

12: El mensaje incluye algunos destinatarios internos de tu dominio y otros externos. Este conjunto de mensajes puede aparecer en los siguientes casos:

• Hay varios destinatarios
• Se está enviando un mensaje. En el caso de los mensajes que se reciben, todos los destinatarios deben pertenecer al mismo dominio.
• El tipo de acción del mensaje es el número 2. Los mensajes con varios destinatarios se dividen en mensajes de un solo destinatario.

13: No se conoce el tipo de conjunto de mensajes

15: La política con la que se está comprobando el mensaje está asociada a un usuario de Gmail

18: El mensaje no tiene una ruta predeterminada

19: La lista de direcciones que has configurado para el enrutamiento predeterminado en el dominio incluye al remitente y los destinatarios del mensaje

20: El mensaje procede de una dirección de tu lista de remitentes bloqueados

21: El mensaje se ha enviado a través de TLS y el certificado SSL es válido

22: El mensaje se ha enviado a través de TLS

24: No se conoce el destinatario de este mensaje

25: El mensaje es un informe de entrega fallida que responde a un mensaje que no se ha entregado

26: El mensaje ha activado una regla de redirección que configuraste en el enrutamiento predeterminado en el dominio

27: El remitente ha superado correctamente la autenticación SPF, DKIM o DMARC. Si el remitente no está autenticado, su dominio no se considera de confianza y el mensaje no se trata como interno.

28: El registro de Exchange está archivando el mensaje en Google Vault

29: El mensaje se ha enviado mediante el relay SMTP

30: Un destinatario del mensaje coincide con uno de los destinatarios enumerados (no con un patrón de expresión regular) que has configurado para el enrutamiento o el enrutamiento predeterminado en el dominio

31: El mensaje coincide con una condición de enrutamiento predeterminado que has configurado

32: El mensaje se ha creado a partir de un mensaje del registro de Exchange para archivarlo en Google Vault

33: El mensaje debe transmitirse a través de una conexión segura, como TLS

34: La política con la que se está comprobando el mensaje está asociada a un grupo y no a un usuario concreto de Gmail

35: No se ha podido autenticar el mensaje en el relay SMTP porque tiene una dirección de remitente de sobre SMTP vacía o porque es un mensaje de registro de Exchange. Se comprobará más tarde, cuando se ejecute el comando RCPT de SMTP.

36: El mensaje tiene un filtro de spam estricto habilitado

37: El mensaje se ha autenticado en el relay SMTP

39: El remitente procede de un dominio autenticado en el relay

40: El mensaje procede de un usuario de Google Workspace del dominio que se está autenticando en el relay

41: El remitente se ha autenticado correctamente con AUTH de SMTP y Gmail está intentando autenticar el relay SMTP en el dominio del remitente

42: El mensaje se ha enviado desde una dirección que no está autenticada

43: El mensaje se ha redirigido mediante una tabla de alias

44: El mensaje ha activado una regla que cambia la ruta del flujo de correo

45: El mensaje se dirige a una cuenta catch-all y se está retransmitiendo a un servidor local. No se le aplicarán las políticas del sistema de registro.

46: El mensaje ha omitido el filtro de spam

47: Se ha detectado que el mensaje es spam por la información de entrega y de etiqueta de la configuración de la pasarela de entrada

48: No se ha comprobado si el mensaje es spam en el servidor SMTP debido a una política de anulación de spam

49: Anula siempre el rechazo de spam del mensaje

50: El mensaje cumple una condición de enrutamiento en el dominio que has configurado

51: El mensaje ha activado una regla de redirección que has configurado para el enrutamiento en el dominio

55: El ajuste de generación del registro de Exchange ha creado el mensaje

57: El mensaje procede de una regla de pasarela de entrada que has configurado

60: El mensaje está protegido por el modo confidencial de Gmail

61: El mensaje se ha recibido en la zona de pruebas de seguridad

62: La lista de direcciones que has configurado para el enrutamiento predeterminado en el dominio incluye al destinatario del sobre de SMTP en lugar del remitente y los destinatarios del mensaje

63: El mensaje ha activado una regla de redirección en el dominio que configuraste para el enrutamiento o para el enrutamiento predeterminado en el dominio

Tipo de acción tras el envío. Posibles valores:

1: Mensaje abierto por primera vez

2: Mensaje marcado como no leído

3: Mensaje respondido

4: Mensaje reenviado

5: Mensaje reenviado automáticamente mediante un ajuste de Gmail

6: Mensaje movido a la bandeja de entrada

7: Mensaje movido a la papelera

8: Mensaje sacado de la papelera

9: Se ha hecho clic en un enlace del cuerpo del mensaje

10: Uno o varios archivos adjuntos al mensaje se han descargado

11: Se ha hecho clic en un enlace de un archivo adjunto al previsualizarlo

12: Uno o varios archivos adjuntos al mensaje se han guardado en Google Drive

13: Se ha hecho clic en un enlace del complemento

14: Uno o varios elementos de Google Drive del mensaje se han descargado

15: Uno o varios elementos de Google Drive del mensaje se han guardado en la unidad de Google Drive del destinatario

16: Se ha aplicado o cambiado una etiqueta de clasificación al mensaje

17: Se ha aplicado o cambiado una etiqueta de clasificación de los archivos adjuntos al mensaje

18: Mensaje archivado

19: Mensaje eliminado definitivamente

20: Uno o varios archivos adjuntos al mensaje se han previsualizado

21: El destinatario ha bloqueado al remitente del mensaje

22: Mensaje guardado como borrador

23: Mensaje visto, incluidas la primera y las siguientes lecturas

Tipo de malware, si se detecta durante la gestión de mensajes. Si no se detecta malware, este campo no se define. Posibles valores:

1: Malware de tipo programa malicioso conocido

2: Malware de tipo virus o gusano

3: Contenido del mensaje posiblemente dañino

4: Contenido del mensaje posiblemente no deseado

5: Es otro tipo de software malicioso

Tipo de entidad que se ha clasificado. Posibles valores:

1: Cuerpo del mensaje

2: Archivo adjunto

Tipo de evento de clasificación. Posibles valores:

1: Etiqueta cambiada

2: Etiqueta recién aplicada

3: Etiqueta quitada

El tipo S/MIME de nivel superior de un mensaje, tal y como se indica en el encabezado de tipo de contenido. Posibles valores:

0: El mensaje no tiene ningún tipo de contenido S/MIME reconocido

1: Un mensaje S/MIME con una firma independiente, indicada por el tipo de contenido multipart/signed con el parámetro protocol=application/pkcs7-signature

2: Un mensaje S/MIME con una firma opaca, indicada por el tipo de contenido application/pkcs7-mime o application/x-pkcs7-mime, y el parámetro smime-type=signed-data

3: Un mensaje S/MIME cifrado, indicado por el tipo de contenido application/pkcs7-mime o application/x-pkcs7-mime, y el parámetro smime-type=enveloped-data

4: Un mensaje S/MIME comprimido, indicado por el tipo de contenido application/pkcs7-mime o application/x-pkcs7-mime, y el parámetro smime-type=compressed-data

Solo para mensajes salientes. Cuando el campo se define y tiene el valor "true", indica que el mensaje debe cifrarse.

Cuando se define, este campo indica que se ha procesado el mensaje S/MIME entrante. Si se omite, no se define. El valor muestra si se ha analizado o no. Nota: Por ahora no se incluye.

Solo para mensajes salientes. Cuando se define, este campo indica que se ha intentado empaquetar el mensaje S/MIME. Si se omite, no se define. El valor muestra si se ha analizado o no.

Si Gmail rechaza una solicitud de relay SMTP, este código de error proporciona información sobre la causa del rechazo. Posibles valores:

1: Error de autenticación

2: Se ha superado el límite de frecuencia diario

3: Se ha superado el límite de frecuencia máximo

4: Abuso del relay SMTP

5: Se ha superado el límite de frecuencia por usuario

El nombre visible del encabezado De: tal como aparece en los encabezados del mensaje; por ejemplo, Marta Torres. Es posible que este campo se trunque si el registro es demasiado largo o si hay demasiadas reglas activadas (triggered_rule_info) en el registro.

Subcategoría del servidor de origen. Para ver las descripciones de los valores, ve a message_info.source.service.

El servicio de donde proviene el mensaje. Con estos dos campos, puedes determinar el servicio desde el que se envió el mensaje y por qué se generó.

Motivo por el que el mensaje se ha clasificado como spam, phishing u otra categoría. Posibles valores:

1: Motivo de clasificación como spam predeterminado

2: Mensaje clasificado debido al historial de acciones del remitente 

3: Contenido sospechoso

4: Enlace sospechoso

5: Archivo adjunto sospechoso

6: Política personalizada definida en la configuración de Gmail de Google Workspace

7: DMARC

8: El dominio figura en listas públicas de dominios no permitidos

9: Infracción de los estándares RFC

10: Infracción de una política de Gmail

11: Veredicto de aprendizaje automático

12: Reputación del remitente

13: Spam evidente

14: Protección avanzada contra phishing y software malicioso

El resultado de la clasificación como spam de Gmail. Posibles valores:

1: No es spam ni malware

2: Spam

3: Phishing

4: Sospechoso

5: Malware

Categoría de tipo MIME. Posibles valores:

1: Tipo de archivo no reconocido

2: Documentos de Microsoft Office, como documentos de procesadores de texto, hojas de cálculo, presentaciones y bases de datos. Se incluyen los archivos PDF. El archivo puede estar cifrado o no.

3: Vídeo y archivos multimedia, como MPEG, Quicktime o WMV

4: Música y audio, como MP3, AAC y WAV

5: Imágenes, como JPEG, BMP o GIF

6: Archivos, como ZIP, TAR o TGZ

7: Ejecutables, como EXE, COM o JS

8: Documentos de Office cifrados

9: Documentos de Office que no están cifrados

Acción llevada a cabo debido a la consecuencia. Posibles valores:

0: La consecuencia no requiere ninguna acción

3: Se pone el mensaje en cuarentena de administrador

4: Se modifica el destino de entrega principal

5: Se añade un destino de entrega

6: Se añade un encabezado de mensaje

7: Se sobrescribe el destinatario del mensaje

9: Se añade el mensaje al conjunto de mensajes especificado

10: Se modifican las etiquetas del mensaje

11: Se añade el texto como prefijo en el asunto del mensaje

12: Se añade un pie de página al mensaje

13: Se extrae el cuerpo del mensaje

14: Se almacena una copia del mensaje en el buzón de correo del usuario, según la configuración de almacenamiento de correo completo

15: Se sustituye el archivo adjunto por texto predefinido

16: Se requiere la entrega segura del mensaje

17: El mensaje no se puede entregar y se devuelve

18: Se archiva en Google Vault para que los destinatarios lo consulten

20: Se cifra el mensaje saliente con S/MIME

21: Se cambia el destinatario cuando el mensaje se recibe en SMTP

Tipo de regla personalizada. Posibles valores:

0: Jardín vallado

7: Contenido no admitido

8: Cumplimiento de las normas de contenido

10: Enrutamiento del correo recibido

11: Enrutamiento del correo enviado

12: Anular la clasificación como spam

14: Remitentes bloqueados

15: Añadir pie de página

16: Cumplimiento de las normas de archivos adjuntos

17: Cumplimiento con TLS

18: Enrutamiento predeterminado del dominio

19: Aceptación del diario de mensajes entrantes en Vault

20: Relay saliente

21: Resumen de cuarentena

22: Ruta segura alternativa

23: Tabla de alias

24: Almacenamiento de correo completo

25: Regla de enrutamiento

26: Pasarela de entrada

27: S/MIME

28: Archivado de correo electrónico de otros proveedores

Describe los resultados de clasificación de spam de la regla personalizada. Posibles valores:

0: Ninguna acción: la regla ha respetado el resultado de la clasificación de spam de Gmail

1: Spam: la regla ha clasificado el mensaje como spam

2: No es spam: la regla ha clasificado el mensaje como no spam

Nombre del archivo adjunto en el que se ha encontrado una cadena coincidente en el texto extraído de un archivo binario. Nota: Este campo está vacío en estos momentos.

Expresión de coincidencia establecida en la consola de administración. Es posible que este campo se trunque si el registro es demasiado largo o si el número de reglas activadas (triggered_rule_info) del registro es demasiado elevado.

Cadena que ha activado la regla. La información confidencial se oculta con un asterisco (*) o con un punto (.) Es posible que este campo se trunque si el registro es demasiado largo o si el número de reglas activadas (triggered_rule_info) del registro es demasiado elevado.

Ubicación de la cadena coincidente en el mensaje. Posibles valores:

0: Desconocida

1: Cuerpo del mensaje, incluidos los archivos adjuntos en formato de texto

2: Archivos adjuntos de formato binario

3: Encabezados del mensaje

4: Asunto

5: Cabecera de remitente

6: Encabezado de destinatario

7: Mensaje sin formato

Tipo de coincidencia. Posibles valores:

• 0: Sin definir
• 1: Coincidencia de expresión regular
• 2: Coincidencia de detectores predefinidos
• 3: Coincidencia de contenido simple
• 4: Coincidencia sin caracteres ASCII

No se ha podido subir el mensaje al destino. Posibles valores:

• 0: Error transitorio sin clasificar
• 1: La cuenta del destinatario está demasiado llena
• 2: Error de DNS al resolver el dominio del destinatario
• 3: El servidor del destinatario ha rechazado la conexión
• 4: El destinatario se ha quedado sin espacio de almacenamiento