Вопросы и ответы по трассировке сообщенийMessage Trace FAQ

В этом разделе рассматриваются вопросы относительно обмена сообщениями, которые могут возникнуть у пользователя, а также возможные ответы на них. Здесь также описывается, как использовать средство трассировки сообщений, чтобы получить эти ответы и устранить определенные проблемы с доставкой почты.This topic presents messaging questions that a user may have, along with possible answers. It also describes how to use the message trace tool in order to get those answers and troubleshoot specific mail delivery issues.

Сколько времени требуется для просмотра результатов при выполнении трассировки сообщения? И сколько времени проходит с момента отправки сообщения до его доступности для поиска в данных трассировки сообщений?How long does it take to see results when running a message trace? And how long does it take when a message is sent for it to be available to search in the message trace?

При выполнении трассировки для сообщений не старше 10 дней, результаты поиска отображаются немедленно. Если такое сообщение отправлено получателю, он должен выполнять между 5 – 10 минут, чтобы отображаться в данных трассировки сообщений.When you run a message trace for messages less than 10 days old, the search results appear immediately. When such a message is sent to a recipient, it should take between 5-10 minutes to appear in the message trace data.

При выполнении трассировки сообщения старше 10 дней, результаты поиска может занять несколько часов.When you run a message trace for messages greater than 10 days old, the search results may take up to a few hours.

Можно ли запустить трассировку сообщений через удаленную консоль Windows PowerShell, а не пользовательский интерфейс?Can I run a message trace via remote Windows PowerShell rather than the user interface?

Можно использовать следующие удаленные командлеты Windows PowerShell для трассировки сообщения:You can use the following remote Windows PowerShell cmdlets to run a message trace:

Get-MessageTrace — используйте этот командлет для трассировки сообщений не старше 10 дней.Get-MessageTrace - Use this cmdlet to trace messages that are less than 10 days old.

Get-MessageTraceDetail — используйте этот командлет для просмотра сведений события трассировки определенного сообщения.Get-MessageTraceDetail - Use this cmdlet to view the message trace event details for a specific message.

Get-HistoricalSearch. Используйте этот командлет для просмотра сведений об операциях поиска по журналу за последние десять дней.Get-HistoricalSearch Use this cmdlet to view information about historical searches that have been performed within the last ten days.

Start-HistoricalSearch — используйте этот командлет, чтобы начать новую операцию поиска по журналу.Start-HistoricalSearch - Use this cmdlet to start a new historical search.

Stop-HistoricalSearch — используйте этот командлет для остановки выполняемого поиска по журналу, который имеет значение состояния NotStarted.Stop-HistoricalSearch- Use this cmdlet to stop an existing historical search that has a status value of NotStarted.

Сведения об использовании Windows PowerShell для подключения к службе Exchange Online Protection см. в статье Connect to Exchange Online Protection Using Remote PowerShell. Сведения об использовании Windows PowerShell для подключения к службе Exchange Online см. в статье Подключение к Exchange Online с помощью удаленной оболочки PowerShell.To learn how to use Windows PowerShell to connect to Exchange Online Protection, see Connect to Exchange Online Protection Using Remote PowerShell. To learn how to use Windows PowerShell to connect to Exchange Online, see Connect to Exchange Online Using Remote PowerShell.

Почему при выполнении трассировки сообщения возникает сообщение об ошибке времени ожидания?Why am I getting a timeout error when running a message trace in the user interface?

Возможной причиной получения ошибки времени ожидания является слишком длительная обработка запроса. Рекомендуется упростить условия поиска. Рекомендуем рассмотреть возможность использования удаленной оболочки PowerShell, отличающейся менее жесткими требованиями ко времени ожидания.The likely cause of a timeout error is that the query is taking too long to process. Consider simplifying your search criteria. You may want to consider using remote PowerShell, which has more liberal timeout requirements.

Почему я не получил(а) ожидаемого сообщения электронной почты?Why didn't I receive an expected email message?

К возможным причинам, помимо прочих, относятся следующие:Possible reasons include the following:

  • сообщение распознано как нежелательная почта;The message was detected as spam.

  • сообщение было отправлено в карантин в соответствии с заданным правилом;The message was sent to quarantine due to a rule match.

  • сообщение отклоненоThe message was rejected

    • фильтром защиты от вредоносных программ;By the malware filter

    • потому что вложенный в сообщение файл содержит вредоносную программу;Because a file attached to the message contained malware

    • потому что в тексте письма содержится вредоносная программа;Because the message body contained malware

    • правилом;By a rule

    • потому что указано действие "Отклонить";Because the action was Reject

    • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;Because the action was Force TLS and TLS failed to be established

    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;By a connector because TLS was required and failed to be established

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;The message was sent for moderation and is awaiting approval or was rejected by the moderator.

  • сообщение не было отправлено;The message was never sent.

  • сообщение до сих пор находится в обработке по причине предыдущего отказа, служба предпринимает попытку повторно доставить сообщение;The message is still being processed because there was a previous failure and the service is re-attempting delivery.

  • доставка сообщения на ваши почтовые ящики завершилась ошибкой;The message failed to be delivered to your mailboxes

    • потому что получатель недоступен;Because the destination is not reachable

    • потому что получатель отклонил сообщение;Because the destination rejected the message

    • потому что при доставке сообщения превышено время ожидания;Because the message timed out during the delivery attempt

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Запуск трассировки сообщений). Укажите значения параметров так, чтобы максимально сузить область поиска. К примеру, следует знать отправителя и предполагаемых получателей сообщения, а также общий период времени, во время которого оно было отправлено. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел Просмотр результатов трассировки для сообщений не старше 7 дней или Просмотр результатов трассировки для сообщений старше 7 дней). Если состояние доставки сообщения — Ошибка или Ожидание, это объяснит, почему оно не было получено. Убедитесь, что сообщение было отправлено, успешно принято службой, что оно не было отфильтровано, перенаправлено или отправлено для модерирования, и что при его доставке не возникли ошибки или задержки.To find out what happened, run the message trace (see Run a message trace). Try to specify parameter values in a manner that will best narrow down your search results. For example, you should know the sender and the intended recipient or recipients of the message, and the general time period during which it was sent. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 7 days old or View message trace results for messages that are more than 7 days old). Look for a delivery status of Failed or Pending to explain why the message was not received. Confirm that the message was sent, that it was successfully received by the service, that it was not filtered, redirected, or sent for moderation, and that it did not experience any delivery failures or delays.

Почему мне пришло неожиданное сообщение?Why did I receive an unexpected message?

К возможным причинам, помимо прочих, относятся следующие:Possible reasons include the following:

  • сообщение было отправлено из карантина;The message was released from quarantine.

  • сообщение ожидало разрешения модератора и было отправлено;The message was awaiting moderator approval and was released.

  • сообщение являлось нежелательным, что не было обнаружено;The message was spam that was not detected.

  • сообщение соответствовало правилу, согласно которому вы были добавлены к сообщению;The message matched a rule that added you to the message.

  • сообщение было отправлено в список рассылки, в котором указаны ваши данные.The message was sent to a distribution list of which you are a member.

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Запуск трассировки сообщений). Укажите значения параметров так, чтобы максимально сузить область поиска. Например, укажите получателя, который получил сообщение, установите состояние доставки Доставлено и установите временной период в соответствии со временем получения сообщения. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел Просмотр результатов трассировки для сообщений не старше 7 дней или Просмотр результатов трассировки для сообщений старше 7 дней). Похоже, что причиной получения сообщения является одно из непредвиденных событий выше.To find out what happened, run the message trace (see Run a message trace). Try to specify parameter values in a manner that will best narrow down your search results. For example, specify the recipient who received the message, set the delivery status to Delivered, and set the time period based on when the message was received. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 7 days old or View message trace results for messages that are more than 7 days old) One of the above-listed unforeseen events is likely the cause of your receiving the message.

Почему другие не получают мое сообщение или почему я получаю отчет о недоставке?Why didn't someone receive my message or why did I get this non-delivery report (NDR)?

К возможным причинам, помимо прочих, относятся следующие:Possible reasons include the following:

  • сообщение распознано как нежелательная почта;The message was detected as spam.

  • сообщение было отправлено в карантин в соответствии с заданным правилом;The message was sent to quarantine due to a rule match.

  • сообщение было перенаправлено по причине отправки его соединителем другому получателю;The message was re-routed because a connector sent it to another destination.

  • сообщение отклоненоThe message was rejected

    • фильтром защиты от вредоносных программ;By the malware filter

    • потому что вложенный в сообщение файл содержит вредоносную программу;Because a file attached to the message contained malware

    • потому что в тексте письма содержится вредоносная программа;Because the message body contained malware

    • правилом;By a rule

    • потому что указано действие "Отклонить";Because the action was Reject

    • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;Because the action was Force TLS and TLS failed to be established

    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;By a connector because TLS was required and failed to be established

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;The message was sent for moderation and is awaiting approval or was rejected by the moderator.

  • сообщение не было отправлено;The message was never sent.

  • сообщение до сих пор находится в обработке по причине предыдущего отказа, служба предпринимает попытку повторно доставить сообщение;The message is still being processed because there was a previous failure and the service is re-attempting delivery.

  • доставка сообщения получателю завершилась ошибкой;The message failed to be delivered to the destination

    • потому что получатель недоступен;Because the destination is not reachable

    • потому что получатель отклонил сообщение;Because the destination rejected the message

    • потому что при доставке сообщения превышено время ожидания;Because the message timed out during the delivery attempt

  • сообщение было доставлено получателю, но было удалено без прочтения (возможно, по причине соответствия правилу).The message was delivered to the destination but it was deleted before it was accessed (perhaps because it matched a rule).

Чтобы узнать, что случилось, запустите трассировке сообщений (см. трассировки сообщения. Попробуйте для указания значения параметра таким образом, чтобы лучше всего сузить результаты поиска. Например должны знать отправителя и получателя или получателей копии сообщения и общие период, во время которого был отправлен. Просмотреть результаты, найдите сообщение и просмотр определенных сведений о сообщении (см результатов представления сообщения трассировки для сообщений, которые являются менее 7 дней назад или Просмотр результатов трассировки для сообщений, которые являются более 7 дней назад) найдите состояние доставки не удалось выполнить или ожидающих установки , чтобы поясняется, почему сообщение не было доставлено. Убедитесь, что сообщение было отправлено, было успешно получено службой, которое не было отфильтровано, перенаправление или отправлено для модерирования и, что она не столкнулись с любой сбоев доставки или задержки. Если получатель недоступен, можно использовать Для IP-адресов в устранении проблем с подключением.To find out what happened, run the message trace (see Run a message trace. Try to specify parameter values in a manner that will best narrow down your search results. For example, you should know the sender and the intended recipient or recipients of the message, and the general time period during which it was sent. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 7 days old or View message trace results for messages that are more than 7 days old) Look for a delivery status of Failed or Pending to explain why the message was not delivered. Confirm that the message was sent, that it was successfully received by the service, that it was not filtered, redirected, or sent for moderation, and that it did not experience any delivery failures or delays. If the destination is not reachable, you can use the To IP to help troubleshoot connectivity issues.

Почему мое сообщение так долго идет получателю? Как найти его в конвейере?Why is my message taking so long to arrive to its destination? Where is it in the pipeline?

К возможным причинам, помимо прочих, относятся следующие:Possible reasons include the following:

Чтобы узнать, что случилось, запустите трассировке сообщений (см трассировки сообщения). Попробуйте для указания значения параметра таким образом, чтобы лучше всего сузить результаты поиска. Например должны знать отправителя и получателя или получателей копии сообщения и общие период, во время которого был отправлен. Просмотреть результаты, найдите сообщение и затем просматривать подробные сведения о сообщении (см. Просмотр результатов трассировки для сообщений, которые не менее 10 дней) или Просмотр результатов трассировки для сообщений, которые не более 10 дней) событий раздел сообщит вам, почему сообщение еще не доставлено. При просмотре событий, метки времени позволит следуйте сообщения через конвейер обмена мгновенными сообщениями и определить, сколько времени занимает службы обработки каждого события. Сведения о событии также о при очень большие сообщения доставляются или если получатель не отвечает.To find out what happened, run the message trace (see Run a message trace). Try to specify parameter values in a manner that will best narrow down your search results. For example, you should know the sender and the intended recipient or recipients of the message, and the general time period during which it was sent. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 10 days old) or View message trace results for messages that are more than 10 days old) The events section will tell you why the message was not yet delivered. When viewing the events, the timestamp information will let you follow the message through the messaging pipeline, and tell you how long the service takes to process each event. The event details will also inform you if the message being delivered is extremely large or if the destination is not responsive.

Было ли сообщение помечено как нежелательное?Was a message marked as spam?

Сообщения могут быть помечены как нежелательные по нескольким причинам. Например, IP-адрес отправителя может оказаться в списках заблокированных IP-адресов службы. Сообщение может быть помечено как нежелательное по причине содержания фактического сообщения, например если его параметры соответствуют правилу в фильтре содержимого нежелательной почты. Средство трассировки сообщений позволяет отслеживать только события фильтра содержимого нежелательной почты. Трассировка событий фильтра подключений, например блокирования IP-адресов, не производится. Дополнительные сведения о фильтрации нежелательной почты, в том числе и ее содержимого, см. в разделе Защита от нежелательной электронной почты в Office 365.Messages can be marked as spam for several reasons. For example, the sending IP address may appear on one of the service's IP Block lists. A message can be marked as spam due to the content of the actual message, such as when it matches a rule in the spam content filter. The message trace tool only tracks spam content filter events; connection filter events (such as blocked IP addresses) are not traceable. For more information about spam filtering, including spam content filtering, see Anti-Spam Protection.

Чтобы выяснить, почему сообщение помечено как нежелательная почта, запустите трассировке сообщений (смотрите трассировки сообщения), найдите сообщение в списке результатов и затем просматривать подробные сведения о сообщении (Просмотр результатов Просмотр трассировки для сообщений, которые не превышает 10 дней или Просмотр результатов трассировки для сообщений, которые не более 10 дней). При фильтрации содержимого помечает сообщение как нежелательная почта, если оно отправляется в папку Нежелательная почта или карантина, он будет с состоянием доставлено. Можно просмотреть сведения о событии, чтобы увидеть, как сообщение было доставлено в место назначения. К примеру он может об, что сообщение было определено, имеют высокий уровень вероятности или совпадение расширенной фильтрации параметр нежелательной почты. Будут также указаны действия, которые произошли в результате всех сообщений, помечаются как нежелательная почта, для примера, если оно было отправлено в карантин, отметка с X-заголовка или если оно было отправлено через пул доставки высокого риска.To find out why a message was marked as spam, run the message trace (see Run a message trace), locate the message in the results, and then view specific details about the message (see View message trace results for messages that are less than 10 days old or View message trace results for messages that are more than 10 days old). When the content filter marks a message as spam, if it is sent to the Junk Email folder or the quarantine, it will have a status of Delivered. You can view the event details in order to see how the message arrived at its destination. For example, it may inform you that the message was determined to have a high spam confidence level, or that an advanced spam filtering option was matched. You will also be informed of the action that occurred as a result of the message being marked as spam, for example if it was sent to quarantine, stamped with an X-header, or if it was sent through the high risk delivery pool.

Обнаружена ли в сообщении вредоносная программа?Was a message detected to contain malware?

Сообщения определяются как вредоносные программы, если их свойства, либо в тексте письма, либо во вложении, совпадают с сигнатурой в одном из модулей защиты от вредоносных программ. Дополнительные сведения о фильтрации вредоносных программ см. в разделе Защита от вредоносных программ.Messages are detected as malware when its properties, either in the message body or in an attachment, match a malware definition in of one of the anti-malware engines. For more detailed information about malware filtering, see Anti-Malware Protection.

Чтобы определить, почему сообщение было помечено как вредоносное, запустите трассировку сообщений (см. раздел Запуск трассировки сообщений). Укажите значения параметров так, чтобы максимально сузить область поиска. Для состояния доставки установите значение Ошибка. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел Просмотр результатов трассировки для сообщений не старше 7 дней или Просмотр результатов трассировки для сообщений старше 7 дней). Если сообщение не было доставлено по причине обнаружения в нем вредоносной программы, пользователь увидит эти сведения в разделе событий. Ниже приведен пример раздела Сведения: Вредоносная программа: " ZipBomb " обнаружена во вложенном файле . ZIP . Вы также увидите данные о действии, выполненном в результате обнаружения сообщения с вредоносной программой, например о том, что сообщение полностью заблокировано или все вложения удалены и заменены файлом с текстом оповещения.To find out why a message was detected to contain malware, run the message trace (see Run a message trace). Try to specify parameter values in a manner that will best narrow down your search results. Set the delivery status to Failed. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 7 days old or View message trace results for messages that are more than 7 days old) If the message was not delivered because it was determined to contain malware, this information will be provided in the events section. For example, the following is a sample Detail: Malware: " ZipBomb " was detected in attachment file . zip . You will also be informed of the action that occurred as a result of the message containing malware, for example if the entire message was blocked or if all attachments were deleted and replaced with an alert text file.

Какое правило транспорта или какая политика DLP применены к сообщению?Which transport rule or DLP policy was applied to a message?

Чтобы узнать, какие правила транспорта (настраиваемые политики правила) или политики предотвращения потери данных (DLP) (только для клиентов Exchange через Интернет) была применена к сообщению, запустите трассировке сообщений (см трассировки сообщения). Попробуйте для указания значения параметра таким образом, чтобы лучше всего сузить результаты поиска. Значение состояния доставки не удалось выполнить. Просмотреть результаты, найдите сообщение и затем просматривать подробные сведения о сообщении (см. Просмотр результатов трассировки для сообщений, которые не менее 10 дней или Просмотр результатов трассировки для сообщений, которые не более 10 дней) Если сообщение не было доставлено, так как его содержимое соответствия правилу, в разделе событий позволит вам известно имя сработавшего правила транспорта. Вы также получать действие, которое происходит в результате совпадение правила транспорта, например если сообщения в карантин, отклонено, перенаправлен, отправляются в настройках расшифрован, или любое количество других возможные варианты. Сведения о том, как создавать правила транспорта Exchange и задать действия для них содержатся поток обработки почты правил (правил транспорта) в Exchange Online.To find out which transport rule (custom policy rule) or Data Loss Prevention (DLP) policy (Exchange Online customers only) was applied to a message, run the message trace (see Run a message trace). Try to specify parameter values in a manner that will best narrow down your search results. Set the delivery status to Failed. View the results, locate the message, and then view specific details about the message (see View message trace results for messages that are less than 10 days old or View message trace results for messages that are more than 10 days old) If the message was not delivered because its contents matched a rule, the events section will let you know the name of the transport rule that was matched. You will also be informed of the action that occurred as a result of the transport rule match, for example if the message was quarantined, rejected, redirected, sent for moderation, decrypted, or any number of other possible options. For information about how to create Exchange transport rules and set actions for them, see Mail flow rules (transport rules) in Exchange Online.

При выполнении трассировки сообщений программа возвращает идентификатор правила 1. Что это означает?When I run a message trace it returns rule ID-1. What does this mean?

Идентификатор правила 1 возвращается, если при трассировке сообщений обнаруживается правило транспорта, которое больше не существует. После отправки исходного сообщения правило транспорта могло быть изменено или удалено.Rule ID-1 is returned when the message trace encounters a transport rule that no longer exists. (The transport rule could have been modified or deleted after the original message was sent.)

Существуют ли ограничения или характеристики поведения, о которых следует знать при использовании средства трассировки сообщений?Are there any known limitations or behavior clarifications that I should be aware of when using the message trace tool?

При использовании средства трассировки сообщений следует учитывать перечисленные ниже особенности.You should be aware of the following when using the message trace tool:

  • Сообщения, заблокированные по IP: сообщения, заблокированные списками службы репутации IP-адресов, будут включены в данные защиты от нежелательной почты для отчетов в реальном времени, но трассировку этих сообщений произвести невозможно.IP-blocked messages: Messages blocked by IP reputation block lists will be included in the spam data for real time reports, but you cannot perform a message trace on these messages.

  • Перенаправленные сообщения: в случае перезаписывания получателя правилом транспорта или по причине выбора действия Перенаправить на адрес электронной почты для нежелательной почты, в одной операции поиска трассировка этого сообщения невозможна. Трассировка исходного сообщения возможна до момента изменения получателя. После этого трассировка сообщения для исходного получателя станет невозможна. Трассировку сообщения можно выполнить повторно с помощью нового получателя.Redirected messages: If a recipient is rewritten by a transport rule or because the spam action for the domain is set to Redirect to email address, the message is not traceable in a single search. The original message can be traced until to the point when the recipient is changed. After that, the message is not traceable under the original recipient. You can trace the message again using the new recipient.

  • Почта от: средство трассировки сообщений использует значение поля "Почта от", представленного при соединении по протоколу SMTP в качестве отправителя в поиске, независимо от сведений, представленных в разделе сообщения "Данные". В сообщении может отображаться адрес для ответов или другие значения в полях "От" и "Отправитель". Если сообщение электронной почты было отправлено процессом, а не почтовым клиентом, повышается вероятность того, что значение отправителя в поле "Почта от" не совпадет с отправителем в сообщении.MAIL FROM: The message trace tool uses the MAIL FROM value presented at the initiation of the SMTP conversation as the Sender in a search, regardless of what the DATA section of the message shows. The message may show a Reply-to address or different From: or Sender values. If the email message was sent by a process and not by an email client, there is an increased likelihood that the sender in the MAIL FROM will not match the sender in the actual message.

  • Обновление правила транспорта: если сообщение соответствует условиям правила транспорта, идентификатор правила сохраняется в трассировке сообщений и базах данных отчетности в режиме реального времени. При трассировке одного из этих сообщений или детализации правила в отчете пользовательские интерфейсы трассировки сообщений и отчетности в режиме реального времени динамически запрашивают текущие сведения по правилу из сети размещенных служб на основе идентификатора правила в базе данных отчетности. При изменении атрибутов этого правила после обработки сообщения (например, изменения атрибута с "Отклонить" на "Разрешить"), идентификатор правила остается без изменений в полученных результатах трассировки сообщений и отчетности в режиме реального времени, но в Центре администрирования Exchange будут отображаться новые свойства правила транспорта. Вы можете использовать функцию отчетов аудита для определения времени изменения правила и измененных свойств.Transport rule updates: When a message matches a transport rule, the rule ID is stored in the message trace and real time reporting databases. If you trace one of these messages, or drill down on rule details in a report, the message trace and real time reporting user interfaces dynamically pull the current rule information from the hosted services network based on the rule ID in the reporting database. If you have changed the attributes of that particular rule since the message was processed (changed it from Reject to Allow, for example), the rule ID stays the same in the message trace and real time reporting returned results, but the Exchange admin center will show the new transport rule properties. You can use the auditing reports feature in order to determine when the rule was changed and the properties that were changed.

  • Сообщения, отфильтрованные как нежелательные: когда фильтр содержимого помечает сообщение как нежелательное, и оно отправляется в папку "Нежелательные сообщения" или в карантин, сообщение будет иметь статус Доставлено. Чтобы выяснить, как сообщение было доставлено получателю, нужно более подробно изучить сведения о событии.Spam-filtered messages: When the content filter marks a message as spam, if it is sent to the Junk Email folder or the quarantine, it will have a status of Delivered. Drill down to the event details in order to see how the message arrived at its destination.

Дополнительные сведенияFor more information

Отслеживание электронных сообщенийTrace an email message

Help and Support for EOPHelp and Support for EOP