Exécuter une trace de message dans le CAE classique dans Exchange Online

En tant qu'administrateur, vous pouvez déterminer ce qu'il est advenu d'un message électronique en exécutant le suivi des messages dans le Centre d'administration Exchange (CAE). Après avoir exécuté un suivi des messages, vous pouvez consulter les résultats dans une liste et afficher les détails d'un message particulier. Les données de suivi des messages sont disponibles pour les 90 derniers jours. Si un message date de plus de sept jours, vous pouvez uniquement afficher les résultats dans un fichier .CSV téléchargeable.

Pour obtenir une vidéo pas à pas de suivi des messages et d’autres outils de résolution des problèmes de flux de messagerie, consultez Rechercher et résoudre les problèmes de remise de courrier électronique en tant qu’administrateur Microsoft 365 ou Office 365 pour l’entreprise.

Ce qu'il faut savoir avant de commencer

• Pour rechercher et ouvrir le Centre d’administration Exchange classique, consultez Centre d’administration Exchange dans Exchange Online.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Trace des messages » dans la rubrique Autorisations des fonctionnalités dans Exchange Online.

• Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, consultez Raccourcis clavier pour le Centre d’administration Exchange.

Effectuer un suivi des messages

1. Dans le CENTRE d’administration Exchange, accédez àSuivi des messages de flux de messagerie>.

   

2. Selon ce que vous recherchez, vous pouvez entrer des valeurs dans les champs suivants. Ces champs ne sont pas obligatoires pour les messages datant de moins de 7 jours. Vous pouvez cliquer sur Rechercher pour récupérer toutes les données de suivi des messages sur la période par défaut, à savoir les dernières 48 heures.

   1. Plage de dates : à l’aide de la liste déroulante, sélectionnez pour rechercher les messages envoyés ou reçus au cours des dernières 24 heures, 48 heures ou 7 jours. Vous pouvez également sélectionner une période personnalisée qui inclut une plage comprise dans les 90 derniers jours. Pour les recherches personnalisées, vous pouvez également modifier le fuseau horaire en temps universel coordonné (UTC).

   2. Remise status : à l’aide de la liste déroulante, sélectionnez le status du message sur lequel vous souhaitez afficher les informations. Conservez la valeur par défaut Tous pour couvrir tous les états. Les autres valeurs possibles sont les suivantes :

      • Remise : le message a été remis à la destination prévue.
      • Échec : le message n’a pas été remis. Soit elle a été tentée et a échoué, soit elle n’a pas été remise à la suite d’actions effectuées par le service de filtrage. Ce peut être le cas, par exemple, si le service de filtrage détermine que le message contient un programme malveillant.
      • En attente^* : la remise du message est en cours de tentative ou de nouvelle tentative.
      • Développé : le message a été envoyé à une liste de distribution et a été développé afin que les membres de la liste puissent être affichés individuellement.
      • Filtré comme courrier indésirable : le message a été remis au dossier Email indésirable.
      • Inconnu^* : le status de remise du message est inconnu pour l’instant. Lorsque les résultats de la requête sont répertoriés, les champs de détails de remise ne contiennent aucune information.

      ^*Si vous recherchez des messages datant de plus de 7 jours, vous ne pouvez pas sélectionner En attente ou Inconnu.

   3. ID de message : il s’agit de l’ID de message Internet (également appelé ID client) qui se trouve dans l’en-tête du message dans le champ Message-ID : header. Des utilisateurs peuvent vous fournir ces informations pour étudier des messages spécifiques.

      The form of this ID varies depending on the sending mail system. Voici un exemple : <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

      Cet ID doit être unique ; Toutefois, tous les systèmes de messagerie d’envoi ne se comportent pas de la même façon. Par conséquent, il est possible que vous obteniez des résultats pour plusieurs messages lorsque vous interrogez un seul ID de message.

      Remarque : veillez à inclure la chaîne complète de l’ID de message. Celle-ci peut comprendre des crochets (<>).

   4. Expéditeur : vous pouvez affiner la recherche d’expéditeurs spécifiques en cliquant sur le bouton Ajouter un expéditeur en regard du champ Expéditeur . Dans la boîte de dialogue suivante, sélectionnez un ou plusieurs expéditeurs de votre organisation dans la liste du sélecteur, puis cliquez sur Ajouter. Pour ajouter des expéditeurs ne figurant pas dans la liste, entrez leurs adresses de messagerie, puis cliquez sur Vérifier les noms. Dans cette zone, les caractères génériques sont pris en charge pour les adresses électroniques au format suivant : *@contoso.com. Lorsque vous utilisez un caractère générique, les autres adresses ne peuvent pas être utilisées. Une fois la sélection terminée, cliquez sur OK.

   5. Destinataire : vous pouvez affiner la recherche de destinataires spécifiques en cliquant sur le bouton Ajouter un destinataire en regard du champ Destinataire . Dans la boîte de dialogue suivante, sélectionnez un ou plusieurs destinataires de votre organisation dans la liste du sélecteur, puis cliquez sur Ajouter. Pour ajouter des destinataires ne figurant pas dans la liste, entrez leurs adresses de messagerie, puis cliquez sur Vérifier les noms. Dans cette zone, les caractères génériques sont pris en charge pour les adresses électroniques au format suivant : *@contoso.com. Lorsque vous utilisez un caractère générique, les autres adresses ne peuvent pas être utilisées. Une fois la sélection terminée, cliquez sur OK.

3. Si vous recherchez des messages datant de plus de 7 jours, configurez les paramètres suivants : (sinon, vous pouvez ignorer cette étape) :

   1. Inclure les événements de message et les détails de routage avec le rapport : nous vous recommandons de sélectionner cette zone de case activée uniquement si vous recherchez un petit nombre de messages. Sinon, le retour des résultats prendra plus de temps.

   2. Direction : conservez la valeur par défaut Tout ou sélectionnez Entrant pour les messages envoyés à votre organization ou Sortant pour les messages envoyés à partir de votre organization.

   3. Adresse IP du client d’origine : spécifiez l’adresse IP du client de l’expéditeur.

   4. Titre du rapport : spécifiez l’identificateur unique de ce rapport. Il sera également utilisé comme texte d'objet pour le message de notification. La valeur par défaut est « Message trace report <day of the week>, <current date><current time> ». Par exemple, « Message trace report thursday, october 17, 2018 7 :21 :09 AM ».

   5. Adresse e-mail de notification : spécifiez l’adresse e-mail à laquelle vous souhaitez recevoir la notification une fois la trace des messages terminée. Cette adresse doit se trouver dans un domaine accepté.

4. Cliquez sur Rechercher : pour exécuter la trace des messages. Vous serez averti si vous approchez du seuil du nombre de traces que vous êtes autorisé à exécuter sur une période de 24 heures.

Après avoir exécuté le suivi de votre message, passez à l’une des sections suivantes pour en savoir plus sur l’affichage de vos résultats.

Remarque : pour rechercher un autre message, vous pouvez cliquer sur le bouton Effacer , puis spécifier de nouveaux critères de recherche.

Afficher les résultats de suivi des messages pour les messages de moins de 7 jours

Une fois que vous avez exécuté une trace de message dans le Centre d’administration Exchange, les résultats sont répertoriés, triés par date, avec le message le plus récent apparaissant en premier. Vous pouvez effectuer un tri sur tous les champs en cliquant sur leur en-tête. Pour inverser l'ordre de tri, cliquez sur un en-tête de colonne. Lors de l'affichage des résultats de suivi des messages, les informations fournies sur chaque message sont les suivantes :

• Date : date et heure auxquelles le message a été reçu par le service, à l’aide du fuseau horaire UTC configuré.
• Expéditeur : adresse e-mail de l’expéditeur au format alias@domain.
• Destinataire : adresse e-mail du ou des destinataires. Pour les messages envoyés à plusieurs destinataires, une ligne s'affiche pour chaque destinataire. Si le destinataire est une liste de distribution, cette dernière indique le premier destinataire, les autres membres figurant sur les lignes suivantes, de façon à ce que vous puissiez voir l'état de tous les destinataires.
• Objet : texte de la ligne d’objet du message. Si la longueur de ce texte dépasse 256 caractères, le texte est tronqué.
• État : ce champ spécifie si le message a été remis au destinataire ou à la destination prévue, Échec de remise au destinataire (soit parce qu’il n’a pas atteint sa destination, soit parce qu’il a été filtré), est En attente de remise (il est en cours de remise ou la remise a été différée, mais est en cours de nouvelle tentative). a été développé (il n’y a pas eu de remise car le message a été envoyé à une liste de distribution (DL) qui a été développée aux destinataires de la DL) ou a une status de None (il n’y a pas de status de remise du message au destinataire, car le message a été rejeté ou redirigé vers un autre destinataire).

Afficher les détails d’un message spécifique de moins de 7 jours

Après avoir consulté la liste des éléments renvoyés par l'exécution du suivi des messages dans le CAE, vous pouvez double-cliquer sur un message pour consulter les détails supplémentaires suivants le concernant :

• Taille du message : taille du message, pièces jointes comprises, en kilo-octets (Ko) ou, si la taille du message est supérieure à 999 Ko, en mégaoctets (Mo).

• ID de message : il s’agit de l’ID de message Internet (également appelé ID client) trouvé dans l’en-tête du message avec le jeton « Message-ID : ». The form of this varies depending on the sending mail system. Voici un exemple : <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>.

  Cet ID doit être unique. Toutefois, il dépend du système de messagerie d’envoi pour la génération et tous les systèmes de messagerie d’envoi ne se comportent pas de la même façon. Par conséquent, il est possible que vous obteniez des résultats pour plusieurs messages lors de l’interrogation d’un id de message unique.

  Il s'agit là d'un résultat. Il peut donc y avoir une corrélation entre les entrées de suivi et les messages concernés.

• To IP : adresse IP ou adresses IP auxquelles le service a tenté de remettre le message. S'il y a plusieurs destinataires, ces derniers sont affichés. Pour les messages entrants envoyés à Exchange Online, ce champ est vide.

• À partir de l’adresse IP : adresse IP de l’ordinateur qui a envoyé le message. Pour les messages sortants envoyés à partir d'Exchange Online, ce champ est vide.

Dans la section des événements, les champs suivants fournissent des informations sur les événements subis par la message lors de son transit dans le pipeline de messagerie :

• Date : date et heure auxquelles l’événement s’est produit.

• Événement : ce champ vous informe brièvement de ce qui s’est passé, par exemple si le message a été reçu par le service, s’il a été remis ou n’a pas pu être remis au destinataire prévu, etc. Voici des exemples d'événements pouvant être répertoriés :

  • RECEIVE : le message a été reçu par le service.

  • SEND : le message a été envoyé par le service.

  • ÉCHEC : le message n’a pas pu être remis.

  • DELIVER : le message a été remis à une boîte aux lettres.

  • EXPAND : le message a été envoyé à un groupe de distribution qui a été développé.

  • TRANSFER : les destinataires ont été déplacés vers un message bifurqué en raison de la conversion de contenu, des limites de destinataires de message ou des agents.

  • DEFER : la remise du message a été reportée et peut être re-tentée ultérieurement.

  • RÉSOLU : le message a été redirigé vers une nouvelle adresse de destinataire en fonction d’une recherche Active Directory. Lorsque cela se produit, l'adresse du destinataire d'origine est répertoriée sur une ligne distincte dans le suivi des messages avec l'état de remise final du message.

  • Règle DLP : le message avait une correspondance de règle DLP dans ce message.

  • Étiquette de confidentialité : Un événement d’étiquetage côté serveur s’est produit. Par exemple, une étiquette a été automatiquement ajoutée à un message qui inclut une action à chiffrer ou a été ajoutée via le client web ou mobile. Cette action est effectuée par le serveur Exchange et journalisée. Une étiquette ajoutée via Outlook ne sera pas incluse dans le champ de l’événement.

    Conseil

    Des événements supplémentaires peuvent apparaître. Pour plus d’informations sur ces événements, consultez Types d’événements dans le journal de suivi des messages.

• Action : ce champ affiche l’action qui a été effectuée si le message a été filtré en raison d’un programme malveillant ou d’une détection de courrier indésirable ou d’une correspondance de règle. Par exemple, il indique si le message a été supprimé ou mis en quarantaine.

• Détail : ce champ fournit des informations détaillées sur ce qui s’est passé. Par exemple, il peut vous indiquer quelle règle de flux de courrier spécifique (également appelée règle de transport) a été mise en correspondance, et ce qui est arrivé au message à la suite de cette correspondance. Il peut également vous informer sur un programme malveillant et sur la pièce jointe dans laquelle ce dernier a été détecté, ou sur la raison pour laquelle un message a été identifié comme courrier indésirable. Si le message a été remis, il peut indiquer l'adresse IP du destinataire.

Afficher les résultats de suivi des messages pour les messages de plus de 7 jours

Si vous exécutez un suivi des messages pour les éléments datant de plus de 7 jours, lorsque vous cliquez sur Rechercher , un message doit s’afficher pour vous informer que le message a été correctement envoyé et qu’une notification par e-mail sera envoyée à l’adresse e-mail fournie une fois la trace terminée. (Si la trace des messages est traitée et que les données qui correspondent à vos critères de recherche sont récupérées avec succès, ce message de notification inclut des informations sur la trace et un lien vers le fichier .CSV téléchargeable. Si aucune donnée correspondant aux critères de recherche que vous avez spécifiés n’a été trouvée, vous êtes invité à envoyer une nouvelle demande avec des critères modifiés afin d’obtenir des résultats valides.)

Dans le Centre d’administration Exchange, vous pouvez cliquer sur Afficher les traces en attente ou terminées afin d’afficher la liste des traces exécutées pour les éléments datant de plus de 7 jours. Dans l'interface utilisateur, la liste des suivis est triée par date et heure d'envoi, les plus récents figurant en haut. Outre le titre du rapport, la date et l'heure de soumission du suivi, et le nombre de messages dans le rapport, les états suivants sont répertoriés :

• Non démarré : la trace a été envoyée, mais n’est pas encore en cours d’exécution. À ce stade, vous avez encore la possibilité d'annuler le suivi.
• Annulé : la trace a été envoyée, mais a été annulée.
• En cours : la trace est en cours d’exécution et vous ne pouvez pas annuler la trace ou télécharger les résultats.
• Terminé : la trace est terminée et vous pouvez cliquer sur Télécharger ce rapport pour récupérer les résultats dans un fichier .CSV. Notez que si les résultats de votre suivi de message dépassent 10 0000 messages pour un rapport de synthèse, il sera tronqué aux 10 0000 premiers messages. Si les résultats de votre suivi de message dépassent 1 000 messages pour un rapport détaillé, il est tronqué aux 1 000 premiers messages. Si vous ne voyez pas tous les résultats dont vous avez besoin, nous vous recommandons de diviser votre recherche en plusieurs requêtes.

Lorsque vous sélectionnez un suivi des messages spécifique, des informations supplémentaires s’affichent dans le volet droit. Selon les critères de recherche spécifiés, ces informations peuvent indiquer la plage de dates pour laquelle le suivi a été exécuté, ainsi que l’expéditeur et les destinataires prévus du message.

Afficher les détails d’un rapport sur un message spécifique de plus de 7 jours

Lorsque vous téléchargez et affichez un rapport de suivi de message, que ce soit à partir de l’option Afficher les traces en attente ou terminées dans le Centre d’administration Exchange ou à partir d’un e-mail de notification, son contenu varie selon que vous avez sélectionné l’option Inclure les événements de message et les détails de routage avec le rapport .

Afficher un rapport de suivi des messages sans les détails de routage

Si vous n'avez pas inclus les détails de routage lors de l'exécution du suivi des messages, le fichier .CSV, que vous pouvez ouvrir dans une application telle que Microsoft Excel, contient les informations suivantes :

• origin_timestamp : date et heure auxquelles le message a été reçu par le service, à l’aide du fuseau horaire UTC configuré.

• sender_address : adresse e-mail de l’expéditeur dans ledomaine de l’alias@ de formulaire.

• Recipient_status : status de la remise du message au destinataire. Si le message a été envoyé à plusieurs destinataires, il affiche tous les destinataires et les status correspondants par rapport à chacun, au format : < adresse >e-mail##<status>. For example, a status of:

  • ##Receive, Envoyer : signifie que le message a été reçu par le service et envoyé à la destination prévue.
  • ##Receive, Échec : signifie que le message a été reçu par le service, mais n’a pas pu être remis à la destination prévue.
  • ##Receive, Remettre : signifie que le message a été reçu par le service et remis à la boîte aux lettres du destinataire.

• message_subject : texte de la ligne d’objet du message. Si la longueur de ce texte dépasse 256 caractères, le texte est tronqué.

• total_bytes : taille du message, pièces jointes comprises, en octets.

• message_id : il s’agit de l’ID de message Internet (également appelé ID client) trouvé dans l’en-tête du message avec le jeton « Message-ID : ». The form of this varies depending on the sending mail system. Voici un exemple : <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>.

  Cet ID doit être unique. Toutefois, il dépend du système de messagerie d’envoi pour la génération et tous les systèmes de messagerie d’envoi ne se comportent pas de la même façon. Par conséquent, il est possible que vous obteniez des résultats pour plusieurs messages lorsque vous interrogez un seul ID de message.

  Il s'agit là d'un résultat. Il peut donc y avoir une corrélation entre les entrées de suivi et les messages concernés.

• network_message_id : il s’agit d’une valeur d’ID de message unique qui persiste entre les copies du message qui peuvent être créées en raison de la bifurcation ou de l’expansion du groupe de distribution. 1341ac7b13fb42ab4d4408cf7f55890f est un exemple de valeur.

• original_client_ip : adresse IP du client de l’expéditeur.

• directionnalité : ce champ indique si le message a été envoyé entrant (1) à votre organization ou s’il a été envoyé en sortie (2) à partir de votre organization.

• connector_id : nom du connecteur d’envoi ou de réception source ou de destination. Par exemple, ServerName\ConnectorName ou ConnectorName.

• delivery_priority : indique si le message a été envoyé avec une priorité Élevée, Faible ou Normale .

Afficher un rapport de suivi des messages avec les détails de routage

Si vous avez inclus les détails de routage lors de l'exécution du suivi des messages, le fichier .CSV, que vous pouvez ouvrir dans une application telle que Microsoft Excel, contient toutes les informations des journaux de suivi. Certaines des valeurs incluses dans ce rapport sont décrites dans la section précédente, tandis que d’autres valeurs qui peuvent être utiles à des fins d’investigation sont décrites dans Champs dans les fichiers journaux de suivi des messages.

Le champ custom_data

En outre, le champ custom_data peut contenir des valeurs propres au service de filtrage. Le champ custom_data d'un événement AGENTINFO est utilisé par différents agents pour journaliser les détails du traitement des messages par l'agent. Certains des agents liés à la protection des données de message sont décrits ci-dessous.

Agent de filtrage anti-spam (S:SFA)

Les chaînes commençant par S:SFA sont des entrées issues d’agents de filtrage anti-spam et fournissent les détails suivants :

Quand un message est filtré comme courrier indésirable, l'entrée custom_data ressemble à l'exemple suivant :

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agent de filtrage des programmes malveillants (S:AMA)

Les chaînes commençant par S:AMA sont des entrées issues de l’agent de filtrage des programmes malveillants et fournissent les détails suivants :

Lorsqu'un message contient un programme malveillant, l'entrée custom_data ressemble à l'exemple suivant :

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

Agent de règle de transport (S:TRA)

Une chaîne commençant par S :TRA est une entrée de l’agent de règle de transport et fournit les détails clés suivants :

Lorsqu’un message correspond à une règle de flux de messagerie, un exemple d’entrée custom_data ressemble à ce qui suit :

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Pour plus d'informations

La page Forum Aux Questions sur le suivi des messages présente les questions qu'un utilisateur peut se poser à propos des messages, ainsi que les réponses éventuelles. Elle décrit également la façon d'utiliser l'outil de suivi des messages afin d'obtenir ces réponses et de résoudre les problèmes spécifiques de remise du courrier.

Puis-je exécuter une trace de message via Exchange Online PowerShell ou Exchange Online Protection PowerShell ? Quelles sont les applets de commande à utiliser ? fournit des informations sur les applets de commande PowerShell que vous pouvez utiliser pour exécuter un suivi de message.