在经典 EAC 中运行邮件跟踪

备注

邮件跟踪在 Microsoft 365 安全中心和新式 Exchange 管理中心提供。 有关详细信息,请参阅安全与合规中心内的邮件&和新式管理中心Exchange跟踪

作为管理员,你可以通过在 Exchange 管理中心 (EAC) 中运行邮件跟踪来查看电子邮件所发生的情况。 运行邮件跟踪后,可以在列表中查看结果,然后查看特定邮件的详细信息。 提供了过去 90 天内的邮件跟踪数据。 如果邮件超过 7 天,则只能查看可下载邮件.CSV结果。

有关邮件跟踪和其他邮件流疑难解答工具的视频演练,请参阅查找并修复作为业务管理员的 Microsoft 365 或 Office 365的电子邮件传递问题

开始前,有必要了解什么?

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 请访问以下论坛Exchange Online或Exchange Online Protection。 如果你是企业管理员或Microsoft 365 Office 365,请参阅联系商业产品支持人员 - 管理员帮助

运行邮件跟踪

  1. 在 EAC 中,转到"邮件流 > ""邮件跟踪"。

    Exchange 管理中心的屏幕截图显示从邮件流导航菜单选中了消息跟踪。

  2. 根据所搜索内容,您可以在以下字段中输入值。 7 天之内的邮件不需要指定这些字段。 只需单击“搜索”来检索默认时间段(即过去 48 小时)的所有邮件跟踪数据。

    1. 日期范围:使用下拉列表,选择搜索在过去 24 小时、48 小时或 7 天内发送或接收的邮件。 您也可以选择包括过去 90 天内的任何范围的自定义时间范围。 对于自定义搜索,您还可以更改以协调世界时 (UTC) 表示的时区。

    2. 传递 状态:使用下拉列表,选择要查看其信息的邮件的状态。 保留默认值 All 涵盖所有状态。 其他可能的值是:

      • 传递:邮件已成功传递到预期目标。

      • 失败:邮件未送达。 或者已尝试并失败,或者筛选服务所采取的操作使得未进行传递。 例如,如果该邮件被确认包含恶意软件。

      • 挂起 * :正在尝试或重新尝试传递邮件。

      • 展开:邮件已发送到通讯组列表并展开,以便可以单独查看列表的成员。

      • 筛选为垃圾邮件:邮件已传递到"垃圾邮件"文件夹。

      • 未知 * :目前未知邮件传递状态。 当列出查询结果后,传递详细信息字段将不包含任何信息。

      *如果要搜索超过 7 天的邮件,则不能选择"挂起 " 或"未知"。

    3. 邮件 ID: 这是 Internet 邮件 ID (也称为"客户端 ID") Message-ID: 头字段中的邮件头中。 用户可为您提供该信息以调查特定邮件。

      此 ID 的形式取决于发送邮件系统。 下面是一个示例 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> :。

      此 ID 应该是唯一的;但是,并非所有发送邮件系统的行为方式都相同。 所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

      注意:请务必包含完整的邮件 ID 字符串。 这可能包括尖括号 (<>)。

    4. 发件人:可以通过单击"发件人"字段旁边的"添加发件人"按钮来缩小对特定发件人 的搜索 范围。 在随后的对话框中,从用户选取器列表中选择一个或多个来自公司的发件人,然后单击"添加 "。 若要添加不在列表上的发件人,请键入其电子邮件地址,然后单击"检查姓名"。 此框中,以下格式的电子邮件地址支持通配符:*@contoso.com。 指定通配符时,无法使用其他地址。 完成选择后,单击"确定 "。

    5. 收件人:可以通过单击"收件人"字段旁边的"添加收件人"按钮来缩小对特定收件人 的搜索 范围。 在随后的对话框中,从用户选取器列表中选择公司的一个或多个收件人,然后单击"添加 "。 若要添加不在列表上的收件人,请键入他们的电子邮件地址,然后单击检查 姓名。 此框中,以下格式的电子邮件地址支持通配符:*@contoso.com。 指定通配符时,无法使用其他地址。 完成选择后,单击"确定 "。

  3. 如果要搜索超过 7 天的邮件,请配置以下设置: (,否则可以跳过此步骤) :

    1. 在报告中包括 邮件事件和路由详细信息:建议仅在要查找少量邮件时选中此复选框。 否则,返回结果需要更长时间。

    2. 方向:对于 发送到组织的邮件,保留默认值"全部"或选择"入站";对于从组织发送的邮件,保留"出站"。

    3. 原始客户端 IP 地址:指定发件人客户端的 IP 地址。

    4. 报告标题:指定此报告的唯一标识符。 这还将用作电子邮件通知的主题行文本。 默认值为"邮件跟踪报告 <day of the week> <current date> <current time> "。 例如,"邮件跟踪报告 2018 年 10 月 17 日,星期四上午 7:21:09"。

    5. 通知电子邮件地址:指定您希望在邮件跟踪完成时收到通知的电子邮件地址。 此地址必须驻留在您的接受域的列表中。

  4. 单击 "搜索":运行邮件跟踪。 如果您接近 24 小时内允许运行的跟踪次数阀值,系统将发出警告。

运行邮件跟踪后,继续阅读以下部分之一,了解如何查看结果。

注意:若要搜索其他邮件,可以单击"清除 " 按钮,然后指定新的搜索条件。

查看 7 天以下的邮件的邮件跟踪结果

在 EAC 中运行邮件跟踪后,结果将按日期排序列出,并首先显示最新邮件。 您可以通过单击标题来对任何列出字段排序。 第二次单击列标题将反转排序顺序。 在查看邮件跟踪结果时,会提供关于每封邮件的以下信息:

  • 日期:服务使用配置的 UTC 时区接收邮件的日期和时间。

  • 发件人:发件人的电子邮件地址,格式为 alias@domain

  • 收件人:收件人的电子邮件地址。 对于发送给多个收件人的邮件,每个收件人占用一行。 如果收件人是通讯组列表,通讯组列表将为第一个收件人,然后通讯组列表的每个成员将包括在单独一行中,以便您可以检查所有收件人的状态。

  • 主题:邮件的主题行文本。 如有必要,会在首串 256 个字符处截断。

  • 状态:此字段指定邮件是已送达收件人还是目标邮件、由于未能到达目标或由于已筛选) 而未能传递到收件人 (、挂起传递 (正在传递中或传递已延迟,但正在重新尝试) , Was Expanded (There was no delivery because the message was sent to a distribution list (DL) that was expanded to the recipients of the DL) , or has a status of None (there is no status of delivery for the recipient because the message was rejected or redirected to a different recipient) .

备注

邮件跟踪最多可以显示 500 个条目。默认情况下,用户界面每页显示 50 个条目,并且您可以浏览这些页面。您还可以更改每页显示的条目数,最多为 500 个。

查看有关 7 天以下的特定邮件的详细信息

通过在 EAC 中运行邮件跟踪工具检查返回项目列表后,您可以双击单个邮件,以查看该邮件的以下其他详细信息:

  • 邮件大小:邮件(包括附件)的大小(以千字节 (KB) 为单位;如果邮件大小大于 999 KB,则以 MB (MB) 。

  • 邮件 ID: 这是 Internet 邮件 ID (也称为"客户端 ID") "Message-ID:"令牌的邮件头中。 此 ID 的形式取决于发送邮件系统。 下面是一个示例 <08f1e0f6806a47b4ac103961109ae6ef@contoso.com> :。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪条目与问题邮件可以关联到一起。

  • To IP:服务尝试将邮件传递至的 IP 地址。 如果有多个收件人,会显示这些。 对于发送到 Exchange Online 的入站邮件,该值是空值。

  • 来自 IP: 发送邮件的计算机的 IP 地址。 对于从 Exchange Online 发送的出站邮件,该值是空值。

在"事件"一节中,以下字段提供了邮件经过邮件管道时所发生事件的消息:

  • Date: 事件发生的日期和时间。

  • 事件:此字段简要通知您所发生的情况,例如,如果服务收到邮件、邮件已送达或无法传递给目标收件人等。 下面是可能列出的事件的示例:

    • RECEIVE: 邮件已由服务接收。

    • 发送:邮件由服务发送。

    • FAIL:邮件无法传递。

    • DELIVER: 邮件已传递到邮箱。

    • EXPAND:邮件已发送到已展开的通讯组。

    • TRANSFER: 由于内容转换、邮件收件人限制或代理原因,收件人被移动到了已进行混淆的邮件。

    • DEFER: 邮件传递延迟,稍后可能会重新尝试。

    • 解决:邮件已基于 Active Directory 查找重定向到新的收件人地址。 当发生这种情况时,原始收件人地址会被列在邮件跟踪中的单独一行,包括邮件的最终传递状态。

    • DLP 规则:邮件中的 DLP 规则或敏感度标签匹配。

      提示

      可能会出现其他事件。 有关这些事件详细信息,请参阅邮件 跟踪日志中的事件类型

  • 操作:此字段显示邮件因恶意软件或垃圾邮件检测或规则匹配而筛选时执行的操作。 例如,在邮件被删除或发送到隔离时,均会通知您。

  • 详细信息:此字段提供详细阐述所发生情况的详细信息。 例如,它可能会通知您匹配的特定邮件流规则 (规则) 传输规则规则,以及邮件因匹配而发生的情况。 该字段也可通知您在哪个附件中检测到了哪个特定恶意软件,或者为什么邮件被检测为垃圾邮件。 如果成功传递了邮件,该字段会告诉您邮件传递到的那个 IP 地址。

查看超过 7 天的邮件的邮件跟踪结果

如果对超过 7 天的项目运行邮件跟踪,则当您单击"搜索"时,将显示一条消息,告知您邮件已成功提交,并且当跟踪完成时,电子邮件通知将发送到提供的电子邮件地址。 (如果处理邮件跟踪并成功检索与搜索条件匹配的数据,则此通知邮件将包括有关跟踪的信息和指向可下载邮件.CSV的链接。 如果未找到与指定的搜索条件相匹配的数据,将要求您提交具有已更改条件的新请求,以便获取有效结果。)

在 EAC 中,可以单击"查看挂起或已完成的跟踪"以查看对超过 7 天的项目运行的跟踪列表。 在产生的 UI 中,跟踪列表基于提交的日期和时间进行排序,最近的提交排在最前。 除报告标题、提交跟踪的日期和时间以及邮件数量外,报告中还会列出以下状态值:

  • 未开始:跟踪已提交,但尚未运行。 在这种情况下,您可以选择取消跟踪。

  • 已取消:跟踪已提交,但已取消。

  • 正在进行:跟踪正在运行,无法取消跟踪或下载结果。

  • 已完成:跟踪已完成,可以单击"下载 报告"检索.CSV结果。 请注意,如果摘要报告的邮件跟踪结果超过 50000 封邮件,则会被截断为前 50000 封邮件。 如果详细报告的邮件跟踪结果超过 1000 封邮件,则会被截断为前 1000 封邮件。 如果无法查看所需的所有结果,建议将搜索拆分为多个查询。

选择一个特定的邮件跟踪时,右窗格中将显示其他信息。根据指定的搜索条件,可能会包括运行跟踪的日期范围、邮件发件人和预期收件人等详细信息。

备注

  • 包含超过 7 天的数据的邮件跟踪将在 10 天后自动从 EAC 中删除。无法手动删除。

  • 可下载报告的最大大小为 500 MB。 如果可下载的报告超过 500 MB,则不能打开 Excel 或 记事本。

查看超过 7 天的特定邮件的报告详细信息

当您从查看 EAC 中的挂起或已完成跟踪或通知电子邮件中下载和查看邮件跟踪报告时,其内容取决于您是否选择了"包含邮件事件和包含报告的详细信息"选项

重要

为了查看下载的邮件跟踪报告,您必须将"仅查看收件人"RBAC 角色分配给您的角色组。默认情况下,下列角色组都分配了此角色:合规性管理、技术支持、安全机制管理、组织管理、仅限查看组织管理。

查看不包括路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时未包括路由详细信息,.CSV 文件中将包含以下信息(可以在 Microsoft Excel 等应用程序中打开):

  • origin_timestamp: 服务使用配置的 UTC 时区接收邮件的日期和时间。

  • sender_address:别名域 格式的发件人 @ 电子邮件地址

  • Recipient_status: 邮件送达收件人的状态。 如果邮件已发送给多个收件人,它将针对每个收件人显示所有收件人和相应状态,格式为 <email address> ## <status> :。 例如,状态为:

    • ##Receive, Send: 表示邮件已由服务接收并发送到预期目标。

    • ##Receive, Fail: 表示服务已接收邮件,但无法传递到预期目标。

    • ##Receive, Deliver: 表示邮件已由服务接收并传递到收件人的邮箱。

  • message_subject:邮件的主题行文本。 如有必要,会在首串 256 个字符处截断。

  • total_bytes: 邮件的大小,包括附件,以字节为单位。

  • message_id: 这是 Internet 邮件 ID (也称为"客户端 ID") "Message-ID:"令牌的邮件头中。 此 ID 的形式取决于发送邮件系统。 下面是一个示例 <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*> :。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪条目与问题邮件可以关联到一起。

  • network_message_id: 这是一个唯一的邮件 ID 值,因混淆或通讯组扩展而创建的邮件副本中会保留该值。 示例值为 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip:发件人客户端的 IP 地址。

  • 方向 性:此字段表示邮件是发送到组织的入站 (1) ,还是从组织 (2) 出站邮件。

  • connector_id:源或目标发送连接器或接收连接器的名称。 例如 ,ServerName \ ConnectorNameConnectorName

  • delivery_priority:表示邮件是使用高、低还是普通 优先级发送

查看包含路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时包括了路由详细信息,.CSV 文件中将包含邮件跟踪日志中的所有信息(可以在 Microsoft Excel 等应用程序中打开)。 此报告中包括的一些值在上一节中进行了介绍,而对于调查目的可能有用的其他值在邮件跟踪日志文件的 Fields 中进行了介绍

custom_data 字段

此外,“custom_data”字段可能包含特定于筛选服务的值。 多个不同的代理使用 AGENTINFO 事件中的 custom_data 字段记录代理的邮件处理过程的详细信息。 邮件数据保护的某些相关代理如下所述。

垃圾邮件筛选器代理 (S:SFA)

以 S:SFA 开头的字符串是垃圾邮件筛选器代理的一个条目,提供以下关键详细信息:



日志信息 描述
SFV=NSPM 邮件被标记为非垃圾邮件并发送给预期发件人。
SFV=SPM 邮件由内容筛选器标记为垃圾邮件。
SFV=BLK 跳过筛选但阻止邮件,因为它是由已阻止发件人发送。
SFV=SKS 邮件在内容筛选器处理之前被标记为垃圾邮件。 这包括邮件符合邮件流规则的邮件,以自动将其标记为垃圾邮件并绕过其他所有筛选。
SCL=<number> 有关不同 SCL 值及其含义的信息,请参阅垃圾邮件 可信度
PCL=<number> 邮件的仿冒可能性等级 (PCL) 值。 这些解释方式与垃圾邮件可信度中介绍的 SCL 值 相同
DI=SB 已阻止邮件发件人。
DI=SQ 邮件已隔离。
DI=SD 邮件已删除。
DI=SJ 邮件已发送至收件人的"垃圾邮件"文件夹。
DI=SN 邮件已通过高风险传送池路由。 有关详细信息,请参阅出站邮件的高风险传递池
DI=SO 邮件已通过正常出站传送池路由。
SFS=[a] SFS=[b] 说明匹配此垃圾邮件规则。
IPV=CAL 邮件已通过垃圾邮件筛选器允许,因为已在连接筛选器中的 IP 允许列表中指定该 IP 地址。
H=[helostring] 连接邮件服务器的 HELO 或 EHLO 字符串。
PTR=[ReverseDNS] 发送 IP 地址的 PTR 记录,也被称为反向 DNS 地址。

如果邮件被过滤为垃圾邮件,custom_data 条目示例将如下所示:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理 (S:AMA)

以 S:AMA 开头的字符串是反恶意软件代理的一个条目,提供以下关键详细信息:



日志信息 描述
AMA=SUM | v=1|

AMA=EV | v=1|

已确定此邮件包含恶意软件。SUM 表示恶意软件可能已由任意数量的引擎检测到。EV 表示恶意软件已由特定引擎检测到。引擎检测到恶意软件后,将触发后续操作。
Action=r 邮件已被替换。
Action=p 邮件已被忽略。
Action=d 邮件已被延迟。
Action=s 邮件已删除。
Action=st 邮件已被忽略。
Action=sy 邮件已被忽略。
Action=ni 邮件已被拒绝。
Action=ne 邮件已被拒绝。
Action=b 邮件已被阻止。
Name=<malware> 已检测到的恶意软件的名称。
File=<filename> 恶意软件中包含的文件名称。

如果邮件邮件包含恶意软件,custom_data 条目示例将如下所示:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

传输规则代理 (S:TRA)

以 S:TRA 开头的字符串是传输规则代理中的一个条目,提供以下关键详细信息:



日志信息 描述
ETR | ruleId=[guid] 匹配的规则 ID。
St=[datetime] 规则匹配时的日期和时间(采用 UTC 时间)。
Action=[ActionDefinition] 应用的操作。 有关可用操作的列表,请参阅邮件流规则操作Exchange Online。
Mode=Enforce 规则模式。可能的值是:
  • 强制:将强制执行对规则执行的所有操作。
  • 使用策略使用技巧 测试:将发送任何策略提示操作,但不执行其他强制操作。
  • 不带策略使用技巧 测试:操作将列在 日志文件 中,但不会以任何方式通知发件人,并且不会对强制操作采取行动。

当邮件与邮件流规则匹配时,custom_data条目将如下所示:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

详细信息

邮件跟踪 FAQ 显示用户可能遇到的邮件问题以及可能的答案。还介绍了如何使用邮件跟踪工具,以获取答案并解决具体的邮件传递问题。

能否通过 PowerShell 或 powerShell Exchange Online邮件Exchange Online Protection跟踪?要使用哪些 cmdlet?提供有关可用于运行邮件跟踪的 PowerShell cmdlet 的信息。