Ausführen einer Nachrichtenablaufverfolgung im klassischen EAC in Exchange Online

  • Artikel

Hinweis

Die Nachrichtenablaufverfolgung ist im modernen Exchange Admin Center verfügbar. Weitere Informationen finden Sie unter Nachrichtenablaufverfolgung im modernen Exchange Admin Center. Über den Link Exchange-Nachrichtenablaufverfolgung im Microsoft Defender-Portal wird die Nachrichtenablaufverfolgung im modernen EAC geöffnet.

Als Administrator können Sie herausfinden, was mit einer E-Mail passiert ist, indem Sie eine Nachrichtenablaufverfolgung im Exchange-Verwaltungskonsole (EAC) ausführen. Nach der Ausführung der Nachrichtenablaufverfolgung können Sie alle Ergebnisse in einer Liste anzeigen und Details zu den einzelnen Nachrichten sehen. Daten der Nachrichtenablaufverfolgung sind für die letzten 90 Tage verfügbar. Wenn eine Nachricht älter als sieben Tage ist, können Sie die Ergebnisse nur in einer herunterladbaren .CSV-Datei anzeigen.

Eine exemplarische Videoanleitung zur Problembehandlung für die Nachrichtenablaufverfolgung und andere Tools zur Problembehandlung für den Nachrichtenfluss finden Sie unter Suchen und Beheben von Problemen bei der E-Mail-Übermittlung als Microsoft 365- oder Office 365 business-Administrator.

Was sollten Sie wissen, bevor Sie beginnen?

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection. Wenn Sie ein Microsoft 365- oder Office 365 Business-Administrator sind, finden Sie weitere Informationen unter Kontaktieren des Supports für Geschäftsprodukte Admin Hilfe.

Ausführen einer Nachrichtenablaufverfolgung

  1. Wechseln Sie im EAC zuNachrichtenablaufverfolgung des Nachrichtenflusses>.

    Screenshot des Exchange Admin Centers, der zeigt, dass die Nachrichtenablaufverfolgung im E-Mail-Fluss-Navigationsmenü ausgewählt ist.

  2. Je nachdem, wonach Sie suchen, können Sie Werte in die folgenden Felder eingeben. Keines dieser Felder muss für Nachrichten, die jünger als 7 Tage sind, angegeben werden. Sie können auf Suchen klicken, um alle Nachrichtenablaufverfolgungsdaten für den Standardzeitraum abzurufen, d. h. die letzten 48 Stunden.

    1. Datumsbereich: Wählen Sie in der Dropdownliste aus, um nach Nachrichten zu suchen, die innerhalb der letzten 24 Stunden, 48 Stunden oder 7 Tage gesendet oder empfangen wurden. Sie können außerdem einen benutzerdefinierten Zeitrahmen auswählen, der innerhalb der letzte 90 Tage liegt. Für eine benutzerdefinierte Suche können Sie auch die Zeitzone im Zeitformat der koordinierten Weltzeit (UTC) ändern.

    2. Übermittlung status: Wählen Sie in der Dropdownliste den status der Nachricht aus, zu der Sie Informationen anzeigen möchten. Übernehmen Sie den Standardwert Alle, damit alle Statuswerte berücksichtigt werden. Andere mögliche Werte sind:

      • Übermittelt: Die Nachricht wurde erfolgreich an das beabsichtigte Ziel übermittelt.
      • Fehler: Die Nachricht wurde nicht zugestellt. Entweder wurde versucht und fehlgeschlagen, oder es wurde nicht als Ergebnis von Aktionen bereitgestellt, die vom Filterdienst ausgeführt wurden. Dies ist beispielsweise der Fall, wenn die Nachricht angeblich Schadsoftware enthält.
      • Ausstehend*: Die Zustellung der Nachricht wird versucht oder erneut versucht.
      • Erweitert: Die Nachricht wurde an eine Verteilerliste gesendet und erweitert, sodass die Mitglieder der Liste einzeln angezeigt werden können.
      • Als Spam gefiltert: Die Nachricht wurde an den Junk-Email Ordner übermittelt.
      • Unbekannt*: Die nachrichtenübermittlung status ist zu diesem Zeitpunkt unbekannt. Wenn die Ergebnisse der Abfrage aufgelistet werden, enthalten die Felder mit den Übermittlungsdetails keine Informationen.

      *Wenn Sie nach Nachrichten suchen, die älter als 7 Tage sind, können Sie nicht ausstehend oder Unbekannt auswählen.

    3. Nachrichten-ID: Dies ist die Internetnachrichten-ID (auch als Client-ID bezeichnet), die sich im Nachrichtenheader im Feld Message-ID: header befindet. Benutzer können diese Informationen bereitstellen, damit bestimmte Nachrichten genauer untersucht werden können.

      Die Form dieser ID variiert abhängig von dem sendenden E-Mail-System. Es folgt ein Beispiel: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

      Diese ID sollte eindeutig sein; Allerdings verhalten sich nicht alle sendenden E-Mail-Systeme gleich. Daher besteht die Möglichkeit, dass Sie ergebnisse für mehrere Nachrichten erhalten, wenn Sie eine einzelne Nachrichten-ID abfragen.

      Hinweis: Achten Sie darauf, die vollständige Nachrichten-ID-Zeichenfolge einzuschließen. Hierzu können auch spitze Klammern (<>) gehören.

    4. Absender: Sie können die Suche nach bestimmten Absendern einschränken, indem Sie neben dem Feld Absender auf die Schaltfläche Absender hinzufügen klicken. Wählen Sie im nachfolgenden Dialogfeld einen oder mehrere Absender aus Ihrem Unternehmen aus der Benutzerauswahlliste aus, und klicken Sie dann auf Hinzufügen. Um Absender hinzuzufügen, die nicht in der Liste enthalten sind, geben Sie deren E-Mail-Adressen ein, und klicken Sie auf Namen überprüfen. In diesem Feld werden Für E-Mail-Adressen im Format *@contoso.com. Beim Angeben eines Wildcards können keine anderen Adressen verwendet werden. Wenn Sie mit der Auswahl fertig sind, klicken Sie auf OK.

    5. Empfänger: Sie können die Suche nach bestimmten Empfängern einschränken, indem Sie neben dem Feld Empfänger auf die Schaltfläche Empfänger hinzufügen klicken. Wählen Sie im nachfolgenden Dialogfeld einen oder mehrere Empfänger aus Ihrem Unternehmen aus der Benutzerauswahlliste aus, und klicken Sie dann auf Hinzufügen. Um Empfänger hinzuzufügen, die nicht in der Liste enthalten sind, geben Sie deren E-Mail-Adressen ein, und klicken Sie auf Namen überprüfen. In diesem Feld werden Für E-Mail-Adressen im Format *@contoso.com. Beim Angeben eines Wildcards können keine anderen Adressen verwendet werden. Wenn Sie mit der Auswahl fertig sind, klicken Sie auf OK.

  3. Wenn Sie nach Nachrichten suchen, die älter als 7 Tage sind, konfigurieren Sie die folgenden Einstellungen: (Andernfalls können Sie diesen Schritt überspringen):

    1. Nachrichtenereignisse und Routingdetails in den Bericht einschließen: Es wird empfohlen, dieses Kontrollkästchen nur zu aktivieren, wenn Sie nach einer kleinen Anzahl von Nachrichten suchen. Andernfalls dauert die Rückgabe der Ergebnisse länger.

    2. Richtung: Übernehmen Sie die Standardeinstellung Alle, oder wählen Sie Eingehende Nachrichten aus, die an Ihre organization gesendet werden, oder Ausgehend für Nachrichten, die von Ihrem organization gesendet werden.

    3. Ursprüngliche Client-IP-Adresse: Geben Sie die IP-Adresse des Clients des Absenders an.

    4. Berichtstitel: Geben Sie den eindeutigen Bezeichner für diesen Bericht an. Dieser Titel wird auch als Betreffzeilentext der E-Mail-Benachrichtigung verwendet. Der Standardwert ist "Meldungsablaufverfolgungsbericht <Tag der Woche>, <aktuelles Datum><aktuelle Uhrzeit>". Beispiel: "Meldungsablaufverfolgungsbericht Donnerstag, 17. Oktober 2018 7:21:09".

    5. E-Mail-Adresse der Benachrichtigung: Geben Sie die E-Mail-Adresse an, die Sie nach Abschluss der Nachrichtenablaufverfolgung erhalten möchten. Diese Adresse muss sich in der Liste akzeptierter Domänen befinden.

  4. Klicken Sie auf Suchen: , um die Nachrichtenablaufverfolgung auszuführen. Sie werden gewarnt, wenn Sie sich dem Schwellenwert der Anzahl der Ablaufverfolgungen nähern, die Sie über einen Zeitraum von 24 Stunden ausführen dürfen.

Fahren Sie nach dem Ausführen der Nachrichtenablaufverfolgung mit einem der nächsten Abschnitte fort, um zu erfahren, wie Sie Ihre Ergebnisse anzeigen.

Hinweis: Um nach einer anderen Nachricht zu suchen, können Sie auf die Schaltfläche Löschen klicken und dann neue Suchkriterien angeben.

Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als 7 Tage sind

Nachdem Sie eine Nachrichtenablaufverfolgung im EAC ausgeführt haben, werden die Ergebnisse nach Datum sortiert aufgelistet, wobei die neueste Nachricht zuerst angezeigt wird. Sie können die aufgeführten Felder sortieren, indem Sie auf die jeweilige Kopfzeile klicken. Durch ein weiteres Klicken auf die Spaltenkopfzeile wird die Sortierreihenfolge umgekehrt. Bei der Anzeige der Ergebnisse der Nachrichtenablaufverfolgung werden zu jeder Nachricht die folgenden Informationen bereitgestellt:

  • Datum: Das Datum und die Uhrzeit, zu dem die Nachricht vom Dienst unter Verwendung der konfigurierten UTC-Zeitzone empfangen wurde.
  • Absender: Die E-Mail-Adresse des Absenders im Format alias@domain.
  • Empfänger: Die E-Mail-Adresse des Empfängers oder der Empfänger. Für Nachrichten, die an mehrere Empfänger gesendet werden, gibt es eine Zeile pro Empfänger. Wenn der Empfänger eine Verteilerliste ist, ist die Verteilerliste der erste Empfänger, und jedes Mitglied der Verteilerliste wird in eine separate Zeile aufgenommen, damit Sie die status für alle Empfänger überprüfen können.
  • Betreff: Der Betreffzeilentext der Nachricht. Wenn nötig, wird dieser auf die ersten 256 Zeichen gekürzt.
  • Status: Dieses Feld gibt an, ob die Nachricht an den Empfänger oder das beabsichtigte Ziel übermittelt wurde. Fehler beim Übermitteln an den Empfänger (entweder, weil er sein Ziel nicht erreicht hat oder weil er gefiltert wurde), ist Pending delivery (sie befindet sich entweder im Zuge der Zustellung, oder die Zustellung wurde verzögert, wird aber erneut versucht). wurde erweitert (es wurde keine Zustellung durchgeführt, da die Nachricht an eine Verteilerliste (DL) gesendet wurde, die an die Empfänger der DL erweitert wurde), oder hat den status None (es gibt keine status der Zustellung der Nachricht an den Empfänger, da die Nachricht entweder abgelehnt oder an einen anderen Empfänger umgeleitet wurde).

Hinweis

Die Nachrichtenablaufverfolgung kann maximal 500 Einträge anzeigen. Standardmäßig zeigt die Benutzeroberfläche 50 Einträge pro Seite an, und Sie können durch die Seiten navigieren. Sie können auch die Einträge auf jeder Seite bis auf 500 erhöhen.

Anzeigen von Details zu einer bestimmten Nachricht, die weniger als 7 Tage alt ist

Nach dem Überprüfen der Liste von Elementen, die von der Nachrichtenablaufverfolgung in das EAC zurückgegeben wurden, können Sie auf eine einzelne Nachricht doppelklicken, um die folgenden zusätzlichen Details zu der Nachricht anzuzeigen:

  • Nachrichtengröße: Die Größe der Nachricht, einschließlich Anlagen, in Kilobytes (KB) oder, wenn die Nachrichtengröße größer als 999 KB ist, in Megabytes (MB).

  • Nachrichten-ID: Dies ist die Internetnachrichten-ID (auch als Client-ID bezeichnet), die sich im Header der Nachricht mit dem Token "Message-ID:" befindet. Die Form dieser ID variiert abhängig von dem sendenden E-Mail-System. Es folgt ein Beispiel: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>.

    Diese ID sollte eindeutig sein, hängt jedoch vom sendenden E-Mail-System für die Generierung ab, und nicht alle sendenden E-Mail-Systeme verhalten sich gleich. Daher besteht die Möglichkeit, dass Sie ergebnisse für mehrere Nachrichten erhalten, wenn Sie eine einzelne Nachrichten-ID abfragen.

    Diese Informationen werden ausgegeben, damit Ablaufverfolgungseinträge und die fraglichen Nachrichten miteinander in Verbindung gebracht werden können.

  • An IP: Die IP-Adresse oder die Adressen, an die der Dienst versucht hat, die Nachricht zu übermitteln. Wenn es mehrere Empfänger sind, werden diese angezeigt. Für eingehende Nachrichten, die an Exchange Online gesendet wurden, wird kein Wert angegeben.

  • Von IP: Die IP-Adresse des Computers, der die Nachricht gesendet hat. Für ausgehende Nachrichten, die von Exchange Online gesendet wurden, wird kein Wert angegeben.

Im Bereich "Ereignisse" liefern die folgenden Felder Informationen zu den Ereignissen, die für die Nachricht aufgetreten sind, während diese sich in der Messagingpipeline befand:

  • Date: Das Datum und die Uhrzeit des Auftretens des Ereignisses.

  • Ereignis: Dieses Feld informiert Sie kurz darüber, was passiert ist, z. B. wenn die Nachricht vom Dienst empfangen wurde, ob sie zugestellt wurde oder nicht an den vorgesehenen Empfänger übermittelt werden konnte usw. Im Folgenden finden Sie einige Beispiele für solche Ereignisse:

    • RECEIVE: Die Nachricht wurde vom Dienst empfangen.

    • SEND: Die Nachricht wurde vom Dienst gesendet.

    • FAIL: Die Nachricht konnte nicht zugestellt werden.

    • DELIVER: Die Nachricht wurde an ein Postfach übermittelt.

    • EXPAND: Die Nachricht wurde an eine Verteilergruppe gesendet, die erweitert wurde.

    • ÜBERTRAGUNG: Empfänger wurden aufgrund von Inhaltskonvertierung, Nachrichtenempfängergrenzwerten oder Agents in eine bifurcierte Nachricht verschoben.

    • ZURÜCKSTELLUNG: Die Nachrichtenübermittlung wurde verschoben und kann später erneut versucht werden.

    • BEHOBEN: Die Nachricht wurde basierend auf einer Active Directory-Suche an eine neue Empfängeradresse umgeleitet. Wenn dies geschieht, wird die ursprüngliche Empfängeradresse zusammen mit dem abschließenden Zustellungsstatus in der Nachrichtenablaufverfolgung einer separaten Zeile aufgeführt.

    • DLP-Regel: In dieser Nachricht wurde eine DLP-Regel gefunden.

    • Vertraulichkeitsbezeichnung: Ein serverseitiges Bezeichnungsereignis ist aufgetreten. Beispielsweise wurde automatisch eine Bezeichnung zu einer Nachricht hinzugefügt, die eine Aktion zum Verschlüsseln enthält, oder wurde über den Web- oder mobilen Client hinzugefügt. Diese Aktion wird vom Exchange-Server abgeschlossen und protokolliert. Eine über Outlook hinzugefügte Bezeichnung wird nicht in das Ereignisfeld aufgenommen.

      Tipp

      Möglicherweise werden weitere Ereignisse angezeigt. Weitere Informationen zu diesen Ereignissen finden Sie unter Ereignistypen im Nachrichtenverfolgungsprotokoll.

  • Aktion: Dieses Feld zeigt die Aktion an, die ausgeführt wurde, wenn die Nachricht aufgrund einer Schadsoftware- oder Spamerkennung oder einer Regel-Übereinstimmung gefiltert wurde. Das Feld gibt beispielsweise an, ob die Nachricht gelöscht oder in den Quarantäneordner verschoben wurde.

  • Detail: Dieses Feld enthält detaillierte Informationen, in denen erläutert wird, was passiert ist. Beispielsweise kann sie Sie darüber informieren, welche bestimmte Nachrichtenflussregel (auch als Transportregel bezeichnet) abgeglichen wurde und was mit der Nachricht als Ergebnis dieser Übereinstimmung passiert ist. Es informiert Sie auch darüber, was für eine Art von Schadsoftware in welcher Anlage erkannt oder warum eine Nachricht als Spam gekennzeichnet wurde. Wurde die Nachricht erfolgreich zugestellt, wird in diesem Feld die IP-Adresse des Empfängers aufgeführt.

Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als 7 Tage sind

Wenn Sie eine Nachrichtenablaufverfolgung für Elemente ausführen, die älter als 7 Tage sind, sollte beim Klicken auf Suchen eine Nachricht angezeigt werden, die Sie darüber informiert, dass die Nachricht erfolgreich übermittelt wurde, und dass eine E-Mail-Benachrichtigung an die angegebene E-Mail-Adresse gesendet wird, wenn die Ablaufverfolgung abgeschlossen ist. (Wenn die Nachrichtenablaufverfolgung verarbeitet und Daten, die Ihren Suchkriterien entsprechen, erfolgreich abgerufen werden, enthält diese Benachrichtigung Informationen zur Ablaufverfolgung und einen Link zur herunterladbaren .CSV-Datei. Wenn keine Daten gefunden wurden, die den von Ihnen angegebenen Suchkriterien entsprechen, werden Sie aufgefordert, eine neue Anforderung mit geänderten Kriterien zu übermitteln, um gültige Ergebnisse zu erhalten.)

Im EAC können Sie auf Ausstehende oder abgeschlossene Ablaufverfolgungen anzeigen klicken, um eine Liste der Ablaufverfolgungen anzuzeigen, die für Elemente ausgeführt wurden, die älter als 7 Tage sind. In der daraufhin angezeigten Benutzeroberfläche ist die Liste der Ablaufverfolgungen basierend auf dem Datum und der Uhrzeit sortiert, an dem bzw. zu der sie gesendet wurden. Dabei stehen die letzten Übermittlungen an erster Stelle. Neben dem Berichtstitel, dem Datum und der Uhrzeit der Übermittlung der Ablaufverfolgung und der Anzahl der Nachrichten im Bericht werden die folgenden Statuswerte aufgeführt:

  • Nicht gestartet: Die Ablaufverfolgung wurde übermittelt, wird aber noch nicht ausgeführt. Sie können zu diesem Zeitpunkt die Ablaufverfolgung abbrechen.
  • Abgebrochen: Die Ablaufverfolgung wurde übermittelt, aber abgebrochen.
  • In Bearbeitung: Die Ablaufverfolgung wird ausgeführt, und Sie können die Ablaufverfolgung nicht abbrechen oder die Ergebnisse herunterladen.
  • Abgeschlossen: Die Ablaufverfolgung wurde abgeschlossen, und Sie können auf Diesen Bericht herunterladen klicken, um die Ergebnisse in einer .CSV-Datei abzurufen. Beachten Sie, dass die ersten 10.0000 Nachrichten abgeschnitten werden, wenn die Ergebnisse der Nachrichtenablaufverfolgung für einen Zusammenfassungsbericht 10.0000 Nachrichten überschreiten. Wenn die Ergebnisse der Nachrichtenablaufverfolgung für einen detaillierten Bericht 1000 Nachrichten überschreiten, wird er auf die ersten 1000 Nachrichten abgeschnitten. Wenn nicht alle benötigten Ergebnisse angezeigt werden, empfiehlt es sich, die Suche in mehrere Abfragen zu unterteilen.

Wenn Sie eine bestimmte Nachrichtenablaufverfolgung auswählen, werden im rechten Bereich zusätzliche Informationen angezeigt. Je nach den angegebenen Suchkriterien sind hierin Details wie der Datumsbereich aufgeführt, für den die Ablaufverfolgung ausgeführt wurde, sowie der Absender und die gewünschten Empfänger der Nachricht.

Hinweis

  • Nachrichtenablaufverfolgungen, die Daten enthalten, die älter als 7 Tage sind, werden im EAC automatisch nach 10 Tagen gelöscht. Sie können nicht manuell gelöscht werden.

  • Die maximale Größe für einen herunterladbaren Bericht beträgt 500 MB. Wenn ein herunterladbarer Bericht 500 MB überschreitet, können Sie den Bericht nicht in Excel oder Editor öffnen.

Anzeigen von Berichtsdetails zu einer bestimmten Nachricht, die älter als 7 Tage ist

Wenn Sie einen Bericht zur Nachrichtenablaufverfolgung herunterladen und anzeigen, entweder über Ausstehende oder abgeschlossene Ablaufverfolgungen im EAC oder über eine Benachrichtigungs-E-Mail anzeigen, hängt dessen Inhalt davon ab, ob Sie die Option Nachrichtenereignisse und Routingdetails mit Bericht einschließen ausgewählt haben.

Wichtig

Damit Sie den Nachrichtenablaufverfolgungsbericht anzeigen können, muss Ihrer Rollengruppe die RABC-Rolle "Empfänger (nur Anzeige)" zugewiesen sein. Standardmäßig ist diese Rolle folgenden Rollengruppen zugewiesen: Verwaltung der Richtlinientreue, Helpdesk, Verwaltung von Nachrichtenschutz, Organisationsverwaltung, Organisationsverwaltung (nur Leserechte).

Anzeigen eines Nachrichtenablaufverfolgungsberichts ohne Routingdetails

Wenn Sie keine Routingdetails beim Ausführen der Nachrichtenablaufverfolgung eingeschlossen haben, werden die folgenden Informationen in die CSV-Datei aufgenommen, die in einer Anwendung wie Microsoft Excel geöffnet werden kann:

  • origin_timestamp: Datum und Uhrzeit des Empfangens der Nachricht durch den Dienst unter Verwendung der konfigurierten UTC-Zeitzone.

  • sender_address: Die E-Mail-Adresse des Absenders in der Formularaliasdomäne@.

  • Recipient_status: Der status der Zustellung der Nachricht an den Empfänger. Wenn die Nachricht an mehrere Empfänger gesendet wurde, werden alle Empfänger und die entsprechenden status jeweils im Format <E-Mail-Adresse>##<status> angezeigt. Beispielsweise bedeutet der Status:

    • ##Receive, Senden: bedeutet, dass die Nachricht vom Dienst empfangen und an das beabsichtigte Ziel gesendet wurde.
    • ##Receive, Fehler: bedeutet, dass die Nachricht vom Dienst empfangen wurde, aber nicht an das beabsichtigte Ziel übermittelt werden konnte.
    • ##Receive, Übermitteln: bedeutet, dass die Nachricht vom Dienst empfangen und an das Postfach des Empfängers übermittelt wurde.

  • message_subject: Der Betreffzeilentext der Nachricht. Wenn nötig, wird dieser auf die ersten 256 Zeichen gekürzt.

  • total_bytes: Die Größe der Nachricht, einschließlich Anlagen, in Bytes.

  • message_id: Dies ist die Internetnachrichten-ID (auch als Client-ID bezeichnet), die sich im Header der Nachricht mit dem Token "Message-ID:" befindet. Die Form dieser ID variiert abhängig von dem sendenden E-Mail-System. Es folgt ein Beispiel: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>.

    Diese ID sollte eindeutig sein, hängt jedoch vom sendenden E-Mail-System für die Generierung ab, und nicht alle sendenden E-Mail-Systeme verhalten sich gleich. Daher besteht die Möglichkeit, dass Sie ergebnisse für mehrere Nachrichten erhalten, wenn Sie eine einzelne Nachrichten-ID abfragen.

    Diese Informationen werden ausgegeben, damit Ablaufverfolgungseinträge und die fraglichen Nachrichten miteinander in Verbindung gebracht werden können.

  • network_message_id: Dies ist ein eindeutiger Nachrichten-ID-Wert, der über Kopien der Nachricht hinweg beibehalten wird, die möglicherweise aufgrund von Bifurkation oder Verteilergruppenerweiterung erstellt werden. Ein Beispielwert ist „1341ac7b13fb42ab4d4408cf7f55890f“.

  • original_client_ip: Die IP-Adresse des Clients des Absenders.

  • Directionality: Dieses Feld gibt an, ob die Nachricht eingehend (1) an Ihre organization gesendet wurde oder ob sie ausgehend (2) von Ihrem organization gesendet wurde.

  • connector_id: Der Name des Sendeconnectors oder Empfangsconnectors für die Quelle oder das Ziel. Beispiel: ServerName\ConnectorName oder ConnectorName.

  • delivery_priority: Gibt an, ob die Nachricht mit der Priorität "Hoch", " Niedrig" oder " Normal" gesendet wurde.

Anzeigen eines Nachrichtenablaufverfolgungsberichts mit Routingdetails

Wenn Sie Routingdetails beim Ausführen der Nachrichtenablaufverfolgung eingeschlossen haben, werden alle Informationen aus den Nachrichtenablaufverfolgungsprotokollen in die CSV-Datei aufgenommen, die in einer Anwendung wie Microsoft Excel geöffnet werden kann. Einige der in diesem Bericht enthaltenen Werte werden im vorherigen Abschnitt beschrieben, während andere Werte, die für Ermittlungszwecke nützlich sein können, unter Felder in den Protokolldateien zur Nachrichtenverfolgung beschrieben werden.

Das Feld custom_data

Zusätzlich kann das Feld custom_data Werte enthalten, die dem Filterdienst eigen sind. Das Feld custom_data in einem AGENTINFO-Ereignis wird von einer Reihe verschiedener Agents verwendet, um Details der Nachrichtenverarbeitung des Agents zu protokollieren. Einige der mit dem Nachrichtendatenschutz im Zusammenhang stehenden Agents werden unten beschrieben.

Spam Filter Agent (S:SFA)

Eine Zeichenfolge, die mit S:SFA beginnt, ist ein Eintrag vom Spam-Filter-Agent, der die folgenden wichtigen Details bereitstellt:

Protokollieren von Informationen Beschreibung
SFV=NSPM Die Nachricht wurde als "Nicht-Spam" markiert und an die vorgesehenen Empfänger gesendet.
SFV=SPM Die Nachricht wurde vom Inhaltsfilter als Spam markiert.
SFV=BLK Die Filterung wurde übergangen, und die Nachricht wurde gesperrt, da sie von einem gesperrten Absender stammt.
SFV=SKS Die Nachricht wurde bereits als Spam markiert, noch bevor sie vom Inhaltsfilter verarbeitet wurde Dies schließt Nachrichten ein, bei denen die Nachricht mit einer Nachrichtenflussregel übereinstimmt, um sie automatisch als Spam zu markieren und alle zusätzlichen Filter zu umgehen.
SCL=<Zahl> Weitere Informationen zu den unterschiedlichen SCL-Werten und deren Bedeutung finden Sie unter Spam-Konfidenzstufen.
PCL=<Zahl> Der PCL-Wert (Phishing Confidence Level) der Nachricht. Diese können auf die gleiche Weise interpretiert werden wie die SCL-Werte, die unter Spam Confidence Levels dokumentiert sind.
DI=SB Der Absender der Nachricht wurde blockiert.
DI=SQ Die Nachricht wurde unter Quarantäne gestellt.
DI=SD Die Nachricht wurde gelöscht.
DI=SJ Die Nachricht wurde an den Ordner "Junk-E-Mail" des Empfängers gesendet.
DI=SN Die Nachricht wurde durch den Pool für besonders riskante Zustellungen geleitet. Weitere Informationen finden Sie unter Zustellungspool mit höherem Risiko für ausgehende Nachrichten.
DI=SO Die Nachricht wurde durch den normalen Pool für ausgehende Zustellungen geleitet.
SFS=[a]
SFS=[b]		 Dies bedeutet, dass Übereinstimmungen mit den Spam-Regeln gefunden wurden.
IPV=CAL Die Nachricht wurde über die Spamfilter zugelassen, da die IP-Adresse in einer IP-Positivliste im Verbindungsfilter angegeben wurde.
H=[helostring] Die HELO- oder EHLO-Zeichenfolge des verbundenen E-Mail-Servers.
PTR=[ReverseDNS] Der PTR-Eintrag der IP-Adresse des Absenders, auch bekannt als Reverse-DNS-Adresse.

Wenn eine Nachricht als Spam ausgefiltert wird, könnte ein Beispieleintrag für custom_data etwa wie folgt aussehen:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Malware Filter Agent (S:AMA)

Eine Zeichenfolge, die mit S:AMA beginnt, ist ein Eintrag vom Antischadsoftware-Agent, der die folgenden wichtigen Details bereitstellt:

Protokollinformationen Beschreibung
AMA=SUMME|v=1|

oder

AMA=EV|v=1|

 Die Nachricht enthält Schadsoftware. SUM gibt an, dass die Schadsoftware von einer beliebigen Anzahl von Engines hätte erkannt werden können. EV zeigt an, dass die Schadsoftware von einem bestimmten Modul erkannt wurde. Wenn von einem Modul Schadsoftware erkannt wird, werden dadurch die nachfolgenden Aktionen ausgelöst.
Action=r Die Nachricht wurde ersetzt.
Action=p Die Nachricht wurde umgangen.
Action=d Die Nachricht wurde zurückgestellt.
Action=s Die Nachricht wurde gelöscht.
Action=st Die Nachricht wurde umgangen.
Action=sy Die Nachricht wurde umgangen.
Action=ni Die Nachricht wurde abgelehnt.
Action=ne Die Nachricht wurde abgelehnt.
Action=b Die Nachricht wurde blockiert.
Name=<Schadsoftware> Der Name der Schadsoftware, die gefunden wurde.
File=<filename> Der Name der Datei, welche die Schadsoftware enthielt.

Wenn eine Nachricht Schadsoftware enthält, könnte ein Beispieleintrag für custom_data etwa wie folgt aussehen:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

Transport Rule Agent (S:TRA)

Eine Zeichenfolge, die mit S:TRA beginnt, ist ein Eintrag aus dem Transportregel-Agent und enthält die folgenden wichtigen Details:

Protokollinformationen Beschreibung
ETR|ruleId=[guid] Die ID der Regel, die abgeglichen wurde.
St=[datetime] Datum und Uhrzeit (in UTC), als die Regelzuordnung stattfand.
Action=[ActionDefinition] Die Aktion, die angewendet wurde. Eine Liste der verfügbaren Aktionen finden Sie unter Nachrichtenflussregelaktionen in Exchange Online.
Mode=Enforce Der Modus der Regel. Die folgenden Werte sind möglich:
  • Erzwingen: Alle Aktionen für die Regel werden erzwungen.
  • Testen mit Richtlinientipps: Alle Richtlinientippaktionen werden gesendet, andere Erzwingungsaktionen werden jedoch nicht ausgeführt.
  • Testen ohne Richtlinientipps: Aktionen werden in einer Protokolldatei aufgeführt, aber Absender werden in keiner Weise benachrichtigt, und Erzwingungsaktionen werden nicht ausgeführt.

Wenn eine Nachricht einer Nachrichtenflussregel entspricht, sieht ein Beispiel custom_data Eintrag in etwa wie folgt aus:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Weitere Informationen

Häufig gestellte Fragen zur Nachrichtenablaufverfolgung Fragen zu Nachrichten, die Benutzer möglicherweise stellen, zusammen mit möglichen Antworten. Zudem wird erläutert, wie diese Antworten mit dem Tool für die Nachrichtenablaufverfolgung abgerufen und bestimmte Probleme bei der E-Mail-Zustellung behoben werden können.

Kann ich eine Nachrichtenablaufverfolgung über Exchange Online PowerShell oder Exchange Online Protection PowerShell ausführen? Welche Cmdlets sind zu verwenden? enthält Informationen zu den PowerShell-Cmdlets, die Sie zum Ausführen einer Nachrichtenablaufverfolgung verwenden können.