FAQ sur la trace des messages dans Exchange Online

  • Article

Cet article présente les questions de messagerie qu’un utilisateur peut avoir, ainsi que les réponses possibles. Elle décrit également le mode d’utilisation de l’outil de suivi des messages afin d’obtenir ces réponses et de résoudre les problèmes propres à la remise du courrier.

How long does it take to see results when running a message trace?

  • Dans le Centre d’administration Exchange classique (EAC classique), les résultats de la recherche s’affichent immédiatement pour les messages datant de moins de sept jours.
  • Dans le centre d’administration Exchange moderne (EAC moderne), les résultats de la recherche s’affichent immédiatement pour les messages datant de moins de 10 jours.

Lorsque vous exécutez une trace de message pour des messages plus anciens, les résultats sont retournés dans un délai de quelques heures sous la forme d’un fichier CSV téléchargeable.

Remarque

Le lien Suivi des messages Exchange dans le portail Microsoft Defender ouvre le suivi des messages dans le centre d’administration Exchange moderne.

Combien de temps faut-il pour qu’un message envoyé apparaisse dans une trace de message ?

Lorsqu’un message est envoyé, il faut entre 5 et 10 minutes pour que le message apparaisse dans les données de trace du message.

Puis-je exécuter une trace de message via Exchange Online PowerShell ou Exchange Online Protection PowerShell ? Quelles sont les applets de commande à utiliser ?

Vous pouvez utiliser les applets de commande suivantes dans Exchange Online PowerShell ou Exchange Online Protection PowerShell pour exécuter un suivi de message :

Get-MessageTrace : tracez les messages datant de moins de 10 jours.

Get-MessageTraceDetail : affiche les détails de l’événement de trace de message pour un message spécifique.

Get-HistoricalSearch : utilisez cette applet de commande pour afficher des informations sur les recherches historiques effectuées au cours des 10 derniers jours.

Start-HistoricalSearch : démarrez une nouvelle recherche historique pour les messages qui datent de moins de 90 jours.

Stop-HistoricalSearch : arrêtez les recherches historiques en file d’attente qui n’ont pas encore démarré (la valeur status est NotStarted).

Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

Pour vous connecter à Exchange Online Protection PowerShell dans des organisations EOP autonomes sans boîtes aux lettres Exchange Online, consultez Se connecter à Exchange Online Protection PowerShell.

Pourquoi une erreur de délai s'affiche-t-elle lors de l'exécution d'un suivi de message dans l'interface utilisateur ?

La cause probable de l'affichage d'une erreur de délai est que le traitement de la requête prend trop de temps. Songez à simplifier vos critères de recherche. Vous pouvez envisager d’utiliser l’applet de commande Get-MessageTrace , qui a des exigences de délai d’expiration plus libérales.

Pourquoi n'ai-je pas reçu un message électronique attendu ?

Voici quelques raisons possibles :

  • Le message a été identifié comme courrier indésirable.

  • Le message a été mis en quarantaine en raison d'une correspondance de règle..

  • Le message a été rejeté

    • Par le filtrage anti-programme malveillant
    • Parce qu'un fichier joint au message contenait un programme malveillant
    • Parce que le corps du message contenait un programme malveillant
    • Par une règle
    • Parce que l'action était Rejeter
    • Parce que l'action était Forcer TLS et qu'il n'a pas été possible d'établir le protocole TLS
    • Par un connecteur parce que le protocole TLS était obligatoire et qu'il n'a pas été possible de l'établir

  • Le message a été transmis pour modération et est en attente d'approbation, ou a été rejeté par le modérateur.

  • Le message n'a jamais été envoyé.

  • Le message est toujours en cours de traitement, car il y a eu un échec précédent et le service est en train de réessayer la remise.

  • La remise du message à vos boîtes aux lettres a échoué

    • Parce que la destination est inaccessible
    • Parce que la destination a rejeté le message
    • Parce que le message a expiré durant la tentative de remise

Pour savoir ce qui s’est passé :

Exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Par exemple, vous devez connaître l’expéditeur et le ou les destinataires prévus du message, ainsi que la période générale pendant laquelle le message a été envoyé.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours). Recherchez une status de remise en échec ou en attente pour expliquer pourquoi le message n’a pas été reçu.

Vérifiez que le message a été envoyé, qu’il a été correctement reçu par le service, qu’il n’a pas été filtré, redirigé ou envoyé pour modération, et qu’il n’a pas rencontré d’échecs ou de retards de livraison.

Pourquoi ai-je reçu un message inattendu ?

Voici quelques raisons possibles :

  • Le message a été libéré de la quarantaine.
  • Le message attendait une approbation du modérateur, et a été libéré.
  • Le message était un courrier indésirable non détecté.
  • Le message correspondait à une règle qui vous a ajouté au message.
  • Le message a été envoyé à une liste de distribution dont vous êtes membre.

Pour savoir ce qui s’est passé :

Exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Par exemple, spécifiez le destinataire qui a reçu le message, définissez la status de remise sur Remise et définissez la période en fonction du moment où le message a été reçu.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

Pourquoi quelqu’un n’a-t-il pas reçu mon message ou pourquoi ai-je reçu ce rapport de non-remise (également appelé notification d’échec de remise ou message de rebond) ?

Les raisons possibles sont les suivantes :

  • Le message a été identifié comme courrier indésirable.

  • Le message a été mis en quarantaine en raison d'une correspondance de règle..

  • Le message a été redirigé, car un connecteur l’a envoyé à une autre destination.

  • Le message a été rejeté :

    • Par le filtrage anti-programme malveillant
    • Parce qu'un fichier joint au message contenait un programme malveillant
    • Parce que le corps du message contenait un programme malveillant
    • Par une règle
    • Parce que l'action était Rejeter
    • Parce que l'action était Forcer TLS et qu'il n'a pas été possible d'établir le protocole TLS
    • Par un connecteur parce que le protocole TLS était obligatoire et qu'il n'a pas été possible de l'établir

  • Le message a été transmis pour modération et est en attente d'approbation, ou a été rejeté par le modérateur.

  • Le message n'a jamais été envoyé.

  • Le message est toujours en cours de traitement, car il y a eu un échec précédent et le service est en train de réessayer la remise.

  • Le message n’a pas pu être remis à la destination :

    • Parce que la destination est inaccessible
    • Parce que la destination a rejeté le message
    • Parce que le message a expiré durant la tentative de remise

  • Le message a été remis à la destination, mais supprimé avant que son destinataire y ait accédé (peut-être parce qu'il correspondait à une règle).

Pour savoir ce qui s’est passé :

Exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Par exemple, vous devez connaître l’expéditeur et le ou les destinataires prévus du message, ainsi que la période générale pendant laquelle le message a été envoyé.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

Recherchez un status de remise ayant échoué ou En attente pour expliquer pourquoi le message n’a pas été remis. Vérifiez que le message a été envoyé, qu’il a été correctement reçu par le service, qu’il n’a pas été filtré, redirigé ou envoyé pour modération, et qu’il n’a pas rencontré d’échecs ou de retards de livraison. Si la destination n’est pas accessible, vous pouvez utiliser l’adresse IP to pour résoudre les problèmes de connectivité.

Pourquoi mon message met-il autant de temps pour parvenir à sa destination ? Où se situe-t-il dans le pipeline ?

Les raisons possibles sont les suivantes :

  • La destination souhaitée ne réagit pas. C'est le scénario le plus probable.
  • Il s'agit peut-être d'un message volumineux dont le traitement est long
  • Une latence du service entraîne peut-être des retards
  • Le message a peut-être été bloqué

Pour savoir ce qui s’est passé :

Exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Par exemple, vous devez connaître l’expéditeur et le ou les destinataires prévus du message, ainsi que la période générale pendant laquelle le message a été envoyé.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

La section événements vous indique pourquoi le message n’a pas encore été remis. Lors de l’affichage des événements, les informations d’horodatage vous permettent de suivre le message dans le pipeline de messagerie et de vous indiquer combien de temps le service prend pour traiter chaque événement. Les détails de l’événement vous indiquent également si le message remis est volumineux ou si la destination n’est pas réactive.

Le message a-t-il été marqué comme courrier indésirable ?

Les messages peuvent être marqués comme courrier indésirable pour plusieurs raisons. Par exemple, l’adresse IP d’envoi peut apparaître sur l’une des listes d’adresses IP bloquées du service. Un message peut être marqué comme courrier indésirable en raison du contenu réel du message, par exemple lorsqu’il correspond à une règle dans le filtre de contenu de courrier indésirable. L’outil de suivi des messages effectue uniquement le suivi des événements de filtrage du contenu indésirable ; les événements de filtre de connexion (tels que les adresses IP bloquées) ne peuvent pas être suivis. Pour plus d’informations sur le filtrage du courrier indésirable, notamment sur le filtrage du contenu indésirable, consultez Protection anti-courrier indésirable.

Pour savoir pourquoi un message a été marqué comme courrier indésirable :

Exécutez une trace de message, localisez le message dans les résultats, puis affichez des détails spécifiques sur le message (voir Afficher les résultats de la trace des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

Lorsque le filtre de contenu marque un message comme indésirable et que celui-ci est envoyé dans le dossier Courrier indésirable ou est mis en quarantaine, l'état du message est Remis. Vous pouvez afficher les détails de l'événement pour voir comment le message est arrivé à destination. Par exemple, elle peut vous indiquer que le message a été jugé présenter un seuil de probabilité de courrier indésirable élevé, ou qu'une option avancée de filtrage du courrier indésirable a été rencontrée. Vous serez également informé de l’action qui s’est produite suite à la marque du message comme courrier indésirable, par exemple s’il a été envoyé en quarantaine, marqué avec un en-tête X ou s’il a été envoyé via le pool de remise à haut risque.

Un programme malveillant a-t-il été détecté dans un message ?

Un message est détecté comme porteur de programme malveillant quand ses propriétés, qu'il s'agisse du corps du message ou d'une pièce jointe, correspondent à une définition de programme malveillant dans l'un des moteurs du logiciel anti-programme malveillant. Pour plus d’informations sur le filtrage des programmes malveillants, consultez Protection contre les programmes malveillants.

Pour savoir pourquoi un message contient un programme malveillant, exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Définissez le status de remise sur Échec.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

Si le message n’a pas encore été remis, car il a été déterminé qu’il contient des programmes malveillants, ces informations sont fournies dans la section événements. Par exemple, voici un exemple de détail : Programme malveillant : « ZipBomb » a été détecté dans le fichier pièce jointe. zip. Vous serez également informé de l’action qui s’est produite à la suite du message contenant un programme malveillant, par exemple si le message entier a été bloqué ou si toutes les pièces jointes ont été supprimées et remplacées par un fichier texte d’alerte.

Quelle règle de flux de messagerie (également appelée règle de transport) ou stratégie DLP a été appliquée à un message ?

Pour savoir quelle règle de flux de messagerie (règle de stratégie personnalisée) ou stratégie de protection contre la perte de données (DLP) (Exchange Online clients uniquement) a été appliquée à un message, exécutez une trace de message. Utilisez autant de critères de recherche que possible pour affiner les résultats. Définissez le status de remise sur Échec.

Affichez les résultats, recherchez le message, puis affichez des détails spécifiques sur le message (voir Afficher les résultats du suivi des messages pour les messages de moins de sept jours ou Afficher les résultats de suivi des messages pour les messages de plus de sept jours).

Si le message n’a pas été remis car son contenu correspond à une règle, la section événements vous indique le nom de la règle de flux de messagerie qui a été mise en correspondance. Vous serez également informé de l’action qui s’est produite à la suite de la correspondance de règle de flux de messagerie, par exemple si le message a été mis en quarantaine, rejeté, redirigé, envoyé pour modération, déchiffré ou un certain nombre d’autres options possibles. Pour plus d’informations sur la création de règles de flux de messagerie Exchange et leur définition d’actions, consultez Règles de flux de messagerie (règles de transport) dans Exchange Online.

Lorsque j’exécute une trace de message, elle retourne l’ID de règle 1. Qu’est-ce que cela signifie ?

L’ID de règle 1 est retourné lorsque la trace des messages tombe sur une règle de flux de courrier qui n’existe plus. (La règle de flux de courrier aurait pu être modifiée ou supprimée après l’envoi du message d’origine.)

Existe-t-il des limitations ou des clarifications de comportement connues dont je dois être informé lors de l'exécution de l'outil de suivi des messages ?

Lors de l'exécution de l'outil de suivi des messages, vous devez être conscient de ce qui suit :

  • Messages bloqués par ip : les messages bloqués par les listes de blocage de réputation IP sont inclus dans les données de courrier indésirable pour les rapports en temps réel, mais vous ne pouvez pas effectuer de suivi des messages sur ces messages.

  • Messages redirigés : si un destinataire est réécrit par une règle de flux de messagerie ou parce que l’action de courrier indésirable pour le domaine est définie sur Rediriger vers l’adresse e-mail, le message n’est pas traçable dans une seule recherche. Le message d'origine peut être suivi jusqu'au point où le destinataire est modifié. Ensuite, il n'est plus possible de suivre le message sur la base du destinataire d'origine. Vous pouvez suivre à nouveau le message en utilisant le nouveau destinataire.

  • MAIL FROM : l’outil de suivi des messages utilise la valeur MAIL FROM présentée à l’initiation de la conversation SMTP en tant qu’expéditeur dans une recherche, quelle que soit la section DATA du message affichée. Le message peut présenter une adresse de réponse ou une valeur différente pour le champ De: ou Expéditeur. Si l’e-mail a été envoyé par un processus et non par un client de messagerie, il est plus probable que l’expéditeur dans mail FROM ne corresponde pas à l’expéditeur dans le message réel.

  • Mises à jour des règles de flux de messagerie : lorsqu’un message correspond à une règle de flux de messagerie, l’ID de règle est stocké dans les bases de données de suivi des messages et de création de rapports en temps réel. Si vous tracez l’un de ces messages ou explorez les détails des règles dans un rapport, les interfaces utilisateur de suivi des messages et de rapports en temps réel extrayent dynamiquement les informations de règle actuelles du réseau de services hébergés en fonction de l’ID de règle dans la base de données de rapports. Si vous avez modifié les attributs de cette règle particulière depuis que le message a été traité (il a été remplacé par Rejeter par Autoriser, par exemple), l’ID de règle reste le même dans la trace des messages et les résultats retournés en temps réel, mais le Centre d’administration Exchange affiche les nouvelles propriétés de règle de flux de courrier. Pour déterminer quand la règle a été modifiée et les propriétés qui ont été changées, vous pouvez utiliser la fonctionnalité de rapports d'audit.

  • Le filtrage anti-spam: Lorsque le filtre de contenu marque un message comme indésirable et que celui-ci est envoyé dans le dossier Courrier indésirable ou mis en quarantaine, l'état du message est Remis. Consultez les détails de l’événement pour voir comment le message est arrivé à destination.

Pour plus d'informations

Suivre un message électronique