在傳統 EAC 中執行郵件追蹤

注意

目前的 Exchange 系統管理中心提供郵件追蹤。 如需詳細資訊,請參閱新式 Exchange 系統管理中心的郵件追蹤。 Microsoft 365 Defender 入口網站中的 Exchange 郵件追蹤 連結會在新式 EAC 中開啟郵件追蹤。

身為系統管理員,您可以在 Exchange 系統管理中心 (EAC) 中執行郵件追蹤,以了解電子郵件發生了什麼事。 執行郵件追蹤之後,您能以清單方式檢視結果,然後檢視特定郵件的詳細資料。 提供過去 90 天的郵件追蹤資料。 如果郵件超過7天,您只能在可下載的 .CSV 檔案中查看結果。

如需訊息追蹤和其他郵件流程疑難排解工具的影片過程,請參閱尋找並修正電子郵件傳遞問題,作為 Microsoft 365 或商務系統管理員 Office 365

開始之前有哪些須知?

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange OnlineExchange Online Protection。 如果您是商務系統管理員的 Microsoft 365 或 Office 365,請參閱商務產品的連絡人支援-系統管理說明。

執行郵件追蹤

  1. 在 EAC 中,移至 [ 郵件流程] > 郵件追蹤

    Exchange 系統管理中心的螢幕擷取畫面顯示從郵件流程瀏覽功能表中選取了訊息追蹤。

  2. 根據您要搜尋的專案,您可以在下欄欄位中輸入值。 針對低於 7 天的郵件,則不需要這些欄位。 只要按一下 [搜尋],即可擷取預設期間 (過去 48 小時) 的所有郵件追蹤資料。

    1. 日期範圍:使用下拉式清單,選取此專案可搜尋過去24小時、48小時或7天內傳送或接收的郵件。 您也可以選取過去 90 天內任何範圍的自訂時間範圍。 您也可以變更自訂搜尋的時區 (國際標準時間 (UTC))。

    2. 傳遞狀態:使用下拉式清單,選取您要查看其相關資訊的郵件狀態。 保留預設值 [全部],以涵蓋所有狀態。 其他可能的值為:

      • 已傳遞:郵件已成功傳遞到預定目的地。
      • 失敗:未傳遞郵件。 已嘗試並且失敗,或因為篩選服務所採取的動作而未傳遞。 例如,若郵件經判定確實包含惡意程式碼。
      • 擱置 * :正在嘗試或重新嘗試傳遞郵件。
      • 展開:郵件已傳送至通訊群組清單並已展開,因此可以個別查看清單的成員。
      • 篩選為垃圾 郵件:郵件已傳遞至 [垃圾郵件] 資料夾。
      • 未知 * :郵件傳遞狀態目前是未知的。 列出查詢的結果後,傳遞詳細資料欄位不包含任何資訊。

      *如果您正在搜尋超過7天的郵件,則無法選取 [ 擱置 ] 或 [ 未知]。

    3. 郵件識別碼:這是網際網路郵件識別碼 (也稱為「用戶端識別碼」) 位於 Message-ID: 標頭欄位的郵件頭中。 使用者可為您提供此資訊,以便調查特定郵件。

      此 ID 的形式會視傳送郵件系統而有所不同。 以下為範例: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>

      這個識別碼應該是唯一的;不過,並非所有傳送郵件系統的行為都相同。 因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

      附注:請 務必包含完整的郵件識別碼字串。 此可能包含角括弧 (<>)。

    4. 寄件者:按一下 [ 件人] 欄位旁邊的 [新增寄件者] 按鈕,即可縮小搜尋特定寄件者的範圍。 在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位寄件者,然後按一下 [新增]。 若要新增不在清單上的寄件者,請輸入其電子郵件地址並按一下 [檢查名稱]。 在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。 指定萬用字元時,無法使用其他地址。 當您完成選取時,請按一下 [確定]

    5. 收件 者:您可以按一下 [收件 者] 欄位旁邊的 [新增收件 者] 按鈕來縮小搜尋的特定收件者。 在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位收件者,然後按一下 [新增]。 若要新增不在清單上的收件者,輸入他們的電子郵件,然後按一下 [檢查名稱]。 在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。 指定萬用字元時,無法使用其他地址。 當您完成選取時,請按一下 [確定]

  3. 若要搜尋超過7天的郵件,請設定下列設定: (否則您可以略過此步驟) :

    1. 在報告中包含郵件事件和路由詳細資料:只有在您尋找少量郵件時,才建議選取此核取方塊。 否則,結果會花更長的時間才會再次傳回。

    2. 方向:保留 所有 傳送給您 組織的郵件 的預設值,或選取 輸入 郵件給您組織傳送的郵件。

    3. 原始用戶端 IP 位址:指定寄件者用戶端的 IP 位址。

    4. 報表標題:指定此報表的唯一識別碼。 這也會用作電子郵件通知的主旨行文字。 預設值為 "Message trace report <day of the week> <current date> <current time> "。 例如,「郵件追蹤報告2018年10月17日,7:21:09 AM」。

    5. 通知電子郵件地址:指定您想要在郵件追蹤完成時收到通知的電子郵件地址。 此地址必須位於公認的網域清單內。

  4. 按一下 [ 搜尋:] 以執行郵件追蹤。 如果您快到在 24 小時的期間內可以執行的追蹤數量閾值,則會收到警告。

執行郵件追蹤之後,請繼續閱讀下列其中一節,以瞭解如何查看您的結果。

附注:若要搜尋不同的郵件,您可以按一下 [ 清除 ] 按鈕,然後指定新的搜尋準則。

查看超過7天之郵件的郵件追蹤結果

在 EAC 中執行郵件追蹤後,結果會依日期列出,並依日期排序(最新的郵件會先出現)。 您可以按一下欄標頭,依照所列的任何欄位排序。 再按一下欄標頭,就會反轉排序順序。 檢視郵件追蹤結果時,系統會提供每封郵件的下列資訊:

  • 日期:服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。
  • 寄件者:表單中寄件者的電子郵件地址 alias@domain
  • 收件者:收件者的電子郵件地址。 若為傳送給一個以上收件者的郵件,每一個收件者有一行地址。 如果收件者為一份通訊群組清單,此通訊群組清單會是第一個收件者,而通訊群組清單的每位成員會顯示於個別行上,以便您檢查所有收件者的狀態。
  • 主旨:郵件的主旨行文字。 必要時,此主旨行會截短為前 256 個字元。
  • 狀態:此欄位指定郵件是否已 傳遞 至收件者或預定目的地,但 無法 傳遞至收件者 (因為郵件無法送達目的地或已篩選) ,正在 等待 傳遞, (正在傳遞,或是已推遲,但正嘗試進行傳遞,但卻是重新嘗試) 已展開 (沒有 傳遞 ,因為郵件已傳送至已展開至 DL) 之收件者的通訊群組清單,或其狀態為 None。因為 郵件 已拒絕或重新導向至不同的收件者,所以郵件沒有傳遞給收件者。) ( (

注意

郵件追蹤的顯示上限為 500 個項目。依預設,使用者介面每頁會顯示 50 個項目,而且您可以瀏覽這些頁面。您也可以變更每頁的項目數多寡,最多可到 500 個。

查看超過7天之特定郵件的詳細資料

檢閱在 EAC 中執行郵件追蹤所傳回的項目清單之後,按兩下個別郵件,即可檢視有關郵件的下列詳細資料:

  • 郵件大小:郵件的大小(包括附件),以 KB (kb) ,或者,如果郵件大小大於 999 kb,以 MB (mb) 。

  • 郵件識別碼:這是網際網路郵件識別碼 (也稱為「Message-ID:」 token 之郵件的標頭中所) 的用戶端識別碼。 此 ID 的形式會視傳送郵件系統而有所不同。 以下為範例: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>

    此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • 至 IP:服務嘗試傳遞郵件的 ip 位址。 如有多位收件者,則會顯示這些位址。 對於傳送至 Exchange Online 的輸入郵件,此值為空白。

  • 來源 IP:傳送郵件的電腦 IP 位址。 對於從 Exchange Online 傳送的外寄郵件,此值為空白。

在事件區段中,下列欄位提供當郵件通過訊息管線時所發生事件的相關資訊:

  • 日期:事件發生的日期和時間。

  • 事件:此欄位會簡短通知您發生什麼事,例如,當服務收到郵件時、郵件已傳遞或無法傳遞給預定收件者,等等。 以下是可列出的事件範例:

    • 接收:服務接收到郵件。

    • 傳送:郵件是由服務所傳送。

    • 失敗:無法傳遞郵件。

    • 傳遞:郵件已傳遞至信箱。

    • 展開:郵件已傳送至已展開的通訊群組。

    • 傳輸:由於內容轉換、郵件收件者限制或代理程式的原因,收件者已移至複本發送郵件。

    • DEFER:郵件傳遞已延遲,且稍後可能重新嘗試。

    • 已解決:郵件已重新導向至以 Active Directory 查詢為基礎的新收件者位址。 發生此情況時,原始收件者地址會伴隨著郵件的最終傳遞狀態,出現在郵件追蹤裡的另一列。

    • DLP 規則:郵件中的 dlp 規則或敏感度標籤相符。

      提示

      可能會出現其他事件。 如需這些事件的詳細資訊,請參閱 郵件追蹤記錄檔中的事件種類

  • 動作:此欄位會顯示因惡意程式碼或垃圾郵件偵測或規則相符而篩選郵件時所執行的動作。 例如,它會讓您知道郵件是否已遭刪除,或已傳送至隔離區。

  • 詳細資料:此欄位提供 elaborates 發生狀況的詳細資訊。 例如,它可能會通知您哪一個特定的郵件流程規則 (又稱為「傳輸規則) 相符」,以及郵件因符合專案而發生的情況。 它也會通知您在哪一個特定附件中偵測到哪一種特定惡意程式碼,或郵件為何被偵測為垃圾郵件。 如果已成功傳遞郵件,即可告訴您郵件傳遞至的 IP 位址。

查看超過7天之郵件的郵件追蹤結果

如果您針對超過7天的專案執行郵件追蹤,當您按一下 [ 搜尋 郵件時,就會顯示訊息已順利提交,而且在追蹤完成時,會將電子郵件通知傳送至所提供的電子郵件地址。 (如果處理郵件追蹤,且已成功檢索符合搜尋準則的資料,此通知訊息會包含有關追蹤的資訊,以及可下載 .CSV 檔案的連結。 如果找不到符合您指定之搜尋準則的資料,系統會要求您提交新的要求與已變更的準則,才能取得有效的結果。 )

在 EAC 中,您可以按一下 [ View pending] 或 [已完成追蹤 ],以查看針對超過7天之專案所執行的追蹤清單。 在產生的 UI 中,追蹤清單是依照提交的日期和時間排序,第一個顯示的是最近提交的資料。 除了報告標題、追蹤提交日期和時間以及報告中的郵件數目之外,還會列出下列狀態值:

  • 尚未開始:追蹤已提交,但尚未執行。 此時,您可以選擇取消追蹤。
  • 取消:已提交追蹤,但已取消。
  • 進行中:追蹤正在執行,您無法取消追蹤或下載結果。
  • 已完成:追蹤已經完成,您可以按一下 [ 下載這個報告 ],以在 .CSV 檔案中取得結果。 請注意,如果您的郵件追蹤結果超過50000的摘要報告訊息,它會被截斷為前50000封郵件。 如果您的郵件追蹤結果超過1000封郵件以取得詳細報告,它會被截斷為前1000封郵件。 如果您看不到所有需要的結果,則建議您將搜尋分成多個查詢。

當您選取特定郵件追蹤時,其他資訊會顯示在右窗格中。根據指定的搜尋準則,這可能會包括詳細資料 (例如,執行追蹤的日期範圍,以及郵件的寄件者和預定收件者)。

注意

  • 10天后,會自動刪除 EAC 中包含超過7天之資料的郵件追蹤。 無法手動刪除報告。

  • 可下載報表的大小上限為 500 MB。 如果可供下載的報表超過 500 MB,您就無法在 Excel 或記事本中開啟報表。

查看特定郵件超過7天的報告詳細資料

當您下載及流覽郵件追蹤報告時,無論是在 EAC 中 view 擱置或已完成的追蹤 ,或是來自通知電子郵件,其內容都會取決於您是否已選取 [ 包含郵件事件和路由詳細資料與報告 ] 選項。

重要

若要檢視下載的郵件追蹤報告,您必須將 [僅檢視收件者] RBAC 角色指派給角色群組。預設會將此角色指派給下列角色群組:[規範管理]、[服務台]、[檢疫管理]、[組織管理]、[僅限檢視組織管理]。

查看沒有路由詳細資料的郵件追蹤報告

如果您在執行郵件追蹤時未包括路由詳細資料,下列資訊會包括在 .CSV 檔案中,此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟:

  • origin_timestamp:服務接收到郵件的日期和時間(使用設定的 UTC 時區)。

  • sender_address:寄件者在表單 別名 網域中的電子郵件地址 @ **。

  • Recipient_status:將郵件傳遞至收件者的狀態。 如果郵件已傳送給多個收件者,它會顯示每個收件者的所有收件者和對應狀態,格式為: <email address> ## <status> 。 例如,狀態:

    • # #Receive,Send:表示服務已接收到郵件,並將郵件傳送至預定目的地。
    • # #Receive,失敗:表示服務已接收到郵件,但無法將郵件傳遞至預定目的地。
    • # #Receive,傳遞:表示服務已接收到郵件,並將郵件傳遞至收件者的信箱。
  • message_subject:郵件的主旨行文字。 必要時,此主旨行會截短為前 256 個字元。

  • total_bytes:包含附件的郵件大小(以位元組為單位)。

  • message_id:這是網際網路郵件 id (,也就是在具有 "Message-ID:" token 之郵件的標頭中找到的用戶端識別碼) 。 此 ID 的形式會視傳送郵件系統而有所不同。 以下為範例: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>

    此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • network_message_id:這是唯一的郵件識別碼值,會持續存在於可能由於分叉或通訊群組擴充而建立的郵件副本上。 範例值是 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip:寄件者的用戶端 IP 位址。

  • 方向 性:此欄位會指出郵件是否已傳送至組織的輸入 (1) ,或是否從組織傳送輸出 (2) 。

  • connector_id:來源或目的地傳送連接器或接收連接器的名稱。 例如, ServerName \ ConnectorNameConnectorName

  • delivery_priority:表示郵件是以 標準 優先順序傳送。

檢視含路由詳細資料的郵件追蹤報告

如果您在執行郵件追蹤時包括路由詳細資料,則郵件追蹤記錄的所有資訊會包括在 .CSV 檔案中,此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟。 在此報告中所包含的部分值,會在上一節中說明,而其他可用於調查之值的值會在 郵件追蹤記錄檔的欄位中說明。

custom_data 欄位

此外, custom_data 欄位可能包含篩選服務特有的值。各種不同的代理程式使用 AGENTINFO 事件中的 custom_data 欄位來記錄代理程式郵件處理的詳細資料。下面說明一些郵件資料保護相關代理程式。

垃圾郵件篩選代理程式 (S:SFA)

開頭為 S:SFA 的字串是來自垃圾郵件篩選代理程式的項目,以及提供下列重要詳細資料:



記錄資訊 描述
SFV = NSPM 郵件標記為非垃圾郵件,並傳送給預定的收件者。
SFV = SPM 內容篩選已將郵件標記為垃圾郵件。
SFV = BLK 已略過篩選,且郵件來自封鎖的寄件者,所以封鎖郵件。
SFV = SKS 內容篩選在處理郵件前,已將郵件標記為垃圾郵件。 這包含郵件符合郵件流程規則,以自動將其標記為垃圾郵件,並略過所有其他篩選的郵件。
SCL =<number> 如需不同 SCL 值及其意義的詳細資訊,請參閱 垃圾郵件信賴等級
PCL =<number> 郵件的網路釣魚信賴等級 (PCL) 值。這些值的解譯方式與Spam Confidence Levels中所記載的 SCL 值相同。
DI = SB 已封鎖郵件的寄件者。
DI = SQ 已隔離郵件。
DI = SD 已刪除郵件。
DI = SJ 郵件被傳送到收件者的 [垃圾郵件] 資料夾。
DI = SN 已透過較高風險傳遞集區路由傳送郵件。 如需詳細資訊,請參閱外寄郵件的較高風險傳遞集區
DI = SO 已透過標準輸出傳遞集區路由傳送郵件。
SFS = [a] SFS = [b] 這表示已符合垃圾郵件規則。
IPV = CAL 因為 IP 位址指定於連線篩選的 [IP 允許] 清單中,所以已透過垃圾郵件篩選允許郵件。
H = [helostring] 連線郵件伺服器的 HELO 或 EHLO 字串。
PTR = [ReverseDNS] 傳送 IP 位址 (也稱為反向 DNS 位址) 的 PTR 記錄。

篩選郵件是否為垃圾郵件時,範例 custom_data 項目會與下面類似:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式 (S:AMA)

開頭為 S:AMA 的字串是來自反惡意程式碼代理程式的項目,以及提供下列重要詳細資料:



記錄資訊 描述
AMA =SUM | v = 1|

AMA = EV | v = 1 |

郵件已判定為包含惡意程式碼。 SUM 表示任何數目的引擎都可以偵測到惡意軟體。 EV 表示特定引擎偵測到惡意程式碼。 引擎偵測到惡意程式碼時,這會觸發後續動作。
動作 = r 已取代郵件。
動作 = p 已略過郵件。
動作 = d 已延遲郵件。
動作 = s 已刪除郵件。
動作 = st 已略過郵件。
動作 = sy 已略過郵件。
動作 = ni 已拒絕郵件。
動作 = ne 已拒絕郵件。
動作 = b 已封鎖郵件。
名稱 =<malware> 偵測到之惡意程式碼的名稱。
File =<filename> 含有惡意程式碼之檔案的名稱。

郵件包含惡意程式碼時,範例 custom_data 項目會類似下面的內容:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

傳輸規則代理程式 (S:TRA)

開頭為 S:TRA 的字串是傳輸規則代理程式中的專案,並提供下列主要詳細資料:



記錄資訊 描述
ETR | ruleId = [guid] 已符合的規則 ID。
St = [datetime] 規則比對時的日期和時間 (UTC)。
Action = [ActionDefinition] 已套用的動作。 如需可用動作的清單,請參閱 Exchange Online 中的郵件流程規則動作
Mode = 強制 規則的模式。可能的值為:
  • 強制:將強制執行規則上的所有動作。
  • 使用原則提示進行測試:將會傳送任何原則提示動作,但不會處理其他強制執行動作。
  • 不使用原則提示測試:動作將會列在記錄檔中,但是不會以任何方式通知寄件者,而且不會處理強制執行動作。

當郵件符合郵件流程規則時,custom_data 專案範例會如下所示:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

相關資訊

郵件追蹤常見問題集 中顯示使用者可能遇到的郵件傳遞問題及可能的解答。其中也說明如何使用郵件追蹤工具來取得解答,以及對特定的郵件傳遞問題進行疑難排解。

我是否可以透過 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 執行郵件追蹤?使用的 Cmdlet 為何?提供 PowerShell Cmdlet 的相關資訊,您可以用來執行郵件追蹤。